PlusAchtergrond

Groeiende zorgen over spionagesoftware na Spaans afluisterschandaal

Nu Spanje het zoveelste land is waar een schandaal is losgebarsten rond de spionagesoftware Pegasus, groeien ook de zorgen in Nederland. Tot nog toe zijn er geen aanwijzingen dat ook hier politici worden afgeluisterd, maar experts waarschuwen: in de mobiele telefoon is niets veilig.

Raymond Boere en Tobias den Hartog
Spaans premier Pedro Sánchez blijkt ook slachtoffer te zijn van de spionagesoftware Pegasus. Beeld AFP
Spaans premier Pedro Sánchez blijkt ook slachtoffer te zijn van de spionagesoftware Pegasus.Beeld AFP

In Spanje gaat het al dagen nergens anders over. Geheime software waarmee het Israëlische bedrijf NSO kan meekijken op mobiele telefoons is gevonden op het apparaat van de Spaanse premier Pedro Sánchez en van de minister van Defensie. Het volgt op het nieuws van twee weken geleden toen duidelijk werd dat 63 Catalaanse politici en activisten Pegasus op hun telefoon hadden. Wie er achter de hacks zit, is niet duidelijk. Maar de ‘meegluuders’ kregen gigabytes aan gevoelige informatie tot zich.

De Spaanse rel is de zoveelste sinds vorig jaar zomer bleek dat 50.000 telefoonnummers geïnfecteerd zouden zijn met het nagenoeg onzichtbare spionageprogramma. Pegasus wordt volgens hackersexpert Rickey Gevers via berichten naar telefoons gestuurd om die te kunnen afluisteren. Soms gebeurt dat met een bericht dat afkomstig lijkt van vrienden. Wie op de link klinkt is geïnfecteerd. Hiermee kan de besturing van de telefoon worden overgenomen. Tegen betaling van honderdduizenden euro’s kan Pegasus zelfs worden geïnstalleerd zonder zichtbaar linkje en zonder dat de gebruiker ook maar iets vermoedt.

Essentieel gereedschap

Het bedrijf achter de spionagesoftware, NSO uit Israël, stelt dat het alleen verkoopt aan overheden en pas nadat de Israëlische regering toestemming daarvoor heeft gegeven. Daarmee is het essentieel gereedschap voor geheime diensten. De Mexicanen lukte het met dit cyberwapen bijvoorbeeld om drugsbaas El Chapo te kunnen oppakken.

Maar vorig jaar bleek uit een groot onderzoek dat niet alleen de zwaarste criminelen worden gevolgd met Pegasus. Ook activisten, journalisten en politieke leiders waren doelwit. Franse media berichten dat de Franse president Macron op deze wijze zou zijn afgeluisterd door de Marokkaanse geheime dienst. Volgens Amnesty International is er ook bewijs dat familieleden van de Saudische journalist Jamal Khashoggi doelwit waren, voor en na zijn moord op 2 oktober 2018. Zelfs Amazonbaas Jeff Bezos viel ten prooi aan Pegasus, wat uiteindelijk leidde tot ’s werelds duurste scheiding ooit omdat zo zijn buitenechtelijke affaire aan het licht kwam.

Ook in Nederland leidde het nieuws tot verhoogde paraatheid bij het Nationaal Cyber Security Centrum in Den Haag. Maar de conclusie was toen en is volgens een woordvoerder nog steeds dat er geen aanwijzingen zijn ‘dat er Nederlandse belangen zijn geraakt’. Het advies was om geen mobiele telefoons te gebruiken voor vertrouwelijke gesprekken en ook dat geldt nog steeds.

De Europese Commissie is inmiddels een onderzoek gestart naar de vraag of overheden de spionagesoftware hebben gebruikt om politici, advocaten en journalisten af te luisteren. De Nederlandse Europarlementariër Jeroen Lenaers (CDA) zit de onderzoekscommissie voor. De Europese toezichthouder voor gegevensbescherming pleitte in februari nog voor een verbod op het gebruik ervan.

Heimelijk volgen

Maar met een verbod schiet Europa volgens cyberexpert Ronald Prins zichzelf in de voet. Daarmee wordt het werk van geheime diensten alleen maar moeilijker. Zij gebruiken dit soort computerprogramma’s om terroristen of de meest gezochte criminelen heimelijk te kunnen volgen. Zolang veelgebruikte berichtenapps niet verplicht worden om achterdeurtjes open te houden waarmee politie en geheime diensten onder strikte voorwaarden ‘kunnen meekijken’, zijn dit volgens hem essentiële middelen om terroristen in kaart te kunnen brengen.

Volgens Prins is de tijd nu wel aangebroken eens goed na te denken of het nog wel verstandig is in zee te gaan met buitenlandse bedrijven die spionagesoftware op de markt brengen, zoals NSO. “Je helpt nu vage bedrijven in leven te houden die ook aan regimes leveren die met behulp van deze software operaties uitvoeren waar je niet achter kan staan.” In zee gaan met dit soort bedrijven brengt ook risico’s met zich mee. NSO ligt nu onder een vergrootglas. Wie weet trekken ze over een paar maanden de stekker eruit. “Dan sta je als afnemer met lege handen.”

Bovendien is het volgens Prins goed voorstelbaar dat deze bedrijven kunnen meekijken wie er worden afgeluisterd. “Dat is weer hele waardevolle informatie voor Israël. Wil je dat die informatie ook bij anderen ligt?”

Prins pleit ervoor dat de Nederlandse politie en geheime dienst zelf spionagesoftware bouwen en beheren. Als ze het al gebruiken, want daarover doen ze heel geheimzinnig. Nederlandse hackers zijn volgens hem slim genoeg om het zelf te maken. “Alleen nu mag het wettelijk niet. Uit angst dat Nederland een staat is die burgers 24 uur per dag volgt zijn er allerlei drempels opgeworpen om dat te voorkomen. Maar als we het in eigen beheer hebben, kunnen zelf controleren hoe bonafide we ermee omgaan.”

Meer over