De bewaring van waarde; over ransomware en ethisch hacken
Door Dwight Isebia
De recente ransomware-aanval op de Belastingdienst van Curaçao markeert een keerpunt in het bewustzijn van onze digitale kwetsbaarheid. Voor een eiland dat zichzelf beschouwt als digitaal vooruitstrevend, is het een pijnlijke wake-up call. Financiënminister Javier Silvania sprak terecht over het ‘tijdelijk platleggen’ van een vitale overheidsdienst. Tegelijkertijd werd snel hulp ingeroepen van Nederland en dat onderstreept dat de capaciteit op het eiland nog niet op peil is of dat de beslissers de beschikbare capaciteit niet willen of kunnen inschakelen.
Een paar dagen eerder werd trouwens ook het Openbaar Ministerie (OM) in Nederland uit voorzorg losgekoppeld van het internet na een aanval waarbij vermoedelijk Russische hackers vertrouwelijke documenten buitmaakten. De systemen liggen nu nog stil en de schade - operationeel, financieel en vertrouwensmatig - zal naar verwachting fors zijn.
Curaçao is geen uitzondering
We kunnen niet langer doen alsof de digitale dreiging iets is dat ‘elders’ gebeurt. Grote cyberaanvallen zijn aan de orde van de dag:
- Colonial Pipeline (VS, 2021): Russische hackers van DarkSide legden de grootste pijpleiding van de VS lam. Brandstofprijzen stegen. Paniek sloeg toe. Uiteindelijk werd 4,4 miljoen dollar losgeld in bitcoin betaald.
- Maersk (Denemarken, 2017): Door de NotPetya-malware verloor de rederij wereldwijd toegang tot systemen. Schade: ruim 300 miljoen dollar. De aanval kwam via Oekraïne maar trof wereldwijd bedrijven.
- Sony Pictures (VS, 2014): Noord-Korea wordt verantwoordelijk gehouden voor de aanval op Sony na de aankondiging van een film over Kim Jong-un. Er werden gevoelige e-mails, salarisinformatie en films gelekt.
- Indiase kerncentrale Kudankulam (2019): Door een besmetting met malware afkomstig uit Noord-Korea kwam kritieke infrastructuur in gevaar - wat pas later werd toegegeven.
Waarom belangrijk voor Curaçao?
Curaçao mag dan geografisch klein zijn, digitaal is het eiland onderdeel van een grenzeloze infrastructuur. Onze systemen - van belastinginning tot ziekenhuisdossiers en luchthavencommunicatie - zijn verbonden met internationale netwerken. Dat maakt ons kwetsbaar voor cybercriminelen die géén grenzen erkennen. Daarnaast is er het economische aspect: Curaçao streeft naar innovatie in digitale dienstverlening, fintech en zelfs e-governance. Als wij vertrouwen willen opbouwen - bij burgers én buitenlandse investeerders - dan moet cyberveiligheid daar integraal deel van uitmaken.
Ik heb de indruk dat er voldoende deskundigheid op het eiland aanwezig is. Als dat niet voldoende zichtbaar is, zal de deskundigheid beter in kaart moeten worden gebracht. Het is zonde van de tijd en het geld als er telkens mensen van buiten ingeschakeld worden.
Onmisbare rol ethische hackers
Hier komen ethische hackers zoals die van het Curaçaose Tozetta om de hoek kijken. Zij proberen niet om schade aan te richten, maar om onze digitale zwakheden bloot te leggen voordat kwaadwillende dat doen. Uit eerder onderzoek van Tozetta blijkt dat verschillende Curaçaose instellingen, waaronder publieke diensten, nog steeds kritieke kwetsbaarheden hebben in hun digitale infrastructuur. Tozetta speelt een cruciale rol in: het uitvoeren van penetratietests; het trainen van personeel in cyberbewustzijn; het adviseren over veilig softwaregebruik; het simuleren van phishingaanvallen voor het creëren van awareness onder het personeel.
Hun werk is onmisbaar voor het bouwen van een solide digitale verdedigingslinie. Het is echter nog altijd zo dat er organisaties op Curaçao zijn die niet begrijpen dat ze voor hun veiligheid deskundigen moeten inschakelen en dat zij die veiligheid ook periodiek moeten testen.
