Frauderende Partij krijgt geen kans bij stemcomputer
De actiegroep, die wordt aangevoerd door internetpionier en security-expert Rop Gonggrijp, kreeg na een beroep op de Wet Openbaarheid van Bestuur van de gemeente Amsterdam een aantal documenten die betrekking hebben op het NewVote-sys-teem van Sdu Uitgevers, die Amsterdam in gebruik heeft.
Op basis van de openbaar gemaakte draaiboeken, instructies en bijvoorbeeld checklists heeft software-ontwikkelaar Pascal Scheffers van de actiegroep de ‘opvallende punten’ van NewVote die hem zorgen baren op een rijtje proberen te zetten. Op de site meldt hij dat ‘we eigenlijk een werkende versie van het hele systeem moeten analyseren, en dat zo’n snelle scan van wat documenten altijd beperkt is. Maar de voorlopige conclusies zijn al behoorlijk beangstigend.’
De verantwoordelijk directeur van Sdu Uitgevers, Huib Cuperus, reageert met enige tegenzin op de ‘opvallende punten’ die Scheffers zorgen baren. Cuperus vindt dat de discussie zich te veel verengt tot de technologie en daar is volgens hem geen reden toe. “Ik vind dat de actiegroep een legitieme zorg uitspreekt, maar de discussie zou vooral moeten gaan over vertrouwen. Vertrouwen in het proces, in de procedures, de instituten en wet- en regelgeving. Van het uitschrijven van verkiezingen tot en met het publiceren van de uitslag. Was het niet Stalin die ooit zei: ‘als je verkiezingen wilt beïnvloeden moet je dat niet bij de stembus doen, maar bij degene die de einduitslag bekendmaakt’? Alle technologie is te manipuleren, de stemcomputer en ook het stembiljet. Maar de ambtenaar die het papier met de einduitslag naar de burgemeester brengt is in de meest uitgelezen positie om de uitslagen te manipuleren. Dat gaat over vertrouwen.”
Volgens Scheffer kan een fictieve ‘Frauderende Partij (FP)’ het NewVote-systeem mogelijk op een aantal manieren besmetten met virusachtige programma’s die de uitslagen manipuleren. Dat zou eventueel kunnen via de aan te leveren kandidatenlijst of via een illegaal op te zetten GPRS-verbinding. De NewVote-computer in het stemlokaal is namelijk uitgerust met de technologie om na de verkiezingen de voorlopige uitslag door te zenden naar het ‘Elector-systeem’ op het gemeentehuis waarop de uitslagen van de verschillende stembureaus worden opgeteld.
Sdu wijst de kritiek van de hand. De lijst met kandidaten wordt niet door de partijen (de FP in dit geval) ingevoerd, aldus Cuperus, maar aangeleverd door de kiesraad of door de gemeente en ingevoerd door Sdu. Eventuele malafide software zou dan door Sdu moeten worden geïnstalleerd – een kwestie van vertrouwen, inderdaad.
“Bovendien is het niet zo eenvoudig om die uitslagen te beïnvloeden. TNO heeft het complete systeem getest. Zij bezitten de broncode van de software en testen na elke wijziging opnieuw. Zij kunnen bovendien op een eenvoudige manier bij elke machine controleren dat daar ook werkelijk de ‘build’ op staat zoals die is goedgekeurd. Deze gecontroleerde software op het systeem schrijft de stem weg naar een beveiligd en versleuteld bestand. De kans dat een derde partij daar een virus tussen krijgt, is klein. Maar uit veiligheidsoverwegingen kan ik niet ingaan op de beveiliging van die architectuur. Dat geldt ook voor de GPRS-verbinding. Die wordt niet gebruikt zolang het stembureau open is. Ook daarbij geldt dat je de stembureaumedewerkers moet vertrouwen.”
Mocht in het ergste geval de GPRS-verbinding worden gehackt en de geheugenkaart onderweg verwisseld, dan is er nog altijd een ander controlemechanisme beschikbaar. “De uitslag wordt eerst op papier geprint, dan wordt de uitslag via GPRS naar het gemeentehuis gestuurd en vervolgens wordt de uitgeprinte uitslag en de memory-stick met uitslag naar het gemeentehuis gebracht. De voorlopige uitslag wordt op basis van de GPRS-verbinding bepaald, de definitieve uitslag op basis van de memory-sticks die gecontroleerd worden met de op papier geprinte uitslag. Dat alles gaat precies volgens de door de kiesraad vastgestelde procedures”, aldus Cuperus.
Volgens Scheffer zouden er bij de ‘end-to-end-test’ die de gemeente Amsterdam met Sdu uitvoerde twee ‘dubieuze beslissingen’ zijn genomen: alle gebruikers kregen dezelfde inlognaam en wachtwoord, en de virusscanner werd uitgeschakeld om vierminuten tijdswinst te maken.
Volgens Cuperus zijn ‘testen niet representatief voor de reële situatie’. “Tijdens testen maak je andere afwegingen. Er is bijvoorbeeld gekeken naar de maximale belasting van de keten.”