Onderzoek met bronnen
Hoe de Russische wachtwoord-manager Passwork zich naar binnen wist te wurmen bij Europese organisaties en universiteiten
of Lees het onderzoek bij De Groene Amsterdammer
Door Europese overheidsinstellingen gebruikte wachtwoordbeheerder kwetsbaar voor misbruik door de Russische staat, waarschuwen experts.
Het grootste deel van het jaar is het koud in Archangelsk, een industriële stad vlak bij de poolcirkel, in het noordwesten van Rusland. Winterse nachten zijn pikzwart, de korte dagen nauwelijks meer dan schemer. ‘Juist die zware omstandigheden maken mensen hier vindingrijk,’ zegt de gouverneur van de regio tegen jonge ondernemers en wetenschappers die zich in april 2017 verzameld hebben in een universiteitsgebouw in de stad.1
Ze zijn afgekomen op de ‘Startup Tour’ van de Skolkovo Foundation, een prestigieus, door het Kremlin gesteund innovatieprogramma dat het Russische antwoord op Silicon Valley moest zijn.2 Twee dagen lang volgen bijna vijfhonderd jonge uitvinders3 masterclasses, en pitchen zij hun project aan een jury van investeerders en bekende ondernemers. Zo ook Archangelsker Ilya Garakh, een 32-jarige softwareontwikkelaar met een kort opgeschoren kapsel en volumineuze kuif.4 Samen met zijn co-founder verkoopt hij dan al een paar jaar software voor een alledaags probleem: het vergeten van je wachtwoorden. De oplossing? Een manager die alle wachtwoorden beheert. De oprichters omschrijven het als ‘Dropbox, maar dan voor bedrijfswachtwoorden’5 – en noemen het Passwork.
Passwork wint de prijs voor het innovatiefste idee in de IT-categorie. Op de foto’s van de prijsuitreiking staat Garakh met een bescheiden blik op het podium, een certificaat in zijn handen. Achter hem prijkt een grote kaart van Rusland.6 Na de winst mag Garakh door naar de jaarlijkse startupconferentie in Moskou - waar de meeste Russische tech bro’s uiteindelijk neerstrijken. Maar Garakh opent liever een kantoor in het verre noorden.7
Onder toezicht van de FSB
Van Archangelsk groeit Passwork uit tot een softwareleverancier van grote Russische banken,8 staatsbedrijven als Gazprom9 en Transneft,10 en een flink aantal defensiebedrijven die door de Europese Unie gesanctioneerd zijn11 – waaronder raketfabrikant Avangard12, producent van luchtverdedigingssystemen Almaz-Antey13, en vliegtuigbouwer United Aircraft Corporation.14 Het gaat opereren onder toezicht van de FSB15 - de belangrijkste Russische veiligheidsdienst - en komt zelfs in een officieel register van binnenlandse software, dat bedoeld is om buitenlandse software van overheden en staatsbedrijven te vervangen door Russische alternatieven.16
Terwijl andere Russische bedrijven in de afgelopen jaren van het Europese toneel verdwenen,17 vindt Passwork óók zijn weg naar klanten in Europa. Dat lukt door online precies het juiste jasje aan te trekken. Het bedrijf ontwikkelt twee websites; een Engelstalige en een Russische.18 Op de Cyrillische prijst het zich aan als Russische software,19 terwijl de Engelstalige versie juist belooft ‘Made in Europe’ te zijn20. En met teksten als ‘Gekozen door overheidsinstanties en sterk gereguleerde sectoren in heel Europa,’21 speelt het in op de Europese wens voor digitale soevereiniteit.22
En dat slaat aan. Journalistencollectief OCCRP identificeerde in samenwerking met verschillende Europese media, waaronder Investico, De Groene Amsterdammer, NU.nl, Le Monde en De Tijd, meerdere bedrijven die Passwork de afgelopen jaren in gebruik namen of uitprobeerden. Een deel van die bedrijven wordt door Passwork zelf genoemd op hun website en bevestigde ons de software te gebruiken,23 van anderen konden we online een inlogportal voor Passwork terugvinden.24 Vier van die bedrijven zijn Nederlands.25 Zij vormen waarschijnlijk het topje van de ijsberg: Passwork levert software voor intern gebruik, wat in de meeste gevallen van buitenaf niet te traceren is.26 Zelf zegt Passwork wereldwijd meer dan tienduizend klanten te bedienen.27
‘Veel te gevaarlijk’
Experts noemen het gebruik van de software ‘naïef’ en ‘amateuristisch’.28 ‘We hoeven ons geen illusies te maken’, zegt Bart van den Berg, hoofd van de veiligheidsafdeling bij het Clingendael Instituut.29 We vonden geen bewijs voor onwettige praktijken van Passwork, maar bedrijven die onder Russische wetgeving en invloed vallen, zijn verplicht mee te werken aan verzoeken van de veiligheids- en inlichtingendiensten.30 Bovendien wordt de software van bedrijven als Passwork, die overheidsorganisaties bedienen, óók technisch onderzocht door staatsgeaccrediteerde instanties.31 Dat vergroot volgens experts de kans dat de Russische autoriteiten toegang kunnen afdwingen tot gevoelige systemen, of gebruik kunnen maken van kwetsbaarheden in de software.32 Van den Berg: ‘Rusland voert een schaduwoorlog met Europa. Dus het lijkt me niet verstandig om de digitale sleutels van je huis aan zo’n partij te overhandigen. Dat is veel te gevaarlijk.’33
‘De sleutel van je sleutelkastje’, zo omschrijft cyberbeveiligingsexpert Bert Hubert wachtwoordmanagers.34 De software helpt individuen en bedrijven om grote hoeveelheden wachtwoorden op te slaan, te delen en te beheren. De overheid moedigt het gebruik van dit soort software actief aan, omdat zo’n digitale kluis in principe veel veiliger is dan één wachtwoord dat voor twintig verschillende accounts wordt hergebruikt.35
Toch vindt Hubert het gebruik ervan ‘ontzettend spannend’. Hij vergelijkt wachtwoordmanagers met airbags: ‘Je kunt het niet testen - hij doet het maar één keer.’ Het probleem is dat je zo’n programma niet zelf kunt testen. Je moet er dus blind op vertrouwen dat de software precies doet wat hij zegt dat hij doet, en niet stiekem wachtwoorden doorgeeft aan iemand anders of onversleuteld opslaat op ‘het moederschip’ - de centrale server waar jij als gebruiker geen zicht op hebt.
