“الهواتف الذكية تستمع”: تنظيم الصادرات وإساءة استخدام الأدوات السيبرانية

: يشرح محرر آيفكس للشرق الأوسط وشمال أفريقيا كيف يتزايد بيع وتوظيف أدوات المراقبة الرقمية المتطورة من قبل الدول الاستبدادية في المنطقة لاستهداف المدافعين عن حقوق الإنسان، وكيف يدافع المجتمع المدني عن الحق في الخصوصية وحرية التعبير الرقمي.

السياق

تتمتع الأجهزة الأمنية في جميع أنحاء المنطقة بإرث طويل سيئ السمعة في تتبع مواطنيها والآراء التي يعبرون عنها. إلا أن انتشار استخدام وسائل التواصل الاجتماعي والتكنولوجيا التي حفزتها الثورات العربية في عام 2011، فضلاً عن تزايد الوعي بين النشطاء باستخدام أدوات التشفير والتجاوز للتحايل على مراقبة الدولة، أدى إلى قيام الحكومات الاستبدادية بالاستثمار بكثافة في استيراد التقنيات والخبرات الأجنبية في السنوات الأخيرة في جهود منسقة لتعزيز قدراتها على المراقبة. في عصر ساعدت فيه الهواتف الذكية على تعريف معظم سكان المنطقة إلى الإنترنت، كشفت الأجهزة الموجودة في جيوبنا أيضاً منتقدي السلطات القمعية في المنطقة وعرضتهم إلى مجموعة واسعة من التهديدات الرقمية المتزايدة.

في هذا السياق، وفرت صناعة تكنولوجيا المراقبة العالمية المزدهرة سوقاً متنامية للمشترين من المنطقة، حيث غالباً ما يسوق هؤلاء الصنّاع منتجاتهم تحت ستار تمكين الحكومات من مواجهة تهديدات الإرهاب بشكل أفضل. باعت عشرات الشركات، بما في ذلك الإسرائيلية NSO Group و Cellebrite، والألمانية Finfisher، والإيطالية Hacking Team أدوات التجسس الرقمية لأسوأ منتهكي الخصوصية وحرية التعبير في المنطقة وسط حملة قمع مكثفة على الانتقادات بعد الثورات.

فمثلاً، في السنوات الخمس التي أعقبت احتجاجات 2011، باعت شركة الأسلحة البريطانية BAE Systems تقنية Evident للمراقبة الخاصة بها إلى المملكة العربية السعودية والإمارات العربية المتحدة وقطر وعمان والمغرب والجزائر، مما مكن هذه الدول من جمع وتحليل ملايين رسائل البريد الإلكتروني والرسائل.

لقد كانت العدالة والمساءلة بطيئة في الوصول. إذ لم يحصل إلا مؤخراً مواجهة المديرين التنفيذيين من اثنين من شركات التكنولوجيا الفرنسية اتهامات “بالتواطؤ في أعمال التعذيب” لبيعهم أدوات مراقبة الإنترنت إلى ليبيا ومصر والتي استُخدمت لتعقب شخصيات المعارضة التي تم اعتقالها وتعذيبها في وقت لاحق، وفقاً للاتحاد الدولي لحقوق الإنسان (FIDH).

جزء من المشكلة هو أن هذه المبيعات تتم مع القليل من الشفافية أو اعتبارات لحقوق الإنسان منذ البداية، ويتم الكشف عنها فقط نتيجة للصحافة الاستقصائية والبحوث النشطة من قبل منظمات مثل سيتيزن لاب التي توثق استخداماتها الشائنة من قبل الدول الاستبدادية. وفي حين أن ذلك أدى بطبيعة الحال إلى تقييد الوصول إلى أحدث المعلومات عن الترسانات الرقمية للدول الاستبدادية في المنطقة، فإن ما أصبح بديهياً هو أنه في غضون ذلك يستمر تطوير الأدوات التي تباع.

