Passwork wachtwoordkluis blijkt Russisch: dit is het risico
Inhoud
Een wachtwoordkluis die eruitziet als Europese software, maar in werkelijkheid uit Rusland komt. Dat is de kern van het verhaal dat NU.nl deze week naar buiten bracht over Passwork: een tool die de afgelopen jaren is gebruikt door meerdere Europese bedrijven met vitale infrastructuur. Cybersecurityexperts trekken aan de bel. De strekking: vanuit Moskou kan er mogelijk worden ingelogd bij bedrijven die dachten met een neutrale, Europese partij te werken.
Klinkt dit als een probleem voor energiebedrijven en waterschappen, niet voor jouw bedrijf? Toch raakt dit verhaal precies het soort tool dat bijna elk MKB-bedrijf gebruikt: een wachtwoordmanager. En de vraag die erbij hoort, stel je jezelf waarschijnlijk nooit. Weet jij wie er achter de software zit waar al je bedrijfswachtwoorden in staan?
Elke dag AI begrijpen, zonder de hype?
Ontvang de gratis MKB AI Quickstart-gids en mijn nuchtere AI-updates. Uitschrijven met 1 klik.
Wat is er precies mis met Passwork
Passwork presenteert zich als Europese wachtwoordsoftware: nette website, Europese uitstraling, geen enkele verwijzing naar Rusland. Uit onderzoek van NU.nl blijkt dat het bedrijf daarachter Russische wortels heeft. Toch hebben verschillende Europese organisaties met vitale infrastructuur de software de afgelopen jaren gebruikt om wachtwoorden, inloggegevens en toegangssleutels centraal te beheren.
Een cybersecurityexpert vat het kernprobleem samen: het is onverstandig om zo'n partij de digitale sleutels van je huis te geven. Een wachtwoordkluis is geen gewoon stukje software. Het is de plek waar de sleutels tot al je andere systemen samenkomen: e-mail, bankomgeving, CRM, cloudopslag, socialmediakanalen.
Waarom dit risico anders is dan een gewoon datalek
Bij een normaal datalek raakt meestal één dataset zoek: een klantenbestand, een wachtwoordbestand van één dienst. Bij een gecompromitteerde wachtwoordkluis ligt in potentie alles open, want die kluis bevat juist de sleutels tot al je andere systemen. Wie daar toegang toe krijgt, hoeft geen tien systemen apart te kraken. Eén ingang volstaat.
Daar komt bij dat dit geen incident is bij een los bedrijf, maar bij software die bewust is ingezet bij organisaties met vitale infrastructuur: energie, water, logistiek. Dat maakt het ook een kwestie van digitale soevereiniteit, hoeveel grip Europa eigenlijk heeft op de tools die de vitale delen van de economie draaiend houden. Voor de Nederlandse MKB-realiteit is dat niet alleen een abstracte discussie. Bewaar je klantgegevens of bedrijfsgevoelige data via zo'n tool en gaat er iets mis, dan is dat volgens de AVG mogelijk een meldplichtig datalek, met alle gedoe en imagoschade van dien.
Waarom veel MKB-bedrijven dit risico niet zien aankomen
De meeste ondernemers kiezen software op gebruiksgemak en prijs, niet op eigenaarschap. Een tool met een .com of .eu-domein, een Engelstalige of keurige Nederlandse website en een professioneel ogend dashboard oogt vertrouwd. Wie gaat er nou onder de motorkap kijken bij een abonnement van een paar tientjes per maand?
Dat is precies waar het misgaat. Passwork is geen uitzondering, het is een voorbeeld van een patroon: software oogt neutraal of Europees, terwijl eigenaarschap, hosting en jurisdictie ergens anders liggen. Dezelfde discussie speelde al rond DigiD en de vraag of Nederlandse overheidsdiensten in buitenlandse handen mogen komen. Voor jouw bedrijf geldt hetzelfde principe, alleen dan zonder de bescherming van een grote IT-afdeling die het voor je uitzoekt.
