تقنية المراقبة التي تبيعها شركة "إن إس أو غروب" (NSO Group) للحكومات استُخدمت بشكل متكرّر لاستهداف هواتف الصحفيين، والنشطاء، والسياسيين، والديبلوماسيين. تسمح هذه البرمجيّة، وتُسمى "بيغاسوس"، للمهاجمين بالوصول الكامل إلى كاميرا الهاتف، والميكروفون، وسجلّ المكالمات، ورسائل البريد الالكتروني، والرسائل النصيّة وغيرها، والتي يشكّل أمنها أمرا بالغ الأهميّة للأشخاص الذين يعملون على كشف الانتهاكات الحكوميّة. علمت هيومن رايتس ووتش مؤخرا أنّ جهاز "آيفون" الخاص بـ لما فقيه، التي تشرف على عملنا في مناطق النزاع وحالات الطوارئ الأخرى، قد تعرّض للاختراق بـ بيغاسوس. قابل فريد أبراهامز، من هيومن رايتس ووتش أيضا، لما فقيه وسألها كيف علمت بالهجمات، ولماذا قررت التحدّث علنا، ولماذا يجب تنظيم عمل برمجيات الاختراق التي تشهد ازدهارا.
من فضلك أخبرينا بإيجاز عن عملك في هيومن رايتس ووتش – ماذا تفعلين بالضبط؟
بدأت العمل مع هيومن رايتس ووتش في بيروت بعد اندلاع "الربيع العربي" في 2011 كباحثة في شؤون سوريا ولبنان. منذ ذلك الحين، شغلت مناصب عدّة في المنظمة، كما عملتُ أيضا في "منظمة العفو الدولية". حاليا أنا مديرة قسم الأزمات والنزاعات في هيومن رايتس ووتش وأترأس مكتبنا في بيروت. العمل الذي أشرف عليه يجري في بلدان عديدة، منها سوريا، وميانمار، وإسرائيل/فلسطين، وكازاخستان، وإثيوبيا، والولايات المتحدة، ولبنان، وأفغانستان. جزء من عملنا يهتمّ أيضا باستخدام تقنيات المراقبة بشكل غير قانوني ومُنتهك للحقوق.
متى علمتِ باختراق برامج التجسّس لهاتفك؟
أخطرتني شركة "آبل" يومي 23 و24 نوفمبر/تشرين الثاني 2021 بأن جهازي الـ آيفون تعرّض لهجوم مدعوم من دولة. استلمت رسالة "آي ميسج" (iMessage) على رقمي اللبناني ورسالة تبليغ عبر البريد الإلكتروني من آبل قالوا فيها إنهم يعتقدون أنّني استُهدفت من قبل مهاجمين تدعمهم إحدى الدول، وقالوا إ المهاجمين استهدفوني على الأرجح بسبب من أكون أو ما أفعله. اتصلت فورا بمديرة أمن المعلومات في هيومن رايتس ووتش، وبدأنا عمليّة تأكيد حصول الهجوم.
في نوفمبر/تشرين الثاني 2021، رفعت آبل دعوى قضائية ضدّ إن إس أو غروب لتوقف استخدام برمجيتها للمراقبة على أجهزة آبل. قالت الشركة، ومقرّها إسرائيل، إنها تبيع البرمجيّة للحكومات فقط للقبض على المجرمين والإرهابيين، ولا تعمل على أي اتفاق تعاقدي مع زبائن ينطوي على مخاطر حقوق الإنسان "أعلى مما ينبغي". لكن الهجمات التي تعرّضتُ لها أنا وعدد لا يُحصى من النشطاء دليل على أنّ هذا غير صحيح.
ماذا كان ردّ فعلك الأوّل؟
كان الخبر كالصاعقة. ارتعبتُ ولم أصدّق. خطرت ببالي مليون فكرة: لماذا وكيف يتمّ استهدافي بهذه الطريقة؟ أيّ حكومة فعلت هذا؟ ما تأثير هذا على أمني وأمن كلّ شخص قد تكون بياناته قد تعرّضت للاختراق نتيجة للهجوم؟ ما الذي تمكنوا من الوصول إليه وما الذي تمّ اختراقه؟ كيف يمكنني منع حدوث ذلك مرة أخرى؟ ما زلتُ أطرح على نفسي الكثير من هذه الأسئلة، وعلى الأرجح لن أصل أبدا إلى أجوبة. قد لا نعرف أبدا من هاجم هاتفي ولماذا.
