David Kaye tentang Proyek Pegasus, NSO Group dan Israel

Pada tahun 2020, pelapor khusus PBB untuk kebebasan berpendapat dan berekspresi David Kaye menekan perusahaan Israel NSO Group dalam sebuah surat publik. Isi surat itu meminta perincian tentang uji tuntas hak asasi manusia dan pernyataan bahwa kolumnis Saudi Washington Post Jamal Khashoggi bukan menjadi sasaran spyware Pegasus buatan NSO Group sebelum pembunuhan brutalnya 2018. 

Kelompok tersebut telah membuat pernyataan dalam wawancara, tetapi juga mengatakan bahwa mereka memiliki pengawasan terbatas atas operasi klien pemerintahnya dalam korespondensi publik sebelumnya dengan Kaye. Kaye tidak pernah mendapatkan detail itu. “Pertanyaan dasar yang sama tentang transparansi dan akuntabilitas tetap ada,” katanya dalam panggilan Zoom Juli 2021 dengan Committee to Protect Journalists (CPJ).

Masih belum ada bukti bahwa Khashoggi sendiri menjadi sasaran Pegasus, yang dapat secara diam-diam mengakses konten telepon dan memantau sekelilingnya. Namun sebanyak 10 orang lain yang terhubung dengannya kini telah dikaitkan dengan teknologi tersebut sebagai bagian dari Proyek Pegasus, investigasi media kolaboratif terhadap data bocor yang diduga terkait dengan klien NSO. 

The Guardian melaporkan bahwa sembilan orang -- termasuk tunangan Khashoggi, putranya, dan seorang jaksa Turki yang mendakwa 20 warga negara Saudi atas pembunuhannya -- tampaknya telah dipilih untuk pengawasan, selain teman Khashoggi Omar Abdulaziz, yang penargetannya didokumentasikan CPJ pada 2018.

“(Para peneliti) telah mengungkap bagaimana Pegasus digunakan acak, dan mereka telah melakukannya melalui alat forensik,” kata Kaye, mengutip karya Amnesty International, yang menyediakan penelitian forensik untuk Proyek Pegasus, dan laboratorium penelitian internet Citizen Lab. “NSO tidak hanya memiliki alat (yang sama), tetapi mereka tahu siapa klien mereka,” lanjutnya. “Bagaimana orang luar tanpa informasi tentang klien mereka bisa mendapatkan begitu banyak informasi tentang penggunaan alat ini? Itu tidak masuk akal."

Dalam sebuah pernyataan yang dikaitkan dengan "NSO Group," perusahaan itu mengatakan, "Kami dapat mengonfirmasi bahwa teknologi kami tidak digunakan untuk mendengarkan, memantau, melacak, atau mengumpulkan informasi mengenai (Jamal Khashoggi) atau anggota keluarganya." Merujuk tanggapan sebelumnya di mana perusahaan mencirikan Proyek Pegasus sebagai fitnah yang didorong oleh kelompok kepentingan khusus, pernyataan itu mengatakan bahwa NSO Group tidak melihat bukti penggunaan teknologinya dalam pelaporan forensik Proyek Pegasus dan tidak dapat mendasarkan penyelidikan akan hal itu.

“NSO akan terus mendorong diskusi internasional yang serius tentang regulasi industri intelijen siber,” kata pernyataan itu, mencatat bahwa Kaye diundang secara terbuka untuk mengunjungi perusahaan tersebut untuk membahas masalah ini.

CPJ berbicara dengan Kaye, profesor hukum di University of California Irvine, tentang NSO Group dan moratorium penggunaan, penjualan, atau transfer alat pengawasan yang dirinya dan 150 individu dan kelompok HAM -- termasuk CPJ -- telah menyerukan implementasi peraturan tertunda yang menghormati hak asasi manusia. Kaye juga merupakan ketua dewan independen dari Global Network Initiative, aliansi multipihak untuk mendukung kebebasan berekspresi dan privasi di internet, di mana CPJ menjadi anggotanya. Wawancara telah diedit agar panjang dan jelas.

Wawancara Madeline Earp, Konsultan Teknologi Editor di CPJ, dengan David Kaye, pelapor khusus PBB untuk kebebasan berpendapat dan berekspresi (menjabat dari Agustus 2014 hingga Juli 2020), berikut:  

Madeline Earp (ME):
Melihat kembali ke masa Anda sebagai pelapor khusus, mengapa teknologi pengawasan di radar Anda sebagai masalah kebebasan berekspresi, dan sebagai sesuatu yang harus menjadi perhatian jurnalis?