Wat je deze week kunt doen
Je hoeft niet meteen alles om te gooien, maar een paar concrete stappen helpen wel. Ga na welke wachtwoordmanager jouw bedrijf gebruikt en zoek op wie de eigenaar is en waar het bedrijf daadwerkelijk gevestigd is, niet alleen waar de marketing over gaat. Kijk bij twijfel naar alternatieven met helder en verifieerbaar eigenaarschap, zoals Dashlane uit Frankrijk of het open-source Bitwarden, waarvan je desgewenst zelf de broncode kunt inzien of kunt hosten.
Zet daarnaast two-factor authenticatie aan op je belangrijkste accounts, los van de wachtwoordmanager zelf, zodat een gelekt wachtwoord niet meteen toegang geeft. En vraag je hostingpartij of IT-leverancier gewoon eens waar je data daadwerkelijk staat. Dat soort vragen stel je normaal nooit, maar ze kosten een mailtje en leveren duidelijkheid op.
Wat dit betekent voor jou
Mijn insteek hierin: vertrouwen is precies het product dat beveiligingssoftware verkoopt, en dat is nou net waarom je het niet blind moet aannemen. Passwork zag er Europees uit, klonk betrouwbaar en werd daardoor jarenlang niet in twijfel getrokken, ook niet door bedrijven met vitale infrastructuur. Voor de Nederlandse MKB-realiteit is de les simpel: één keer per jaar kritisch kijken naar wie er achter je belangrijkste tools zit, kost een paar uur en voorkomt een hoop ellende. Wil je die check niet alleen doen? Bij een korte sparring kijken we samen naar waar je bedrijfsdata staat en hoe je webhosting in Nederland regelt, zodat je zelf grip houdt op waar alles draait.
Werkt deze AI-ontwikkeling door in jouw bedrijf? webhosting in Nederland.
Wat is Passwork precies?
Passwork is wachtwoordbeheersoftware die zich presenteert als Europees product, maar volgens onderzoek van NU.nl in werkelijkheid Russische wortels heeft. Het wordt gebruikt om bedrijfswachtwoorden en inloggegevens centraal te beheren.
Betekent dit dat mijn wachtwoorden nu gestolen zijn als ik Passwork gebruik?
Niet automatisch, maar het risico is reëel volgens cybersecurityexperts: vanuit Moskou zou toegang mogelijk zijn. Ga bij twijfel na welke gegevens erin staan en overweeg wachtwoorden van kritieke systemen te wijzigen.
Hoe herken ik of een tool echt Europees is?
Kijk verder dan de website. Zoek op waar het bedrijf officieel geregistreerd staat, wie de eigenaren zijn en waar de servers fysiek staan. Een .eu-domein of Nederlandstalige site zegt daar op zichzelf niets over.
Welke alternatieven voor Passwork zijn er?
Bekende alternatieven zijn Dashlane, met Franse wortels, en Bitwarden, een open-source optie die je ook zelf kunt hosten. Belangrijker dan welke naam je kiest, is dat je het eigenaarschap en de hosting zelf checkt.
Moet ik dit melden als datalek onder de AVG?
Alleen als er daadwerkelijk sprake is van een datalek bij jouw bedrijf, bijvoorbeeld onbevoegde toegang tot persoonsgegevens. Het gebruik van kwetsbare software op zich is geen meldplichtig incident, maar wel een reden om je risico's opnieuw te beoordelen.
Waarom zou een klein MKB-bedrijf interessant zijn voor zo'n risico?
Vaak niet als doelwit op zich, maar als opstapje. Een MKB-bedrijf is regelmatig leverancier of partner van grotere organisaties, en een zwakke schakel in die keten is voor een aanvaller net zo waardevol als een directe aanval.
Grip op AI, zonder de hype
Ontvang de gratis MKB AI Quickstart-gids plus mijn nuchtere AI-updates. Uitschrijven kan altijd met 1 klik.