Home Security Het aanvalsoppervlak van de Amerikaanse verkiezingssystemen

Het aanvalsoppervlak van de Amerikaanse verkiezingssystemen

114

De verkiezingsstrijd in de VS is begonnen aan de laatste maand in de strijd om de stemmen. Vorige week waren we getuigen van onder andere het eerste debat tussen Trump en Biden. Dit is echter niet de enige manier waarop invloed wordt uitgeoefend op de kiezer. Of we het nu willen of niet: verkiezingen kunnen gemanipuleerd worden en dan zullen ze ook gemanipuleerd worden.

Potlood

Het is een van redenen waarom we in Nederland niet aan digitaal stemmen doen. Een potloodje en een veel te groot formulier maken manipulatie ondoenlijk. Zo niet in de Verenigde Staten, waar de verkiezingen niet alleen veel complexer zijn maar ook veel digitaler. Het gehele verkiezingssysteem omvat de registratie van de kiezers tot en met de weergave van de verkiezingsuitslagen. Daarom spelen ook de leveranciers van de verkiezingstechnologie een belangrijke rol. Tegelijk is het steeds duidelijker geworden dat verkiezingen – zeker niet alleen in de Verenigde Staten – doelwit zijn geworden ‘state-sponsored actors’.

Ook voor onze security research-organisatie Talos is het aanleiding geweest om de afgelopen vier jaar onderzoek te doen naar hoe het met de security is gesteld binnen dit hele systeem. Het onderzoek gaat weliswaar over de security rond de Amerikaanse verkiezingen, maar de inzichten kunnen ook hier nuttig zijn. Zeker als de discussie over elektronisch stemmen weer oplaait nu de Tweede Kamerverkiezingen dichterbij komen.

Niet hetzelfde als enterprise security

In de Verenigde Staten hebben de federale overheid, de staten en de lokale overheden (counties) elk een eigen onafhankelijke rol in de verkiezingen. Terugkijkend op de researchperiode is daarom een van de belangrijkste inzichten dat de verkiezingssystemen in de staten, en binnen de staat in de meeste counties, allemaal van elkaar verschillen.

Wie één verkiezingssysteem heeft gecontroleerd zal dus alle andere ook moeten controleren. Een ander inzicht is dat de security van deze systemen niet hetzelfde is als enterprise security, er is namelijk geen centrale autoriteit (‘enterprise’) die een overkoepelend securitybeleid kan afdwingen. Het onderzoeksrapport merkt hierover op dat dit de manier is hoe Amerikanen de macht distribueren.

Niet opgewassen tegen state-sponsored actors

Gezien de grote diversiteit aan verkiezingssystemen – tot cloudservices aan toe – ligt het voor de hand dat samenwerking tussen alle betrokkenen op de verschillende overheidsniveaus en de leveranciers cruciaal is voor een optimale security. Het onderzoeksrapport gaat verder niet in op specifieke technologische securitykwesties. Maar wel op twee essentiële andere zaken.

Allereerst de aanvallers, de ‘state sponsored actors’. Zeker op lokaal niveau is de security daar niet tegen opgewassen, waardoor deze tegenstanders in principe van een enorm aanvalsoppervlak kunnen profiteren. Ook is al gebleken dat de leveranciers van de verkiezingssystemen doelwit zijn.

Democratie onder druk

Het andere essentiële punt dat het rapport maakt, is dat elk twijfel die kan worden gezaaid over de security deze state sponsored tegenstanders in de kaart speelt. Alleen al de suggestie dat er mogelijk gefraudeerd is of dat ‘buitenlandse aanvallers’ zich mogelijk toegang hebben verschaft, zet de democratie onder druk. Het onderzoeksrapport benadrukt dan ook hoe belangrijk security is geworden voor het vertrouwen in verkiezingen. In het verlengde hiervan geeft Talos aan dat communicatie in het reponstraject na een incident zeer veel aandacht vergt. Temeer daar er in de VS door de media journalisten zijn ingezet om specifiek verslag te doen van de security.

Is een printje de oplossing?

Een voor de Nederlandse discussie rond elektronisch stemmen interessante bevinding is dat sommige elektronische stemsystemen een printje maken van de uitgebrachte stem. Het idee daarvan is dat de stemgerechtigde kan controleren of zijn stem ook juist is geregistreerd én dat in voorkomende gevallen deze prints gebruikt kunnen worden voor hertelling. In de praktijk is echter gebleken dat de meeste stemmers hun stem niet checken. En de vraag is of die prints er nog wel zijn als in een later stadium een hertelling nodig is.

Vertrouwen

De conclusie is dat het niet alleen gaat om de integriteit van het verkiezingssysteem. Uiteindelijk gaat het om het vertrouwen dat de burgers in de instituties en de democratie hebben. Juist die liggen steeds meer onder vuur van ‘state-sponsored actors’. In elk geval zijn ons rode potlood en papier voor hen een onneembare barrière.

Michel Schaalje

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in