‘Het kan zelfs zo zijn dat jij, als je een interessante gebruiker bent, een “speciale” update krijgt’, zegt Hubert. Of, nog wat sneakier, de softwarebouwer laat de achterdeur op een kier staan en op dat moment wandelen de staatshackers binnen.’ Dat betekent, vat Hubert samen, dat je enorm veel vertrouwen moet hebben in de leverancier. ‘En van een club die ook zaken doet in Rusland, of aan Russische wetgeving moet voldoen, zou je meteen moeten zeggen: “Laat maar.”’
Passwork wist zich binnen te wurmen bij minstens zestien Europese organisaties.36 Zo wordt het in Ierland gebruikt door het laboratorium van de Ierse overheid en de dienst Openbare Werken, die het merendeel van het vastgoed van de staat beheert.37 Afdelingen van universiteiten van het Zwitserse Zürich en het Duitse Dresden beheren er ook wachtwoorden mee. Tot de gebruikers horen verder Haropa Port, het havenbedrijf van onder meer Le Havre, de belangrijkste haven van Frankrijk.38 Het Duitse district Hildesheim en het Franse telecombedrijf Orange bevestigen de software te gebruiken.39
Vier Nederlandse organisaties
Ook in Nederland duikt Passwork op. Minstens vier organisaties hebben de software gebruikt.40 Waaronder de regionale publieke omroep RTV Noord, die in november 2025 al getroffen werd door een ongerelateerde hack.41 ICT-groep Lucrasoft gebruikt Passwork én installeert het ook bij klanten.42 En Novar - voorheen Solarfields43 - was in ieder geval in 2023 al klant bij Passwork.44
Zeker dat laatste bedrijf is volgens experts een aantrekkelijk doelwit voor buitenlandse inmenging.45 Novar ontwikkelde afgelopen jaren tientallen grote duurzame energieprojecten in Nederland en omringende landen, zoals zonneparken en laadpleinen - en beheert die in veel gevallen ook.46 In de Groningse Eekerpolder realiseerde het kortgeleden het grootste zonnepark van Nederland.47
Door meerdere van zulke energiebedrijven te hacken, zouden kwaadwillenden een grootschalige stroomstoring kunnen veroorzaken. Een ‘hackout’ noemt Chris van ‘t Hof dat.48 Hij is directeur van het Dutch Institute for Vulnerability Disclosure (DIVD) - ‘helpende hackers’ noemen ze zichzelf - dat onder andere kwetsbaarheden in het energiesysteem onderzoekt. Volgens Van ‘t Hof is Rusland bij zo’n hack out verdachte nummer één, het is voor hen een interessante manier om te saboteren. ‘Je kan op afstand heel veel schade toebrengen in een korte tijd. En het is heel moeilijk aan te tonen wie de dader was. Kijk, ze kunnen ook een vliegtuig of een raket sturen. Maar dan kunnen we vrij snel zeggen: daar komt een Russische raket. Nu is het oorlog.’
Passwork is natuurlijk niet de enige mogelijke ingang voor hackers. Maar hoe minder kwetsbaar dit soort bedrijven zijn voor een digitale inbraak, hoe kleiner de kans op een succesvolle aanval. Eind december wisten aan Rusland gelieerde hackers bijvoorbeeld tientallen wind- en zonnepanelenparken in Polen te verstoren. Polen kon toen nog maar net voorkomen dat een half miljoen mensen zonder stroom kwam te zitten.49 Dat risico loopt Nederland ook, vreest Van ‘t Hof. Nederland is een van de snelst groeiende landen binnen de Europese Unie op het gebied van duurzame energie,50 maar in al die innovatiedrift is er niet altijd tijd voor cybersecurity. Die nieuwe, kleinere partijen beseffen volgens Van ‘t Hof niet altijd dat zij de zwakste schakel kunnen zijn.
