Top 5

Related Posts

Rusia reaprinde temerile privind un program folosit de instituții publice din Irlanda

Rămâi conectat la ceea ce contează în Irlanda

Creează un cont Informația IRL pentru a participa la comunitate sau devino Membru Susținător pentru acces complet la toate articolele și pentru a susține un proiect jurnalistic independent dedicat românilor din Irlanda.

Cel puțin trei instituții publice din Irlanda folosesc un program pentru administrarea parolelor ale cărui origini și legături tehnice cu Rusia au generat noi preocupări privind securitatea informațiilor.

State Laboratory, Office of Public Works și Competition and Consumer Protection Commission au confirmat că utilizează software-ul Passwork.

Toate cele trei instituții au început să își reevalueze alegerea după ce o investigație jurnalistică europeană a identificat conexiuni persistente între produsul comercializat în Uniunea Europeană și o versiune care funcționează în Rusia.

Compania europeană, Passwork Europe SL, este înregistrată în Spania și afirmă că este independentă de afacerea rusească.

Investigația coordonată de Organised Crime and Corruption Reporting Project, la care au participat The Irish Times, Le Monde și Infolibre, a identificat însă suprapuneri privind originea codului, actualizările, serviciile tehnice și persoanele implicate.

Versiunea rusească a programului este autorizată de FSB, serviciul de securitate internă al Federației Ruse, și de o structură de control aflată în subordinea Ministerului rus al Apărării.

Nu există deocamdată dovezi publice că parolele instituțiilor irlandeze au fost accesate, transmise în Rusia sau compromise.

Îngrijorarea privește în principal nivelul de încredere necesar atunci când un program care gestionează accesul la sisteme sensibile primește actualizări dintr-un ecosistem tehnic cu legături încă active în Rusia.

State Laboratory folosește programul din 2024

State Laboratory a confirmat că utilizează Passwork din anul 2024.

Instituția efectuează analize chimice și oferă consultanță științifică pentru departamentele guvernamentale și alte organisme publice.

Activitatea sa poate implica informații confidențiale, rezultate ale analizelor și acces la sisteme interne ale statului.

Reprezentanții laboratorului au declarat că detaliile furnizate de investigația jurnalistică au scos în evidență un posibil risc care nu fusese identificat anterior.

Instituția analizează acum produsul, istoricul său și implicațiile folosirii acestuia.

Nu a fost anunțată descoperirea unui incident de securitate și nici compromiterea vreunui cont.

Evaluarea urmărește să stabilească dacă software-ul poate fi folosit în continuare sau dacă trebuie înlocuit.

OPW a cerut opinia centrului național de securitate cibernetică

Office of Public Works folosește Passwork din 2022.

OPW administrează o mare parte din clădirile și proprietățile statului, inclusiv sedii guvernamentale, monumente, spații istorice și infrastructură publică.

După ce a fost contactată de jurnaliști, instituția a cerut opinia National Cyber Security Centre.

Potrivit răspunsului oferit, centrul nu a identificat în acest moment un risc concret sau un incident care să impună o măsură de urgență.

OPW analizează totuși posibilitatea trecerii la o altă soluție pentru administrarea parolelor.

Faptul că nu a fost identificată o compromitere nu înseamnă că toate preocupările au fost eliminate.

Instituțiile trebuie să evalueze și riscurile legate de viitoarele actualizări, accesul furnizorilor la cod și dependența de o companie externă.

Autoritatea pentru protecția consumatorilor a trecut de la firma finlandeză la cea spaniolă

Competition and Consumer Protection Commission a început să utilizeze Passwork în 2022.

Inițial, autoritatea a cumpărat produsul de la compania înregistrată în Finlanda.

Ulterior, serviciul a fost transferat către Passwork Europe SL din Spania.

CCPC a considerat că lucrează cu o companie stabilită în Uniunea Europeană și că produsul era furnizat într-un cadru juridic european.

Investigația a arătat însă că istoria software-ului este mai complicată.

Produsul a fost creat inițial de antreprenori ruși, iar companiile înființate ulterior în Finlanda, Emiratele Arabe Unite și Spania au continuat să folosească o bază tehnică foarte asemănătoare.

CCPC analizează acum informațiile și propria relație cu furnizorul.

