Uit uitgebreid onderzoek is gebleken dat de wachtwoordmanager Passwork die zichzelf profileert als een Europese oplossing voor het veilig beheren van wachtwoorden, in werkelijkheid nauwe historische en zakelijke banden met Rusland heeft. Hoewel het bedrijf zich tegenwoordig presenteert als een in Spanje gevestigd softwarebedrijf, wijzen bedrijfsdocumenten, registraties en andere openbare gegevens erop dat de oorsprong en een belangrijk deel van de activiteiten nog altijd in Rusland liggen.
Passwork werd in 2014 opgericht in Rusland en ontwikkelde zich daar tot een leverancier van software voor het centraal beheren van wachtwoorden binnen organisaties. Na de grootschalige Russische invasie van Oekraïne in 2022 veranderde de onderneming haar internationale presentatie. De commerciële activiteiten voor buitenlandse klanten werden ondergebracht bij een onderneming in Spanje, waardoor Passwork zich sindsdien nadrukkelijk profileert als een Europese leverancier. Volgens het onderzoek gaat het echter om een constructie waarbij de feitelijke historische en operationele banden met Rusland niet volledig zijn verdwenen.
Uit de onderzoeksbevindingen blijkt dat de software nog steeds actief wordt aangeboden op de Russische markt. Daarnaast wordt Passwork volgens openbare informatie gebruikt door verschillende Russische overheidsinstanties, waaronder organisaties die verbonden zijn aan de Russische veiligheids- en defensiesector. Daarbij worden onder meer de Federale Veiligheidsdienst (FSB) en het Russische ministerie van Defensie genoemd als gebruikers van de software.
Volgens deskundigen op het gebied van geopolitiek en cybersecurity brengt deze situatie potentiële veiligheidsrisico's met zich mee. In Rusland gelden voor softwareleveranciers die producten willen leveren aan militaire of andere strategische overheidsorganisaties uitgebreide certificeringsprocedures. Daarbij kunnen bedrijven verplicht worden technische documentatie, broncode, systeemarchitectuur of andere vertrouwelijke informatie beschikbaar te stellen aan Russische autoriteiten om goedkeuring voor gebruik te verkrijgen. Hierdoor bestaat volgens experts het risico dat de Russische overheid diepgaand inzicht kan krijgen in de werking van dergelijke software.
Geen bewijs van misbruik
Het onderzoek levert geen bewijs op dat Passwork daadwerkelijk is gecompromitteerd, dat er een achterdeur aanwezig is of dat Russische autoriteiten toegang hebben gekregen tot wachtwoorden, versleutelde gegevens of andere vertrouwelijke informatie van klanten. Er zijn eveneens geen aanwijzingen gevonden dat gebruikers op enig moment slachtoffer zijn geworden van misbruik via de software.
Desondanks wijzen meerdere cybersecurityspecialisten erop dat het ontbreken van bewijs niet automatisch betekent dat er geen risico bestaat. Wachtwoordmanagers behoren tot de meest gevoelige software binnen een organisatie, omdat zij vaak toegang bieden tot vrijwel alle digitale accounts, systemen en beheerderswachtwoorden. Een succesvolle compromittering van dergelijke software kan daardoor verstrekkende gevolgen hebben.
Experts wijzen op verschillende theoretische risico's. Indien een softwareleverancier onder druk van nationale wetgeving of overheidsinstanties wordt verplicht een verborgen functionaliteit, kwetsbaarheid of achterdeur in de software op te nemen, zou dit in theorie misbruikt kunnen worden om toegang te verkrijgen tot gevoelige gegevens. Hoewel hiervoor in het geval van Passwork geen concreet bewijs is gevonden, vormt deze mogelijkheid volgens deskundigen wel een aandachtspunt bij de beoordeling van de veiligheid van software afkomstig uit landen waar overheden vergaande bevoegdheden hebben ten aanzien van technologiebedrijven.
Daarnaast merken onderzoekers op dat ook organisaties die Passwork volledig op hun eigen infrastructuur installeren, niet noodzakelijk volledig losstaan van de leverancier. Afhankelijk van de configuratie kan de software verbinding maken met servers van Passwork voor onder meer licentievalidatie, updates, ondersteuning of andere functionaliteiten. Hierdoor kan een afhankelijkheid van de leverancier blijven bestaan, ook wanneer de gegevens lokaal worden opgeslagen.
Het onderzoek laat eveneens zien dat Passwork door uiteenlopende organisaties in Europa wordt gebruikt. Daarbij worden onder meer Europese overheidsinstellingen, universiteiten, havenorganisaties en bedrijven genoemd. Onder de geïdentificeerde gebruikers bevinden zich onder andere Franse havenautoriteiten, Ierse en Duitse overheidsorganisaties, verschillende onderwijsinstellingen en een Nederlandse onderneming die verantwoordelijk is voor het beheer van zonneparken. De exacte omvang van het klantenbestand is niet bekend, waardoor onduidelijk blijft hoeveel Europese organisaties de software daadwerkelijk gebruiken.
De onderzoekers benadrukken dat het onderzoek zich richt op de eigendomsstructuur, bedrijfsactiviteiten en mogelijke veiligheidsrisico's rond Passwork. Het vormt geen bewijs dat de software onveilig is of dat klantgegevens zijn buitgemaakt. Wel onderstreept het volgens deskundigen het belang van transparantie over de herkomst van softwareleveranciers, de landen waarin zij actief zijn, de juridische verplichtingen waaraan zij onderworpen zijn en de mogelijke gevolgen daarvan voor organisaties die gevoelige gegevens of kritieke infrastructuur beschermen.
Voor organisaties die wachtwoordmanagers inzetten, adviseren cybersecurityspecialisten daarom om niet uitsluitend te kijken naar functionaliteit en prijs, maar ook naar de eigendomsstructuur, de locatie van de ontwikkelaars, de toepasselijke wetgeving, onafhankelijke beveiligingsaudits, de transparantie van de broncode (indien beschikbaar) en de mate waarin een leverancier inzicht geeft in zijn beveiligingsprocessen. Bij software die wordt gebruikt binnen overheden, vitale infrastructuur en andere kritieke sectoren wordt een dergelijke risicoanalyse door veel experts als een essentieel onderdeel van de informatiebeveiliging beschouwd.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack