nieuwsanalyse

Digitale laksheid ontsiert voorbereiding verkiezingen

De hele heisa draait rond de USB-sticks en inleessoftware. ©BELGA

Verloopt de digitale verwerking van de verkiezingsresultaten zondag op een veilige manier? Door slordigheden en miscommunicaties roept het Agentschap Binnenlands Bestuur daar zelf vragen over op.

‘Let op: formatteer de USB-sticks niet!’ Met die boodschap aan de voorzitters van de hoofdbureaus, het belangrijkste stembureau in elke gemeente, stak het Agentschap Binnenlands Bestuur (ABB) dinsdag zelf het vuur aan de lont rond de organisatie van de verkiezingen in de bureaus waar digitaal gestemd wordt. Het gaat om 163 gemeenten. 

Op verkiezingsdag moeten de voorzitters van die hoofdbureaus USB-sticks, met daarop de bestanden met resultaten uit alle telbureaus, na de stemming inlezen op een pc. Het Agentschap Binnenlands Bestuur zaaide zelf verwarring over dat proces. Het waarschuwde de voorzitters dat bij het inlezen van de USB-sticks de pc zou vragen de schijf te formatteren. Dat betekent dat de resultaten gewist worden.

Wissen

Het probleem lag aan de indeling van de USB-stick. Die heeft een Linux-deel, nodig voor de wisselwerking met de stemcomputers, en een Windows-deel, nodig voor het inlezen van de resultaten. Het Windows-besturingssysteem herkent het Linux-deel niet en vroeg daarom de USB-stick te formatteren. De organisatie van de verkiezingen stond online voor paal, bij het idee dat de stemresultaten gewoon ‘gewist’ konden worden.

Het gebruik van niet-gecertificeerde software en servers buiten België wijst niet meteen op beveiligingsfouten, wel op ‘laksheid’.

Het Agentschap moest razendsnel bijsturen. De instructies bleken eigenlijk gedateerd. Door een update van het Windows-besturingssysteem in september anticipeerde een testbedrijf van het Agentschap op de optie dat de waarschuwing zou verschijnen. Bij het effectief testen van de USB-sticks bleek dat niet het geval. De instructies werden meteen van de site gehaald, maar het kwaad was geschied.

Certificaat

Met het debacle rond de USB-sticks was de geest uit de fles. Aandachtige cybersecurity-experts ontdekten dat de MARTINE-inleessoftware, waarmee de USB-sticks worden ingelezen, niet gecertificeerd is. Dat betekent dat eenieder die de software downloadt de waarschuwing krijgt dat ze van een ‘onbekende uitgever’ komt. Bovendien moest de software gedownload worden van de publiek toegankelijke site vlaanderenkiest.be, waarvan de servers in Nederland staan.

Het gebruik van niet-gecertificeerde software en servers buiten België wijst niet meteen op beveiligingsfouten, maar wel op ‘laksheid’, is te horen bij cybersecurity-experts. ‘Software die niet digitaal ondertekend is, kan aangepast worden als de site gekraakt zou worden’, stelt Pieter Maes, een systeemontwikkelaar met expertise in Linux.

Bovendien is het niet erg moeilijk software te certificeren. ‘De site zelf is gecertificeerd, waarom de software niet’, kaart Jeroen Baert, computerwetenschapper van de KU Leuven aan. Het certificeren van software is zodanig basis, dat het bizar is dat het niet gebeurde. 

Hosting

Over de niet-gecertificeerde software oordeelt het Agentschap Binnenlands Bestuur dat er 'geen elementen zijn om aan de integriteit en veiligheid van de software te twijfelen'. De hosting van de site in Nederland ziet ze evenmin als problematisch. ‘Zolang de hosting in de Europese Unie plaatsvindt, is daar geen probleem mee.’ 

Het Agentschap beklemtoont wel dat de resultaten nooit gewist kunnen worden. Per digitaal stembureau zijn er twee verschillende USB-sticks die de resultaten bevatten. Na te hebben gestemd op de stemcomputer krijgt u een stembiljet, waarop de resultaten zowel in tekst als in QR-code staan.

Het scannen van die QR-code opent de klep van de stembus, waar u het strookje in kan steken. Tegelijk worden de stemmen versleuteld, en in random volgorde, opgeslagen op de USB-sticks. Die sticks zijn, zowel digitaal als fysiek, adequaat beveiligd. 

 

Lees verder

Advertentie
Advertentie
Advertentie
Advertentie

Gesponsorde inhoud

Partner content