Surveillance-industrie Israël in schijnwerpers door Pegasus-schandaal

Cybertechnologie Het Israëlische surveillancebedrijf NSO struikelt van schandaal naar schandaal. Israëlische cybertechnologie blijft wereldwijd gewild, maar het afbreukrisico groeit door deze affaires.

Betogers in New Delhi protesteerden vorig jaar zomer tegen het gebruik door de Indiase regering van Israëlische Pegasus-software om journalisten, activisten en politieke tegenstanders te controleren.
Betogers in New Delhi protesteerden vorig jaar zomer tegen het gebruik door de Indiase regering van Israëlische Pegasus-software om journalisten, activisten en politieke tegenstanders te controleren. Foto Mayank Makhija / NurPhoto

Cognyte, Quadream, Paragon, Cellebrite. Allemaal namen van Israëlische bedrijven die het grote publiek niets zeggen – en ze houden dat graag zo. Als er iets is wat surveillancebedrijven verafschuwen, is het publiciteit. Daarom komt de recente aandachtsgolf voor het Israëlische surveillancebedrijf NSO de sector slecht uit. Van de trots van de nationale cyberindustrie veranderde de onderneming als bij toverslag in het zwarte schaap.

Lees ook Pegasus verschaft zichzelf toegang tot alles op je mobiel

Sinds deze zomer zingt de naam NSO rond in huiskamers en ministerraden over de hele wereld. Een internationaal journalistencollectief onthulde, samen met mensenrechtenorganisatie Amnesty International, dat telefoons van tienduizenden journalisten, activisten en politici mogelijk waren geïnfecteerd met Pegasus, de geavanceerde spionagesoftware van NSO. Die kan inbreken op het toestel zonder dat het slachtoffer ergens op heeft geklikt, en vervolgens de camera en microfoon aanzetten en bestanden downloaden.

Diplomatiekeincidenten en rechtszaken volgden. In november gaf de Amerikaanse regering NSO de nekslag door het bedrijf op een zwarte lijst te zetten, samen met concurrent Candiru. NSO benadrukte herhaaldelijk de software „alleen te verkopen aan politie en inlichtingendiensten van doorgelichte overheden met als enige doel om levens te redden door criminaliteit en terrorisme te bestrijden” en poogt de beslissing ongedaan te maken.

Sindsdien probeert de Israëlische overheid de schade te beperken – voor NSO, maar vooral voor de rest van de Israëlische cyberindustrie. Dat is een balanceeract: Israël wil niet door zijn bondgenoten worden gezien als een boevenstaat die handelt met andere boevenstaten en zich daarbij niets gelegen laat liggen aan mensenrechten, maar wil tegelijk de economisch, militair én politiek belangrijke veiligheidsindustrie behouden.

De hightech sector is goed voor zo’n 15 procent van het Israëlische bruto nationaal product, en 43 procent van de export. Van de ruim 10 miljard euro die vorig jaar werd geïnvesteerd in Israëlische hightech start-ups, ging 2,5 miljard naar de cybersector. Niet alle cybersecuritybedrijven doen overigens digitale aanvallen; de meeste zijn er juist op gericht om de systemen van hun klanten te beschermen tégen cyberaanvallen. Zo is het Israëlische Check Point wereldwijd een van de grootste leveranciers van firewalls.

Cybersecurity is een nationale prioriteit, zegt Lior Tabansky, cyberonderzoeker aan de universiteit van Tel Aviv. Zijn verklaring voor het succes is dat de focus op technologie aansluit bij de strategie van het land. „Technologisch voordeel in het algemeen, en IT en cybersecurity in het bijzonder, sluiten aan bij het oude idee dat Israël in een kwetsbare geopolitieke situatie zit en daarom moet inzetten op kwalitatieve voorsprong.” Dat idee werd al gecultiveerd door de oprichters van de staat, en vormt de basis voor de Amerikaanse militaire steun aan Israël.

Met de militaire voorsprong kwam ook de zakelijke voorsprong. Israël is actief in een niche met hoogwaardige technologie. „Innovatie is altijd belangrijk, maar voor cybersecurity geldt dat nog meer”, zegt Tabansky. „In dit vakgebied is het de belangrijkste succesfactor, want het verandert zo snel dat je je niet kunt voorbereiden op wat over vijf of zeven jaar de kansen of bedreigingen zijn.”

