Alberto troede, at han var med til at gøre verden til et bedre sted. I dag siger han, at han nok var lidt naiv

I mere end fem år så Alberto Pelliccione sig selv som en af the good guys. Som én hvis arbejde bidrog til at gøre verden til et bedre og sikrere sted. En slags virkelighedens version af Q fra James Bond-filmene.

Den italienske computerprogrammør og hans kolleger i virksomheden Hacking Team havde siden 2007 udviklet et overvågningsredskab så avanceret, at det østtyske sikkerhedspoliti Stasi ville have været misundelige.

Et lille program, der kunne trænge ind i nærmest enhver smartphone, tablet eller computer og give bagmanden fuld adgang til alt indhold, sende løbende opdatereringer om, hvor målet befandt sig, og hvem han var i kontakt med, og på kommando aktivere apparatets mikrofon og webcam til brug for aflytning. Og det helt uden at blive opdaget af antivirusprogrammer.

Programmet solgte de til efterretningstjenester og politimyndigheder verden over. Og selv om Alberto Pelliccione ikke havde fuld indsigt i, hvordan kunderne brugte værktøjet, så hørte han af og til om nogle sager. Om mafiabosser, menneskesmuglere og mistænkte terrorister.

»Vi gik ud fra, at når kunderne var legitime myndigheder, så blev vores software også brugt legitimt,« siger Alberto Pelliccione. »Så jeg følte, vi gjorde noget, der var godt.«

I dag er han den første til at indrømme, at det nok var lidt naivt.

Allemandseje

Der var engang, hvor avancerede overvågnings- og spionageværktøjer var forbeholdt en snæver kreds af verdens stormagter. Men fremvæksten af en privat overvågningsindustri har over især det seneste årti gjort spionprogrammer og internetovervågning så billige og lettilgængelige, at den slags teknologi nu står til rådighed for myndighederne i nærmest alle lande – fra rige oliestater som De Forenede Arabiske Emirater til fattigere afrikanske lande som Sudan og Etiopien.

Som Information i samarbejde med medier fra en række europæiske lande kunne afsløre torsdag, har EU’s medlemslande de seneste to år tilladt eksport af overvågningsteknologi til lande uden for unionen hele 317 gange. Systemerne sælges i stort omfang til diktaturstater.

Knap 30 procent af tilladelserne gælder ifølge undersøgelsen lande, som i tænketanken Freedom Houses årlige ’Freedom in the World’-rapport er karakteriseret som ’ikke frie’. Blandt dem er den kommunistiske diktaturstat Vietnam, general al-Sisis Egypten og De Forenede Arabiske Emirater.

52 procent af tilladelserne gælder lande, som Freedom House karakteriserer som ’delvist frie’. Det er bl.a. et land som Tyrkiet, hvor Erdogan-regeringen efter det mislykkede militærkup sidste år har slået hårdt ned på politiske modstandere. Kun 17 procent af eksporttilladelserne gælder lande, der ifølge Freedom House er ’frie’. Det er eksempelvis et land som USA.

I de rette hænder kan sådanne digitale overvågningsværktøjer bruges til at fange kriminelle og forhindre terrorangreb. I de forkerte kan de misbruges til at udspionere demokratiforkæmpere og slå ned på legitim kritik. Det sidste er der efterhånden en del eksempler på.

Så spørgsmålet er, om overvågningsindustrien i virkeligheden gør mere skade end gavn. Efter syv år i branchen er det Alberto Pellicciones opfattelse.

Tvivlen kommer

Den første tvivl indfandt sig i restauranten på Bethesda North Marriott Hotel i Washington DC en oktoberdag i 2012. Alberto Pelliccione og en håndfuld kolleger var i USA for at deltage i den årlige sikkerhedsmesse ISS World – verdens mest populære konference for efterretningstjenester – da nyheden kom.

Et forskerhold fra Citizen Lab ved University of Toronto hævdede at have beviser for, at Hacking Teams software var blevet brugt mod en menneskeretsaktivist i De Forenede Arabiske Emirater og en gruppe uafhængige journalister i Marokko. Over aftensmaden diskuterede Hacking Team-folkene sagen.

»Vores første reaktion var vrede,« fortæller Alberto Pelliccione. Ikke så meget over selve misbrugen af softwaren. Snarere over de interne fejl og det lemfældige kodearbejde, der havde gjort det muligt for forskerne at spore softwaren tilbage til Hacking Team.

»Vi følte, at alt var kompromitteret,« siger han. »Men vi begyndte også så småt at sætte spørgsmålstegn ved, hvem vores software egentlig blev brugt til at spionere mod.«

Sælg, sælg, sælg

Alberto Pelliccione forventede, at Hacking Teams ledelse ville skride hårdt ind over for misbruget. Opsige samarbejdet med kunden – eller i det mindste undersøge sagen til bunds. Da han kom tilbage til firmaets hovedkvarter i Milano, blev han skuffet. Der blev ganske vist indkaldt til et krisemøde. Men krisen virkede mere til at handle om afsløringen end om selve misbrugen af softwaren.