Nationaal centrum cybersecurity
Zoals ik eerder betoogde in ‘Formules voor vooruitgang’, is er behoefte aan een Centrum voor Cybersecurity op Curaçao - een intersectorale organisatie die kennis, beleid en strategie samenbrengt. Dit centrum zou zich moeten richten op: 1. Preventie: onderzoek, audits, ethical hacking en gedragsanalyse; 2. Educatie: trainingen voor overheden, bedrijven en burgers; 3. Incident response: een snellere, gecoördineerde reactie op dreigingen; 4. Internationale samenwerking: koppeling met NCSC (Nederland), CIRT Caribisch gebied, en relevante VS-partners; 5. Cyberwetgeving: implementatie van duidelijke, handhaafbare normen voor gegevensbescherming en incidentmelding.
Zonder deze centrale aanpak blijven we afhankelijk van ad-hoc maatregelen en geïmproviseerde reacties.
Digitale voorhoede: van regulering tot autonomie
Naast weerbaarheid, vraagt de toekomst ook om visie. En die visie moet anticiperen op meer dan alleen cyberaanvallen. De digitale economie ontwikkelt zich razendsnel met cryptocurrency als een van de meest disruptieve componenten.
Crypto: Kans én risico. Curaçao beschikt over het potentieel om een regionaal fintech-knooppunt te worden. We hebben de geografische ligging, het juridisch kader van het Koninkrijk en een meertalige, technisch vaardige bevolking. Maar dan moeten we ophouden met toekijken en beginnen met reguleren. Cryptovaluta zoals Bitcoin, Ethereum of stablecoins kunnen Curaçao economische kansen bieden, mits onder strikt toezicht: Terrorismefinanciering en witwassen zijn risico’s die zonder regulering onvermijdelijk worden. Hier wordt echter al aan gewerkt; een nationaal crypto-framework, geïnspireerd op Europese MiCA-richtlijnen, zou bedrijven duidelijkheid geven en investeerders aantrekken; de Centrale Bank van Curaçao en Sint Maarten (CBCS) heeft hier een unieke rol: als toezichthouder én aanjager van vernieuwing. CBCS zou kunnen overwegen een crypto-gebaseerde exchange op te zetten of te faciliteren - mét volledige KYC/AML-compliance en monitoring.
In zo’n digitale infrastructuur is cybersecurity echter geen randvoorwaarde, maar een fundament. Een digitale munt zonder bescherming is als een kluis zonder slot.
Cybersecurity als economische motor
Beveiliging is niet alleen een kostenpost - het is een groeisector. Als Curaçao erin slaagt om een Cybersecurity Centre of Excellence op te zetten, kunnen we: een Caribisch kenniscentrum worden voor digitale veiligheid; specialisten opleiden en exporteren; de economie diversifiëren naar hightech dienstverlening; investeringen aantrekken van bedrijven die waarde hechten aan veilige data-infrastructuur.
Denk aan samenwerking met universiteiten (UoC), private partners (zoals Tozetta en andere Curaçaose deskundigen) en overheidsorganisaties. Denk aan stimuleringsregelingen voor bedrijven die investeren in digitale veiligheid. Denk aan een publiek bewustzijn dat digitale geletterdheid ziet als net zo belangrijk als taal of rekenen.
Van alertheid naar leiderschap
De aanval op onze Belastingdienst had erger kunnen zijn. De aanval op het OM in Nederland ís erger. Wereldwijd is het patroon duidelijk. Curaçao moet deze signalen niet alleen interpreteren, maar ook internaliseren: wij zijn niet te klein om een doelwit te zijn, maar wij zijn te klein om niet met anderen samen te werken voor onze beveiliging. Als we dat begrijpen kunnen we onze digitale infrastructuur niet alleen beschermen maar ook benutten voor welvaart. Dat vraagt politieke moed, visie én samenwerking tussen overheid, bedrijfsleven, onderwijs en civiele samenleving.
De auteur, mr. Dwight P. Isebia, is jurist, ondernemer en schrijver in Nederland en op Curaçao. Hij biedt deze bijdrage aan voor publicatie in het Antilliaans Dagblad.