Luotettava eurooppalainen salasananhallinta osoittautui venäläistaustaiseksi – näin arvioit työkalun turvallisuuden
Työkalun koko lupaus on luottamus. OCCRP:n tutkinta kertoo, että Euroopan- ja Venäjän-versiot jakavat saman koodipohjan ja päivityskanavan valtiosertifioidun venäläisyhtiön kanssa.
Tiivistelma
Yle ja OCCRP:n johtama tutkinta kertovat, että eurooppalaisena myyty Passwork-salasananhallinta on alkuperältään venäläinen ja jakaa koodipohjan FSTEC- ja FSB-sertifioidun yhtiön kanssa. Passwork on viranomais- ja yritystuote, mutta tapaus opettaa, miten kuka tahansa arvioi salasananhallinnan luotettavuuden: lainkäyttöalue, omistus, auditointi, avoin koodi ja se, missä salausavaimet sijaitsevat.
Salasananhallinnan koko myyntipuhe on luottamus. Käyttäjä uskoo arkaluonteisimmat tunnuksensa yhdelle työkalulle, koska luottaa sen suojaavan niitä. Sitä taustaa vasten on erikoinen uutinen, että luotettavana eurooppalaisena markkinoitu Passwork paljastui alkuperältään venäläiseksi.
Ylen mukaan kyseessä on OCCRP:n johtama rajat ylittävä tutkinta, jossa olivat mukana myös The Irish Times ja muita eurooppalaisia medioita. Tutkinta kertoo, että Passwork, itse-isännöitävä salasana- ja salaisuuksienhallinta, on juuriltaan venäläinen.
Perustajat Ilja Garakh ja Andrei Pjankov rekisteröivät passwork.ru:n Arkangelissa. Yle kertoo kaksikon voittaneen vuonna 2017 Kreml-taustaisen Skolkovo-säätiön kilpailun.
Venäläisyhtiöllä on FSTEC- ja FSB-sertifioinnit. FSTEC-määräys numero 76 edellyttää lähdekoodin toimittamista tarkastettavaksi, jotta siitä voidaan etsiä haavoittuvuuksia tai ilmoittamattomia ominaisuuksia. Toimittajat eivät kuitenkaan voineet vahvistaa, mitä aineistoa todella luovutettiin.
Ukrainalainen asiantuntija Oleksandr Frolov pitää pääsyä uskottavana. Kyse on arviosta, ei todisteesta.
– FSB pystyisi hyvin todennäköisesti saamaan pääsyn joko laillisin tai epävirallisin keinoin, Frolov arvioi.
Tutkinnan tekninen ydin on koodissa. Euroopan- ja Venäjän-versiot jakavat saman koodipohjan. Tutkija Lukasz Olejnik löysi versioista 517 riviä käytännössä identtistä asennusskriptiä.
Päivitykset ilmestyvät lähes yhtä aikaa. Versio 7.6 julkaistiin Venäjällä 6. huhtikuuta ja Euroopassa 7. huhtikuuta. Asiantuntijat pitävät juuri jaettua päivitysmekanismia keskeisenä hyökkäysvektorina, samaan tapaan kuin SolarWinds-tapauksessa.
Miksi juuri päivityskanava huolettaa? Sen kautta ohjelmisto uudistuu automaattisesti, ja käyttäjä hyväksyy uuden koodin harkitsematta. Jos sama koneisto tuottaa sekä Venäjän- että Euroopan-version päivitykset, luottamus lepää sen varassa, ettei kanavaa käytetä väärin.
Toimitusketjuhyökkäys (supply-chain)
Hyökkääjä ei murtaudu suoraan kohteeseen vaan saastuttaa ohjelmiston päivityskanavan. Luotettu ja allekirjoitettu ohjelma tuo haitallisen koodin sisään itse, tavallisen päivityksen mukana.
Toinen puoli on syytä sanoa yhtä selvästi.
