Overslaan en naar de inhoud gaan

'Europese organisaties gebruikten Russische wachtwoordkluis'

Experts zien een veiligheidsrisico, omdat Russische wetgeving bedrijven kan verplichten mee te werken aan verzoeken van veiligheidsdiensten.

Rusland
- Shutterstock

Diverse Europese organisaties waaronder het Duitse district Hildesheim, een bestuurslaag die te vergelijken is met een Nederlandse gemeente of provincie, blijken gebruik te hebben gemaakt van een wachtwoordmanager waarvan de Russische oorsprong jarenlang buiten beeld bleef.

Dat blijkt uit internationaal onderzoekvan onder meer Investico, De Groene Amsterdammer en NU.nl De kwestie roept vragen op over hoe decentrale overheden en andere organisaties de herkomst van cruciale beveiligingssoftware controleren.

Hoofdkantoor in Barcelona

Volgens het onderzoek gebruikten de organisaties de wachtwoordmanager Passwork in de veronderstelling dat het om een Fins softwarebedrijf ging dat zijn hoofdkantoor naar Barcelona had verplaatst. Pas nadat de onderzoekers hun bevindingen deelden, ontdekten ze dat de software oorspronkelijk in Rusland is ontwikkeld en daar nog altijd nauwe banden heeft met bedrijven die onder toezicht staan van de Russische veiligheidsdiensten. De Landkreis liet weten alleen bekend te zijn geweest met de ‘Spaanse versie’ van de software.

Passwork profileert zich in Europa als een Europese leverancier van wachtwoordbeheer. Onderzoekers stellen echter dat de software in werkelijkheid in Rusland werd ontwikkeld en daar nog steeds wordt gebruikt door onder meer staatsbedrijven en defensieleveranciers. Volgens geraadpleegde cybersecurityexperts levert dat een veiligheidsrisico op, omdat Russische wetgeving bedrijven kan verplichten mee te werken aan verzoeken van veiligheidsdiensten en omdat kwetsbaarheden in de software kunnen worden misbruikt. De onderzoekers vonden geen bewijs dat Europese klanten daadwerkelijk zijn bespioneerd of dat wachtwoorden zijn buitgemaakt.

Vier Nederlandse organisaties

Het onderzoek identificeert ook vier Nederlandse organisaties die Passwork gebruikten of hebben gebruikt. Het gaat om zonneparkontwikkelaar Novar, regionale omroep RTV Noord, ICT-bedrijf Lucrasoft en een vierde organisatie die in het uitgebreide bronnenonderzoek wordt genoemd.

Met name Novar springt eruit. Het bedrijf ontwikkelt en beheert tientallen zonneparken en andere duurzame energieprojecten en opereert daarmee in een sector die door cybersecurityexperts als onderdeel van de vitale infrastructuur wordt beschouwd. Nadat Investico Novar had geïnformeerd over de achtergrond van Passwork, haalde het bedrijf de software direct uit gebruik, wijzigde wachtwoorden en deed melding bij het Nationaal Cyber Security Centrum (NCSC). Volgens Novar zijn geen aanwijzingen gevonden voor misbruik of een datalek, maar koos het bedrijf ervoor uit voorzorg onmiddellijk maatregelen te nemen.

Ketenveiligheid

De zaak laat zien hoe ingewikkeld digitale ketenveiligheid is geworden. De software werd in Europa verkocht als een Europees product, terwijl de onderzoekers stellen dat de technische ontwikkeling en historische banden grotendeels Russisch zijn gebleven. Daardoor konden ook overheidsorganisaties en grote organisaties de herkomst van het product moeilijk doorgronden.

Het belangrijkste overheidsnieuws van de dag

Schrijf je in voor de Binnenlands Bestuur nieuwsbrief

Besturen en toezicht van cyberrisicobeheer: grip op digitale dreiging

Besturen en toezicht van cyberrisicobeheer: grip op digitale dreiging

Ben je voorbereid op de complexiteit van digitale ketenveiligheid? Leer hoe je cyberrisico's strategisch beheert en je organisatie beschermt tegen verborgen dreigingen.

schrijf u vandaag nog in

Plaats als eerste een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Melden als ongepast

Door u gemelde berichten worden door ons verwijderd indien ze niet voldoen aan onze gebruiksvoorwaarden.

Schrijvers van gemelde berichten zien niet wie de melding heeft gedaan.

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heeft u al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heeft u al een account? Log in