PARAMARIBO, 17 juli 2022 – Het zal niemand ontgaan zijn de afgelopen week; het blijkt kinderlijk eenvoudig om een reçu in te dienen bij de Centrale Bank van Suriname (CBvS) die vervolgens zonder enige vorm van controle door het ministerie van Financiën (MinFin) wordt goedgekeurd.
Wat is namelijk het geval?
Uit onderzoek van de krant De West (16 juli 2022) blijkt dat het ministerie haar digitale controles en systemen totaal niet op orde heeft.
onderzoeksartikel De West
– zwakke beveiliging Financiën –
Vol trots meldde het ministerie van Financiën vlak na het aantreden van het kabinet Santokhi / Brunswijk dat ze heel modern meegingen in de digitale vaart der volkeren;
Het indienen van een kwitantie / reçu was voorheen enkel mogelijk op schriftelijke wijze, maar onder Armand Achaibersing kon dat nu ook digitaal, of elektronisch zo u wilt.
De nieuwe minister heeft de poorten wijd open gezet
Een reçu op papier namaken is nog enigszins lastig;
Je hebt het officiële papier nodig, een handschrift dat bij de controleur bekend voorkomt, een handtekening en een mooi stempel.
Op het moment dat ook digitale versies (scans) van de reçu's worden geaccepteerd, wordt het namelijk allemaal nog veel eenvoudiger gemaakt.
Je zoekt een originele versie van zo'n reçu op (papier of digitaal) en scant deze vervolgens in op hoge kwaliteit.
Tenslotte kopieer / knip / plak je via Photoshop wat "beveiligingskenmerken" op de nieuwe versie (zoals de handtekening van het ministerie of een stempel) en klaar ben je; cashen!
Meer is letterlijk niet nodig, want het ministerie blijkt in de praktijk niets te controleren.
Dat de "beveiliging" digitaal helemaal niets voorstelt, toon ik aan in een ander artikel dat tegelijkertijd met dit stuk vandaag nog in deze app zal verschijnen.
Uit onderzoek van De West is verder naar voren gekomen dat je bestaande kwitantienummers gewoon kunt hergebruiken, de bedragen niet worden gecontroleerd en er van personen enkel de achternaam wordt gelezen.
Stel je hebt een reçu met nummer 123ABC ter waarde van 5.000,– USD en op naam van ene Donk.
Dat is een origineel afschrift, omdat ik (bij wijze van spreken) ooit voor 5.000,– USD de beveiliging van dit ministerie heb doorgelicht.
voorbeeld reçu's op internet
– zwakke beveiliging Financiën –
Ik ontvang dit reçu en plaats het ergens digitaal op internet, maak er een scan van of geef het gewoon aan een kennis.
Naar nu blijkt kan die laatste gewoon exact hetzelfde reçu hergebruiken en indienen.
Laat deze persoon in het voorbeeld nu mijn nicht zijn en ook Donk heten;
Zij verandert het getal (wat strikt gezien niet eens noodzakelijk is) naar 7.500,– USD, zet er als omschrijving bij dat het om het leveren van wat bloemstukken gaat en mailt dat vervolgens als PDF-bestand naar de bank die het weer laat "controleren" door het ministerie.
De minister "controleert" de betalingen via de e-mail
Dit soort digitale aanvragen moeten via de BCC (blind carbon copy – een digitale kopie van de e-mail) naar Achaibersing gestuurd worden, zodat hij het persoonlijk kan goedkeuren.
In de praktijk gebeurt dat helemaal niet of wordt er niets concreets gecontroleerd.
Het reçunummer staat bijvoorbeeld geregistreerd als "reeds eerder betaald" in een database, maar er gaat geen alarm af als deze nogmaals wordt aangevraagd.
En dat ik K. Donk heet en mijn nicht C. Donk maakt niet uit; men kijkt enkel naar "Donk".
Ook het bedrag en de omschrijving blijken nooit onder ogen van de minister te komen;
Je digitale versie wordt gewoon uitbetaald, zelfs als het rekeningnummer anders blijkt te zijn dan bij de originele aanvraag.
Wie wil frauderen kan dit dankzij het beleid van de nieuwe minister dus nog eenvoudiger doen dan voorheen.
Geen gedoe met nagemaakte handtekeningen, niet uren zweten en zwoegen onder een lamp om een handschrift na te maken, geen nood om te controleren of een registratienummer wel geldig is of eerder uitgegeven;
Gewoon even een originele kwitantie of reçu downloaden, wat cijfers aanpassen in Photoshop, een leuke opdrachtomschrijving verzinnen en je bent binnen!
Oude reçunummers kunnen gewoon hergebruikt worden
Dat er op deze manier 40 miljoen SRD en misschien zelfs wel 400 miljoen SRD is gefraudeerd, is natuurlijk op geen enkele manier goed te praten.
Maar het digitale beleid en de beveiliging van het ministerie van Financiën is zo extreem zwak uitgevoerd, dat je bijna dief van je eigen portemonnee bent als je het geld in de digitaal onbeveiligde kluis laat liggen...
Opmerking van de redactie : het initiele onderzoek is uitgevoerd door Dagblad de West en bevestigd door diverse bronnen binnen zowel het bankwezen als het ministerie.
Donk heeft (in een ander artikel) vervolgens een officiele brief van de president nagemaakt en gekeken hoe eenvoudig het is om binnen het ministerie van Financiën een zelfde soort weg te wandelen.
Uiteindelijk is er geen enkele cent echt aangevraagd, dit artikel heeft een puur (onderzoeks-)journalisitieke intentie en roept niemand op om hetzelfde te doen.
In een ander artikel (ook vandaag in de app gepubliceerd) wordt aangetoond hoe eenvoudig je jezelfs namens de president kan voordoen.
Suriname Nieuws
gratis app
Bron : Kees Christoffel Donk / 2e jaars student IT security
Schrikt u van de slechte controlemechanismen van dit belangrijke ministerie?
Wilt u reageren op de vraag?
Lees verder in de gratis app!