كيف تحقّقتِ من وقوع الهجوم؟
في اليوم الذي استلمت فيه الإخطار من آبل، أكّدت مديرة أمن المعلومات في منظمتنا أنّ الإخطار كان حقيقيا. في اليوم التالي، بعد تحليل أوّلي لسجلات جهازي الـ آيفون، أكّدَت وقوع هجوم من حكومة ما باستخدام برمجية بيغاسوس. كانت تلك خطوة أولى في سلسلة تحاليل تقنية أجريناها بعد ذلك لفهم المزيد عن الهجوم.
ما هي الخطوات التي اتخذتِها بعد ذلك؟
أولا، تأكدنا من أنّ جميع أجهزتي وبياناتي كانت آمنة، وفحصنا أجهزة زملائي في هيومن رايتس ووتش الذين كانوا يعملون معي عن كثب أو اعتقدنا أنهم تعرّضوا للهجوم لأسباب أخرى، لكننا لم نعثر على أي دليل على اختراق أجهزة الموظفين الآخرين.
بعد تحليل جنائي كامل، وجدنا أن برمجية بيغاسوس استُخدمت لاختراق جهاز آيفون الحالي والقديم الخاص بي في خمس مناسبات على الأقل بين أبريل/نيسان وأغسطس/آب 2021. طلبنا أيضا من مختبر الأمن لدى منظمة العفو الدولية إجراء مراجعة متخصصة، فجاءت النتيجة موافِقة لتحليلنا.
كانت الهجمات لا تحتاج إلى أن ينقر المستخدم على أي رابط مشبوه، وتُعرف بـ"zero-click"، ما يعني أنّني لم أفعل أيّ شيء – مثل النقر على رابط ما – حتى ينطلق الهجوم، وبالتالي ليس هناك أي طريقة لمنعه. بمجرّد اختراق جهازك، تستطيع البرمجية تقريبا جمع أي معلومات أو استخراج أي ملف – الرسائل النصّية، وجهات الاتصال، والصور، وسجلّ المكالمات، والمعلومات المدوّنة في التقويم، والبريد الالكتروني، وسجلّ تصفّح الانترنت. تُظهر الأبحاث أنّ بيغاسوس تغطّي مساراتها من خلال مسح العمليات أو التظاهر بأنها عملية مشروعة لنظام تشغيل الهاتف، ما يجعل من المستحيل معرفة البيانات التي تمّ اختراقها أو إذا ما تمّ استخدام الكاميرا والميكروفون للتجسس عليّ.
بعد ذلك أرسلنا خطابا إلى إن إس أو غروب، الشركة التي تنتج برمجية بيغاسوس، وطلبنا منهم التعليق على استهداف موظفة في هيومن رايتس ووتش، وما إذا كانوا يعتقدون أنّ هذا الاستهداف كان استخداما شرعيا لمُنتَجهم. هناك تقارير عديدة عن استخدام برمجية بيغاسوس لاختراق أجهزة النشطاء، والصحفيين، والسياسيين، والديبلوماسيين، غير أن إن إس أو غروب كررت نفي هذه التقارير.
تواصلنا أيضا مع شركائنا المحليين والدوليين ممن عملوا على هذه المسألة لفترة طويلة، مثل العفو الدولية، و"أكسس ناو" و"سيتيزن لاب"، و"منظمة تبادل الإعلام الاجتماعي – سميكس" و"سكايز ميديا" في لبنان، اللتين تعملان في مجال الحقوق الرقمية.
بعد كلّ هذا، قرّرنا التحدث علنا عن هذا الهجوم الذي ترعاه إحدى الدول لزيادة الوعي بالخطر الذي يواجهه شركاء المجتمع المدني وجهات الاتصال على نطاق أوسع. الحديث عن هذه الهجمات مهمّ جدّا لوقف استخدام تقنيات التجسس دون رقيب.
كيف ردت إن إس أو غروب على رسالة هيومن رايتس ووتش؟
ردت إن إس أو غروب على طلب هيومن رايتس ووتش للتعليق قائلة إنها "ليست على علم بأي زبون نشط يستخدم تقنياتها ضد موظفة في هيومن رايتس ووتش" وأنها ستفتح تقييما أوليا بشأن ادعائنا لتحديد ما إذا كان يتوجب فتح تحقيق. قالت الشركة إنها تأخذ "أي ادعاء بإساءة استخدام نظامها ضد أحد المدافعين الحقوقيين على محمل الجد"، وأن إساءة الاستخدام هذه تنتهك سياساتها وشروط عقودها مع العملاء. أحالتنا إلى سياسة المبلغين عن المخالفات وتقرير الشفافية، اللتين تحددان كيف تستجيب الشركة لهكذا ادعاءات.