»Ledelsen sagde, at det var en nødsituation, og at vi ikke kunne holde ferie, før vi havde lavet en ny version af programmet, der ikke kunne spores, fordi firmaets liv afhang af det,« siger Alberto Pelliccione.

»De sagde, at vi ikke skulle bekymre os om, hvad Citizen Lab skrev. For kunden var en legitim myndighed, og derfor var alt, hvad kunden gjorde, i overensstemmelse med det lands love. De sagde også, at det kunne være, at de personer, som Citizen Lab sagde var journalister, i virkeligheden var terrorister. Så vi måtte fortsætte med at give support til kunden.«

For en stund var Alberto Pelliccione beroliget.

»Jeg tænkte: OK. Det kan godt være, at ledelsen har ret. Det kan godt være, at kunden ved noget om de her fyre, som vi ikke ved. Vi må lade tvivlen komme kunden til gode,« fortæller han.

En nytteetisk afvejning

Men så kom der en rapport mere. Etiopiske journalister var blevet overvåget med firmaets software. Og »nogle mindre sager, der ikke fik international omtale« fulgte. Organisationen Reporters Without Borders brændemærkede Hacking Team som »digitale lejesoldater« og »fjender af internettet«. Og Alberto Pellicciones tvivl bed sig efterhånden fast. Han begyndte at bruge mange timer på at læse historierne om, hvad der var sket med de mennesker, der var blevet overvåget.

»Jeg følte et personligt ansvar,« siger han. »Det var ikke sådan, at jeg græd om natten, men … Spørgsmålene blev ved at vende tilbage i mit hoved, igen og igen. Var det virkelig rigtigt, at det her var sket? Og så det svære spørgsmål: Overtrumfede det dårlige alt det gode? Jeg kendte jo mange tilfælde, hvor vores program blev brugt til gode formål.«

I februar 2014 nåede Alberto Pelliccione sin konklusion. Han sagde sin stilling i Hacking Team op for i stedet at flytte til Malta og starte firmaet ReaQta, der specialiserer sig i værktøjer til beskyttelse mod hacking.

»Med de her teknologier er det ekstremt svært at have kontrol med slutbrugernes aktiviteter, og det er umuligt at definere grænserne for deres brug på forhånd, så man må vælge sine kunder med omhu. Min oplevelse var, at det ikke blev gjort grundigt nok.«

– Du beskriver et firma, der sætter profit over etik og bevidst sælger til diktatoriske regimer, selv om der er en stor risiko for, at de vil misbruge produktet. Er det noget unikt for Hacking Team, eller gælder det hele overvågningsbranchen?

»Jeg ved, at der er andre firmaer, som har gjort mere eller mindre det samme.«

–  Er der nogen grund til at tro, at overvågningsfirmaer fra andre lande, eksempelvis Danmark, er mere etiske end Hacking Team?

»En virksomhed er aldrig etisk. En virksomhed skal tjene penge. Den eneste etik kommer fra regulering. Eller hvis ens kunder efterspørger det. Og når ens kunder er regeringer og efterretningstjenester, så går man ikke så meget op i den etiske profil. Kunderne lever i en verden, hvor der er meget få love, og hvor de kan gøre nærmest lige, hvad de vil. Der er ingen etiske grænser,« siger Alberto Pelliccione.

Efter afsløringerne af diktatoriske regimers misbrug af Hacking Teams og andre vestlige virksomheders teknologi er overvågning blevet omfattet af regulering gennem den internationale Wassenaar-aftale. I EU blev de nye regler implementeret den 31. december 2014. Derfor kræver det nu en tilladelse fra myndighederne at få lov at eksportere overvågningsteknologi til lande uden for unionen. Alligevel er handelen med diktaturstater ikke stoppet.

En lækage fra Hacking Team viste sidste sommer, at firmaet fortsat havde lande som Aserbajdsjan og Saudi-Arabien på kundelisten. Og både Danmark, Finland og Storbritannien har givet virksomheder tilladelse til at eksportere overvågningsteknologi til autoritære lande, heriblandt det kommunistiske Vietnam, De Forenede Arabiske Emirater og general Al-Sisis Egypten.

EU-Kommissionen har foreslået en stramning af reglerne. Men ifølge Alberto Pelliccione er der ikke nogen let måde at stoppe salg af overvågningsteknologi til diktaturstater helt.

»Man kan gøre det sværere. Men der findes altid en måde. Du kan for eksempel bruge et proxy-land. I fremtiden kan et europæisk firma måske ikke sælge til Kina, men så kan de måske sælge til Emiraterne, og så kan Emiraterne sælge videre til Kina,« siger han.

Hacking Team har ikke besvaret Informations forespørgsel om en kommentar.