Verstrengeling met defensie

De Israëlische cybersector profiteert van een uniek ecosysteem. Civiel en militair, academisch, politiek en commercieel lopen voortdurend in elkaar over. „Er is in Israël geen echte scheiding tussen militair en civiel, zoals in Europa”, zegt de Amerikaans-Israëlische activist Jeff Halper, die het boek War against the People schreef over Israëls veiligheidsindustrie. „Het is een draaideursysteem, mensen wisselen tussen militaire en commerciële functies. En bij de ontwikkeling van nieuwe technologie is het leger altijd leidend.”

Het begint al vroeg. Scholieren doen hun best om voor hun dienstplicht geselecteerd te worden voor een van de cybereenheden van het leger: dat levert interessant werk op, maar is vooral predikaat ‘8200-alumnus’ een baangarantie. 8200 is de grootste inlichtingeneenheid van het Israëlische leger, maar er zijn er meer. „Leden van elite-eenheden worden onmiddellijk techbedrijven ingezogen zodra ze uit het leger komen”, zegt Karin Mayer Rubinstein, voorzitter van hightech-netwerk IATI. Sommigen beginnen liever hun eigen start-up, zoals de oprichters van succesvolle internetbedrijven als Check Point en Waze. Met één telefoontje halen ze oude kameraden en zelfs commandanten binnen.

Vervolgens komen mensen elkaar gedurende hun carrière in verschillende gedaantes tegen, ook omdat ze elk moment kunnen worden opgeroepen als reservist. „De ontwikkelaar kent de opdrachtgever uit de legereenheid waar ze beiden in hebben gezeten”, zegt een oud-commandant die zelf overstapte naar de commerciële wereld. „Het zijn allemaal vrienden.”

Sommige vriendschappen sneuvelen in de felle concurrentiestrijd tussen de talloze techbedrijfjes. Toen Candiru in dezelfde vijver ging vissen als zijn bedrijf was NSO-baas Shalev Hulio volgens Israëlische media zo furieus op zijn voormalige vrienden en collega’s dat hij weigerde naar de rouwbijeenkomst voor de vader van een van hen te komen. Andersom beschuldigden Candiru-managers Hulio ervan Candiru in NSO’s val te hebben meegesleurd.

Shalev Hulio, ceo van de NSO groep, zit aan het hoofd van de tafel een vergadering voor, in april 2019. Foto Ziv Koren / Polaris

De verstrengeling is er ook in de politiek. De regels worden gemaakt door mensen uit de sector. Andersom hebben veel mensen in de veiligheidsindustrie bij de overheid gewerkt. Niet alleen de minister van Defensie, maar ook de minister van Economie was jarenlang generaal in het leger. Premier Bennett werd, niet als enige politicus, rijk in de hightech.

De cybertechnologie is een spil geworden in Israëls diplomatie. Voor- en tegenstanders zijn het erover eens dat voormalig premier Netanyahu Israëls geavanceerde cybertechnologie succesvol inzette om landen aan Israël te binden.

Dictators over de hele wereld willen de Israëlische surveillance hebben

Benjamin Baars, Onderzoeker Stop Wapenhandel

„Dictators over de hele wereld willen de Israëlische surveillance hebben, van Bolsonaro tot Orbán”, zegt Benjamin Baars, die voor de Nederlandse campagne Stop Wapenhandel onderzoek deed naar de Israëlische veiligheidsindustrie. „Maar ook Nederland wil Israëlische technologie, zoals drones en gezichtsherkenning. Toegang tot de Israëlische veiligheidsindustrie kan voor Europese landen een reden zijn om kritiek voor zich te houden.”

Volgens Tabansky is dankzij de Israëlische technologie „het narratief veranderd” in het contact met Arabische landen. „Eerst was het: we moeten eerst een vredesakkoord hebben, gebaseerd op land in ruil voor vrede. Nu praten we met landen als de Verenigde Arabische Emiraten en Marokko vanuit een machtspositie: wij hebben iets wat jullie willen hebben.”

Lees ook De Israëlische regering raakt in het nauw door de Pegasusonthullingen

Niet al te scrupuleus

Israël heeft de reputatie de beste technologie te maken en daar niet al te scrupuleus mee om te gaan. Maar nu het tij keert voor NSO, lijkt de nauwe band tussen de veiligheidsindustrie en de regering zich tegen het land te keren. De weerstand in het buitenland, voorheen beperkt tot groepjes activisten, heeft zich verbreed tot in regeringskringen.

De aanhoudende stroom schandalen heeft NSO geen goed gedaan. Volgens Bloomberg overweegt NSO zijn Pegasus-software van de hand te doen of zelfs het hele bedrijf te verkopen. Het bedrijf heeft bijna 400 miljoen euro aan schulden uitstaan die het mogelijk niet kan terugbetalen door de teruglopende inkomsten. NSO wordt wellicht overgenomen door twee Amerikaanse fondsen en zou zich dan gaan toeleggen op dronetechnologie (ook geen onbetwist terrein) en data-analyse.

