Deze column staat in Het Financieele Dagblad van 15 oktober 2020. Volg deze link voor mijn eerdere FD columns.

Meer dan ooit zijn de Amerikaanse presidentsverkiezingen verworden tot een tragikomisch schouwspel over een wereldmacht in verval, en een dans op de vulkaan vanuit cybersecurityperspectief. Het verkiezingsproces leunt namelijk op hopeloos verouderde computersystemen, kwetsbaar voor verkiezingsfraude of sabotage.

De spectaculaire digitale veldslag die onlangs in de publiciteit kwam tussen cybercriminelen, Amerikaanse inlichtingendiensten en Microsoft rondom het neerhalen van het cybercrimeplatform Trickbot, vormt helaas slechts een druppel op een gloeiende plaat. Via Trickbot stond kennelijk een collectie van twee miljoen computers (een botnet) klaar om Amerikaanse stemsystemen te ontregelen.

Zolang de stemtechnologie en procedures in cruciale Amerikaanse kiesdistricten zo lek als een mandje blijven, kan niemand met zekerheid stellen of de Amerikaanse verkiezingen van 3 november geldig of gemanipuleerd zijn. Dat wordt vooral een groot probleem als de twist tussen president Donald Trump en uitdager Joe Biden een nek-aan-nekrace blijkt te zijn.

Explosieve cocktail

Vier jaar terug beschreef ik in de column ‘Westen wankelt ook in digitale domein’ al de destijds explosieve cocktail van onveilige stemcomputers, kwetsbare stemprocedures, het gebrek aan publieke middelen en het kiesstelsel van de Amerikaanse democratie. In de Verenigde Staten telt niet het basisprincipe ‘de meeste stemmen gelden’ op landelijk niveau, zoals in Nederland, maar bepaalt een ingewikkeld districtenstelsel de uitslag: winst in de afzonderlijke staten volgt uit honderden overwinninkjes op microniveau in kiesdistricten, die de vorige winnaar bovendien steeds mag hertekenen – het alom bekritiseerde en bezopen principe van gerrymandering (kiesrechtgeografie).

Ook al behaalde de Democratische Partij op landelijk niveau in de recente geschiedenis altijd de meerderheid van de stemmen, de miniwedstrijdjes op lokaal niveau geven de doorslag: een handjevol stemmen kan een andere winnaar in een kiesdistrict opleveren, met een andere uitslag op het niveau van de staten en daarmee voor het Witte Huis. Al Gore kan erover meepraten.

‘Zolang de kiesdistricten oude stemsystemen aan het internet verbinden, is het dansen op de vulkaan’

Elk van die microdistricten hanteert een verkiezingsprocedure die niet wordt vastgesteld door de federale, maar door de lokale overheid; een erfenis van de diepgewortelde Amerikaanse traditie dat de kiesdistricten hun eigen verkiezingen mogen organiseren. Waar veel van die districten de aanbevelingen van 14 wetenschappers uit het gezaghebbende rapport ‘Securing the Vote’ uit 2018 overnamen, gebruiken belangrijke swing states en kiesdistricten nog steeds onveilige stemcomputers, optelsystemen en databases met geregistreerde stemmers. Corona zorgt paradoxaal genoeg in veel districten voor een toename in veilig stemmen met potlood, nu al in te leveren per post of dropbox in het gemeentehuis. Maar de hopeloos verouderde verkiezingsdatabases en optelsystemen blijven veelal met internet verbonden, en de antieke stemcomputers blijven in vele kiesdistricten waar fysiek gestemd zal worden gewoon staan. Net als de meeste vliegvelden en wel meer infrastructuur in de VS, zijn deze ooit innovatieve stemsystemen versleten en anno nu onveilig.

Overal op het internet vormt gijzelsoftware – virussen die vanaf afstand kritieke systemen versleutelen en onbruikbaar maken – een groeiend probleem. Dit geldt al helemaal voor de houtje-touwtje-stemsystemen met internetconnectiviteit. Gijzelsoftware vindt meestal zijn weg via een botnet, een bestaand netwerk van vaak miljoenen geïnfecteerde computers, gerund door slimme cybercriminelen die de toegang tot hun botnet duur verkopen aan andere criminelen of kwaadwillende natiestaten. Een soort cyberhuursoldaten.

Zo richt het roemruchte botnet Trickbot, een cybercrimeplatform van circa twee miljoen gehackte computers, al jaren grote schade aan in bijvoorbeeld de financiële sector en de zorg. Sinds eind september namen cybersecurity-onderzoekers echter vreemde bewegingen waar rondom het botnet. Een onbekende kracht had de macht over het botnet overgenomen, waardoor Trickbot nu niet meer functioneert. Op 10 oktober onthulde The Washington Post op basis van anonieme bronnen dat die onbekende kracht een divisie van de Amerikaanse inlichtingendienst NSA is, en dat Microsoft meehelpt met het updaten en zo onschadelijk maken van geïnfecteerde computers.

Saillant detail: dat Microsoft zonder toestemming van eindgebruikers updates installeert is juridisch kwestieus, omdat het bedrijf eigenlijk hetzelfde doet als de cybercriminelen met hun virussen. Toch overtuigde Microsoft de Amerikaanse rechter-commissaris dat het rechtmatig was, en wel met een beroep op het merkenrecht. Trickbot misbruikte eerder immers het Windowslogo om nietsvermoedende consumenten te verleiden hun malware te installeren.

Meer botnets

Verder beschikte de NSA kennelijk over aanwijzingen dat de aanstaande verkiezingen vanuit Trickbot verstoord zouden worden. Een verontrustend gegeven. Want Trickbot is mogelijk maar voor even uitgeschakeld, en er waren nog talloze andere botnets rond onder de motorkap van het internet.

Zolang de kiesdistricten stokoude stemsystemen aan het internet verbinden blijft het dansen op de vulkaan. Met de vele protesten en een ondermijnende president aan het roer staat de wereldmacht al letterlijk en figuurlijk in de fik. Een tragikomisch schouwspel wordt het sowieso op 3 november, laten we vurig hopen dat de cybervulkaanuitbarsting uitblijft.