Verschillende Europese politici zetten dinsdag een nieuwe stap in een onderzoek naar de Pegasus-spionagesoftware binnen de EU. Onder andere D66-Europarlementariër Sophie in 't Veld wil weten wie de afluistersoftware gebruikt en waarom. Hoe zat dat ook alweer?
Op dinsdagmiddag vindt de eerste hoorzitting plaats van een commissie die eerder dit jaar werd opgezet om het gebruik van Pegasus te onderzoeken. Formeel heet die commissie de 'Enquêtecommissie tot onderzoek van het gebruik van Pegasus en equivalente surveillancesoftware'. Mede-initiatiefnemer daarvan is D66-Europarlementariër Sophie in 't Veld, maar het voorstel voor een onderzoekscommissie wordt door meer dan een klein groepje geleid.
De hoorzitting is hier terug te kijken.
De commissie werd in februari in het leven geroepen door meerdere Europarlementariërs, maar de partij Renew Europe trok de kar. Daarnaast steunde een meerderheid het initiatief om een onderzoekscommissie op te zetten. De voorzitter van de commissie is een Nederlander, Jeroen Lenaers van het CDA. Hij zit de commissie samen met een Hongaar, Spanjaard en Duitser voor.
Pegasus-spyware
Het onderzoek draait om Pegasus, een beruchte spionagesoftware. Die wordt gemaakt door NSO Group. Dat is een van oorsprong Israëlisch bedrijf, maar het werd eerder deze maand overgenomen door het Amerikaanse L3Harris, een controversiële deal die op zichzelf ook al een verhaal waard is. Als je het over NSO hebt, is dat bijna synoniem aan Pegasus. NSO Group maakt ook wat andere software, zoals droneonderscheppingssoftware, maar dat kun je vergelijken met de manier waarop Peugeot naast auto's ook pepermolens maakt. Net zoals Peugeot een autofabrikant is, is NSO de maker van Pegasus. De spyware bestaat al sinds 2011, toen de iPhone nog maar vier jaar oud was, maar werd pas bekend in 2016 toen mensenrechtenorganisatie Citizen Lab zijn bevindingen publiceerde over een poging om activist Ahmed Mansoor te hacken. Zijn iPhone werd aangevallen via een zeroday in iOS, of beter gezegd, een chain van drie zerodays. Daarmee was het mogelijk om de telefoon van een afstand te jailbreaken.
Het volgen van slachtoffers gebeurt exclusief via telefoons. Pegasus is mobiele spyware die, als je er objectief naar kijkt, knap in elkaar lijkt te zitten. De software werkt op meerdere manieren. NSO werkt de software continu bij, zodat er telkens andere exploits worden gebruikt. Daarom zijn veel ontdekkingen over een nieuwe Pegasus-infectie ook weer anders: soms wordt een telefoon geïnfecteerd doordat de gebruiker op een link klikt, maar soms is het zelfs mogelijk om de software te installeren zónder tussenkomst van de gebruiker, geen sinecure op iOS.
Ontdekking na ontdekking na ontdekking
Sinds de eerste ontdekking zijn NSO en Pegasus regelmatig in opspraak gekomen. Een snelle zoektocht levert verhaal na verhaal op van land na land dat Pegasus zou hebben gebruikt om activisten, dissidenten, journalisten en oppositiepolitici te volgen. Daar zit de crux van het probleem waar nu de Pega-commissie voor staat: hoe zit dit nou eigenlijk? De verhalen over NSO en Pegasus komen van organisaties zoals Citizen Lab en Amnesty International, of van media zoals The New York Times en The Guardian en onlangs ook de Volkskrant. In 2021 startten die media een samenwerkingsverband: The Pegasus Project. Dit verband werkt samen om een breed beeld te scheppen van hoe en door wie de spyware precies wordt gebruikt. Omdat NSO Group een privébedrijf is, is het moeilijk om informatie te achterhalen. Tijdens de hoorzitting wilde NSO-vicepresident Chaim Gelfand niet bevestigen welke klanten het bedrijf al dan niet heeft. Wel stelt het bedrijf al jaren dat het strenge eisen aan zijn klanten stelt. NSO levert naar eigen zeggen alleen aan overheden en opsporingsdiensten en niet aan privébedrijven of -personen. En belangrijker: NSO zegt dat het niet levert aan autoritaire regimes.