قالت ناشطة حقوق المرأة السعودية منال الشريف لبي بي سي في 2017: “اعتدنا أن نقول “الجدران لها آذان”، لكننا اليوم نقول “الهواتف الذكية لها آذان”.  اليوم أنتج مشهد المراقبة الرقمية الغامض أدوات تظهر تطوراً متزايداً في قدرتها على مراقبة الأجهزة وتسجيلها وتحويلها بشكل أساسي إلى أسلحة تجريم ضد أهدافها.

الجزء الأول: الأهداف والجناة 

كان لدول المراقبة المزدهرة في المنطقة تأثير سلبي عميق على حرية التعبير والوصول إلى المعلومات. حيث يواجه النشطاء والصحفيون مخاطر متزايدة على وظائفهم وسمعتهم ومصادرهم واتصالاتهم، بما في ذلك أفراد أسرهم. وقد تمت إعاقة قدرتهم على صناعة التقارير الإخبارية حول ما يحدث على الأرض ونشرها، وهي تقارير تعتمد عليها بشكل كبير المجتمعات المحلية والمنظمات الدولية على حد سواء، مما أدى بالتالي إلى تقييد الوصول إلى المعلومات في الوقت الحقيقي. من المحتمل أيضاً أن يقوم مستخدمو الإنترنت بالمزيد من الرقابة الذاتية عند رؤية كيف يتم استهداف الآخرين لمحتواهم الرقمي واتصالاتهم.

كما تم استخدام البيانات التي تم حصادها من أجهزة مراقبة لاستهداف النشطاء والصحفيين والمدافعين عن حقوق الإنسان من خلال حملات استقاء المعلومات الشخصية وتشويه السمعة عبر الإنترنت التي أضرت بشكل خاص بالفئات الضعيفة في المنطقة، بما في ذلك النساء ومجتمع الميم (+LGBTQI) . تم اختراق هاتف صحفية الجزيرة غادة عويس، مما أدى إلى نشر صورها ومقاطع الفيديو الخاصة بها على الإنترنت، وتعرضها لهجمات جندرية مستمرة من متنمري الإنترنت السعوديين.

في العقد الذي أعقب الثورات، استخدمت السلطات أيضاً بشكل متزايد أدوات المراقبة الرقمية لدعم انتهاكات حقوق الإنسان والاضطهاد القانوني المليء بالعيوب، واستهدفت سكانها بأكثر الطرق شراسة. في البحرين، عرضت على النشطاء المحتجزين خلال احتجاجات عام 2011 نسخ من رسائلهم الخاصة وطلب منهم شرحها بينما كانوا يتعرضون للتعذيب. في المغرب، تم تحديد الصحفيين عمر راضي و معاطي منجب من قبل منظمة العفو الدولية على أنهما أهداف لبرامج التجسس، وقد واجها أحكاماً بالسجن بناء على اتهامات ملفقة.

في المنطقة، برزت الإمارات العربية المتحدة والمملكة العربية السعودية كرائدتين في استخدام هذه التقنيات لإسكات سكانهما. أشار نشطاء مثل المدافعة البحرينية عن حقوق الإنسان مريم الخواجة إلى صفقات التطبيع بين دول الخليج وإسرائيل، حيث من المرجح أن يؤدي ذلك إلى تفاقم الوضع بالنسبة للناشطين الخليجيين إذ يُتوقع أن يحدث “تبادل برامج التجسس وتكنولوجيا المراقبة في صفقات أكثر سلاسة.”