Department of Culture nu a confirmat dacă folosește Passwork

Department of Culture, Communications and Sport a refuzat să confirme sau să infirme folosirea programului.

Departamentul a invocat motive de securitate și a precizat că nu comentează în mod obișnuit instrumentele utilizate pentru protejarea sistemelor sale informatice.

Un asemenea răspuns nu demonstrează că instituția este client Passwork.

El arată doar că departamentul nu dorește să ofere informații despre soluțiile sale de securitate.

Investigația s-a bazat pe aproximativ 100 de cereri formulate în baza legislației privind accesul la informații publice.

Aceste demersuri au urmărit identificarea instituțiilor care folosesc produsul și modul în care au fost luate deciziile de achiziție.

Ce este Passwork și de ce contează originea sa

Passwork este un manager de parole destinat organizațiilor.

Programul permite stocarea, generarea și distribuirea parolelor între angajați, cu niveluri diferite de acces și evidențe privind utilizarea.

O instituție poate folosi un asemenea sistem pentru parolele conturilor interne, serverelor, bazelor de date, serviciilor cloud și aplicațiilor administrative.

Din acest motiv, managerul de parole devine unul dintre cele mai sensibile instrumente din infrastructura informatică.

Compromiterea sa poate oferi acces la numeroase alte sisteme.

Majoritatea clienților Passwork folosesc versiunea instalată local, cunoscută drept on-premise.

În această configurație, parolele sunt păstrate pe serverele instituției și nu ar trebui să fie transmise către compania care produce software-ul.

Această protecție reduce un risc important, dar nu îl elimină pe cel reprezentat de actualizările programului.

Riscul poate apărea printr-o actualizare compromisă

Experții consultați de jurnaliști au atras atenția asupra unui scenariu în care o viitoare actualizare ar putea introduce o vulnerabilitate sau o funcție ascunsă.

Nu există dovezi că acest lucru s-a întâmplat în cazul Passwork.

Problema este una de încredere și control asupra lanțului tehnic.

Instituțiile trebuie să știe cine dezvoltă actualizările, cine are acces la cod și ce verificări independente sunt realizate înainte ca o nouă versiune să fie instalată.

Un program de parole poate fi sigur astăzi și poate deveni vulnerabil după o modificare ulterioară.

Din acest motiv, originea furnizorului și independența echipei de dezvoltare sunt importante chiar atunci când datele sunt păstrate local.

Programul a fost creat în Rusia

Passwork a fost creat în urmă cu aproximativ 12 ani în Arhanghelsk, în nordul Rusiei.

Fondatorii au fost Ilya Garakh și Andrey Pyankov, antreprenori activi în domeniul digital.

În 2017, proiectul s-a extins prin înființarea unei firme în Finlanda.

Dezvoltarea a fost sprijinită de investitorul finlandez Pekka Viljakainen, care avea la acea vreme relații apropiate cu mediul de afaceri și politic rus.

Compania explica atunci că o firmă înregistrată într-o țară europeană era necesară pentru a putea vinde produsul în Occident, unde clienții aveau rezerve față de produsele rusești.

După invazia Ucrainei din 2022, structura internațională a afacerii s-a schimbat.

Fondatorii au creat o companie în Emiratele Arabe Unite, iar firma spaniolă a apărut în 2024.

Firma spaniolă spune că a cumpărat drepturile din Emiratele Arabe Unite

Alexander Muntyan, proprietarul Passwork Europe SL, susține că firma sa a cumpărat produsul de la compania din Emiratele Arabe Unite.

El afirmă că Passwork Europe este independentă de compania care operează pe piața rusă.

Potrivit acestuia, asemănările dintre produse provin din faptul că ambele s-au dezvoltat din același proiect software inițial.

Muntyan a recunoscut însă că Ilya Garakh, unul dintre fondatorii versiunii rusești, continuă să ofere sprijin tehnic în cadrul unui transfer de cunoștințe.

Colaborarea ar urma să se încheie în august 2026, după o perioadă de tranziție de doi ani.

Compania europeană primește și actualizări din partea structurii din Emiratele Arabe Unite.

Aceasta este condusă de persoane care au fost implicate și în dezvoltarea afacerii rusești.

Actualizări identice și elemente comune

Investigația a comparat produsele vândute în Europa și Rusia.