Het besmette imago van NSO dreigt de hele industrie te raken. Branchegenoten proberen zich uit alle macht te distantiëren van NSO. „Wij zijn NSO niet, wij werken héél anders”, benadrukten vertegenwoordigers van cyberbedrijven in wisselende bewoordingen op een recente cyberconferentie in Tel Aviv.

Dat laatste valt te betwijfelen. Alle ogen zijn nu gericht op NSO, maar er zijn meer spelers op de markt. Sterker nog, volgens Tabansky is NSO een keurig bedrijf. „NSO verkoopt niet aan klanten die het Israëlische ministerie van Defensie verbiedt”, aldus Tabansky. „Daar kiezen ze voor. Ze zouden ook op Cyprus kunnen gaan zitten en zich aan alle regels onttrekken. Er zijn andere spelers die veel meer in het duister werken.”

In een recent rapport belicht Meta, het voormalige Facebook, het „wereldwijde cyberhuurlingensysteem” waar NSO volgens de socialemediagigant deel van uitmaakt. Vier van de zeven bedrijven waartegen Meta maatregelen zegt te hebben genomen, zijn Israëlisch; een vijfde, in Noord-Macedonië, heeft Israëlische wortels. Allemaal houden ze zich bezig met een vorm van cyberspionage, van nepprofielen om mensen op sociale media te verleiden persoonlijke informatie vrij te geven tot het installeren van spyware.

Lees ook Amerikanen geven Israëlische regering tik op de vingers om spyware

Nieuwe exportregels

De Israëlische regering volgt twee sporen om de schade voor de industrie te beperken. Enerzijds lobbyt Israël in de Verenigde Staten om NSO en Candiru van de zwarte lijst te krijgen, tot nu toe tevergeefs. Anderzijds probeert het zich ook van NSO te distantiëren. De autoriteiten vielen de kantoren van NSO binnen voor onderzoek en het ministerie van Defensie scherpte de exportregels aan. Dat departement moet de uitvoer van militaire goederen, inclusief cyberwapens, goedkeuren. Sinds NSO in de VS op de zwarte lijst is geplaatst, schrapte het ministerie volgens mediaberichten diverse landen, waaronder Marokko en de Verenigde Arabische Emiraten, van de lijst waar Israëlische surveillancebedrijven aan mogen leveren. Het ministerie wil dit ondanks herhaalde verzoeken van NRC bevestigen noch ontkennen.

Begin december maakte het ministerie bovendien een aantal nieuwe exportregels bekend. Op het vernieuwde exportformulier moet de Israëlische leverancier onder meer bevestigen dat de systemen niet worden gebruikt om mensen te schaden om hun religie, gender of politieke opvattingen. Ook maakt het duidelijker wat níét onder terrorisme of zware misdaad valt, bijvoorbeeld „het uitdrukken van een mening of kritiek”.

Mensenrechtenadvocaat Eitay Mack, die veel actie voert tegen de ongebreidelde wapenexport van Israël naar ondemocratische regimes, schamperde in de Israëlische krant Ha’aretz dat Israël hiermee op de dictator vertrouwt om in te vullen of hij wel of niet een dictator is. De definities in het nieuwe formulier bieden volgens Mack ook nog steeds ruimte om activisten te volgen met behulp van Israëlische spyware.

Het lot van NSO doet Tabansky denken aan de neergang van het van oorsprong Russische cybersecurity-bedrijf Kaspersky. Dat bedrijf bestaat nog steeds, maar zag zijn verkopen dramatisch teruglopen nadat de Amerikaanse overheid het bedrijf in 2017 in de ban deed wegens vermeende banden met de Russische inlichtingendiensten.

„Geopolitiek speelt een steeds belangrijkere rol in dit soort handel”, zegt Tabansky. De kritiek op NSO ziet hij als een gerichte campagne, en hij vreest dat er meer zullen volgen. „Check Point is nog steeds een marktleider,” zegt hij, „maar wat let ze om straks te roepen dat ook dit bedrijf in bed ligt met het Israëlische militaire establishment?” Hij vreest dat ontwikkelaars en investeerders zich afkeren van Israëlische cybersecurity-bedrijven. „Als straks alleen nog wordt geïnvesteerd in spelletjes of dating-apps, is dat een slechte uitkomst voor Israël. Dat soort dingen draagt niet bij aan de nationale veiligheid.”