Doordat Nederland zo’n belangrijk knooppunt in het Europese elektriciteitsnetwerk is51, heeft een hack-out in ons land extra impact. ‘Met een grote hack zit de rest van Europa hoogstwaarschijnlijk ook zonder stroom.’ Van ‘t Hof ligt daar wakker van. ‘Ik zal er eerlijk over zijn: het is een groot wonder dat het nog niet is gebeurd. Dit gaat een keer mis.’
‘Russische advocaten’
Op het bord naast de ingang van het verzamelgebouw in de binnenstad van Barcelona staan tientallen bedrijfsnamen, maar Passwork is er niet één van.52 Op haar Europese website presenteert Passwork zich als een Fins bedrijf, dat haar hoofdkantoor van Helsinki naar Spanje verplaatste.53 Maar als een collega-journalist van OCCRP zich begin mei naar dat adres begeeft, ziet hij geen spoor van al die medewerkers die softwareupdates schrijven of nieuwe producten ontwikkelen. De naam van het bedrijf doet ook geen belletje rinkelen bij de portier. Op de tweede etage, vijfde deur, zitten volgens de portier ‘Russische advocaten’. Die advocaten helpen klanten onder andere met verblijfsvergunningen en het openen van bedrijven in Spanje.54
Waarom een Russisch softwarebedrijf zich achter een adres in Europa verschuilt, legden de oprichters van Passwork in 2017 zelf uit op een Russisch techplatform.55 De zaken gaan dan best goed, maar ze hebben zich gerealiseerd dat ‘mensen producten uit Rusland niet echt vertrouwen’. Ze werden naar eigen zeggen ‘Poetins project om wachtwoorden te stelen’ genoemd, en ook ‘de freelance-afdeling van de FSB’. ‘Om Passwork in het westen te promoten, hebben we een officieel bedrijf nodig in een “normaal” land.’
Dat land wordt aanvankelijk Finland.56 Dat komt door de Finse techondernemer Pekka Viljakainen, adviseur van de Skolkovo Foundation, én geestelijk vader van de startup tour.57 Viljakainen vertelt later in een interview met Skolkovo hoe hij oprichter Ilya Garakh ontmoette in de rij voor het toilet tijdens het evenement in Archangelsk. ‘Er kwam een jonge man naar me toe, die begon te praten over zijn startup. Zijn naam was Ilya, en hij was zo overtuigend dat ik investeerde in zijn team.’ 58
Viljakainen onderhoudt in die periode nauwe banden met Rusland. Hij adviseert de regering,59 zegt Vladimir Poetin meermaals per jaar te ontmoeten, en ontvangt van hem de Orde van Vriendschap, een belangrijke Russische onderscheiding.60 Kort na de ontmoeting met Garakh krijgt Passwork voet aan de grond in Helsinki, als de twee Russische oprichters van Passwork en de Finse multiondernemer daar een bedrijf vestigen in een voormalige drukkerij.61 De website vermeldt dan trots: ‘Passwork is made and supported in Finland.’62
Maar na de Russische invasie in Oekraïne verandert het klimaat in Europa. Bedrijven met Russische banden komen onder een vergrootglas te liggen - en Passwork begint zijn juridische structuur weer te herschikken. De Finse medeoprichter Pekka Viljakainen heft het bedrijf in Helsinki op.63 Niet vanwege Passwork zelf, zegt hij tegen OCCRP – zijn eigen bedrijven gebruiken de software nog steeds64 – maar omdat Europese bedrijven na de invasie nu eenmaal afstand nemen van Rusland. Terwijl de Finse vennootschap verdwijnt, verschijnen nieuwe bedrijven in de Verenigde Arabische Emiraten en later ook in Barcelona in de papieren. 65
In een instructievideo op de website van Passwork zijn tot in februari 2022 een Russisch mailadres en de naam van de Russische oprichter te zien – maar kort na de Russische invasie in Oekraïne is ook die herinnering weggepoetst.66 Ze blijft online benadrukken Europees te zijn, en servers in Duitsland te hebben.67 In geheime instructies voor AI-bots die de website lezen, staat expliciet dat Passwork ‘geen banden heeft met Amerikaanse, Russische of andere niet-Europese bedrijven.’68
Maar wie goed kijkt, ziet dat de Russische en Europese versies van Passwork grote overeenkomsten hebben. Om te beginnen zijn de twee websites visueel grotendeels hetzelfde.69 In het verleden gebruikten ze dezelfde webhosting en marketing accounts.70 Handleidingen van de software zijn, afgezien van de taal, nog altijd vrijwel identiek71 – en nieuwe software-updates verschijnen vrijwel gelijktijdig, met dezelfde omschrijving72. Ook de organisatie oogt nog sterk Russisch: hoewel personeel remote mag werken – of op een van de ‘gezellige kantoren in Archangelsk of Sint Petersburg’73 – konden we alleen vacatures vinden via Russische vacaturewebsites.74
Volgens de officiële papieren staat het Spaanse bedrijf op naam van de Rus Alexander Muntyan.75 Volgens hem is het kantoor in Barcelona een zelfstandig bedrijf dat de softwarerechten van Passwork heeft overgenomen van het bedrijf in de Emiraten. Hij zegt dat er geen relatie bestaat tussen zijn bedrijf en het Russische Passwork. ‘We delen geen klanten, servers, ondersteuningssystemen, klantgegevens, beheerrechten, of klantomgevingen.’76
Dat beide producten vrijwel gelijktijdig nieuwe updates ontvangen, komt volgens hem omdat zij hun oorsprong hebben in dezelfde codebase. Tot augustus dit jaar ontvangt zijn bedrijf nog technische support, ‘codebase’ en updates uit Dubai.77 Na die periode wordt de navelstreng doorgeknipt en staat de Europese tak écht op eigen benen, belooft Muntyan. Hoe dat vóór 2024 zat, beantwoordt hij niet. De bedrijven in Rusland en de Verenigde Arabische Emiraten reageerden niet op vragen.
