‘Integriteit betalingsverkeer door hack niet gecompromitteerd’

Van een onzer verslaggevers
Willemstad - Onderzoek in verband met de melding van een cyberaanval op de Centrale Bank van Curaçao en Sint Maarten (CBCS) heeft uitgewezen dat ‘sporen van de inbreuk waren aangetroffen op het bedrijfsnetwerk van de CBCS’.

,,Door doeltreffend handelen van het expertteam is het bedrijfsnetwerk opgeschoond en de aanval verijdeld”, aldus de Centrale Bank in een officiële mededeling nu het eindrapport van een forensisch onderzoek is afgerond. ,,Uit veiligheidsoverwegingen doet de CBCS geen inhoudelijke mededelingen over haar (cyber)beveiliging en mitigerende maatregelen.”
De top van de Centrale Bank hecht eraan te benadrukken dat ‘de integriteit van het betalingsverkeer niet gecompromitteerd is geweest’. ,,Daarnaast heeft de cyberaanval geen consequenties gehad voor de informatiesystemen van onder toezicht staande financiële instellingen.” Ook beschikt de CBCS ‘over haar volledige data’.
Dat zijn de belangrijkste bevindingen in verband met een recent door de Centrale Bank in Scharloo ontvangen eindrapport van het forensisch onderzoek naar aanleiding van de ‘cyberaanval op haar IT-omgeving’.
Op zondagavond 5 september meldde de CBCS in een persbericht voor het eerst over de hack. Kort daarop onthulde het Antilliaans Dagblad dat dit was ontdekt na een tip van buitenaf, namelijk van Interpol. Nu bericht de Centrale Bank: ,,De CBCS is op donderdag 2 september 2021 door Interpol geïnformeerd over een mogelijke cyberaanval op de IT-omgeving van de CBCS.”
Terugkijkend op het incident geeft de Centrale Bank aan dat ‘daarop onmiddellijk is overgegaan tot instelling van een incidence response team en het starten van een forensisch onderzoek’. Hierbij werd prioriteit gegeven aan het beschermen van de integriteit van het betalingssysteem van de CBCS. Bij de eerste analyse werd al geconstateerd dat het betalingssysteem van de CBCS niet gecompromitteerd is geweest, ‘hetgeen nu is bevestigd’.
Na de melding van Interpol zijn door het expertteam, bestaande uit het CBCS-ICT-team en lokale en internationale experts, onmiddellijk maatregelen getroffen om de data van de CBCS en het netwerk opnieuw veilig te stellen.
Hoewel de cyberbeveiliging van de Centrale Bank is ingericht langs de lijnen van best international practices en er doorlopend investeringen worden gedaan op dit gebied, is het de hackers toch gelukt toegang te krijgen tot het CBCS-netwerk.
Centrale Bank-president Richard Doornbosch: ,,Dit is een confronterende gebeurtenis geweest waaruit we lessen moeten trekken. In de eerste plaats voor onszelf, maar daarnaast kan het ook een wake-up call zijn voor anderen. Er zijn daarom meermaals uitwisselingen geweest met Information Risk-afdelingen van verschillende lokale financiële instellingen om onze ervaring te delen.”
De CBCS geeft aan op verschillende momenten in contact te zijn geweest met financiële instellingen en overige stakeholders en houdt hen direct op de hoogte van relevante ontwikkelingen. ,,Ook de ministers van Financiën van de beide landen zijn binnen strikte vertrouwelijkheid op de hoogte gesteld van de voortgang van het incident en de uitkomsten van het forensisch onderzoek”, aldus een persverklaring van de Centrale Bank.
,,De CBCS beschouwt haar cybersecurity een interne aangelegenheid en zal hier verder niet over communiceren in de media.” De Centrale Bank zal tegenover de pers hier verder geen mededelingen over doen, maar de Staten van Curaçao hebben een debat met Financiënminister Javier Silvania (MFK) over de cyberaanval bij CBCS geschorst omdat Doornbosch er niet bij was om de bewindsman te assisteren. Het is nog niet bekend wanneer deze openbare parlementsvergadering wordt vervolgd.
Dat de president er niet bij was, kwam volgens Doornbosch omdat hij op 23 november werd verzocht bij het debat van de 25e aanwezig te zijn. Daarop liet hij desgevraagd aan deze krant weten dat de CBCS ‘ten allen tijde bereid is’ de minister van Financiën op zijn verzoek bij te staan ten behoeve van de beantwoording van vragen die in de Staten worden gesteld aangaande de taken en verantwoordelijkheden van de CBCS. ,,Dit vergt uiteraard enige afstemming en voorbereiding die lastig in één werkdag te realiseren zijn.”