:strip_exif()/i/2005181536.jpeg?f=imagemedium)
Dat staat haaks op wat NSO doet. Althans, dat is wat blijkt uit de publicaties van media uit The Pegasus Project. Saudi-Arabië zou de spyware hebben gebruikt bij de moord op journalist Jamal Khashoggi en zelfs bij zijn vrouw, de Verenigde Arabische Emiraten gebruikten het om de Britse premier Boris Johnson af te luisteren en de Marokkaanse inlichtingendiensten worden ervan verdacht de Franse politie te hebben gehackt.
Privaat bedrijf
De hoorzitting die op dinsdag plaatsvindt, is niet de eerste zitting van de commissie, maar waarschijnlijk wel de meest aansprekende. In april vond de eerste vergadering plaats. Die ging niet erg de diepte in: een groot deel van de hoorzitting bestond uit het benoemen van het belang van democratie, wetgeving, Europese rechten en mensenrechten. Journalisten en activisten die de onderzoeken hielden, kwamen aan het woord over hun bevindingen. Daarnaast werden er vooral vragen gesteld over wat er in de eerste plaats precies moest worden onderzocht. Wat wordt bijvoorbeeld de omvang van het onderzoek: gaat het alleen om Europese landen die Pegasus gebruiken, of wordt er ook gekeken naar buitenlandse landen zoals de Verenigde Arabische Emiraten die de spionagesoftware inzetten tégen Europese landen? Een belangrijk vraagstuk is ook hoe de politici de informatie precies gaan achterhalen. Sophie in 't Veld vroeg zich onder andere af welke informatie NSO precies verzamelt van haar leden, maar erkende daarbij ook dat NSO die informatie waarschijnlijk niet gaat delen.
Dubieuze regimes
NSO is vaag over zijn klanten en wie de software wel of niet gebruikt
Tijdens de hoorzitting van dinsdag kwam NSO aan het woord, bij monde van Chaim Gelfand, de vicepresident van het bedrijf. Vanaf zijn openingspraatje wordt al duidelijk dat de parlementariërs weinig antwoorden zullen krijgen. "Ik ga niets zeggen over onze klanten en contracten", zegt Gelfand. Dat weerhoudt de Europarlementariërs er niet van daar alsnog op door te vragen, maar één andere vraag komt daarin ook naar boven: op basis van welke criteria bepaalt NSO welke landen de spyware wel of niet mogen gebruiken? Sophie in 't Veld vroeg bijvoorbeeld wat NSO nou eigenlijk weet van zijn klanten. Het bedrijf zegt geen data te verzamelen over slachtoffers, maar, vroegen de politici, hoe weet het bedrijf dan of de software wordt misbruikt of niet? Opvallend is dat de parlementariërs willen weten of Bulgarije, Hongarije en Polen de software gebruiken. Zo kwam eind vorig jaar naar buiten dat een Poolse oppositiepoliticus door Pegasus was getroffen. Daar kon NSO niks over zeggen. Gebruikt Hongarije de spyware tegen dissidenten of journalisten? Dat zegt NSO niet, maar 'onze eisen zijn streng'.
De antwoorden van Gelfand leken weinig te overtuigen. Hij ontweek, verwees naar mensenrechtenverdragen en wapenleverantiewetten, maar ook naar geheimhoudingsverklaringen, vertrouwelijkheid en veiligheid. "Pegasus is software die gebruikt wordt om de wereld veiliger te maken." Die conclusie leek bij In 't Veld en haar collega's niet aan te komen. Na een tijd wist Gelfand wel te zeggen dat vijf Europese landen gebruikmaken van de software, al zei hij niet welke. Bij een land zou de toestemming voor het gebruik zijn ingetrokken.
Een harde conclusie komt er nog niet uit de hoorzitting. Die volgt, naar verwachting, pas over een jaar, als het helemaal is afgerond en er meer hoorzittingen zijn geweest.
/i/2004608956.png?f=fpa)
:strip_exif()/i/2005342966.jpeg?f=fpa)
:strip_exif()/i/2004648162.jpeg?f=fpa)
/i/2004628264.png?f=fpa)
:strip_exif()/i/2004648156.jpeg?f=fpa)
/i/2004779058.png?f=fpa)
/i/2005342978.png?f=fpa)
:strip_exif()/i/2004808610.jpeg?f=fpa)
/i/2004612784.png?f=fpa)
:strip_exif()/i/2000614887.jpeg?f=fpa)
/i/2005083848.png?f=fpa)
/i/2004675756.png?f=fpa)
:strip_icc():strip_exif()/u/23091/cyberspin.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/515257/crop5c644ce1a6a54_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/448966/crop62a741840cd69_cropped.jpg?f=community){kind=small}