Beheer

Security
stemmachine

5 tips voor veiliger elektronisch stemmen

Veel betere beveiliging nodig

© Wijvertrouwenstemcomputersniet.nl
7 augustus 2017

Veel betere beveiliging nodig

In Nederland is elektronisch stemmen voorlopig weer van de baan, maar in de VS worden stemcomputers al jaren gebruikt. Veilig zijn ze niet, zo toonden onderzoekers aan tijdens Defcon 2017.

Binnen enkele minuten konden ze – met zeer eenvoudige middelen – de systemen hacken. Zo kon een lek dat al sinds 2003 bekend is, nog altijd misbruikt worden. Dat leverde toegang op tot de databases die waren opgeslagen op de stemcomputers. De totalen van de stemresultaten konden er meer gewijzigd worden en de systemen konden zo uit de lucht gehaald worden. Een peulenschilletje dus voor elke hacker, maar voor vijandige landen ook. Carsten Schurmann, hoogleraar aan de IT Universiteit in Kopenhagen, was een van de onderzoekers die de Amerikaanse stemcomputer wist te hacken. Hij geeft in Wired adviezen die zo’n hack moeten voorkomen, of op zijn minst moeilijker maken…..

1. Gebruik verouderde stemcomputers niet meer

Een stemcomputer wordt als ‘verouderd’ beschouwd als hij veiligheidsproblemen heeft die alom bekend zijn. Tijdens Defcon werden bakken vol stemcomputers moeiteloos gehackt. Alle stemcomputers kunnen volgens Schurmann gehackt worden. Daarom is het belangrijk dat een stemcomputer input voor papieren afdrukken kan produceren met verifieerbare stemresultaten. Dat geeft in elk geval een correct stemmenresultaat als de stemcomputers falen, om wat voor reden dan ook.

2. Beveilig de registratiesystemen en de databases tegen cyberaanvallen.

Binnen komen ze vrijwel zeker toch wel, maar door de data te versleutelen en de cryptografische sleutels goed te beheren, kunnen aanvallers er niets meer mee. Pas ook de administratieve processen zo aan dat ongeautoriseerde toegang niet meer mogelijk is en verklein zo de kans op datalekken. Versterk de beveiliging van de databases, bijvoorbeeld door ze alleen te laten draaien op beveiligde en dedicated servers.

3. Stel risicobeperkende audits verplicht

Een risicobeperkende audit is een statische methode om stemresultaten te verifiëren en geknoei met stemmen te detecteren. Doe dat met kleine delen van het proces.

4. Stel goede regels in voor aanschaf en onderhoud

De beleidsregels moeten er op gericht zijn dat stemmachines in vaak wisselende omgevingen worden gebruikt en beheerd. Belangrijk daarbij is dat elke patch zo snel mogelijk wordt doorgevoerd.

5. Train het personeel van het stembureau op awareness

Beheerders van stembureaus moeten veilig kunnen omgaan met cryptografische sleutels en die goed kunnen beschermen. Dus moeten ze zich ervan bewust zijn dat ze het doelwit zijn van phishers die met sterke social engineering aanvallen op hen kunnen doen.

Voter Hacking Village

Stemcomputers waren een belangrijk speerpunt voor beveiligingsonderzoeken tijdens Defcon 2017. Onderzoekers hadden een ‘Voter Hacking Village’ opgesteld waar onderzoekers tweedehands stemmachines konden hacken. De winnaars hadden dit binnen een paar minuten voor elkaar. Zij plugden een muis en een toetsenbord in enkele openstaande USB-poorten. Authenticatie was niet nodig. De stemsoftware konden ze snel omzeilen door op ‘control-alt-delete’ te drukken, waarna ze onmiddellijk in Windows XP terecht kwamen.

De stemcomputers waren op diverse punten tweedehands aangeschaft, onder meer via eBay. Extra pijnlijk was dat veel van deze systemen nog alle data van stemmers bevatten.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.