كيف يؤثر هذا الهجوم على عملك؟
تعلم هيومن رايتس ووتش أنّ الحكومات تستهدف المدافعين عن حقوق الإنسان وتحاول إسكاتهم في جميع أنحاء العالم. لدينا بروتوكولات صارمة لأمن المعلومات تهدف إلى حماية موظفينا والجهات التي يتصلون بها، وضمان سريّة عملنا.
بالإضافة إلى هذه الإجراءات، صرت أيضا أحتفظ بقدر قليل من المعلومات على هاتفي اللبناني. حتى وقت الهجوم، لم أدخل إلى البريد الالكتروني لـ هيومن رايتس ووتش أو أنظمتنا الداخلية من الهاتف، ما حدّ من البيانات التي تم اختراقها. منذئذ، صحّحت آبل الثغرة الأمنيّة التي استغلتها إن إس أو غروب لمهاجمتي ومهاجمة آخرين، وفي نوفمبر/تشرين الثاني، رفعت دعوى قضائية ضدّ إن إس أو غروب بسبب الهجمات على مستخدميها.
كلّ هذه الإجراءات ساعدتنا في حماية بياناتنا، ما سهّل قدرتي على أداء عملي بأمان. لكن ستَظهر نقاط ضعف أخرى، وإن إس أو غروب هي مجرّد شركة من بين شركات أخرى تبيع تقنيّات المراقبة المتطوّرة للحكومات. في غياب التشريعات التي من شأنها الحدّ من بيع واستخدام برمجيات الاختراق لغايات مسيئة، بهجمات لا تحتاج إلى أي نقر، سأبقى أنا وغيري من الحقوقين والصحفيين – وأي شخص آخر – عرضة للخطر.
لا يؤثر هذا على حقوقنا وأمننا فحسب، بل يؤثر على حقوق وأمن كل من نتواصل معه أو بشأنه. هذه الهجمات تجعل عملنا أصعب وأكثر خطورة، ولها عواقب على حياتنا الفعلية. هناك من تعرّض للاحتجاز والتعذيب، وأحيانا القتل، بعد أن تعرّض هو أو شخص يعرفه إلى هجمات ببرمجية بيغاسوس. لا أعتقد أن هذه الهجمات غير القانونية على هاتفي تسببت في أذى لأشخاص آخرين، إلا أن الخطر يظل قائما.
ما موقفك من عدم معرفة من هاجمك ولماذا؟
إنه أمر مُحبط. قالت إن إس أو غروب إنها تبيع مُنتجاتها للحكومات فقط، لكن من هي الحكومة المسؤولة عن الهجوم؟
في وقت الهجمات، بين أبريل/نيسان ويوليو/تموز 2021، كنت أشرف على أعمال تتعلق بعدد من الأزمات حول العالم، ومنها الأعمال العدائية بين إسرائيل والجماعات المسلحة في غزة في شهر مايو/أيار، بالإضافة إلى عمل مكثّف في إطار التحقيق في الانفجار المدمّر في مرفأ بيروت، الذي حدث في أغسطس/آب 2020، والذي يتحمل مسؤولو الحكومة اللبنانية مسؤوليته. لكن لا توجد أي طريقة لمعرفة ما إذا كانت الهجمات مرتبطة بعملي في ذلك الوقت.
في يوليو/تموز، كشفت "فوربيدن ستوريز"، وهي منظمة إعلامية غير ربحية مقرّها باريس، بدعم تقني من منظمة العفو الدولية، أنها حصلت على قائمة مسرّبة تضمّ أكثر من 50 ألف رقم هاتف تمّ الإبلاغ عنها كأهداف محتملة للمراقبة من قبل زبائن إن إس أو غروب المعروفين. لم يكن رقمي ضمن القائمة، لكن "درج ميديا"، وهي منصّة رقمية مستقلة مقرها لبنان، أفادت أنّ حوالي 300 رقم هاتف لبناني كانت في القائمة، منها أرقام لسياسيين، وصحفيين، ونشطاء، ورجال أعمال.
