‘Stop de handel en je stopt het probleem’

Klokkenluider Edward Snowden, die in 2013 de illegale surveillancepraktijken van de Amerikaanse inlichtingendienst NSA aan de kaak stelde, reageert geschokt op de bevindingen van het Pegasus Project. ‘Een particulier bedrijf dat telefoons hackt op dezelfde manier als de NSA: dat zou ons meer angst moeten inboezemen dan wat dan ook.’

Weinigen weten meer over illegale surveillancepraktijken en de gevolgen ervan dan klokkenluider Edward Snowden. In juni 2013 speelde de NSA-consultant journalisten van The Washington Post en The Guardian geheime documenten toe, waaruit bleek dat de Amerikaanse veiligheidsdienst zijn burgers onrechtmachtig bespioneerde. Sindsdien wordt Snowden in de VS gezocht voor spionage. Rusland verleende hem asiel, en het is van daaruit dat hij reageert op de bevindingen van het Pegasus Project.

Edward Snowden:Het is ronduit schokkend, vooral als je weet dat het gaat om 50.000 telefoonnummers van burgers in wellicht een tiental landen. Als doelwitten zien we journalisten, regeringsfunctionarissen, oppositieleden, mensenrechtenactivisten ook. Dat is verschrikkelijk. In 2013 wisten we al dat surveillancetools werden misbruikt, maar dat gebeurde uitsluitend in opdracht van overheden die grotendeels voor zichzelf werkten en zich daarbij lieten ondersteunen door commerciële aanbieders. Het had nog iets legitiems, er waren procedures aan verbonden.

Wat het Pegasus Project onthult, is dat de NSO Group representatief is voor een nieuwe markt van schadelijke software, van bedrijven die zich niets aantrekken van de bestaande regelgeving. Ze zeggen: ‘Wij verkopen die software alleen maar, we weten niet waarvoor hij gebruikt zal worden, wij zijn niet verantwoordelijk.’

Tegelijkertijd is NSO Group betrokken geweest bij andere schandalen, bijvoorbeeld de moord op Jamal Khashoggi (de Saudische columnist van The Washington Post werd in 2018 gemarteld en vermoord in het Saudische consulaat in Istanbul, nvdr). Toen zei NSO: ‘O, we hebben daar niets mee te maken. We hebben het onderzocht en ontdekt dat onze producten niet werden gebruikt.’ Maar hoe kan dat, als ze niet weten op wie hun klanten zich richten met hun software? Er zijn dus slechts twee mogelijkheden. Ofwel kent NSO iedereen die het doelwit is van zijn software, en is het dus medeverantwoordelijk. Ofwel weten ze niet wie het doelwit was, wat betekent dat betrokkenheid bij de moord op Khashoggi ontkennen een cynische leugen was. Volgens mij is dat wat we nu te zien krijgen: deze industrie, die puur uit winstbejag inbreekt in de software-industrie, is gebaseerd op een leugen. Ze zeggen dat ze het doen om levens te redden, maar hun product wordt elke dag gebruikt om mensen te bespioneren die geen legitieme doelen zijn.

Wat is volgens u de belangrijkste onthulling van het Pegasus Project?

Snowden: Dat die spyware overal aanwezig is. We zien nu waar NSO Group toe in staat is, maar dat is slechts een van de vele bedrijven die hetzelfde doen. Het Pegasus Project heeft onthuld dat ze geen beveiligsproducten maken, maar wel infecties verspreiden. Ze maken geen vaccins. Het enige wat ze verkopen is het virus. Dit is een industrie die niet zou mogen bestaan. Ze verkopen geen producten. Ze stoppen mensen in de gevangenis, ze laten hen vermoorden. Daarom is het Pegasus Project zo belangrijk. Dergelijke onthullingen, het op zo’n grote schaal bekendmaken van details uit opgeslagen data, hebben we nooit eerder meegemaakt.

U noemde smartphones ooit de ‘spion in je broekzak’. Is dit de bevestiging daarvan?

Snowden: Ik denk dat het erger is. Ik had het toen over de mogelijkheid dat die dingen met het mobieletelefoonnetwerk in contact staan en je locatie traceren – Facebook dat je bespioneert, zeg maar. Dat zijn echter grotendeels commerciële programma’s voor commerciële doeleinden. Wat we nu zien, zijn mensen die een industrie creëren om telefoons te hacken. Ze nemen de controle over een telefoon volledig over en zetten hem in tegen de mensen die hem kochten en ervoor betaalden. Dit is een moedwillige aanval op kritieke infrastructuur waarop iedereen hoort te kunnen vertrouwen.

