|
|
Spionage - Software Pegasus - Veiligheidsrisico’s - Hacking - Privacy - Cijfers en tendensen
telefoon- en briefgeheim
spionage
computerpiraterij
Israël
radiocommunicatie
computerprogramma
| 26/1/2023 | Verzending vraag (Einde van de antwoordtermijn: 2/3/2023) |
| 8/3/2023 | Antwoord |
Ook gesteld aan : schriftelijke vraag 7-1871
Ook gesteld aan : schriftelijke vraag 7-1872
De omstreden Israëlische spionagesoftware Pegasus is in het bezit van meer Europese lidstaten dan aanvankelijk gedacht. Het moederbedrijf NSO Group heeft bevestigd dat niet vijf, maar veertien Europese landen de software hebben aangeschaft en gebruikt. Om welke lidstaten het gaat is niet duidelijk, wel is bekend dat inmiddels twee van de lidstaten hun contract met het bedrijf hebben opgezegd.
De software is sinds juli 2021 omstreden, omdat toen bleek dat verschillende overheden, waaronder Hongarije, Pegasus hebben misbruikt. Door middel van de software werden oppositiepolitici, journalisten, activisten en advocaten bespioneerd (cf. https://www.europa-nu.nl/id/vlv5ml83wys2/nieuws/niet_vijf_maar_veertien_eu_landen_hebben?ctx=vh6ukzb3nnt0).
De software wordt voornamelijk verkocht aan landen en overheidsdiensten. Die gebruiken die om vanop afstand in te breken in gsm's en gebruik te maken van alle mogelijke beschikbare informatie, gaande van wachtwoorden over contacten tot locatiegegevens. Met de software kan je ook de microfoon en camera ongemerkt inschakelen en ongezien screenshots maken.
Pegasus is volgens de makers van NSO Group in principe bedoeld om «terreurorganisaties, drugkartels, mensenhandelaars, pedofiliekringen en andere criminele syndicaten» in kaart te brengen.
Uit onderzoek van een groep van ruim 80 journalisten – in ons land deden «Knack» en «Le Soir» mee – blijkt dat Pegasus ook misbruikt wordt door de klanten van NSO Group. Dat leerden ze uit een gelekte lijst met meer dan 50 000 telefoonnummers die als potentieel doelwit van Pegasus zijn aangemerkt. Van meer dan 1 000 telefoonnummers uit 50 landen achterhaalden de journalisten dat die toebehoorden aan academici, advocaten, artsen, vakbondsleiders, diplomaten, meer dan 180 journalisten, minstens 85 mensenrechtenactivisten en meer dan 600 politici en regeringsfunctionarissen – met inbegrip van minstens 10 staatshoofden en regeringsleiders. Op de gelekte lijst staan ook een dozijn Belgische gsm-nummers.
Het Comité I, dat in ons land toeziet op de inlichtingendiensten, onderzoekt of ook onze Staatsveiligheid en militaire inlichtingendienst de spionagetool Pegasus hebben gebruikt. Volgens minister van Justitie Vincent Van Quickenborne zou het alvast legaal zijn voor de Staatsveiligheid om Pegasus in te zetten (cf. https://www.vrt.be/vrtnws/nl/2021/09/17/wat-doet-die-spionagesoftware-pegasus-precies-en-wie-vormt-er-e/).
Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.
Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:
1) Kan u bevestigen of de overheid, ordediensten, veiligheidsdiensten of andere diensten gebruik gemaakt hebben van de spionagesoftware Pegasus? Indien ja, voor welke periode, welk doel en wordt het nog steeds gebruikt? Welke diensten hadden specifiek toegang tot deze software? Gebruikte men deze software om in het geheim eigen burgers te schaduwen?
2) Zijn er vanuit onze veiligheidsdiensten de jongste zes maanden nog signalen binnengekomen die erop wijzen dat deze software gebruikt werd om Belgische burgers op illegale wijze te bespioneren? Kan u ook inschatten wie achter deze intrusies zat?
3) Kan u meedelen of er sinds de oorlog in Oekraïne meer of minder gebruikgemaakt wordt van dergelijke spionagesoftware voor smartphones? Indien ja, wie wordt het meest geviseerd en wie zit meestal achter deze intrusies?
4) Op welke manieren garanderen de veiligheids- en andere diensten dat de smartphones van medewerkers en gezagsdragers die mogelijkerwijs met gevoelige data werken, gevrijwaard blijven van intrusies van derden? Zijn er intussen extra veiligheidsmaatregelen doorgevoerd of staan er nog in de steigers? Indien ja, kan u meedelen welke en tegen wanneer u hoopt ze te implementeren? Indien neen, hoe blijft u de veiligheid garanderen?
5) Kan u meedelen bij hoeveel personen in dienst van de overheid of de orde- of veiligheidsdiensten in het laatste jaar vastgesteld werd dat hun smartphone geïnfecteerd was met Pegasus software of soortgelijke spionagesoftware? Bij welke diensten was dit het geval? Betrof het privételefoons of werktelefoons? Gingen deze personen naar het buitenland? Kon worden nagegaan wie achter de hack zat? Hoe werd omgegaan met deze gegevenslekken?
1) Ik kan enkel spreken voor de Algemene Dienst inlichting en veiligheid (ADIV) en meer specifiek het Cyber Command.
Belgische inlichtingendiensten hebben een wettelijk mandaat om gebruik te maken van eigen ontwikkelde en commerciële tools in het kader van de bijzondere inlichtingenmethode (BIM). Deze tools mogen enkel onder een strikte wettelijke controle worden ingezet en onder toezicht van het Vast Comité I. Omwille van de bescherming van de capaciteiten van onze diensten worden er geen details publiek gemaakt over de eventuele commerciële partners en de oplossingen die in gebruik zijn.
2) Er kwamen bij de ADIV de jongste zes maanden geen signalen binnen die wijzen op het illegale gebruik van de software PEGASUS tegen Belgische burgers.
3) De ADIV heeft hierover momenteel geen informatie.
4) Een volledige bescherming kan nooit gegarandeerd worden, aangezien er een continu kat-en-muis-spel is tussen het vinden van nieuwe zwakheden in smartphones en het dichten van deze lekken.
Het Cyber Command organiseert op regelmatige basis awareness-campagnes zodat het personeel van Defensie een degelijke «cyber-hygiëne» onderhoudt. Bijkomend is er binnen Belgische Defensie een project «Mobile Device as a Service» lopende waarbij diensttelefoons volledig of gedeeltelijk «managed» zijn en de rechten van de gebruiker beperkt zijn. Hierdoor wordt het risico op het downloaden en installeren van kwaadaardige software aanzienlijk verkleind.
Ik wil hier nog enkele elementen aan toevoegen: sinds mijn aantreden heb ik van de versterking van de operationele cybercapaciteiten binnen de ADIV een echte prioriteit gemaakt. Dat is een belangrijke stap om de huidige hybride dreigingen (zoals desinformatie en cyberaanvallen) het hoofd te kunnen bieden. Dit heeft geresulteerd in de start van een Cybercommando, ingehuldigd op 19 oktober 2022, dat uiteindelijk zal leiden tot de oprichting van een volwaardige Defensiecomponent, naast de vier gebruikelijke componenten (Lucht, Land, Marine en Medische).
Ik kan deze vraag enkel beantwoorden voor het personeel werkzaam bij Defensie. In het afgelopen jaar is geen enkele smartphone geïdentificeerd als besmet met PEGASUS.