Wat is er precies aan de hand?

De waterschappen in ons land hadden in november verkiezingen via internet willen organiseren om het opkomstpercentage te verhogen. De opkomst voor stemmen per post voor nieuwe waterschapsbesturen is traditioneel laag: in 2004 gemiddeld 23 procent in de 27 waterschappen.

Vier jaar geleden deed waterschap De Dommel al een proef met digitaal stemmen. Een onderzoek van het Eindhoven Institute for Protection of Systems and Information (EiPSI) in samenwerking met de Radboud Universiteit Nijmegen, wees uit dat het gebruikte Rijnland Internet Election System (RIES) wordt geplaagd door een grote hoeveelheid beveiligingslekken. En dat is zorgwekkend, want RIES wordt ook gebruikt voor in het buitenland verblijvende kiezers bij de parlementsverkiezingen.

Staatssecretaris Huizinga heeft trouwens ook nog een beroep gedaan op Fox-IT, een ander onderzoeksbureau dat het systeem zal analyseren.

Hoe werkt dat RIES systeem precies?

RIES is ontwikkeld door het hoogheemraadschap van Rijnland en werd eerder al in die regio gebruikt bij verkiezingen. RIES is een open source-systeem gebaseerd op wat onderzoekers 'cryptografische primitieven', eenmalige handtekeningen, noemen. Sleutels voor kiezers worden centraal aangemaakt en dat biedt de mogelijkheid voor misbruik. De technische mankementen waren al eerder opgemerkt, maar aanbevelingen hebben niet tot voldoende aanpassingen geleid.

Waaruit bestaan de beveiligingslekken?

Het systeem is vatbaar voor zogenaamde SQL-injectie en cross site scripting (XSS) aanvallen. De term SQL-injectie wordt gebruikt voor een type kwetsbaarheid van webapplicaties, met name databases. SQL-injectie kan voorkomen als invoer van gebruikers onvoldoende gecontroleerd wordt. Zij kunnen dan via invoervelden commando's aan het systeem versturen, bijvoorbeeld om alle stemresultaten te wissen.

Cross-site scripting heeft te maken met de beveiliging van webapplicaties. Met deze aanvallen zou je na afloop van de stemming moeten kunnen achterhalen op wie iemand heeft gestemd. Beïnvloeding van de verkiezingen zou interessant kunnen zijn voor kandidaat-bestuurders, boeren, milieuorganisaties, huizenbezitters of terroristen. Daarnaast kan de stemming zelfs geheel worden platgelegd.

Hoe reageren de waterschappen?

Natuurlijk teleurgesteld. Vele jaren van voorbereiding zijn onterecht teniet gedaan, reagerde Jacob Gunter van de Unie van Waterschappen afgelopen week. De waterschappen vinden dat het besluit van de staatssecretaris te veel wordt gestuurd door emoties en te weinig door vertrouwen in de techniek. De discussies in de Tweede Kamer over de onveiligheid van stemcomputers zijn vertaald naar stemmen per internet, zo luidt het verwijt.

Bovendien zou er onvoldoende oog zijn voor de voordelen. Zo verwachtten de waterschappen met internetstemmen tot 1 miljoen euro aan kosten te besparen.

Geven de waterschappen het internet stemmen nu definitief op?

Nee. De waterschappen gaan door om stemmen per internet mogelijk te maken voor de volgende verkiezingen. De broncode van het RIES staat op internet, en kan dus verbeterd worden. De onderzoekers in Eindhoven en Nijmegen zijn positief gestemd over mogelijke verbeteringen.

Wat vindt u van internetstemmen? Geef uw mening in onze wekelijkse peiling (stemmen vereist een (gratis) registratie).