David Kaye (DK):
Ketika saya memulai (pada tahun 2014, itu) sedikitnya lebih dari setahun sejak pengungkapan yang diluncurkan Edward Snowden soal pengumpulan data massal oleh Badan Keamanan Nasional Amerika Serikat, GCHQ Inggris (Markas Besar Komunikasi Pemerintah) dan lainnya yang bermitra dengan mereka di ruang intelijen. Itu menempatkan semua orang, di satu sisi, di bawah pengawasan potensial.

Menjadi jelas bahwa (ini) bukan satu-satunya jenis pengawasan di era digital. Saya menjadi tertarik dengan cara perusahaan kecil menyediakan spyware bagi pemerintah yang tidak mampu melakukan operasi pengawasan massal. Alat yang ditargetkan ini memiliki dampak langsung, tidak hanya pada privasi tetapi juga pada keinginan orang untuk berkomunikasi.

Ini memiliki dampak khusus pada aktivis, dan jurnalis. Jika seorang jurnalis dilacak, itu berarti sumbernya dilacak. Kemampuan (dia)  untuk mengumpulkan informasi, untuk menjaga sumber, rusak.

Awalnya ketika saya pertama kali memikirkan bidang ini, saya pikir kepatuhan terhadap Prinsip-Prinsip Panduan PBB (tentang Bisnis dan Hak Asasi Manusia) akan menjadi langkah yang berarti bagi para pemain di industri ini – bukan hanya NSO Group tetapi banyak perusahaan lain. Tetapi saya berpikir bahwa hanya peraturan pemerintah yang akan memberlakukan persyaratan yang akan bermakna (cukup) bagi publik untuk mengetahui apa yang dilakukan industri ini.

ME:
Apa yang menonjol bagi Anda dari semua liputan Proyek Pegasus yang Anda lihat dalam satu atau dua minggu terakhir? Apakah Anda mempelajari sesuatu yang tidak Anda ketahui?

DK:
Itu tidak mengejutkan, tapi menjijikkan. Apa yang mencolok adalah sejauh mana pemerintah – klien NSO, tetapi juga perusahaan lain – melihat (teknologi) sebagai alat untuk melawan pilar dasar kehidupan demokrasi. (Laporan) menyoroti kemungkinan yang sangat nyata bahwa alat ini dapat digunakan terhadap jurnalis, aktivis, dan lainnya dengan cara (mendukung) otokrasi, kediktatoran, mereka yang mencoba merusak demokrasi.

Bahkan jika nomor (telepon) dalam daftar ini (sedang diselidiki oleh Proyek Pegasus) tidak pernah benar-benar tunduk pada upaya untuk menginfeksi ponsel mereka dengan Pegasus, ancaman itu ada – dan publisitas ancaman sebenarnya adalah bagian dari upaya untuk membungkam jurnalis dan aktivis.

Fakta bahwa ini dimungkinkan oleh perusahaan yang beroperasi di negara demokratis (Israel, tempat NSO Group berbasis) dan tanpa kontrol atau kendala nyata, itu menakutkan. Proyek Pegasus menggarisbawahi hal itu untuk semua orang. Skandal mata-mata di Meksiko (di mana Pegasus terlibat dalam kegiatan memata-matai wartawan dan lainnya) benar-benar mengguncang masyarakat dan politik Meksiko. Saya pikir apa yang kita lihat adalah perluasan itu ke tempat-tempat di luar Meksiko.

ME:
Bisakah kita melihat sesuatu seperti itu di Israel? The New York Times melaporkan bahwa Israel mendorong hubungan NSO Group dengan Arab Saudi bahkan setelah pembunuhan Khashoggi, dan pengacara Israel Eitay Mack menggambarkan perusahaan-perusahaan Israel sangat dikendalikan oleh Kementerian Pertahanan Israel. Bagaimana regulasi bisa menjelaskan dinamika semacam itu?

DK:
Penting untuk memisahkan – meskipun terkait – kekhawatiran global dengan industri yang memiliki perusahaan di seluruh Eropa, AS, dan melibatkan alat yang melampaui Pegasus hingga semua jenis alat yang dijual di pasar terbuka hingga pemerintah di seluruh dunia – dari rincian NSO dan kontrol pemerintah Israel atas Pegasus.

