Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 7-1871

van Rik Daems (Open Vld) d.d. 26 januari 2023

aan de minister van Binnenlandse Zaken, Institutionele Hervormingen en Democratische Vernieuwing

Spionage - Software Pegasus - Veiligheidsrisico’s - Hacking - Privacy - Cijfers en tendensen

telefoon- en briefgeheim
spionage
computerpiraterij
Israël
radiocommunicatie
computerprogramma

Chronologie

26/1/2023Verzending vraag (Einde van de antwoordtermijn: 2/3/2023)
2/3/2023Antwoord

Ook gesteld aan : schriftelijke vraag 7-1870
Ook gesteld aan : schriftelijke vraag 7-1872

Vraag nr. 7-1871 d.d. 26 januari 2023 : (Vraag gesteld in het Nederlands)

De omstreden Israëlische spionagesoftware Pegasus is in het bezit van meer Europese lidstaten dan aanvankelijk gedacht. Het moederbedrijf NSO Group heeft bevestigd dat niet vijf, maar veertien Europese landen de software hebben aangeschaft en gebruikt. Om welke lidstaten het gaat is niet duidelijk, wel is bekend dat inmiddels twee van de lidstaten hun contract met het bedrijf hebben opgezegd.

De software is sinds juli 2021 omstreden, omdat toen bleek dat verschillende overheden, waaronder Hongarije, Pegasus hebben misbruikt. Door middel van de software werden oppositiepolitici, journalisten, activisten en advocaten bespioneerd (cf. https://www.europa-nu.nl/id/vlv5ml83wys2/nieuws/niet_vijf_maar_veertien_eu_landen_hebben?ctx=vh6ukzb3nnt0).

De software wordt voornamelijk verkocht aan landen en overheidsdiensten. Die gebruiken die om vanop afstand in te breken in gsm's en gebruik te maken van alle mogelijke beschikbare informatie, gaande van wachtwoorden over contacten tot locatiegegevens. Met de software kan je ook de microfoon en camera ongemerkt inschakelen en ongezien screenshots maken.

Pegasus is volgens de makers van NSO Group in principe bedoeld om «terreurorganisaties, drugkartels, mensenhandelaars, pedofiliekringen en andere criminele syndicaten» in kaart te brengen.

Uit onderzoek van een groep van ruim 80 journalisten – in ons land deden «Knack» en «Le Soir» mee – blijkt dat Pegasus ook misbruikt wordt door de klanten van NSO Group. Dat leerden ze uit een gelekte lijst met meer dan 50 000 telefoonnummers die als potentieel doelwit van Pegasus zijn aangemerkt. Van meer dan 1 000 telefoonnummers uit 50 landen achterhaalden de journalisten dat die toebehoorden aan academici, advocaten, artsen, vakbondsleiders, diplomaten, meer dan 180 journalisten, minstens 85 mensenrechtenactivisten en meer dan 600 politici en regeringsfunctionarissen – met inbegrip van minstens 10 staatshoofden en regeringsleiders. Op de gelekte lijst staan ook een dozijn Belgische gsm-nummers.

Het Comité I, dat in ons land toeziet op de inlichtingendiensten, onderzoekt of ook onze Staatsveiligheid en militaire inlichtingendienst de spionagetool Pegasus hebben gebruikt. Volgens minister van Justitie Vincent Van Quickenborne zou het alvast legaal zijn voor de Staatsveiligheid om Pegasus in te zetten (cf. https://www.vrt.be/vrtnws/nl/2021/09/17/wat-doet-die-spionagesoftware-pegasus-precies-en-wie-vormt-er-e/).

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Kan u bevestigen of de overheid, ordediensten, veiligheidsdiensten of andere diensten gebruik gemaakt hebben van de spionagesoftware Pegasus? Indien ja, voor welke periode, welk doel en wordt het nog steeds gebruikt? Welke diensten hadden specifiek toegang tot deze software? Gebruikte men deze software om in het geheim eigen burgers te schaduwen?

2) Zijn er vanuit onze veiligheidsdiensten de jongste zes maanden nog signalen binnengekomen die erop wijzen dat deze software gebruikt werd om Belgische burgers op illegale wijze te bespioneren? Kan u ook inschatten wie achter deze intrusies zat?

3) Kan u meedelen of er sinds de oorlog in Oekraïne meer of minder gebruikgemaakt wordt van dergelijke spionagesoftware voor smartphones? Indien ja, wie wordt het meest geviseerd en wie zit meestal achter deze intrusies?

4) Op welke manieren garanderen de veiligheids- en andere diensten dat de smartphones van medewerkers en gezagsdragers die mogelijkerwijs met gevoelige data werken, gevrijwaard blijven van intrusies van derden? Zijn er intussen extra veiligheidsmaatregelen doorgevoerd of staan er nog in de steigers? Indien ja, kan u meedelen welke en tegen wanneer u hoopt ze te implementeren? Indien neen, hoe blijft u de veiligheid garanderen?

5) Kan u meedelen bij hoeveel personen in dienst van de overheid of de orde- of veiligheidsdiensten in het laatste jaar vastgesteld werd dat hun smartphone geïnfecteerd was met Pegasus software of soortgelijke spionagesoftware? Bij welke diensten was dit het geval? Betrof het privételefoons of werktelefoons? Gingen deze personen naar het buitenland? Kon worden nagegaan wie achter de hack zat? Hoe werd omgegaan met deze gegevenslekken?

