EU stelt Tech Lab voor: nieuwe instelling voor strijd tegen Pegasus en spyware

Een aantal leden van het Europese Parlement stelt voor om een Europese organisatie op te zetten om het gebruik van spyware in de EU te monitoren en reguleren. Dat nieuwe orgaan zou opereren onder de naam Tech Lab.

Eerder deze week kwam het rapport uit van de Europese PEGA-commissie, belast met het onderzoek rond misbruik van Pegasus en andere spyware binnen de Europese Unie. De parlementsleden stellen na meer dan een jaar van onderzoek nu een aantal maatregelen voor; de opvallendste daarvan is de oprichting van Tech Lab: een taskforce om spyware binnen de Unie te controleren en misbruik ervan aan banden te leggen.

De grootste pijnpunten

De commissie werd genoemd naar Pegasus, beruchte spyware van Israëlische makelij (specifiek het technologiebedrijf NSO Group). De software bestaat al bijna tien jaar en is populair bij heel wat overheden omdat ze stiekeme surveillance van mobiele apparaten als smartphones mogelijk maakt. Pegasus wordt/werd ook veelvuldig ingezet door een aantal EU-lidstaten, wat leidde tot de oprichting van de bewuste commissie.

Minstens vijf EU-lidstaten gebruiken controversiële Pegasus-spyware van NSO

Twee voorbeelden die het rapport nadrukkelijk vermeldt, zijn Hongarije en Polen. Beide Oost-Europese landen leggen de laatste jaren geleidelijk aan heel wat kritische stemmen en oppositie stevig aan banden. Spyware speelt daarbij een belangrijke rol: journalisten, politici, activisten en iedereen die het verder niet eens is met de machthebbers kunnen via Pegasus vlot worden gemonitord.

Oost- en Zuid Europa

Hongarije wordt in het rapport vooral gehekeld wegens een berekende en strategische campagne van de overheid om persvrijheid en vrije meningsuiting systematisch in te perken. Polen wordt gelijkaardig verweten dat het Pegasus vooral inzet om oppositie en al wie kritiek heeft in de gaten te houden, met als enige doel de huidige regering aan de macht te houden.

In het zuiden van Europa krijgen Griekenland en Spanje een niet zo eervolle vermelding. Bij de Hellenen is er niet zozeer sprake van systematisch misbruik, maar spyware wordt er eerder ad hoc ingezet voor zowel politieke als financiële doeleinden. In principe heeft Griekenland een vrij adequaat wettelijk kader voor zaken als dit, maar volgens PEGA hebben bepaalde amendementen dat legale schild sterk verzwakt met als gevolg dat spyware niet alleen is gebruikt tegen journalisten, zakenlui en politici, maar dat de software ook al is geëxporteerd naar landen met een dubieuze reputatie wat betreft mensenrechten.

Dat laatste is iets waar buurland Cyprus zich nog veel harder schuldig aan maakt, volgens het rapport. De commissie roept respectievelijk Griekenland dan ook op om zijn legale veiligheidsmaatregelen opnieuw te versterken en Cyprus om alle exportlicenties in te trekken die niet overeenstemmen met de Europese regels.

Spanje is een veel betere leerling in deze klas, maar PEGA maakt zich toch zorgen over bijna vijftig gevallen waarbij het onduidelijk is wie er toestemming gaf om spyware in te zetten. De commissie vraagt de Spaanse overheid om daar telkens een volledig, eerlijk en efficiënt onderzoek naar te voeren. Diezelfde overheid krijgt ook wel een positieve vermelding in het rapport voor haar onafhankelijk justitiesysteem.

Cactus-ransomware versleutelt zichzelf om onder de radar te blijven

Maatregelen en voorstellen

Daarom stelt de commissie voor om Tech Lab op te richten: een onafhankelijk instituut met de bevoegdheid om surveillance door te lichten en legale en technische ondersteuning te bieden (zoals het screenen van toestellen en forensisch onderzoek).

Bovenop de oprichting van Tech Lab voorziet PEGA nog een aantal maatregelen. De commissie roept op tot nieuwe wetten inzake het opsporen, delen, gebruiken en de exploitatie van digitale kwetsbaarheden binnen de EU. Verder vraagt PEGA een algemene definitie voor wat nu juist een geval van nationale veiligheid inhoudt en een striktere reglementering voor het inzetten van spyware.

Naast de voorbeelden in eigen rangen zijn er natuurlijk ook nog heel wat gevallen van buiten de EU. In de huidige geglobaliseerde wereld hebben die ook invloed binnen de Unie. PEGA wil daarom een diepgravend onderzoek naar uitvoerlicenties voor spyware en een verstrenging van de huidige Europese regels voor controle op export. Daarbovenop stelt de commissie ook een gezamenlijke strategie tussen de EU en de VS voor. Er moeten bovendien gesprekken komen met Israël en andere relevante landen over marketing en export van spyware. Die gesprekken moet onder andere de zekerheid bieden dat er geen Europese ontwikkelingshulp wordt gebruikt om spyware te ontwikkelen.

Dit alles moet nog wel door het Europese parlement, dus er is nog niets in steen gegraveerd. Bovendien is het maar de vraag of alle lidstaten zich daarna überhaupt even braaf aan de regels gaan houden. Zeker degenen die nu al een loopje nemen met de huidige Europese regels.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.