David Kaye, de voormalige rapporteur voor de mensenrechten bij de Verenigde Naties, zei dat de wereldwijde bewakingsindustrie uit de hand is gelopen. Heeft hij gelijk?

Snowden: Dat is overduidelijk. Surveillance met behulp van privébedrijven bestond ook in het verleden al. Bedrijven maakten afluisterapparatuur en verkochten die aan overheden en politiediensten, die vervolgens een bevelschrift of een inbraak nodig hadden om ze bij iemand te installeren. Zulke operaties zijn moeilijk en duur, dus wordt er alleen gebruik van gemaakt als ze in verhouding staan tot de dreiging die van een situatie uitgaat. Als ze hetzelfde kunnen doen op afstand, goedkoop en zonder risico, houdt niets hen tegen om dat voortdurend te doen, zelfs als het gaat om mensen die van marginaal belang zijn. Dat is wat die lijst van 50.000 doelwitten laat zien. Je kunt geen 50.000 huizen afluisteren. Er is gewoon niet genoeg gespecialiseerde mankracht in al die landen om al die mensen te surveilleren. Maar als ze bij de telefoon in je broekzak kunnen, lukt hen dat wel.

Wie moet ons de meeste angst inboezemen: de NSA of NSO?

Snowden: Die vraag werd mij ook in 2013 gesteld. Mensen zeiden: waarom maak je je zorgen over de overheid als er commerciële bedrijven zijn die mensen op dezelfde manier bespioneren? Ze dachten toen aan Facebook, Google of Amazon. En het antwoord was altijd: ‘Hoe verschrikkelijk de praktijken van zulke bedrijven ook zijn, ze kunnen je niet in de gevangenis stoppen. Ze kunnen geen raket op je auto afvuren. Ze kunnen geen droneaanvallen bevelen. Dus laten we ons eerst richten op de overheid, en – nadat we de overheden hervormd hebben – dan pas op de bedrijven.’

Welnu, er zijn geen hervormingen doorgevoerd. Het probleem is dat we sinds 2013 bedrijven zoals de NSO Group hebben zien ontstaan, een particulier bedrijf dat telefoons hackt op dezelfde manier als de NSA dat zou kunnen. Dat zou ons meer angst moeten inboezemen dan wat dan ook.

Wie moeten we ter verantwoording roepen? De bedrijven of de overheden die zulke spyware gebruiken?

Snowden: Iedereen. Maar daar mag het niet bij blijven. Er moet ook een strafrechtelijke aansprakelijkheid komen voor betrokkenheid bij deze markt, en een wereldwijd moratorium op de commerciële handel in veiligheidslekken en verspreiders van lekken. We moeten deze handel verbieden, zorgen dat er geen winst meer mee gemaakt kan worden. Daarnaast moeten we ons de vraag stellen of deze bedrijven zo succesvol waren geworden en zo’n wereldwijd bereik hadden gehad indien onze regelgeving niet had gefaald. De afgelopen tien jaar heeft Europa gedacht dat het dit soort dingen wel onder controle zou kunnen houden, gebruikmakend van technische relicten uit de tijd van de Koude Oorlog. Wat we vandaag zien, is dat dat niet volstaat. De enige oplossing is de wetten veranderen, zodat die bedrijven geen winst meer maken. Stop de handel en je stopt het probleem. Doe je dat niet, dan krijgen we 50 miljoen in plaats van 50.000 doelwitten. En dat zal veel sneller gebeuren dan we verwachten.

Wat kunnen de mensen doen om zichzelf te beschermen?

Snowden: Wat kunnen mensen doen om zich tegen kernwapens te beschermen? Of tegen chemische of biologische oorlogsvoering? Er zijn bepaalde zaken waartegen geen bescherming mogelijk is, en daarom proberen we de verspreiding van zulke technologieën te beperken. We staan geen commerciële markt in nucleaire, chemische of biologische wapens toe, maar aan deze digitale infectieverspreiders doen we niets. De verkoop van dit soort inbraaktechnologie een halt toeroepen is de enige manier waarop we onszelf kunnen beschermen.