‘Predator Files’-onderzoek onthult: regulering handel in surveillance faalt rampzalig
De feiten zijn schokkend: de surveillance-industrie heeft haar tentakels overal in vastgezet, terwijl de EU-regulering achterblijft. Dit toont het nieuwe onderzoek naar de wereldwijde surveillance-crisis aan, gedaan door medianetwerk European Investigative Collaborations (EIC), met technische ondersteuning van het Amnesty International Security Lab.
De ‘Predator Files’ gaan over de ‘Intellexa-alliantie’, een complexe groep van met elkaar verbonden bedrijven, en Predator, hun zeer indringende spionagesoftware. Deze spyware (plus varianten met een andere naam) geeft toegang tot ongecontroleerde hoeveelheden gegevens op apparaten. Op dit moment kan niemand onafhankelijk controleren of beperken wat de spyware precies doet, zodat het alleen doet wat echt nodig en passend is voor een specifiek doel.
Predator kan een apparaat binnendringen wanneer de gebruiker simpelweg op een kwaadaardige link klikt. Maar het kan ook via doordachte aanvallen worden afgeleverd, waardoor apparaten in de buurt stiekem kunnen worden besmet.
De producten van Intellexa Alliance zijn aangetroffen in ten minste 25 landen in Europa, Azië, het Midden-Oosten en Afrika. Ze zijn gebruikt om mensenrechten, persvrijheid en sociale bewegingen over de hele wereld te ondermijnen.
Handel op industriële schaal
Intellexa zegt dat het een ‘in de EU gevestigd en gereguleerd bedrijf’ is. Dit is op zichzelf al een vernietigende aanklacht tegen de manier waarop EU-lidstaten en -instellingen er niet in zijn geslaagd om de groeiende reikwijdte van surveillanceproducten te voorkomen, ondanks diverse onderzoeken zoals het 2021 ‘Pegasus Project’.
Het ‘Predator Files’-onderzoek laat zien waar we al langer bang voor waren: namelijk dat zeer invasieve surveillance producten op bijna industriële schaal worden verhandeld
‘Er kan onopgemerkt in de schaduw geopereerd worden zonder toezicht of enige verantwoording. Dit bewijst opnieuw dat Europese landen en instellingen er niet in zijn geslaagd om de verkoop en overdracht van deze producten effectief te reguleren’.
In de EU gevestigde surveillance-technologiebedrijven zijn onderworpen aan EU-controles op grond van de EU Dual Use Regulation. Deze verordening heeft als doel mensenrechtenschade te voorkomen met exportcontroles op surveillance-technologieën, die door bedrijven in de EU worden uitgevoerd.
Surveillance-technologie op hol
Het onderzoek duurde een jaar en werd uitgevoerd door European Investigative Collaborations (EIC). Dit is een samenwerkingsverband van meer dan 12 mediaorganisaties, bijgestaan door het Security Lab van Amnesty International bij de analyse van technische informatie verkregen door het EIC. Het Security Lab heeft ook een eigen onafhankelijk onderzoek uitgevoerd, dat de komende dagen wordt gepubliceerd als onderdeel van het ‘Predator Files’-onderzoek.
‘Het ‘Predator Files’ onderzoek is net zo vernietigend als het ‘Pegasus Project’ dat eraan voorafging’, zegt Donncha Ó Cearbhaill, hoofd van het Security Lab van Amnesty International. ‘Het is misschien nog wel erger, omdat er maar weinig is veranderd. Huurlingenbedrijven zoals de Intellexa-alliantie zijn doorgegaan met de verkoop van hun waar. Ze maken miljoenen winst ten koste van de mensenrechten. En dat bijna geheel ongestraft. De staten van de Europese Unie moeten ophouden hun verantwoordelijkheid te ontlopen en moeten deze bedrijven reguleren’.
De Intellexa Group, onderdeel van de Intellexa-alliantie, produceert de Predator spyware en adverteert zichzelf als een ‘in de EU gevestigd en gereguleerd bedrijf’. Het werd in 2018 opgericht door voormalig Israëlische legerofficier Tal Dilian en een aantal van zijn medewerkers. De Group wordt gecontroleerd door de holding Thalestris, die is gevestigd in Ierland. De Intellexa-alliantie brengt de Intellexa-groep samen met de Nexa-groep van bedrijven, die voornamelijk vanuit Frankrijk opereerde.
Technische infrastructuur
Volgens het EIC-media consortium zijn er aan 25 landen Intellexa-alliantieproducten verkocht. Daaronder bevinden zich Zwitserland, Oostenrijk en Duitsland. Andere klanten zijn Oman, Qatar, Congo, Kenia, de Verenigde Arabische Emiraten, Singapore, Pakistan, Jordanië en Vietnam.
Amnesty International’s analyse van recente technische infrastructuur in verband met het Predator spyware systeem geeft aan dat het systeem in een of andere vorm aanwezig is in onder andere Sudan, Madagaskar, Kazachstan, Egypte, Indonesië, Vietnam en Angola.
Predator moet verboden worden
Amnesty International heeft de betrokken partijen om commentaar gevraagd, maar geen reactie ontvangen. EIC ontving wel een reactie van de belangrijkste aandeelhouders en voormalige leidinggevenden van Nexa Group. Zij beweren dat de Intellexa alliantie heeft opgehouden te bestaan. Als het gaat om de export van surveillance-technologiën naar de genoemde staten, is er volgens hen ofwel ‘een commerciële relatie tot stand gekomen in volledige overeenstemming met de regelgeving, of nooit een contract en/of levering geweest’.
Tot slot beweren de belangrijkste aandeelhouders en voormalige leidinggevenden van Nexa Group dat de Intellexa alliantie de exportregels ‘nauwgezet heeft nageleefd’, terwijl ze erkennen commerciële relaties te zijn aangegaan met landen die ‘verre van perfect waren in termen van de rechtsstaat’. Hierbij geven ze aan dat dit vaak ging om ‘politieke keuzes’ van de Franse regering.
Het Predator Files onderzoek toont aan dat de EU-regelgevers niet in staat of bereid zijn om mensenrechtenschade te controleren of te voorkomen met betrekking tot de export van spyware.
Er is maar één conclusie mogelijk: gezien de keer op keer bewezen ineffectiviteit van de regelgeving, moet het gebruik van zeer invasieve spyware zoals Predator verboden worden.
Een uitgebreid rapport over de bevindingen van het Amnesty International Security Lab, ‘The Predator Files: Caught in the Net‘, wordt op maandag 9 oktober gepubliceerd.