الإمارات العربية المتحدة: واحة للمرتزقة السيبرانيين 

في فترة قصيرة من الزمن قامت دولة الإمارات العربية المتحدة ببناء بنية تحتية محلية هائلة للمراقبة. كشف تحقيق أجرته رويترز عام 2019 كيف ساعد عملاء وكالة الأمن القومي الأمريكية السابقون الإمارات العربية المتحدة في إطلاق عمليات القرصنة التي أطلق عليها اسم بروجكت رايفن في عام 2014. استخدمت العمليات العديد من الأدوات الإلكترونية لمراقبة خصوم الإمارات، بما في ذلك كارما، وهو برنامج تجسس متطور اخترق بين عامي 2016 و 2017 هواتف أيفون لمئات المستخدمين. شملت الأهداف أمير قطر، ومسؤول تركي كبير، والناشطة اليمنية في مجال حقوق الإنسان والحائزة على جائزة نوبل للسلام، توكل كرمان، ونادية منصور، زوجة الإماراتي أحمد منصور، الناشط في مجال حقوق الإنسان القابع في السجن.

استحوذت شركة الأمن السيبراني المحلية في دولة الإمارات العربية المتحدة DarkMatter Group، على عمليات التجسس السيبراني الخاصة ببروجكت رايفن. وقد أسمت مؤسسة التخوم الإلكترونية هذه الشركة بـ “شركة مرتزقة سيبرانيين” حيث قادت الشركة جهود قرصنة شائنة في جميع أنحاء العالم، بدعم من قراصنتها الموظفين حول العالم. وفقاً لخبراء الأمن، من الغالب أن هذه المجموعة تقف وراء توتوك، تطبيق المراسلة الإماراتي قصير العمر الذي كشفت صحيفة نيويورك تايمز أنه أداة تجسس تستخدم لتتبع المحادثات والحركات والأصوات والصور على أجهزة مستخدميها.

وقد تم استهداف المدافع الإماراتي البارز عن حقوق الإنسان أحمد منصور، الذي يقضي حالياً حكماً بالسجن لمدة 10 سنوات بسبب آراءه على الإنترنت، بشكل كبير من قبل برامج التجسس. تجسد قضيته مدى توظيف السلطات الإماراتية لمجموعة من الأدوات السيبرانية من جميع أنحاء العالم. وفقاً لبحوث سيتزن لاب، تم استهداف منصور ببرنامج التجسس FinSpy من FinFisher في عام 2011، و Remote Control System من Hacking Team في عام 2012، بالإضافة إلى برنامج التجسس Pegasus من NSO Group في 2016.

المملكة العربية السعودية: المراقبة الخطرة 

على نحو مماثل، شهدت البنية التحتية للمراقبة الرقمية في المملكة العربية السعودية استثمارات ضخمة على مدى العقد الماضي، مع مجموعة من الأدوات السيبرانية المستوردة وخبراء الإنترنت الأجانب الذين تم توظيفهم لبناء واحدة من أكثر دول المراقبة تهديداً في المنطقة.

يزعم أن مركز مكافحة الإرهاب في الديوان الملكي في الرياض، الذي يرأسه مستشار محمد بن سلمان، سعود القحطاني، كان مسؤولاً عن بعض عمليات التجسس السيبراني الأكثر شهرة. تقول التقارير بأنه تم تعزيز الترسانة السيبرانية للمملكة على مدى العقد الماضي بأدوات من شركة القرصنة الإيطالية Hacking Team، والإسرائيلية NSO Group، و DarkMatter الإماراتية.

في تقرير من حزيران/ يونيو 2014، حدد باحثو سيتزن لاب برنامج مراقبة خبيث من قبل Hacking Team استهدف مواطنين في القطيف احتجوا على السياسات الحكومية وقمع الدولة. وجاء برنامج التجسس في شكل نسخة معدلة من تطبيق الأخبار المحلية القطيف اليوم، والتي منحت الوصول إلى رسائل البريد الإلكتروني والرسائل النصية والملفات من تطبيقات مثل فيسبوك أو فايبر أو سكايب أو واتس آب، بالإضافة إلى جهات الاتصال وسجل المكالمات للهواتف التي تم تثبيتها عليها.