حدّدت فوربيدن ستوريز وشركاؤها الإعلاميون الزبائن المحتملين لـ إن إس أو غروب في 11 بلدا، منها أربعة بلدان في الشرق الأوسط وشمال أفريقيا، حيث أقيم وحيث يرتكز جزء كبير من عملي على مدى السنوات العشر الماضية. هذه البلدان هي البحرين، والمغرب، والسعودية، والإمارات. في أبريل/نيسان، أفادت "أكسيوس" أنّ الحكومة الأردنية بصدد التفاوض مع إن إس أو غروب لشراء تكنولوجيا المراقبة. نشرت هيومن رايتس ووتش وآخرون تقارير عن استخدام برمجية بيغاسوس ضدّ مدافعين حقوقيين مقيمين في الضفة الغربيّة.
هل كانت إحدى هذه الحكومات هي المسؤولة عن الهجوم؟ ما زلت لا أعرف.
ماذا يعني هذا بالنسبة لحقوق الإنسان؟
من المعلوم أنّ برمجية بيغاسوس تُستخدم بشكل غير قانوني وتعسفي لمراقبة النشطاء والصحفيين في كل مناطق العالم، لكننا لا نعلم مدى تفشي هذه الهجمات. أخشى أنّ ما نعرفه هو مجرّد غيض من فيض.
أحد أسباب رغبتي في التحدث علنا هو أنني أتمتع بامتيازات. لدي منصب رفيع في منظمة حقوقية عالمية بارزة. أنا أيضا محامية متخرجة من إحدى أهم كليات الحقوق في الولايات المتحدة، ومواطنة أمريكية. أظنّ أن الهجوم الذي تعرّضتُ له يُبرز مدى شيوع هذا الأمر، ومدى عجزنا عن وقف هذه الهجمات في ظلّ الإطار القانوني الحالي، وأيضا طبيعة الأشخاص المستهدفين. كل شخص يمكن أن يتعرّض للهجوم، أي شخص في فريقي أو في منظمة شريكة أو صحفي. قد تتعرض للهجوم ولا تعلم به أبدا.
من الصعب جرد أو تحديد مدى الضرر الناتج عن هذه الهجمات، والمراقبة غير القانونية بشكل أوسع، من منظور حقوق الإنسان. نعم، هذه الهجمات تنتهك حقنا في الخصوصية، لكن الأضرار أعمق وأبعد من ذلك بكثير. بالإضافة إلى تجريدنا من الخصوصية، تقوّض هذه الهجمات حريتنا في التعبير وتكوين الجمعيات، وقدرتنا على التواصل بحرية، دون خوف من أنّ أحدهم يتنصّت علينا. هذه الهجمات تهدّد أمننا الشخصي وأمن معارفنا. هذا على المستوى الفردي فقط، أما بشكل عام فهي تهدّد جميع حقوقنا.
ليست صدفة أن تستخدم الحكومات برمجيات تجسس لاستهداف النشطاء والصحفيين، وهم الذين يكشفون عن ممارساتها التعسفية. يبدو أنها تعتقد أنّ ذلك يساعدها على تعزيز سلطتها، وإسكات المعارضة، وحماية تلاعبها بالحقائق. هذا هو الواقع البائس الذي أكافح مع غيري من المدافعين عن حقوق الإنسان بكل قوّة من أجل تجنّبه.
بيع تكنولوجيا المراقبة واستخدامها بدون رقابة يجعل النشطاء والصحفيين أكثر عرضة للانتهاكات الحكومية والمراقبة القسرية. عندما تتعرّض الأصوات المعارضة للانتهاكات الحكومية للهجوم، نصير جميعا أكثر عرضة للانتهاك.
ما الذي يتعيّن فعله بشأن برمجية التجسس؟
على الحكومات تعليق تجارة تقنيات المراقبة إلى حين وضع إطار تنظيمي يحمي الحقوق. عليها أيضا الكف عن استخدام تقنيات بطرق تنتهك حقوق الإنسان.
بعد سنوات قضتها المنظمات الحقوقية في إعداد تقارير عن سوء استخدام برمجيات التجسس، والحاجة إلى سنّ تشريعات أقوى، سمحت الحكومات بشكل فعال للشركات مثل إن إس أو غروب بتنظيم نفسها، فاستطاعت الاستمرار في بيع برمجياتها لحكومات معروفة بانتهاك حقوق الإنسان، ولها سجلات مُثبتة في استخدام برمجيات التجسس لاستهداف الصحفيين والمدافعين عن حقوق الإنسان.
على الحكومات تنظيم هذه التجارة، وتحميل الشركات مسؤولية مبيعاتها وأفعالها.