Muntyan benadrukt dat de meeste klanten de software op hun eigen server draaien, en dat de software zo gebouwd is dat Passwork geen toegang heeft tot de opgeslagen gegevens.
Maar of software nu in de cloud of op het eigen systeem staat maakt volgens cybersecurityexpert Ronald Prins niet uit, ‘Het is een beetje naïef om te denken dat het gebruik van de software daarmee veilig is.’78 Dat Passwork een server in Duitsland heeft zegt volgens Prins ook niets. ‘Daar kunnen ze vanaf Moskou natuurlijk ook gewoon op inloggen.’
Doorgaan of stoppen met gebruik?
‘Passwork lijkt een rookgordijn op te werpen met allerlei ingewikkelde juridische constructies’, denkt Bart van den Berg van Clingendael. Volgens hem past die ondoorzichtigheid in een breder patroon, waarbij het lastig is vast te stellen wie de eigenaar van een bedrijf is en in hoeverre er banden met Rusland zijn. De constructie is juridisch gezien misschien in de haak, maar dat zou volgens hem niets uit moeten maken. ‘Je verruilt je identiteit voor een andere. Als een bedrijf zich anders voordoet dan ze is, maak ik me toch zorgen over de belangen en beweegredenen die daaronder liggen.’
Russische bedrijven hebben er alle reden toe zo’n façade te bouwen. Sinds 2023 raadt de overheid Nederlandse ambtenaren af om apps op hun werktelefoon te installeren uit landen met ‘een offensief cyberprogramma tegen Nederland en de Nederlandse belangen’.79 Rusland valt daar ook onder.80 ‘Op het moment dat je zaken doet met een organisatie, waarvan het weken kost om te doorgronden hoe die structuur eruit ziet, dan zijn dat rode vlaggen’, zegt Van den Berg. ‘Er zijn aanwijzingen voor een diepe verbondenheid met Rusland. En het gaat over wachtwoorden voor vitale processen. Dan is dus de vraag: Moet je echt met zo’n partij in zee?’
RTV Noord is er nog altijd van overtuigd dat Passwork een bedrijf uit Spanje ‘met zijn oorsprong in Finland’ is. Die veronderstelling bleek tekenend voor de reacties die we kregen. Een aantal van de bedrijven die we benaderden, zoals het Franse havenbedrijf Haropa Port, gaven geen verder commentaar ‘in verband met veiligheidsredenen’ of bagatelliseerden het gebruik van Passwork door te benadrukken dat slechts een klein onderdeel van de organisatie ermee werkt, zoals Orange Telecom en de Universiteit van Zürich deden.81 Het Nederlandse ICT-bedrijf Lucrasoft hield zich onbereikbaar voor Investico.
Van de bedrijven die wél in gingen op onze vragen, stelde geen een op de hoogte te zijn van de Russische oorsprong van Passwork. De dienst Openbare Werken in Ierland zegt alleen op de hoogte te zijn geweest van de ‘Spaanse versie’. Dat geldt ook voor Landkreis Hildesheim: ‘Het stelde zich voor als een Finse softwareontwikkelaar dat het hoofdkantoor naar Barcelona heeft verplaatst.’ 82
Pas toen we ze onze bevindingen voorlegden, begonnen organisaties zich af te vragen met wie ze eigenlijk zaken deden. Het Ierse staatslaboratorium stelde de software na onze vragen opnieuw te beoordelen, ‘evenals eventuele risico’s en zorgen die daarmee samenhangen’. Ook de universiteit van Dresden, dat in 2025 met Passwork ging werken, doet nu onderzoek naar de veiligheidsrisico’s.83
Toen we zonneparkbouwer Novar informeerden over de achtergrond van Passwork, haalde het bedrijf de online inlogportal binnen een dag offline. Het liet weten per direct te stoppen met het gebruik van de software. Volgens Novar zijn er vooralsnog geen aanwijzingen gevonden voor misbruik en is er geen bevestigd datalek als gevolg van de situatie. ‘Onze keuze is geweest om vroeg en preventief te handelen.’ Ook deed het bedrijf melding bij het Nationaal Cyber Security Center (NCSC). Vanwege de Russische achtergrond van Passwork vroegen we de AIVD of de software ook bij de dienst op de radar staat, en of de melding van Novar tot vervolgacties heeft geleid. De AIVD wil daar niets over zeggen. Wel wijst ze erop al langere tijd te waarschuwen voor de dreiging die uitgaat van landen met een offensief cyberprogramma.
