Brief regering; Opgeloste beveiligingsmelding inzake de ondersteunende software verkiezingen (OSV2020) - Informatie- en communicatietechnologie (ICT) - Hoofdinhoud
Deze brief is onder nr. 1067 toegevoegd aan dossier 26643 - Informatie- en communicatietechnologie (ICT) en dossier 35165 - Verkiezingen.
Inhoudsopgave
Officiële titel | Informatie- en communicatietechnologie (ICT); Brief regering; Opgeloste beveiligingsmelding inzake de ondersteunende software verkiezingen (OSV2020) |
---|---|
Documentdatum | 12-09-2023 |
Publicatiedatum | 12-09-2023 |
Nummer | KST266431067 |
Kenmerk | 26643; 35165, nr. 1067 |
Externe link | origineel bericht |
Originele document in PDF |
Tweede Kamer der Staten-Generaal
2023
Vergaderjaar 2022-
26 643 35 165
Nr. 1067
Informatie- en communicatietechnologie (ICT) Verkiezingen
BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Den Haag, 12 september 2023
De Kiesraad heeft mij geïnformeerd over een melding van een externe partij inzake kwetsbaarheden in de installatiesoftware van de module voor politieke partijen van de Ondersteunende Software Verkiezingen (OSV2020). De module voor politieke partijen kan worden gebruikt bij het aanmaken van de documentatie voor de kandidaatstellingsprocedure voor een verkiezing. De gemelde risico's zijn inmiddels door de leverancier van OSV2020 opgelost en niet meer aanwezig in de software die nu voor de Tweede Kamerverkiezing wordt gebruikt. Hoe de Kiesraad deze melding heeft opgepakt en dat de Kiesraad deze melding openbaar maakt vind ik positief. Dit laat zien dat meldingen van externe partijen over de beveiliging en betrouwbaarheid van OSV2020 serieus worden genomen.
De kwetsbaarheden zijn door de melder ontdekt in de software waarmee de module van OSV2020 wordt geïnstalleerd op de computers van gebruikers. In deze installatiesoftware heeft de melder inloggegevens gevonden van de leverancier. Ook was in de installatiesoftware het pad te vinden naar de private sleutel op het interne netwerk van de leverancier, samen met de gebruikersnaam en het wachtwoord hiervan. Met deze private sleutel wordt de software door de leverancier digitaal ondertekend. Als gevolg hiervan was het mogelijk voor ongeautoriseerde personen om in te loggen op deze server van de leverancier. De Kiesraad meldt geen indicaties te hebben dat deze gevonden kwetsbaarheden het functioneren van de modules van OSV2020 heeft beïnvloed.
Waarborgen voor een betrouwbare verkiezingsuitslag
In Nederland stemmen we met het papieren stembiljet, dat vervolgens handmatig wordt geteld. De uitslag per stembureau wordt vastgelegd in een papieren proces-verbaal. De software OSV2020 is ondersteunend aan het verkiezingsproces. De papieren documenten, de stembiljetten en processen-verbaal, zijn leidend.
kst-26643-1067 ISSN 0921 - 7371 's-Gravenhage 2023
Bij elke verkiezing laat de Kiesraad de module uitslagvaststelling van OSV2020 toetsen. Hierbij wordt gecontroleerd of OSV2020 correct volgens de Kieswet werkt. Daarnaast wordt de beveiliging van OSV2020 getest. Dit gebeurt door externe onafhankelijke partijen die elkaar afwisselen in een roulatiesysteem. Hoe dit ingevuld wordt is vastgelegd bij de aanbesteding van de opdracht voor deze toetsen. Ter voorbereiding op de aankomende Tweede Kamerverkiezing is KPMG volgens het roulatiesysteem de partij die controleert of OSV2020 correct volgens de Kieswet werkt. Volgens hetzelfde roulatiesysteem test HackDefense de beveiliging van OSV2020.1 Voor de aankomende Tweede Kamerverkiezing heeft de Kiesraad ook de beveiliging van de module voor politieke partijen laten testen.2 De bij de Kiesraad gemelde kwetsbaarheden zijn bij deze test niet meer aangetroffen. De overige bevindingen van HackDefense zijn inmiddels door de leverancier opgelost.
De rapportages van de onderzoeken naar de module uitslagvaststelling van OSV2020 worden uiterlijk op 9 oktober 2023 door de Kiesraad openbaar gemaakt. De Kiesraad maakt ook de broncode van de module uitslagvaststelling openbaar op zijn website. Aanvullend hierop wordt tijdens het gebruik van OSV2020 steekproefsgewijs gecontroleerd of OSV2020 correct heeft gewerkt. De uitkomsten van deze controles, de processen-verbaal en de digitale bestanden met optellingen uit OSV2020 worden ook openbaar gemaakt.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
H.M. de Jonge
Tweede Kamer, vergaderjaar 2022-2023, 26 643, nr. 1067 2
Bij de gemeenteraadsverkiezingen 2022 waren dit KPMG en FoxIT. Bij de Provinciale Staten- en waterschapsverkiezingen 2023 Expleo en PricewaterhouseCoopers (PwC).
Zie website Kiesraad: www.kiesraad.nl.