في عام 2018، وثق سيتزن لاب مراقبة الناشط السياسي السعودي البارز المقيم في كندا عمر عبد العزيز، الذي تم اختراق هاتفه مع برامج التجسس Pegasus من NSO. كمساعد للصحفي السعودي جمال خاشقجي، احتوى هاتف عبد العزيز على تبادلات واتس آب خاصة بين الرجلين الذين ينتقدان النظام، بما في ذلك خططهما لإطلاق شبكة نشاط على وسائل التواصل الاجتماعي، وقد تمت الإشارة إلى أن هذه المعلومات لعبت دوراً محورياً في الاغتيال الوحشي لخاشقجي في القنصلية السعودية في اسطنبول بعد أشهر من بدء الاختراق.

وتم استهداف عشرات الصحفيين في قناة الجزيرة، بالإضافة إلى صحفي في قناة العربي التي تتخذ من لندن مقراً لها، من خلال عملية تجسس إلكترونية مرتبطة بالمملكة العربية السعودية والإمارات العربية المتحدة. أصابت البرمجيات الضارة هواتف 36 صحفياً وإعلامياً في شبكة الجزيرة القطرية في عام 2020، فيما دعته سيتزن لاب “أكبر هجمة مركزة لاختراق الهواتف تستهدف منظمة واحدة”.

كيف تكتشف بيغاسوس

قرع خبراء الأمن الرقمي ومنظمات المجتمع المدني مراراً وتكراراً ناقوس الخطر حول برنامج التجسس من الصنف العسكري التابع لـ NSO Group، بيغاسوس، وأسلوبه المتطور في الهجوم من النقرة-صفر والذي يعطي السلطات القدرة على السيطرة على الأجهزة المصابة دون حاجة لتفاعل المستخدم. في حين استمرت الشركة بالنفي، فقد تمكنت التحقيقات الأخيرة التي ترأستها المؤسسة الصحافية غير الربحية الموجودة في باريس، فوربيدن ستوريز (Forbidden Stories)، وشارك فيها مجموعة من 17 مؤسسة إخبارية، تمكنت من الكشف عن الرقعة الواسعة لهذه الهجمات وانتشارها العالمي.

حيث أجرت المجموعة تحقيقاً تقنياً على أكثر من 50,000 شخص تم استهداف أرقام هواتفهم بواسطة برنامج التجسس من قبل عملاء للحكومة، بما في ذلك الجناة المعروفين في المنطقة مثل المغرب والمملكة العربية السعودية والإمارات العربية المتحدة والبحرين؛ ما عرف بـ “بروجكت بيغاسوس”

شملت الأهداف المدرجة في القائمة من منطقة الشرق الأوسط عائلة جمال خاشقجي وخطيبته خديجة جنكيز، والصحفية رولا خلف، التي أصبحت أول محررة في صحيفة فاينانشال تايمز العام الماضي. وتضمنت القائمة أيضاً وضاح خنفر، المدير العام السابق لقناة الجزيرة، بالإضافة إلى الصحفيين المغاربة عمر راضي وهشام منصوري وتوفيق بوعشرين. وفي مقاربة ساخرة لدولةٍ خرجت فيها الرقابة عن السيطرة، كشفت التحقيقات احتمال أن الملك محمد السادس كان مستهدفاً أيضاً من قبل برنامج التجسس من قبل جهازه الأمني الخاص.

في أعقاب التقارير، أعلنت أمازون أنها ستغلق بنيتها التحتية لخدمات الويب والحسابات المرتبطة بـ  NSO Group، في حين أعلنت الحكومة الإسرائيلية أنها ستنشئ قوة عمل للنظر فيما إذا كانت سياسة البلاد التي سمحت بتصدير ونشر هذه الأسلحة الإلكترونية دون رادع، في حاجة إلى إصلاح.

وقد ساعد التحقيق بلا شك في تسليط مزيد من الضوء على المعركة ضد المراقبة الرقمية، ورفع أهميتها كقضية أمنية وطنية عالمية، كما منح الدعم  لجهود المجتمع المدني في وقف المد المتزايد لهذه الأسلحة السيبرانية في المنطقة.