Euroopan-versiossa asiakas isännöi datan itse, ja salaus tapahtuu client-side-periaatteella niin, ettei palveluntarjoaja näe sisältöä. Se lieventää riskiä oikeasti.
Passwork Europe S.L.:n toimitusjohtaja Alexander Muntyan kiistää operatiiviset kytkökset mutta myöntää yhteisen koodipohjan alkuperän. Garakh antaa siirtymäkaudella rajallista tuotetietoon liittyvää tukea UAE-yhtiön kautta, ja kausi päättyy elokuussa 2026. Muntyan poisti sivustolta venäläiskytköksen kiistävät väitteet OCCRP:n yhteydenoton jälkeen.
Suomeen johtaa oma lankansa. Yrittäjä Pekka Viljakainen, joka on saanut Putinilta ystävyysmitalin, tapasi Garakhin Skolkovossa. Viljakaisen perheyhtiö Aii Corporation otti 30 prosenttia Passwork Oy:stä, kun perustajille jäi 35 prosenttia kummallekin.
Viljakainen kertoo katkaisseensa Venäjä-siteensä sodan ja pakotteiden takia, eikä hänellä ole tietoa Passworkin toiminnasta viime vuosina. Yle ei löytänyt suomalaisia yritysasiakkaita Viljakaisen omia yhtiöitä lukuun ottamatta, ja ne käyttävät työkalua yhä. Suomalaisviranomainen ei ole toistaiseksi reagoinut.
Irlannissa tilanne on toinen. Siellä työkalua on käytetty valtion elimissä, muun muassa julkisia rakennuksia hallinnoivassa OPW:ssä, ja nämä arvioivat nyt riskiä.
Salasananhallinta on juuri sellainen tuote, jonka vaihtaminen on organisaatiolle hidasta ja kallista. Käyttäjätunnukset, jaetut salaisuudet ja integraatiot on siirrettävä toiseen järjestelmään, testattava ja koulutettava henkilöstölle, joten moni organisaatio punnitsee riskiä pitkään ennen kuin ryhtyy vaihtoon.
Mitä tehdä
Passwork on yrityksille ja viranomaisille suunnattu tuote, joten harva kuluttaja käyttää sitä. Tapaus opettaa silti tavan, jolla mitä tahansa salasananhallintaa voi punnita. Mieti viittä asiaa:
- Lainkäyttöalue ja omistus. Minkä maan lakien alaisuudessa yhtiö toimii ja kuka sen todella omistaa?
- Riippumaton auditointi. Onko koodi tarkastettu ulkopuolisen toimesta ja onko raportti julkinen?
- Avoin vai suljettu lähdekoodi. Avoin koodi antaa kenen tahansa tarkistaa väitteet itse.
- Datan ja avainten sijainti. Toimiiko salaus zero-knowledge-periaatteella niin, ettei palveluntarjoaja pääse salasanoihisi?
- Päivityskanava. Kuka voi työntää koodia laitteellesi ja millä ehdoilla?
Näitä kriteerejä täyttäviä esimerkkejä ovat muun muassa avoimen lähdekoodin Bitwarden, 1Password, sveitsiläinen Proton Pass ja täysin paikallinen KeePass. Nämä eivät ole tässä mainoksina vaan esimerkkeinä siitä, miltä kriteerien täyttyminen käytännössä näyttää. Yksikään työkalu ei ansaitse luottamusta pelkän markkinointipuheen perusteella, olipa kotimaaksi ilmoitettu mikä tahansa.
Organisaatioille Kyberturvallisuuskeskus antaa omat ohjeensa osoitteessa kyberturvallisuuskeskus.fi. Jää nähtäväksi, reagoivatko suomalaiset viranomaiset ennen kuin siirtymäkausi päättyy elokuussa.
Lahteet
- Yle (17.07.2026)
- OCCRP (17.07.2026)
- The Irish Times (17.07.2026)