De Europese voorzorgsmaatregelen voor het gebruik en de export van spyware hebben ernstige tekortkomingen, zo blijkt uit een rapport van Amnesty International en de onderzoeksgroep EIC. Daar komt bij dat noch de individuele landen, noch de Europese Instellingen stappen ondernemen om dit probleem aan te pakken.
‘Predator Files’ tonen aan dat Europa geen grip heeft op spyware

Waarom is dit belangrijk?
Spyware en speciale surveillancesoftware vormen een bedreiging voor journalisten, politici, academici, wetenschappers, als de software in de verkeerde handen valt.In het nieuws: Een onderzoek van de European Investigative Collaboration (EIC) en het Security Lab van Amnesty International. Het kreeg de naam Predator Files, een verwijzing naar de omstreden Predator-spyware.
De conclusies:
- De regulering van spyware, software waarmee een operator heimelijk toegang kan krijgen tot informatie van een computersysteem of -apparaat, laat te wensen over.
- “De regelgevende instanties in de EU zijn niet in staat of bereid om de mensenrechtenschade in verband met de export van spyware te controleren en te voorkomen. Er is maar één conclusie mogelijk: het gebruik van zeer invasieve spyware zoals Predator moet verboden worden”, klinkt het.
Dual-use export
Ingezoomd: Spyware valt onder de Europese dual-use export controls. Dat is regelgeving voor producten die zowel toepasbaar zijn voor burgers als voor het leger. Daarmee moet voorkomen worden dat bepaalde technologieën in verkeerde handen vallen.
- Maar door de software bijvoorbeeld te verkopen vanuit een bedrijfsentiteit buiten de Europese Unie kunnen de exportregels al omzeild worden. Dat is wat Intellexa Alliance deed, een Europese bedrijvengroep die Predator verkoopt. Dat is spyware die de eigenaar toegang geeft tot “ongecontroleerde hoeveelheden gegevens op apparaten”.
- Intellexa zou de software verkocht hebben vanuit de Verenigde Arabische Emiraten (VAE). Ondertussen werd de spyware al in zeker 25 landen gevonden, verspreid over Europa, Azië, het Midden-Oosten en Afrika.
- Intellexa werd opgericht door een voormalige Israëlische officier. Toen het EIC de bedrijvengroep, gevestigd in Ierland maar voornamelijk opererend vanuit Frankrijk, contacteerde voor een reactie, zei de holding, Nexa Group, dat Intellexa niet langer bestaat. Ook de website is niet langer toegankelijk.
- Of het risico daarmee ook verdwenen is, is maar zeer de vraag. De bedrijvengroep heeft een troebele structuur en de expertise verdwijnt niet met het offline halen van een website.
“Het ‘Predator Files’-onderzoek laat zien waar we al lang bang voor zijn: dat zeer invasieve surveillance producten op bijna industriële schaal worden verhandeld en vrij in de schaduw kunnen opereren zonder toezicht of enige echte verantwoording.”
Agnès Callamard, secretaris-generaal van Amnesty International.
Predator en Pegasus
Uitgezoomd: Het rapport doet denken aan het ‘Pegasus project’, een onderzoek naar de Israëlische spyware Pegasus.
- Pegasus werd origineel ontworpen voor het tegengaan van terrorisme en misdaad, maar werd in bepaalde landen al snel gebruikt om politici, journalisten, mensenrechtenactivisten en andere critici te viseren. In Europa werd het onder andere gebruikt in Hongarije, Polen en Griekenland om journalisten en politieke tegenstanders te bespioneren.
- De Europese Unie zwoer toen, onder een niet-bindend akkoord, de spionagesoftware strenger te reguleren. Alleen lijkt daar vandaag weinig van in huis gekomen.
Niet geruststellend: “Spyware is een hydra geworden en Europa is zijn veilige haven”, zei Nederlands Europarlementariër Sophie in ´t Veld aan de nieuwswebsite Euractiv. De hydra uit de Griekse mythologie staat erom bekend dat wanneer men er een hoofd van afhakt, er twee teruggroeien.
(evb)