Nieuws
Europese bedrijven gebruiken wachtwoordmanager met banden met Russische geheime dienst FSB
Een in Spanje gevestigde wachtwoordmanager genaamd Passwork die gebruikt wordt door Europese overheidsinstanties en universiteiten heeft zijn Russische oorsprong én banden met Russische veiligheidsdiensten verdoezeld. Cybersecurityexperts zijn bezorgd: “Het is onverstandig zo’n partij de digitale sleutels van je huis te geven.”
Softwarebedrijf Passwork verkoopt een ‘wachtwoordkluis’ waarin medewerkers van bedrijven hun wachtwoorden kunnen opslaan. De software was onder andere in gebruik bij een grote beheerder van Nederlandse zonneparken Novar, RTV Noord, een Frans havenbedrijf en bij Ierse overheidsinstanties. Dat blijkt uit onderzoek van het journalistencollectief OCCRP, in samenwerking met onder meer Investico, NU.nl, De Groene Amsterdammer, Le Monde en De Tijd. Die bedrijven vormen het topje van de ijsberg. Passwork levert software voor intern gebruik, en is daarom in de meeste gevallen niet van buitenaf te traceren.
Op zijn Engelstalige website benadrukt Passwork herhaaldelijk zijn Europese achtergrond. Het profileert zich daar als een Finse onderneming die in 2017 werd opgericht, en die onlangs haar hoofdkantoor naar Spanje verplaatste. Het stelt ‘made in EU’ te zijn en te voldoen aan Europese privacy- en cybersecuritywetten.
Lekken in software misbruiken
In werkelijkheid werd Passwork al in 2014 ontwikkeld in Rusland, waar de software ook nog steeds wordt aangeboden. Het is daar bijvoorbeeld in gebruik bij grote staatsbedrijven zoals Gazprom en Transneft en door de EU gesanctioneerde defensieleveranciers, zoals raketfabrikant Avangard en vliegtuigbouwer United Aircraft Corporation. Passwork heeft licenties van het ministerie van Defensie en van veiligheidsdienst FSB om dit soort bedrijven te mogen bedienen. De Russische staat moet gedetailleerde informatie krijgen over de werking van het product voordat zo’n licentie wordt afgegeven.
Dat kan betekenen dat het Kremlin ‘vergaand inzicht in de software en zijn kwetsbaarheden’ hebben, vreest Bart van den Berg van Clingendael. Omdat de Europese en Russische versies van Passwork technisch sterk op elkaar lijken, zou Rusland lekken in de software ook kunnen misbruiken om Europese bedrijven te treffen, zegt Van den Berg. Dat zou passen in de schaduwoorlog die Rusland met Europa voert. ‘Het lijkt me niet verstandig om de digitale sleutels van je huis aan zo’n partij te overhandigen’, zegt Van den Berg. ‘Dat is veel te gevaarlijk.’
Toch was Passwork in Nederland onder meer in gebruik bij Novar, een van de grootste bouwers en beheerders van zonneparken in Nederland. Volgens experts vormen bedrijven als Novar een aantrekkelijk doelwit voor buitenlandse mogendheden als Rusland. Wie genoeg zonnepanelen ‘onder de knop’ weet te krijgen kan een grootschalige stroomstoring veroorzaken, zegt Chris van ‘t Hof van het Dutch Institute for Vulnerability Disclosure, dat kwetsbaarheden in omvormers en andere energieapparatuur onderzoekt. ‘Dit is veel effectiever dan een vliegtuig of een bom.’
Novar heeft Passwork na onze melding ‘per direct buiten gebruik genomen’ en wachtwoorden aangepast, zegt een woordvoerder. Ook deed het bedrijf een melding bij het Nationaal Cyber Security Centrum en bij branchevereniging Holland Solar.
Ook andere Europese bedrijven in de vitale infrastructuur gebruiken Passwork, zoals Haropa Port, een bedrijf met drie grote havens in Frankrijk. Daarnaast was de software bijvoorbeeld in gebruik bij drie Ierse overheidsinstanties, de Duitse provincie Hildesheim en de Universiteit van Zürich. Het Franse telecombedrijf Orange zegt dat Passwork op een “zeer bescheiden” manier werd ingezet bij een dochteronderneming.
RTV Noord en ICT-bedrijf Lucrasoft
In Nederland maakten ook regionale omroep RTV Noord en ICT-bedrijf Lucrasoft gebruik van Passwork. Laatstgenoemde installeert Passwork ook bij mkb’ers, valt te lezen op zijn site. RTV Noord zegt desgevraagd overtuigd te zijn dat Passwork een bedrijf uit Spanje ‘met zijn oorsprong in Finland’ is. De mediaorganisatie blijft de software vooralsnog gebruiken. Lucrasoft reageerde niet op meerdere verzoeken om commentaar. Geen van de Europese klanten van Passwork die op vragen reageerden, gaf aan op de hoogte te zijn van de Russische banden van het product.
Passwork werd in 2014 in Rusland opgericht door twee softwareontwikkelaars. Enkele jaren later openden zij ook een bedrijf in Finland, maar na de Russische inval in Oekraïne verdween die vestiging weer. Sindsdien wordt Passwork via een brievenbusfirma in Barcelona verkocht aan Europese klanten. Juridisch gezien heeft dat bedrijf geen banden meer met Rusland. CEO Alexander Muntyan zegt dat hij via een bedrijf in de Emiraten, gerund door de Russische oprichters, een licentie heeft verkregen om Passwork in Europa te verkopen. Muntyan stelt gebruik te maken van servers in Duitsland, en ‘geen servers, klantgegevens en andere systemen’ met het Russische bedrijf te delen.
Uit onderzoek van OCCRP en partners blijkt echter dat de software zoals die in Europa en in Rusland aangeboden wordt, grotendeels overeenkomt. Ook krijgen de Russische en Europese versies van Passwork tot nu toe op een zeer vergelijkbaar tempo updates. Muntyan verklaart die overeenkomsten door te zeggen dat de Europese versie van Passwork nu nog in een ‘transitiefase’ zit, en hij vooralsnog ‘steun’ krijgt vanuit de Emiraten. Maar vanaf augustus staat het bedrijf helemaal op eigen benen, zegt hij.
Cybersecurity-expert Ronald Prins is er niet gerust op. Zelfs als wachtwoorden lokaal worden opgeslagen, moet er toch verbinding worden gemaakt met een centrale server om te controleren of klanten een abonnement hebben en om updates door te voeren. Daarom is het volgens hem “een beetje naïef” om te denken dat wachtwoorden bij Passwork niet kunnen worden gestolen. Als de achterliggende organisatie banden met Rusland heeft, maakt het volgens hem ook niet uit als zo’n centrale server in Europa staat. ‘Daar kunnen ze vanuit Moskou natuurlijk ook gewoon op inloggen.’
Sylvana van den Braak is onderzoeksjournalist bij platform Investico en schreef daar onder meer over arbeidsmigratie, uitbuiting en moderne slavernij in Nederland en Europa.
Linda van der Pol is stafredacteur bij Investico en doet onderzoek naar financiële criminaliteit en corruptie.
Jeroen Kraan is klimaatverslaggever bij NU.nl