Di satu sisi, kita membutuhkan upaya global untuk mengidentifikasi: Apa aturan seputar kontrol ekspor teknologi pengawasan? Sejauh mana hak asasi manusia harus menjadi bagian dari penilaian aplikasi ekspor tertentu? Setelah Anda menetapkan aturan tersebut, terserah kepada pemerintah nasional untuk menerapkan aturan tersebut. Itu harus terjadi.

Situasi di Israel seperti contoh disfungsi global. NSO memiliki kantor di Siprus dan Bulgaria juga, jadi mungkin ada masalah ekspor lainnya – tetapi terutama ketika NSO memerlukan lisensi (ekspor Israel), jelas bahwa Kementerian Pertahanan Israel memahami siapa kliennya dan memiliki potensi untuk membatasi ekspor. Tetapi juga, mengingat betapa pemerintah sangat menginginkan akses ke Pegasus, pemerintah Israel mungkin mengerti bahwa ini bisa menjadi alat dalam hubungan bilateral mereka di seluruh dunia.

Itu membutuhkan fokus pada spesifik antara Israel dan NSO dan patut mendapat perhatian bilateral dari pemerintah Amerika Serikat dan lainnya, karena sejauh pemerintah Israel benar-benar mendorong ekspor teknologi ini, itu mendukung teknologi yang bertentangan, untuk misalnya, kekhawatiran pemerintahan Biden tentang represi transnasional. Ada banyak ruang di sini untuk pendekatan terfokus untuk membuat Israel mengendalikan perusahaannya sendiri. Hanya saja lebih sulit untuk melakukan pengekangan jika Anda tidak memiliki seperangkat norma global yang bagus.

(Catatan editor: CPJ mengirim email kepada juru bicara Kementerian Pertahanan Israel untuk mengomentari laporan Times dan pernyataan Kaye tentang Israel, tetapi tidak menerima tanggapan sebelum dipublikasikan. Juru bicara Kementerian itu sebelumnya mengatakan kepada CPJ bahwa “masalah hak asasi manusia, kebijakan, dan keamanan semuanya dipertimbangkan” ketika ekspor pertahanan dilisensikan.)

ME:
Bagaimana dengan eksploitasi zero-day, yang telah digunakan untuk menginstal Pegasus menggunakan kerentanan yang sebelumnya tidak diketahui di perangkat lunak lain? Wartawan New York Times Nicole Perlroth dan yang lainnya melaporkan bahwa ini tidak tunduk pada kontrol ekspor karena sering kali dipasok oleh peretas. Bagaimana aturan global dapat menjelaskannya?

DK:
Dalam beberapa hal, (ini) tidak berbeda dengan perdagangan senjata pasar gelap, yang terjadi meskipun ada aturan global seputar transfer senjata, (atau) lingkungan tentara bayaran swasta, di mana Anda memiliki seperangkat norma yang muncul dan beberapa aturan hukum internasional, tetapi Anda juga memiliki operator (pasar gelap).

Kami berada pada tahap menciptakan kerangka normatif, dan kemudian kerangka hukum, yang membatasi perdagangan ini, dan juga menciptakan semacam tekanan pada mereka yang akan beroperasi di pasar gelap, dalam bayang-bayang. Saat ini, seolah-olah tidak ada bayangan, karena tidak ada batasan hukum.

ME:
Kita melihat banyak pemerintah membuat undang-undang untuk memperkenalkan denda bagi perusahaan media sosial atau bahkan hukuman penjara bagi eksekutif mereka. Menurut Anda mengapa begitu mudah bagi kita untuk mengejar akuntabilitas di bidang itu ketika kita sangat ketinggalan dalam mengatur industri pengawasan yang sangat bermasalah ini?

DK:
Aturan yang memandu media sosial, atau perusahaan lain yang memediasi ujaran – dan dampaknya terhadap informasi yang kita lihat – cukup jelas. Karena perusahaan media sosial adalah perusahaan periklanan, kita semua merasa terlibat dengan pilihan mereka mengenai informasi apa yang mereka tampilkan di feed kita.

