Spaans bedrijf levert aan Europese overheden software die door de FSB is gecertificeerd

Spaans bedrijf levert aan Europese overheden software die door de FSB is gecertificeerd
Spaans bedrijf levert aan Europese overheden software die door de FSB is gecertificeerd

Het Spaanse bedrijf Passwork Europe S.L. levert software voor wachtwoordbeheer aan overheidsinstellingen en wetenschappelijke organisaties in de Europese Unie, terwijl het product technologisch en personeelsmatig is verweven met een Russisch zusterbedrijf en de codebasis is gecertificeerd door de Russische inlichtingendienst FSB. Dat blijkt uit onderzoek van Le Monde.

Passwork Europe presenteert zich als een onafhankelijke Europese ontwikkelaar van een passwordmanager voor bedrijven, maar de software deelt volgens het onderzoek dezelfde codebasis als het Russische product van Passwork LLC. Updates voor de Europese versie worden gesynchroniseerd met de Russische variant en verlopen via een niet-transparante vennootschap in de Verenigde Arabische Emiraten, die wordt bestuurd door een van de Russische medeoprichters.

Certificering door Russische staatsveiligheid

Passwork LLC heeft in Rusland een certificering doorlopen bij de Federale Dienst voor Technische en Exportcontrole (FSTEC), een onderdeel van het Russische ministerie van Defensie. Bij die procedure wordt de broncode tot in detail geanalyseerd op kwetsbaarheden en niet-gedocumenteerde functionaliteiten. Daarmee heeft de Russische staatsveiligheid volledig inzicht gekregen in de architectuur van het product, dat ook door de Europese tak wordt gebruikt.

Omdat de Europese en Russische versies een gemeenschappelijke oorsprong hebben, kunnen eventuele opzettelijk aangebrachte zwakheden of achterdeuren worden misbruikt tegen afnemers in de EU. Dat schept volgens sector experts een hoog risico, vergelijkbaar met de SolarWinds-aanval, waarbij schadelijke code via legitieme software-updates werd verspreid.

Onwetende Europese klanten

Het merendeel van de Europese klanten – waaronder overheidsdiensten in Ierland, universiteiten en bedrijven die met gevoelige gegevens werken – is niet geïnformeerd over de Russische herkomst van de software. Het bedrijf heeft volgens het onderzoek geen volledige openheid van zaken gegeven over de banden met Rusland, wat als een inbreuk op de cybersecurity-normen kan worden beschouwd.

Voor de EU-instellingen betekent het gebruik van deze software een rechtstreeks risico voor de nationale veiligheid. Gezien de hybride oorlogsvoering van Rusland, waarbij cyberaanvallen op kritieke infrastructuur en overheidsnetwerken structureel worden ingezet, is de aanwezigheid van een product met Russische wortels in de toegangsketen van Europese netwerken volgens deskundigen onaanvaardbaar.

Europese organisaties die Passwork Europe hebben gekozen vanwege de Europese herkomst, worden nu geconfronteerd met de noodzaak van een spoedaudit en het zoeken naar alternatieven. Dat brengt financiële kosten en reputatieschade met zich mee.

Lid van de bemanning vermist na zinken van duwboot in Coenhaven, Amsterdam
Vorig artikel

Lid van de bemanning vermist na zinken van duwboot in Coenhaven, Amsterdam

Marokkaanse autoriteiten zouden hebben geprobeerd een Nederlandse journalist te bespioneren
Volgend artikel

Marokkaanse autoriteiten zouden hebben geprobeerd een Nederlandse journalist te bespioneren

Voeg een reactie toe

Your email address will not be published.

Mis het niet

Meerderheid Kamer wil beheer DigiD bij Solvinity veiligstellen bij Amerikaanse overname

Meerderheid Kamer wil beheer DigiD bij Solvinity veiligstellen bij Amerikaanse overname

GroenLinks-PvdA pleit voor snelle politieke actie Volgens de politieke groepering