الجزء الثاني: ما وراء البانوبتيكون 

المجتمع المدني يرد الهجوم.

مع استمرار عمليات القمع في جميع أنحاء منطقة الشرق الأوسط وشمال أفريقيا دون هوادة، يجب على الحكومات في الديمقراطيات الغربية اتخاذ إجراءات ضد الشركات التي تساعد في مثل هذا القمع. دعت جماعات حقوق الإنسان مراراً حكومات الاتحاد الأوروبي والولايات المتحدة وكندا إلى فرض ضوابط على صادرات شركات تكنولوجيا التجسس ومنع هذه الجهات من تصدير التقنيات التي تسهل الرقابة والحجب والتجسس من قبل الحكومات القمعية في المنطقة.

في الاتحاد الأوروبي، اعتمدت مؤخراً تدابير لائحة جديدة بشأن صادرات الشركات الأوروبية من تكنولوجيا المراقبة ذات الاستخدام المزدوج، وقد رحبت بذلك جماعات حقوق الإنسان ولكنها أعربت أيضاً عن خيبة أملها لأن النص التشريعي لا يتضمن شروطاً أوضح وأقوى للدول الأعضاء في الاتحاد الأوروبي والشركات المصدرة لتطبيق القواعد الجديدة والإجراءات التأديبية للأعضاء المخالفين للقانون.

وفي الوقت نفسه، دعا خبراء الأمم المتحدة وجماعات الحقوق إلى وقف شراء أدوات المراقبة وبيعها ونقلها إلى الدول الاستبدادية، مشددين على الحاجة إلى وضع إطار تنظيمي لتوفير الرقابة اللازمة.

وفي المعركة من أجل المزيد من التنظيم، فإن المطالب بالشفافية وآليات المساءلة شديدة الأهمية. في الولايات المتحدة، أدى تحقيق رويترز في بروجكت رايفن إلى تشريع جديد يطالب وزارة الخارجية بأن تكشف عن كيفية سيطرتها على بيع الأدوات السيبرانية والإجراءات المتخذة ضد الشركات الأمريكية التي انتهكت سياساتها.

في عام 2018، رفع عمر عبد العزيز دعوى قضائية ضد NSO Group الإسرائيلية لإصابة هاتفه، بحجة أن تلك القرصنة “ساهمت بشكل كبير في قرار قتل جمال خاشقجي.” تواجه الشركة أيضاً دعوى قضائية من المنشق السعودي والناقد الصريح غانم المسارير المستقر في المملكة المتحدة، بالإضافة إلى معركة قانونية أطلقها فيسبوك في محكمة أمريكية ومدعومة من قبل عمالقة تكنولوجيا آخرين. في الوقت نفسه، قاد المحامي إيتاي ماك في إسرائيل الالتماسات القانونية لوضع شركتي التكنولوجيا الإسرائيليتين NSO Group و Cellebrite موضع المساءلة حول صادراتهما من أدوات التجسس السيبراني.

في كانون الأول/ ديسمبر 2020، قدمت الصحفية المخترقة غادة عويس أيضاً دعوى قضائية في محكمة في فلوريدا تتهم ولي العهد السعودي الأمير محمد بن سلمان، وولي عهد أبوظبي محمد بن زايد، و DarkMatter، و NSO، والعديد من أصحاب حسابات وسائل التواصل الاجتماعي الأمريكية، بالمسؤولية عن الاختراق والتسريب الذي تعرضت له.

إن هذه القائمة المستمرة بالنمو من الدعاوى القانونية التي أطلقت في المحاكم خارج المنطقة أمر حيوي إذا أردنا فضح الأعمال الداخلية لهذه العمليات وتحقيق الشفافية في عملية سرية – عملية كان من الصعب فيها تتبع الأدوات التي يتم بيعها، والجناة الذين يستخدمونها لانتهاك حقوق الإنسان.

