Bedrijven met vitale infrastructuur zetten onbewust Russische wachtwoordmanager in
Europese bedrijven met vitale infrastructuur hebben de afgelopen jaren gebruikgemaakt van de wachtwoordsoftware Passwork, die zich voordoet als een Europees product. Het bedrijf achter de software is in werkelijkheid echter in 2014 opgericht in Rusland.
Dit blijkt uit onderzoek van journalistencollectief OCCRP, in samenwerking met onder meer Investico, NU.nl en Le Monde. Passwork biedt een wachtwoordkluis waarin bedrijven gevoelige gegevens kunnen opslaan. Hoewel de Engelstalige website van het bedrijf claimt dat de software voldoet aan Europese privacy- en cybersecuritywetten, gaven de bestuurders op een Russisch techblog toe dat software uit Rusland buiten de landsgrenzen op weinig vertrouwen kan rekenen. Om de software in het Westen te promoten, werd een samenwerking opgezet met een Finse onderneming, die later werd opgeheven. Vervolgens werden nieuwe bedrijven opgericht in Spanje en de Verenigde Arabische Emiraten.
Brievenbusadres in Barcelona
Het adres van het zogenaamde hoofdkantoor in Barcelona blijkt slechts een brievenbus te zijn. Op hetzelfde adres is een Russischtalig advocatenkantoor gevestigd. Hoewel er geen bewijs is gevonden dat Passwork bewust achterdeurtjes bevat of wachtwoorden heeft buitgemaakt, waarschuwen cybersecurityexperts voor de risico’s van het toevertrouwen van gevoelige gegevens aan een bedrijf met nauwe Russische banden.
Uit onderzoek blijkt dat Passwork ook wordt gebruikt door Russische staatsbedrijven zoals Gazprom en raketfabrikanten als Almaz-Antey en Avangard, die onder Europese sancties vallen. Het bedrijf heeft licenties van het Russische ministerie van Defensie en veiligheidsdienst FSB, wat betekent dat de Russische staat gedetailleerde informatie heeft ontvangen over de werking van het product.
Passwork was in gebruik bij verschillende Europese organisaties, waaronder een grote beheerder van Nederlandse zonneparken, een Frans havenbedrijf en Ierse overheidsinstanties. Sommige bedrijven, zoals Novar, wisten niet af van de Russische achtergrond en hebben de software na de onthullingen buiten gebruik genomen. Andere organisaties, zoals RTV Noord, blijven de software gebruiken.