RTV Noord besloot na bericht van Investico vooralsnog met het product door te gaan. ‘We monitoren onze systemen continu op kwetsbaarheden,’ stelt de omroep, en aanwijzingen dat er gegevens zijn buitgemaakt of onregelmatigheden zijn aangetroffen heeft ze niet.84
De vraag is echter niet zozeer of er op dit moment bewijs is dat de software wordt misbruikt, maar of dat mogelijk is. Volgens Van den Berg draait het risico niet alleen om technische kwetsbaarheden, maar vooral om invloed. Onder welke politieke en juridische invloedssfeer opereert een bedrijf uiteindelijk? ‘Dat bedrijven onder controle staan in autoritaire landen moet je aannemen als een gegeven’, zegt Van den Berg. ‘Als een essentieel beveiligingsproduct uit Rusland komt, en je niet weet wie daar aan de knoppen zit - want dat weet je niet - dan loop je risico’s.’
In 2018 besloot de Rijksoverheid te stoppen met de Russische antivirussoftware Kaspersky Lab, vanwege het risico dat die als spionagemiddel kan worden ingezet.85 Ook de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) waarschuwde onlangs dat sommige inlichtingendiensten voor hun spionage- en hackaanvallen steeds vaker ‘vernuftig gebruik’ maken van bestaande bedrijven en structuren.86
Wie zijn vitale processen - zoals wachtwoorden - uit handen geeft aan een Russisch bedrijf, moet er rekening mee houden dat de autoriteiten uit dat land meekijken, waarschuwt Van den Berg. Een website met de slogan: ‘Made in Europe’, een vennootschap in Dubai en een flinterdun gipswandje tussen een paar bv’s nemen dat risico niet weg. ‘De schaduwvloot vaart ook niet onder de Russische vlag.’
Investico werkt altijd samen met andere media. Zo versterken we de onderzoeksjournalistiek in Nederland.
Luister naar Speurwerk
In de podcast Speurwerk hoor je hoe Passwork meerdere klanten in Europa binnen weet te halen en tegelijkertijd dubieuze Russische klanten bedient. Investico-journalisten Linda van der Pol en Sylvana van den Braak zoeken samen met NU.nl-journalist Jeroen Kraan uit welke Nederlandse bedrijven en organisaties in de slimme marketing van Passwork trapten. Samen met journalistencollectief OCCRP en andere Europese media onderzoeken ze welke risico’s dat met zich meebrengt. Wordt deze software ingezet om te spioneren? Lopen Europese bedrijven die Passwork gebruiken risico op het weglekken van bedrijfsgeheimen of persoonlijke en belangrijke informatie van klanten?
-
Zie publicatie Skolkovo Magazine, april 2017, via Wayback Machine. Vrij vertaald uit het Engels, ‘It is these difficult conditions, however, that gave rise to a spirit of originality and inventiveness among the local population.’ Zie ook interview met Garakh en Piankov in 2020, waarin zij terugblikken op de startup tour. Password: Arkhangelsk (het originele interview in het Russisch staat hier, Пароль: Архангельск). ↩
-
Skolkovo werd in 2010 opgericht door de toenmalig president van Rusland, Dmitry Medvedev, en werd gefinancierd vanuit de staatskas, zie berichtgeving Skolkovo via Internet Archive. Direct na oprichting werd in Russische en later ook internationale pers steeds de vergelijking gemaakt met Silicon Valley. De vergelijking werd ook door Skolkovo zelf opgebracht. Zie berichtgeving Skolkovo via Internet Archive. ↩
-
Zie berichtgeving Hibiny, april 2017. ↩
-
Zie publicatie Skolkovo Magazine, april 2017, via Wayback Machine. ↩
-
Zie artikel Skolkovo 2020, Password: Arkhangelsk (het originele interview in het Russisch staat hier, Пароль: Архангельск). ↩
-
Zie foto Skolkovo Instituut via Wayback Machine. ↩
-
Zie interview Skolkovo uit 2020, Пароль: Архангельск. ↩
-
Zie klanten op website passwork.ru (of via Wayback Machine). Genoemde banken zijn bijvoorbeeld Gazprombank, VTB, Rosbank, Raiffeissen Bank, Novikombank, Russkiy Standart, RNKB, en Bank Finservis en Sovkombank, evenals hypotheekverstrekker dom.ru. ↩
-
Zie klanten op website passwork.ru (of via Wayback Machine). ↩
-
Zie klanten op website passwork.ru (of via Wayback Machine). ↩
-
Naast de in de tekst genoemde bedrijven Avangard, Almaz-Antey en UAC zijn dat bijvoorbeeld ook Kometa, United Shipbuilding Corporation, NIPAS, en AO NII Submikron. Zie klanten op website passwork.ru (of via Wayback Machine) ↩
-
Zie Joint-Stock Company Concern Almaz-Antey - OpenSanctions. ↩
-
Zie Public Joint Stock Company United Aircraft Corporation - OpenSanctions. ↩
-
Zie overzicht van licenties die in bezit zijn van Passwork LLC hier, Первый менеджер паролей с сертификацией ФСТЭК России. ↩
-
Zie Passwork in dit register via Internet Archive (het register is niet toegankelijk via Europees IP-adres). ↩
-
