Wat maakt het gebruik van Israëlische hacksoftware zo omstreden?
Stel je voor dat je - zonder dat diegene het merkt - toegang kunt krijgen tot iemands telefoon. Dat is in het kort wat er mogelijk is met de Israëlische hacksoftware Pegasus. Daarmee wordt gezocht naar zwakke plekken in de beveiliging van telefoons, die vervolgens een ingang vormen om binnen te komen. Ook de Nederlandse AIVD maakt hier gebruik van, meldde de Volkskrant vanochtend.
Maar de maker, de NSO Group, is omstreden. De software is bedoeld om zware criminaliteit en terrorisme aan te pakken. Inlichtingen-, opsporingsdiensten en legers in veertig landen zijn klant bij het bedrijf. Het gaat onder meer om Rwanda, India, Bahrein, Saudi-Arabië en Azerbeidzjan. Maar de software is ook ingezet tegen journalisten, mensenrechtenactivisten en politici. Dat roept de vraag op of de AIVD hier wel mee moet werken.
Op welke schaal de software wordt gebruikt door de AIVD, is niet duidelijk. De krant meldt wel dat de software is ingezet bij de opsporing van topcrimineel Ridouan Taghi. In hoeverre de hacksoftware doorslaggevend was bij zijn aanhouding, is onbekend.
Het ministerie van Binnenlandse Zaken en de AIVD wilden vandaag tegenover de NOS niet reageren op de berichtgeving.
'Afhankelijkheid onverstandig'
"Het is niet handig om jezelf afhankelijk te maken van andere partijen in zaken die zo gevoelig liggen en belangrijk zijn", reageert Ronald Prins. Hij was tussen 2018 en 2020 lid van de Toetsingscommissie Inzet Bevoegdheden, die toezicht houdt op inlichtingendiensten AIVD en MIVD. Tegenwoordig heeft hij weer zijn eigen cybersecuritybedrijf.
Hij wijst erop dat een geheime dienst zich op deze manier afhankelijk maakt van de infrastructuur van de leverancier van de software. "Dat is onveilig en brengt een risico met zich mee. Daarnaast is er vanuit Israël heel goed zicht op wie deze software gebruikt. Ik denk dat de overheid daar vrij makkelijk kan meekijken."
Tegelijkertijd is Prins wel voorstander van de mogelijkheid om te hacken. "Mits er goed toezicht is en je het in eigen hand houdt. Misschien is Nederland daar te klein voor, maar doe het dan samen met bijvoorbeeld de Fransen, de Engelsen of met Scandinavische landen."
Eerder dit jaar maakte NOS op 3 een explainer over de hacksoftware:
Groot onderzoek wees vorig jaar uit dat de software op grote schaal is ingezet om journalisten, mensenrechtenactivisten en advocaten te hacken. De Franse organisatie Forbidden Stories had een lijst met 50.000 namen en telefoonnummers van mensen die mogelijk doelwit waren.
Uit onderzoek van onder meer The Guardian bleek dat de hacksoftware is ingezet rond de moord op journalist Jamal Khashoggi in Turkije. Bewijs wees in de richting van Saudi-Arabië en de Verenigde Arabische Emiraten die via Pegasus probeerden om mensen om Khashoggi heen te volgen. Ook het Turkse onderzoek naar de dood van Khashoggi wilden ze volgen. De NSO Group ontkende dat hun software hiervoor was ingezet.
Mensenrechtenorganisatie Amnesty International was vorig jaar nauw betrokken bij het grote onderzoek. Woordvoerder Ruud Bosgraaf zegt dat zijn organisatie niet tegen het gebruik van Pegasus is. "Maar zolang er geen garanties zijn dat de software niet wordt gebruikt tegen journalisten en mensenrechtenactivisten, moet je het niet gebruiken." Dat geldt dus ook voor Nederland, zegt hij.
Schandaal in Spanje
De afgelopen maanden was de software van het Israëlische bedrijf het middelpunt van een groot schandaal in de Spaanse politiek. Allereerst bleek dat meer dan zestig Catalaanse politici en activisten doelwit waren. Vervolgens werd duidelijk dat ook de Spaanse premier de software op zijn telefoon had. Wie hierachter zit, is nog altijd niet duidelijk.
Met de NSO Group zelf gaat het inmiddels bergafwaarts. Vorig jaar heeft de VS het bedrijf op een sanctielijst gezet; Amerikaanse bedrijven mogen geen handel meer drijven met NSO, tot woede van de Israëliërs.
Ook lopen er rechtszaken tegen het hackbedrijf van techconcerns Meta en Apple. Investeerders die het bedrijf drie jaar geleden kochten voor 1 miljard dollar, zeggen nu dat de NSO Group waardeloos is.