وعلى هذه الجبهة، فإن العمل الجماعي من جانب المجتمع المدني أمر بالغ الأهمية. تقود مجموعات الحقوق الرقمية بشكل متزايد الجهود الرامية إلى مساءلة شركات المراقبة عن صادراتها من أدوات التجسس. وقد تحدت منظمات المجتمع المدني محاولة Cellebrite للاكتتاب العام في بورصة ناسداك، مضيئة على أن بيع منتجات الشركة للأنظمة القمعية مثل المملكة العربية السعودية مكن من “اعتقالات وملاحقات ومضايقة الصحفيين ونشطاء الحقوق المدنية والمنشقين والأقليات في جميع أنحاء العالم.”

كما تمت مقابلة خطط غوغل لإنشاء خدماتها السحابية الإقليمية في المملكة العربية السعودية بهجوم مضاد جماعي. وقد أشارت جماعات حقوق الإنسان إلى سجل البلاد الحافل بالقمع والتجسس الإلكتروني و “استخدام برامج المراقبة السيبرانية للتجسس على المنشقين” كأسباب كافية لإلغاء المشروع.

تقول مجموعة الحقوق الرقمية تبادل التواصل الاجتماعي (SMEX) إن عدم وجود إطار قوي لحماية البيانات في المملكة العربية السعودية قد سهل أيضاً التهديدات للخصوصية الرقمية التي يتعرض لها المستخدمون. في جميع أنحاء المنطقة الأوسع، أصبحت الحاجة إلى تعزيز قوانين حماية البيانات والخصوصية غير الكافية أمراً ضرورياً لتعزيز الجهود المبذولة للحد من المراقبة الرقمية، ووفقاً لأبحاث SMEX، تزداد أهميتها أيضاً في سياق نشر الحكومات لعدد لا يحصى من تطبيقات التتبع لكوفيد-19 أثناء الجائحة.

كما اجتمعت العديد من منظمات حقوق الإنسان والحقوق الرقمية من المنطقة لتشكيل تحالف الشرق الأوسط وشمال أفريقيا لمكافحة المراقبة الرقمية. ودعت هذه الجماعات إلى وضع حد لمبيعات أدوات المراقبة الرقمية للحكومات القمعية في المنطقة، وهي تهدف إلى الكفاح من أجل شبكة إنترنت آمنة ومفتوحة تحمي “المدافعين عن حقوق الإنسان والصحفيين ومستخدمي الإنترنت من أعين الحكومات المتطفلة.”

مع استمرار تطور تقنيات المراقبة الرقمية بسرعة في قدراتها، واستمرار بائعيها ومشتريها في العمل مع القليل من المساءلة، فمن المرجح أن نرى دعوات متزايدة داخل المجتمع الدولي لتنظيم صادرات هذه الأدوات، بالإضافة إلى ازدياد الوعي بين المستخدمين في المنطقة حول طرق حماية أنفسهم، فضلاً عن مطالب بحماية أقوى للبيانات وحقوق الخصوصية.

لكن الجهود المبذولة للحد من هذا الاتجاه الخطير ستعتمد إلى حد كبير على تمكين قدرة منظمات الحقوق الرقمية والباحثين المستقلين من داخل المنطقة لإجراء أبحاث تقنية وقتية وغير مقيدة. إن عملهم لا يساعد فقط على تسليط الضوء على سوق المراقبة التي تفتقر إلى الشفافية، بل يدعم أيضاً الجهود الداعية لإحداث تغييرات جوهرية في السياسة العامة وتحسين الحماية القانونية على الصعيدين الإقليمي والدولي.

تقود آيفكس التغيير من خلال شبكة متنوعة ومستنيرة تستند إلى مؤسسات قوية، وتواصل هادف بين الأعضاء، وعلاقات إستراتيجية مع الحلفاء الخارجيين. يعتمد نهجنا على ثلاث ركائز لتعزيز الحق في حرية التعبير والمعلومات والدفاع عنهما وهي: تأمين الحق في المعلومات، وتمكين الفضاء المدني وحمايته، وتحسين السلامة والعدالة.