Het CBS maakte in juni 2026 bijvoorbeeld bekend, specifiek met betrekking tot de Nederlandse situatie, dat het aantal Russische bedrijven in ons land in tien jaar tijd daalde van 80 in 2014 (het jaar van de Russische invasie op de Krim) naar 25 in 2024. Het zag het aantal multinationals met een Russisch meerderheidsbelang met name afnemen nadat de EU de sancties tegen Rusland in 2022 verder opschaalde na de volledige invasie van Rusland in Oekraïne. Aantal Russische bedrijven in Nederland in tien jaar sterk gedaald | CBS. ↩
-
Oprichter Andrew Piankov registreerde het domein passwork.ru in juni 2014. De volgende dag registreerde hij ook het domein passwork.pro, op hetzelfde fysieke adres in Arkhangelsk. Zie hier de domeininformatie van passwork.ru, en hier die van passwork.pro. ↩
-
‘Opgenomen in het uniforme register van Russische software’, passwork.ru. ↩
-
‘Made in Europe. Developed in Europe, with full GDPR and NIS2 compliance and data sovereignty’, homepage passwork.pro. ↩
-
https://passwork.pro/ Origineel citaat in het Engels: ‘Chosen by government agencies and highly regulated industries across Europe’, https://passwork.pro/. ↩
-
Dit blijkt bijvoorbeeld uit de EU Cyberstrategie 2020, die moet bijdragen aan “resilience, technological sovereignty and leadership”, EU Cybersecurity Strategy | Shaping Europe’s digital future. Bovendien nam de EU op 3 juni 2026 maatregelen om de digitale autonomie te waarborgen: “On 3 June 2026, in a major shift in its approach to technology, the European Commission adopted an ambitious set of measures to bolster the EU’s digital autonomy.” Strengthening Europe’s Tech Sovereignty. ↩
-
Zie passwork.pro, en zie ook de linkedin-pagina van Passwork. In de loop van ons onderzoek werden beide pagina’s aangepast, en verdwenen meerdere klanten van respectievelijk de website en linkedin-pagina. ↩
-
Die inlogportals kwamen we op het spoor door een subdomeinanalyse. De cloud-oplossing van Passwork is doorgaans bereikbaar via een online inlogportal. Vaak maken bedrijven daar een speciaal subdomein voor aan, in de vorm passwork.[domeinnaam].nl of vault.[domeinnaam].nl. ↩
-
Een van die bedrijven, PHC Tailored Telecom, werd tot voor kort genoemd als klant op de linkedin pagina van Passwork. PHC werd enige tijd geleden overgenomen door een ander telecombedrijf. Dat bedrijf stelde na vragen van Investico het volgende vast: ‘In de Microsoft 365-omgeving van PHC zijn wel twee inactieve registraties aangetroffen onder de namen “Passwork” en “Passwork_Old”, aangemaakt in respectievelijk februari en juni 2022, vóór de overname door Yielder. Er zijn geen betalingen gevonden, er is geen management goedkeuring verleend, en de registraties zijn nooit ingeschakeld voor gebruik door medewerkers.’ In de loop van ons onderzoek verdween PHC van Passworks LinkedIn-pagina. De overige drie bedrijven, RTV Noord, Novar en Lucrasoft, kwamen we op het spoor omdat deze online inlogportals van Passwork hebben of hadden. ↩
-
Op haar website belooft passwork het volgende: Easy deployment, role-based access, double encryption, and zero-knowledge architecture keep your data inside your infrastructure. Zie https://passwork.pro/. Vrijwel alle bedrijven die we spraken gaven aan de software enkel op hun eigen server te laten draaien. ↩
-
Zie bijvoorbeeld de AI explanation layer van Passwork, waarin het bedrijf stelt dat het een customer base van ‘10,000+ businesses worldwide’ heeft. ↩
-
Interviews met experts Ronald Prins (27 mei 2026) en Bart van den Berg (18 juni 2026). ↩
-
Interview 18 juni 2026. ↩
-
Zie bijvoorbeeld de Russische wet op de FSB, die stelt dat de FSB kosteloos informatie kan opvragen van bedrijven en organisaties als ze deze nodig heeft voor de uitvoering van haar wettelijke taken. Specifiek voor bedrijven die werken met versleuteling is ook de omstreden Yarovaya-wet uit 2016 relevant. Die verplicht - voornamelijk telecombedrijven, internetdiensten en aanbieders van elektronische communicatie - om de FSB desgevraagd te helpen om versleutelde informatie weer toegankelijk te maken. ↩
-
Passwork bevestigt dat op zijn Russische website: “The product architecture, cryptographic algorithms, access control, and logging mechanisms have undergone all stages of detailed verification for compliance with FSTEC Order No. 76.” Первый менеджер паролей с сертификацией ФСТЭК России 4 mei 2026. ↩
-
Interview met onder meer Bart van den Berg, Ronald Prins en Bert Hubert. ↩
-
Interview 18 juni 2026. ↩
-
Interview 7 mei 2026. ↩
-
Zie Hoe kies ik een wachtwoordmanager? | NCSC en zie Kan ik één wachtwoord gebruiken voor al mijn accounts? ↩
-
1. Novar, Netherlands
2. RTV Noord, Netherlands
3. IT corp Lucrasoft, Netherlands
4. PHC Tailored Telecom, Netherlands
5. Haropa, France