Sebaliknya, industri pengawasan adalah semacam pengganda kekuatan bagi rezim otoriter. Mereka tidak perlu menjual kepada semua orang, mereka sangat senang tidak diketahui publik, dan klien (mereka) hanya perlu menargetkan segelintir orang untuk mencapai tujuan mereka. Salah satu klien yang telah diidentifikasi dalam pelaporan baru-baru ini di NSO perlu menargetkan mungkin selusin jurnalis untuk mengintimidasi mereka, mengeringkan sumber informasi mereka, dan mempersulit mereka untuk melaporkan informasi kepada publik.

Pelaporan Proyek Pegasus menyoroti orang-orang bahwa, "Oh — hal yang terjadi pada sejumlah kecil orang ini sebenarnya mempengaruhi informasi yang saya terima dengan cara yang lebih mendalam daripada peran media sosial."

ME:
Bisakah kita berbicara tentang pemulihan yudisial – apakah pengadilan adalah cara yang tepat untuk mengejar akuntabilitas setelah beberapa pengungkapan ini?

DK:
Saya tidak yakin bahwa bocoran saat ini dapat ditindaklanjuti – dan itu adalah masalah. Kita telah berbicara tentang kontrol ekspor dan tanggung jawab perusahaan, tetapi kita juga berbicara tentang gugatan – kerugian hukum – yang dipaksakan oleh perusahaan dan pemerintah secara bersama-sama pada individu. Dalam lingkungan hukum kerja yang normal, seseorang yang dirugikan harus memiliki penyebab tindakan, tindakan hukum yang dapat dikenali yang dapat mereka lakukan terhadap orang yang melukai mereka.

Kita tidak memiliki kerangka hukum domestik yang baik untuk itu di sebagian besar negara. Jika satu pemerintah melakukan pengawasan terhadap seseorang di wilayah pemerintah lain, orang tersebut tidak dapat mengajukan tuntutan terhadap mereka karena ada kekebalan kedaulatan – bahwa pemerintah tidak dapat dikenakan proses hukum di negara mereka sendiri.

Terkadang sulit untuk mengidentifikasi di mana tepatnya kerugian itu terjadi, yang akan menciptakan yurisdiksi bagi pengadilan untuk menghibur klien. Kadang-kadang pengawasan begitu buram, sulit bagi seseorang untuk membuktikan pengawasan yang sebenarnya dan kemudian membuktikan ada bahaya. Jadi perlu ada banyak pengembangan hukum untuk memberikan individu kemampuan untuk benar-benar membawa kasus terhadap perusahaan dan pemerintah.

ME:
Op-ed terbaru Anda menggambarkan "limpasan alat yang dibagikan lintas batas" di industri ini. Laporan 2019 Anda ke Dewan Hak Asasi Manusia PBB menyerukan moratorium global atas penjualan dan transfer semua ini, sambil menunggu pengembangan kerangka kerja yang menghormati hak, apa itu benar?

DK:
Ada banyak alat di luar sana yang semuanya perlu dipertimbangkan. Alat (forensik digital) ada di luar sana – ada juga jenis yang secara langsung mengakses lalu lintas internet, yang menangkap transfer komunikasi seluler. Ini bukan hanya alat khusus seperti Pegasus – meskipun Pegasus terasa paling invasif karena Anda dapat memvisualisasikannya. Anda memegang ponsel Anda dan (jika) seseorang memiliki akses ke sana – itulah hidup Anda, segalanya. (Tapi) beberapa yang lain sama invasifnya.

Seiring perubahan teknologi, dan perubahan komunikasi, aktor jahat – dan pemerintah yang merupakan aktor baik, secara umum – akan berusaha melawannya. Untuk setiap peningkatan enkripsi, ada respons pemerintah untuk membatasinya. Kita harus (mampu) gesit membuat aturan baru. Kita tidak benar-benar memilikinya sekarang. Dalam laporan 2019, saya berbicara tentang Pengaturan Wassenaar, yang merupakan rezim internasional yang tidak mengikat untuk mengontrol teknologi penggunaan ganda – militer dan sipil – itu tidak memiliki komponen hak asasi manusia. Dan seharusnya – mereka dapat memiliki kelompok kerja untuk alat-alat seperti Pegasus, tetapi juga konsultasi rutin seiring perkembangan teknologi. Siapa yang tahu alat apa yang akan tercipta berikutnya? (Sumber: Email CPJ)