Jurnaliștii și specialiștii consultați au identificat funcții identice, manuale similare și actualizări publicate în aceleași zile.

Cele două afaceri au folosit, până de curând, servicii comune de găzduire, sisteme de e-mail și conturi de marketing.

Aceste elemente nu demonstrează că firma spaniolă este controlată direct de compania rusească.

Ele ridică însă semne de întrebare privind afirmația că produsul european este dezvoltat complet independent.

Compania spaniolă susține că separarea este reală și că legăturile rămase sunt temporare și administrative.

Versiunea rusească este autorizată de FSB

Compania Passwork care operează în Rusia deține o autorizație din partea FSB și o licență din partea serviciului federal de control al exporturilor, structură aflată în subordinea Ministerului rus al Apărării.

Pentru obținerea unor asemenea aprobări, codul-sursă trebuie pus la dispoziția autorităților ruse pentru examinare.

Certificarea nu dovedește că programul conține o funcție de acces secret și nici că firma colaborează activ cu serviciile de informații.

Ea arată însă că autoritățile ruse au avut acces la cod și că firma funcționează într-un cadru în care statul poate exercita o influență considerabilă asupra companiilor tehnologice.

Experții spun că această situație trebuie luată în calcul de instituțiile europene care folosesc un produs derivat din aceeași bază software.

Clienți ruși din industria militară

Compania rusească prezintă printre clienții săi instituții publice și mari companii din Federația Rusă.

Lista include și firme sancționate de Uniunea Europeană.

Printre acestea se află companii din energie și industria militară, inclusiv producători implicați în dezvoltarea de armament și rachete.

Firma vinde produsul numai pe piața rusă.

Faptul că versiunea rusească are asemenea clienți nu înseamnă că firma europeană le furnizează servicii.

Problema ridicată de investigație este legătura dintre oamenii, codul și actualizările celor două structuri.

Nu există dovezi privind o compromitere în Irlanda

Niciuna dintre instituțiile irlandeze care folosesc Passwork nu a anunțat accesări neautorizate sau pierderi de date.

Nu există informații publice privind parole trimise către Rusia sau conturi guvernamentale compromise prin intermediul programului.

National Cyber Security Centre nu a comunicat identificarea unui incident.

Analiza aflată în desfășurare este una preventivă.

Instituțiile trebuie să stabilească dacă nivelul de risc este acceptabil, chiar în absența unei dovezi privind un atac.

În securitatea cibernetică, înlocuirea unui produs poate fi justificată și de lipsa clarității privind furnizorul sau lanțul de actualizări.

Ce urmează pentru instituțiile implicate

State Laboratory, OPW și CCPC își revizuiesc acum utilizarea Passwork.

Ele pot decide păstrarea programului, aplicarea unor verificări suplimentare sau trecerea la un alt manager de parole.

O schimbare ar presupune migrarea în siguranță a unui număr mare de conturi și parole.

Instituțiile ar trebui să verifice și dacă toate parolele stocate trebuie schimbate după migrare.

Procesul trebuie realizat cu atenție, deoarece o mutare grăbită poate crea propriile vulnerabilități.

Investigația poate determina și alte instituții publice sau companii private din Irlanda să verifice dacă folosesc produsul și ce versiune au instalată.

Cazul nu demonstrează existența unei operațiuni rusești împotriva statului irlandez.

El arată însă cât de dificil este pentru instituțiile publice să urmărească originea reală a produselor software și toate legăturile dintre companiile care le dezvoltă, le vând și le actualizează.

Chris Danca
Chris Dancahttps://informatiairl.com
Absolvent al specializării Jurnalism în cadrul Michigan State University, Chris Danca este jurnalist, creator de conținut și co-fondator al ediției digitale Informația IRL, platformă dedicată comunității românești din Irlanda.Cu experiență în media digitală, comunicare vizuală și management grafic în industria tipografică din Dublin, Irlanda, activează de peste două decenii în domeniul proiectelor media și al informării online destinate comunității românești din Irlanda.Prin activitatea sa editorială, urmărește să aducă publicului român din Irlanda informații relevante, prezentate într-un mod clar, echilibrat și accesibil, cu accent pe actualitatea locală și subiectele de interes pentru comunitate.

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Popular Articles