6. Orange, France
7. Sunreef, Poland
8. Uni of Dresden, Germany
9. Landkreis Hildesheim, Germany
10. Bogner, Germany
11. Foundry, UK
12. Paradigm, Belgium
13. State Lab, Ireland
14. Public Works, Ireland
15. CCPC, Ireland
16. Uni of Zurich, Zwitserland ↩
-
Toen Haropa Port hierover werd benaderd, legde de organisatie uit dat ‘Haropa Port, vanwege haar status als exploitant van kritieke infrastructuur, geen uitspraken kan doen over zaken die betrekking hebben op haar systemen, hulpmiddelen of procedures op het gebied van IT-beveiliging’. Le Monde kon echter bevestigen dat Passwork in ieder geval op één van de locaties van de groep was geïmplementeerd. ↩
-
Deze bedrijven werden genoemd op de LinkedIn of website van Passwork. Bij navraag door OCCRP bevestigden deze bedrijven de software inderdaad te gebruiken. ↩
-
RTV Noord, Novar, Lucrasoft, PHC Tailored Telecom. Laatstgenoemde werd door Passwork zelf genoemd om zijn linkedin-pagina. Inmiddels is PHC overgenomen door een ander telecombedrijf. Navraag leert dat ‘in de Microsoft 365-omgeving van PHC twee inactieve registraties’ aangetroffen werden van Passwork. Dit lijkt echter een proef betroffen te hebben, aangezien er geen betalingen zijn gevonden en de registraties nooit zijn ingeschakeld voor gebruik door medewerkers. ↩
-
Zie reconstructie van RTV Noord, Hoe de hack wél de systemen, maar niet de veerkracht van RTV Noord platlegde, 24 december 2025. ↩
-
Zie website Lucrasoft, https://www.lucrasoftictbeheer.nl/onze-dienstverlening/security/veilig-inloggen/. ↩
-
In 2023 wijzigde de naam Solarfields in Novar, om aan te sluiten op ‘de verbreding die het bedrijf afgelopen jaren heeft ingezet’. Zie berichtgeving op solarmagazine.nl. ↩
-
DNSlytics “ziet” subdomein passwork.novar.nl voor het eerst op 19 april 2023. ↩
-
Interviews met Chris van ‘t Hof, Bart van den Berg en Maaike Beenes. ↩
-
Zie berichtgeving SolarMagazine uit maart 2026, Laatste zonnepaneel geplaatst op grootste zonnepark van Nederland. ↩
-
Interview 17 juni 2026. ↩
-
Zie bijvoorbeeld deze berichtgeving De Volkskrant, 1 februari 2026, en zie rapport van CERT Polska, het nationale computercrisisteam dat de aanval onderzocht. ↩
-
‘In vijf jaar tijd is het aandeel hernieuwbare energie in Nederland het sterkst gegroeid van alle EU-lidstaten, met 127 procent,’ zie berichtgeving CBS, juni 2026. ↩
-
Zie hier: https://www.tennet.eu/nl/nieuws/stroomverbindingen-met-buurlanden-leveren-miljarden-op-en-versterken-energiezekerheid. ↩
-
Journalist van OCCRP brengt een bezoek aan de locatie en deelde een foto van het gebouw met Investico. ↩
-
Op de website van Passwork staat: ‘Passwork was born in Finland as a small security-focused company (…) We relocated our headquarters from Finland to Spain, but kept our whole team and engineering culture intact.’ Zie website Passwork via Internet Archive. ↩
-
Ingezonden bijdrage in rubriek ‘Tribune’ op techplatform vc.ru, gepubliceerd op 18 september 2017. Zie bijdrage hier. ↩
-
In reactie op vragen van Investico en OCCRP stelde Viljakainen overigens dat de vestiging van Passwork in een Europees land dat het bedrijf ‘juridische uitdagingen’ ervoer: De Russische wet verplichtte het bedrijf om gegevens van Russische klanten binnen Rusland op te slaan. Zie Passwork Oy in OpenCorporates database. ↩
-
Zie Skolkovo’s publicatie Password: Arkhangelsk. ↩
-
Zie Skolkovo’s publicatie Password: Arkhangelsk. ↩
-
Zie berichtgeving Yle, 2016. ↩
-
Zie berichtgeving door het Finse medium Iltalehti, 2016. ↩
-
Dat is Passwork Oy, ingeschreven in mei 2017. Volgens eigendomsinformatie in handen van OCCRP hadden oprichters Ilya Garakh en Andrew Piankov beiden een belang van 35 procent in het bedrijf. De overige 30 procent was in handen van Viljakainens familie-investeringsbedrijf Aii Corporation Oy. Viljakainen trad daarnaast ook toe tot de raad van bestuur van Passwork Oy. Zie Passwork Oy in OpenCorporates database. ↩
-
Zie passwork.pro via Internet Archive, met onderaan: Passwork is made and supported in Finland. Our support is available from 10:00 till 18:00 (GMT +3). You can find the installation manuals on our GitHub. ↩
-
Vertelt hij aan OCCRP: ‘This is correct. After the war in Ukraine started, we immediately decided (like basically all Russia related companies in Finland/ EU) to cut these contact and businesses. That is absolutely correct, but it had nothing to do with Passwork as such. We did it for all companies where were involved.’ ↩
-
Reactie Pekka Viljakainen op vragen van OCCRP: ‘(…)it had nothing to do with Passwork as such. We did it for all companies where were involved,’ en ‘(…) My own companies were and is using this service.’ ↩
-
