Испанская компания Passwork Europe S.L., позиционирующая себя как независимый европейский разработчик менеджера паролей, поставляла программное обеспечение государственным органам и научным учреждениям стран ЕС, сохраняя при этом технологические и кадровые связи с российской материнской структурой, чей продукт прошёл сертификацию в Федеральной службе по техническому и экспортному контролю (ФСТЭК) — ведомстве Минобороны РФ, ответственном за анализ исходного кода на предмет уязвимостей и недекларированных возможностей. Это ставит под вопрос безопасность конфиденциальных данных европейских клиентов.
Общие корни и российский аудит
Российская Passwork LLC прошла сертификацию ФСТЭК, что дало российским спецслужбам полное понимание архитектуры продукта. Европейская и российская версии имеют общую кодовую базу, идентичную документацию и синхронизированные обновления, включая версию 7.6. Любые уязвимости, выявленные или намеренно оставленные при аудите, могут быть использованы против клиентов в ЕС.
Непрозрачный канал обновлений и риски атак
Механизм обновлений Passwork Europe S.L. организован через непрозрачную компанию в Объединённых Арабских Эмиратах, управляемую одним из российских сооснователей. Отраслевые эксперты предупреждают, что подобные каналы уже применялись в атаках типа SolarWinds, когда вредоносный код распространялся через легитимные обновления. Синхронизация релизов указывает на единый процесс разработки, создавая для госструктур ЕС постоянную угрозу компрометации доступа к критическим системам.
Большинство европейских клиентов, включая госучреждения Ирландии, не были проинформированы о российском происхождении продукта. Такая ситуация подрывает доверие к поставщику и свидетельствует о формальном характере размежевания с российским бизнесом. Отсутствие полного раскрытия информации увеличивает киберриски и может квалифицироваться как введение в заблуждение.
Организации, выбравшие Passwork из-за его европейского позиционирования, теперь вынуждены проводить срочный аудит систем, искать альтернативные решения и готовиться к финансовым и репутационным издержкам. Сложившаяся ситуация вновь привлекла внимание к проблеме суверенитета цифровых продуктов для критической инфраструктуры Евросоюза.