Dat blijkt uit internationaal onderzoekvan onder meer Investico, De Groene Amsterdammer en NU.nl De kwestie roept vragen op over hoe decentrale overheden en andere organisaties de herkomst van cruciale beveiligingssoftware controleren.
'Europese organisaties gebruikten Russische wachtwoordkluis'
Diverse Europese organisaties waaronder het Duitse district Hildesheim, een bestuurslaag die te vergelijken is met een Nederlandse gemeente of provincie, blijken gebruik te hebben gemaakt van een wachtwoordmanager waarvan de Russische oorsprong jarenlang buiten beeld bleef.
Hoofdkantoor in Barcelona
Volgens het onderzoek gebruikten de organisaties de wachtwoordmanager Passwork in de veronderstelling dat het om een Fins softwarebedrijf ging dat zijn hoofdkantoor naar Barcelona had verplaatst. Pas nadat de onderzoekers hun bevindingen deelden, ontdekten ze dat de software oorspronkelijk in Rusland is ontwikkeld en daar nog altijd nauwe banden heeft met bedrijven die onder toezicht staan van de Russische veiligheidsdiensten. De Landkreis liet weten alleen bekend te zijn geweest met de ‘Spaanse versie’ van de software.
Passwork profileert zich in Europa als een Europese leverancier van wachtwoordbeheer. Onderzoekers stellen echter dat de software in werkelijkheid in Rusland werd ontwikkeld en daar nog steeds wordt gebruikt door onder meer staatsbedrijven en defensieleveranciers. Volgens geraadpleegde cybersecurityexperts levert dat een veiligheidsrisico op, omdat Russische wetgeving bedrijven kan verplichten mee te werken aan verzoeken van veiligheidsdiensten en omdat kwetsbaarheden in de software kunnen worden misbruikt. De onderzoekers vonden geen bewijs dat Europese klanten daadwerkelijk zijn bespioneerd of dat wachtwoorden zijn buitgemaakt.
Vier Nederlandse organisaties
Het onderzoek identificeert ook vier Nederlandse organisaties die Passwork gebruikten of hebben gebruikt. Het gaat om zonneparkontwikkelaar Novar, regionale omroep RTV Noord, ICT-bedrijf Lucrasoft en een vierde organisatie die in het uitgebreide bronnenonderzoek wordt genoemd.
Met name Novar springt eruit. Het bedrijf ontwikkelt en beheert tientallen zonneparken en andere duurzame energieprojecten en opereert daarmee in een sector die door cybersecurityexperts als onderdeel van de vitale infrastructuur wordt beschouwd. Nadat Investico Novar had geïnformeerd over de achtergrond van Passwork, haalde het bedrijf de software direct uit gebruik, wijzigde wachtwoorden en deed melding bij het Nationaal Cyber Security Centrum (NCSC). Volgens Novar zijn geen aanwijzingen gevonden voor misbruik of een datalek, maar koos het bedrijf ervoor uit voorzorg onmiddellijk maatregelen te nemen.
Ketenveiligheid
De zaak laat zien hoe ingewikkeld digitale ketenveiligheid is geworden. De software werd in Europa verkocht als een Europees product, terwijl de onderzoekers stellen dat de technische ontwikkeling en historische banden grotendeels Russisch zijn gebleven. Daardoor konden ook overheidsorganisaties en grote organisaties de herkomst van het product moeilijk doorgronden.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.