De Ondersteunende Software Verkiezingen (OSV), de software die al ruim negen jaar wordt gebruikt bij het berekenen en vaststellen van de verkiezingsuitslagen in Nederland, moet vóór de Tweede Kamerverkiezing van 2021 worden vervangen, zo vindt de Kiesraad. Deze verkiezing staat gepland voor 17 maart 2021.

In opdracht van de Kiesraad onderzocht Fox-IT de beveiliging van OSV. “Vanuit technisch perspectief kan geconcludeerd worden dat OSV op zichzelf niet bestand is tegen hedendaagse dreigingen en dat de methodes voor succesvolle aanvallen niet exclusief zijn voorbehouden aan statelijke actoren. Wanneer de volledige set aan maatregelen in acht wordt genomen, leidt dit niet onmiddellijk tot een zorgelijk beeld”, aldus de onderzoekers in het rapport (pdf).

Volgens Fox-IT verkleinen de al doorgevoerde aanpassingen van OSV en de overige getroffen maatregelen de kans op manipulatie en verhogen de kans dat eventuele manipulatie wordt gedetecteerd. Tevens stellen de onderzoekers dat manipulatie van de volledige verkiezingsuitslagen op lijst- en kandidaatniveau in potentie op diverse wijzen kan worden gedetecteerd als de definitieve uitslag wordt vastgesteld. Hiervoor moeten wel de juiste controles worden uitgevoerd en deze controles zijn op dit moment niet voorgeschreven.

Het securitybedrijf doet in het onderzoeksrapport vier aanbevelingen. Zo wordt aangeraden om de huidige OSV-programmatuur binnen twee jaar te vervangen. Daarnaast moet er worden gezorgd voor een digitale gegevensstroom parallel aan de papieren gegevensstroom. Verder pleiten de onderzoekers voor het inrichten van een proces waarmee de verkiezingsuitslag, parallel aan het reguliere proces van het vaststellen van de stemtotalen, nagerekend wordt en moet de huidige samenhang van het wettelijk kader, het proces en de techniek worden geëvalueerd.

Bij het opzetten van het wettelijke kader, het ontworpen proces en de toegepaste techniek is onvoldoende rekening gehouden met de hedendaagse dreiging. “De signalering van deze dreiging en de evolutie ervan heeft ertoe geleid dat individuele componenten reactief zijn aangepast, maar het geheel van deze componenten is in basis niet opgezet met in acht neming van de hedendaagse dreiging”, laat het rapport weten. Om de algehele weerbaarheid te verbeteren moeten alle onderdelen dan ook worden geëvalueerd.

De Kiesraad zegt zich te kunnen vinden in de conclusies en aanbevelingen van Fox-IT. Het adviesorgaan stelt dat bij de komende verkiezingen gemeenten de processen-verbaal met de handmatig berekende uitslagen van de stembureaus direct online zullen zetten. “Op die manier kan een ieder die dat wil controleren of de optellingen kloppen”, aldus de Kiesraad.