Jarenlang verdedigden bedrijven die overheidsspyware verkochten hun producten als instrumenten die gereserveerd waren voor het aanvallen van gevaarlijke criminelen en terroristen in uitzonderlijke omstandigheden. Het toenemende bewijsmateriaal uit talloze gedocumenteerde gevallen over de hele wereld schetst echter een drastisch ander beeld.
Journalisten, mensenrechtenactivisten en zelfs politici zijn het slachtoffer geworden van deze opdringerige technologieën, zowel in autoritaire regimes als in democratieën. Het recente geval van een Italiaanse politieke adviseur die samenwerkte met linkse partijen laat zien hoe spyware zich verspreidt tot ver buiten het beperkte bereik dat aanvankelijk door de leveranciers werd beweerd. Dit is geen geval van geïsoleerde ‘zeldzame’ aanvallen; In plaats daarvan exploiteren overheden deze krachtige instrumenten om een breder scala aan individuen in de gaten te houden dan eerder werd gedacht.
Eva Galperin, directeur cybersecurity bij de Electronic Frontier Foundation en al jarenlang spyware-onderzoeker, verduidelijkt deze misvatting: “Als u het doelwit bent van overheidsspyware, bent u geen publieke vijand nummer één”, legt ze uit. “Het is veel te gemakkelijk geworden om mensen te targeten, dus we zien dat regeringen surveillance-malware gebruiken tegen een reeks individuen: kleine politieke tegenstanders, activisten en journalisten.”
Verschillende factoren dragen bij aan deze alarmerende trend.
Ten eerste creëert de manier waarop spyware wordt verkocht een inherente prikkel tot misbruik. Inlichtingendiensten kopen deze systemen doorgaans aan tegen een eenmalige vergoeding voor de aanschaf van technologie, gevolgd door doorlopende steunbetalingen. De initiële prijs hangt vaak af van het aantal gelijktijdige doelwitten dat het bureau wenst: hoe meer potentiële slachtoffers, hoe hoger de kosten. Uit gelekte documenten van het ter ziele gegane Hacking Team blijkt dat sommige politie- en overheidsklanten overal tegelijk toezicht konden houden, van een handvol tot mogelijk onbeperkte apparaten. Hoewel democratische landen doorgaans minder gelijktijdige doelwitten hebben, kiezen landen met een zorgwekkende staat van dienst op het gebied van de mensenrechten vaak voor enorme surveillancecapaciteiten. Deze dynamiek heeft geresulteerd in gedocumenteerd spywaremisbruik tegen journalisten en activisten door onder meer Marokko, de Verenigde Arabische Emiraten en Saoedi-Arabië.
Ten tweede is moderne spyware zoals NSO’s Pegasus of Paragon’s Graphite ongelooflijk gebruiksvriendelijk. Deze systemen functioneren in wezen als consoles waar overheidsfunctionarissen een telefoonnummer invoeren, waardoor op de achtergrond automatisch toezicht wordt uitgeoefend. Dit gebruiksgemak vergroot de ‘misbruikverleiding’ die inherent is aan zulke krachtige technologie, zoals opgemerkt door John Scott-Railton, een senior onderzoeker bij The Citizen Lab die al meer dan tien jaar onderzoek doet naar spywarebedrijven. Hij benadrukt de dringende noodzaak om overheidsspyware te behandelen als een ernstige bedreiging voor democratische processen en verkiezingen.
Ten slotte moedigt het gebrek aan transparantie en verantwoordingsplicht rond deze instrumenten regeringen aan om ze met roekeloze overgave te gebruiken. De straffeloosheid waarvan de daders genieten bij het gebruik van deze uitzonderlijk invasieve technologie tegen zelfs kleine tegenstanders, doet ernstige zorgen rijzen over de ongecontroleerde verspreiding ervan.
Ondanks deze uitdagingen zijn er sprankjes hoop. Paragon verbrak eerder dit jaar de banden met de Italiaanse regering nadat het publiekelijk de wijze waarop het land omging met vermeend spyware-misbruik waarbij zijn product betrokken was, betwistte. NSO Group heeft de afgelopen jaren ook bekendgemaakt dat tien overheidsklanten de verbinding hebben verbroken wegens misbruik van zijn technologie, hoewel het onduidelijk blijft of dit ook beruchte gevallen omvat die verband houden met Mexico en Saoedi-Arabië.
Er zijn onderzoeken gestart naar misbruik van spyware in landen als Griekenland en Polen. De regering-Biden legde sancties op aan bedrijven als Cytrox, Intellexa en NSO Group, waardoor ze feitelijk op economische blokkeerlijsten werden geplaatst. Bovendien probeert een coalitie van voornamelijk westerse landen onder leiding van Groot-Brittannië en Frankrijk de mondiale spywaremarkt via diplomatieke kanalen te beteugelen.
Het valt nog te bezien of deze inspanningen een significante impact zullen hebben op de snelgroeiende miljardenindustrie die graag krachtige surveillance-instrumenten wil leveren aan regeringen die schijnbaar geen grenzen hebben aan hun doelstellingen.