Antwoord ontvangen op 2 maart 2023 :

1) Wat betreft deze vraag wil ik u eerst en vooral herinneren aan het antwoord dat mijn geachte collega, de minister van Justitie, reeds op 22 september 2021 in de Kamer van volksvertegenwoordigers over dit onderwerp heeft gegeven, alsook naar het antwoord dat ik het geachte parlementslid Depoortere heb gegeven op zijn vraag nr. 27060, depot – 55027060C (d.d. 22 april 2022).

Om de doeltreffendheid en de duurzaamheid van de in het kader van de kennisneming van privé-communicatie gebruikte middelen te garanderen, mogen overeenkomstig de wettelijke verplichting van artikel 90ter van het Wetboek van strafvordering, geen details over de gebruikte instrumenten en methoden openbaar worden gemaakt.

Het is namelijk van belang erover te waken dat te veel transparantie of publiciteit over het reactievermogen van de diensten – op bevel van de gerechtelijke autoriteiten wat de federale politie betreft –, er niet toe leidt dat criminele en terroristische organisaties hun gedrag aanpassen en «tegenstrategieën» ontwikkelen die rechtstreeks zouden leiden tot een verhoging van het dreigingsniveau in ons land.

Daarom wordt de verwerving van dergelijke middelen, die ook door onze inlichtingendiensten zouden kunnen worden gebruikt, altijd geclassificeerd als «Geheim».

In het algemeen is het verwerven van kennis van privé-communicatie in gerechtelijke aangelegenheden echter alleen mogelijk door strikte naleving van het wettelijk kader waarin het wetboek van strafvordering voorziet:

Namelijk:

– het gebruik van ingrijpende interceptiemethoden kan alleen plaatsvinden op bevel van de gerechtelijke autoriteit (de onderzoeksrechter);

– dit bevel kan alleen worden gegeven na toetsing van de evenredigheid van de maatregel, dat wil zeggen voor de ernstigste misdrijven en delicten (bijvoorbeeld terrorisme en dus niet voor elk delict). De wet staat dergelijke maatregelen «slechts in uitzonderlijke gevallen» toe (artikel 90ter, § 2);

– nadat is nagegaan of de afluistermaatregel subsidiair is (dat wil zeggen nadat is beoordeeld dat het bewijs niet op een andere manier, met een minder ingrijpende methode ten aanzien van de inbreuk op de persoonlijke levenssfeer, kan worden verkregen).

2) Wat de inlichtingendiensten betreft, moet deze kwestie worden behandeld door mijn geachte collega van Justitie en Defensie aan wie u ook uw vraag hebt gericht.

Wat de politiediensten betreft, heb ik geen informatie ontvangen die erop wijst dat deze software is gebruikt om Belgische burgers illegaal te bespioneren.

Elke aanwijzing van illegaal gebruik van deze software moet, zoals het Wetboek van strafvordering bepaalt, het voorwerp uitmaken van een verslag dat aan de bevoegde gerechtelijke autoriteiten wordt toegezonden.

3) Ik heb geen informatie over dit onderwerp.

4) De veiligheidsdiensten zijn verantwoordelijk voor de invoering van een veiligheidsbeleid om de vertrouwelijkheid van hun gegevens en communicatie te garanderen. Op Belgisch niveau worden zij bijgestaan door het Cyberbeveiligingscentrum dat door de regering is opgericht. Dit centrum, genaamd CCB (Belgisch centrum voor cyberveiligheid), ressorteert onder de Kanselarij van de eerste minister. Het biedt een reeks diensten op het gebied van cyberbeveiliging waarvan de federale overheidsdiensten gratis gebruik kunnen maken.

Het stelt met name Baseline Security Guidelines (BSG) op, richtlijnen die minimumrichtsnoeren bieden voor de uitvoering of evaluatie van een informatiebeveiligingsplan, en verleent tevens bijstand aan verantwoordelijken voor de verwerkingsverantwoordelijken, beveiligingsadviseurs, gegevensbeheerders en IT-managers.

Deze BSG’s worden ontwikkeld in overleg met deskundigen van verschillende federale overheidsdiensten (FOD) en consultants externe expertise en houden rekening met bestaande normen zoals ISO 27001 en ISO 27002. De verschillende diensten moeten de regels die deze beveiliging garanderen toepassen in hun werking, rekening houdend met hun werking, missie en organisatie.

Het Nationaal Crisiscentrum (NCCN) maakt gebruikt van software die elke device (GSM, tablet en laptop) monitort en beheert. Deze MDM (mobile device management) software belet elke externe installatie op het professionele gedeelte van de smartdevice. Ook de federale politie maakt gebruik van mobile device management tools.

5) Ik beschik niet over informatie dat leden van de overheid of leden van de veiligheidsdiensten hebben vastgesteld dat hun telefoons besmet waren met de Pegasus-software.

Voor het overige, verwijs ik naar de antwoorden op de schriftelijke vragen nrs. 7-1870 en 7-1872 gesteld aan de minister van Defensie en aan de staatssecretaris voor Digitalisering, belast met Administratieve Vereenvoudiging, Privacy en Regie der gebouwen.