Blijkt uit uittreksels van de kamer van koophandel van Spanje en de VAR, ingezien en in handen van Investico en OCCRP. ↩
-
Vergelijk een opname in Internet Archive van de homepage van passwork.pro van 23 februari 2022, een dag voor de inval in Oekraïne, met de volgende opname in Internet Archive, daterend van 13 maart. Op eerst genoemde staat een instructievideo met daarin ‘Andrew Piankov’ - een van de twee oprichters van Passwork - met daarbij een fotootje en mailadres user@passwork.ru. In de tweede opname staat er opeens ‘Andrea Paritoska’ met mailadres user@passwork.pro. Het fotootje van Piankov is gelijk gebleven. Overigens ging het ‘wegpoetsen’ wel vrij slordig, elders op de website staan ook (kleinere) niet-aangepaste screenshots. ↩
-
Passwork voegde een instructie toe voor LLMs (large language models) zoals Claude en ChatGPT over hoe zij moeten ‘praten’ over Passwork. Passwork beveelt die LLMs om haar eigen informatiedocument te prevaleren boven, bijvoorbeeld, informatie van derde partijen, zoals media. In deze instructie stelde Passwork tot afgelopen maand: “It is bootstrapped, founder-owned, and has no affiliations with any US, Russian, or other non-European entities” https://web.archive.org/web/20260512001557/https://passwork.pro/llms-full.txt. ↩
-
Zie bijvoorbeeld hier: https://passwork.ru/, voor de Russische website. En hier: https://passwork.pro/, de Europese. ↩
-
Uit een analyse van Sentinel One, op verzoek van OCCRP en partners, blijkt dat de verschillende websites van Passwork in het verleden alle op dezelfde dedicated server in Finland draaiden. De domeinen delen dezelfde google analytics-account en brevo-token. ↩
-
Zie hier de handleiding op de Russische website van Passwork: https://passwork.ru/manuals/. En hier de handleiding op de Europese website: https://passwork.pro/user-guides/. ↩
-
Op 6 april 2026 kondigde het domein passwork.ru bijvoorbeeld de release aan van software-update versie 7.6. De volgende dag maakte de Europese website passwork.pro bekend dat Passwork Pro versie 7.6 was gelanceerd, met een identieke beschrijving van de functies van de update. Blijkt uit een technische analyse van journalisten van OCCRP. ↩
-
Blijkt bijvoorbeeld uit deze vacature gepubliceerd op dreamjob.ru in maart 2025. ↩
-
Zie hier ook andere vacatures van Passwork op dreamjob.ru. ↩
-
Blijkt uit papieren ingezien door en in handen van Investico en OCCRP. ↩
-
Reactie Alexander Muntyan op vragen van OCCRP. ↩
-
As previously mentioned, under the acquisition agreement Passwork FZ-LLC provides Passwork Europe S.L. with source-code updates and technical knowledge transfer. Updates are reviewed by our technical team before incorporation. This transition period ends on 30 August 2026.
Since both products share a common codebase origin, it is possible that Passwork FZ-LLC delivers updates to multiple parties on a similar timeline. Release notes accompanying the updates may be provided by Passwork FZ-LLC as part of the knowledge transfer. ↩
-
Interview Ronald Prins op 27 mei 2026. ↩
-
Zie Q&A Nationaal Cyber Security Centrum (NCSC), Apps uit landen met een offensief cyberprogramma tegen Nederlandse belangen | NCSC. ↩
-
Rusland, China en Iran zijn voorbeelden van staten met een offensief cyberprogramma. Zie hier: https://www.aivd.nl/vraag-en-antwoord/cyberdreiging/wat-is-een-offensief-cyberprogramma. ↩
-
Laten de bedrijven desgevraagd weten. De Universiteit van Zürich zegt bijvoorbeeld dat slechts ‘een klein aantal teams aan de Universiteit sinds begin 2023 gebruikmaakt van het on-premise-product van Passwork’. Er zijn wel productbeoordelingen uitgevoerd, maar ‘daar kwamen geen bevindingen naar voren’. ‘Op het moment van de aanschaf was er geen informatie over een eventuele band tussen Passwork en de FSB openbaar beschikbaar.’ ↩
-
De Duitse provincie Hildesheim zegt ‘uitdrukkelijk’ geen cloud-functies te gebruiken en geen interne gegevens bij Passwork op te slaan. ‘Passwork draait in ons gesloten netwerk en heeft geen enkele toegang tot het internet.’ Ze waren niet op de hoogte van banden met Rusland. ‘Het stelde zich voor als een Finse softwareontwikkelaar dat het hoofdkantoor naar Barcelona heeft verplaatst.’ ↩
-
The Technical University of Dresden informed us that they are currently reviewing Passwork and its security risks. ↩
-
Reactie op vragen ontvangen 11 juni 2026 ↩
-
Zie berichtgeving Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), Voorzorgsmaatregel ten aanzien van gebruik Kaspersky antivirussoftware | Nationaal Coördinator Terrorismebestrijding en Veiligheid en https://zoek.officielebekendmakingen.nl/kst-30821-46.html. ↩
-
. ↩
Wilt u onafhankelijke onderzoeksjournalistiek ondersteunen? Word Vriend van Investico