WIRED mengetahui bahwa kontrak senilai $2 juta yang ditandatangani oleh Badan Imigrasi dan Bea Cukai Amerika Serikat dengan vendor spyware komersial Israel, Paragon Solutions, telah dihentikan sementara dan ditempatkan dalam peninjauan kepatuhan.
Pengawasan Gedung Putih terhadap kontrak tersebut menandai ujian pertama terhadap perintah eksekutif pemerintahan Biden yang membatasi penggunaan spyware oleh pemerintah.
Kontrak satu tahun antara anak perusahaan Paragon di AS di Chantilly, Virginia, dan Divisi 3 Investigasi Keamanan Dalam Negeri (HSI) ICE, ditandatangani pada 27 September dan pertama kali dilaporkan oleh WIRED pada 1 Oktober. Beberapa hari kemudian, pada 8 Oktober, HSI mengeluarkan perintah penghentian kerja untuk penghargaan tersebut “untuk meninjau dan memverifikasi kepatuhan terhadap Perintah Eksekutif 14093,” kata juru bicara DHS kepada WIRED.
Perintah eksekutif yang ditandatangani oleh Presiden Joe Biden pada Maret 2023 bertujuan untuk membatasi penggunaan teknologi spyware komersial oleh pemerintah AS sambil mempromosikan “penggunaannya secara bertanggung jawab” yang sejalan dengan perlindungan hak asasi manusia.
DHS tidak mengonfirmasi apakah kontrak tersebut, yang menyatakan bahwa kontrak tersebut mencakup “solusi kepemilikan yang dikonfigurasikan sepenuhnya termasuk lisensi, perangkat keras, garansi, pemeliharaan, dan pelatihan,” mencakup penerapan produk andalan Paragon, Graphite, alat spyware kuat yang dilaporkan mengekstraksi data terutama dari cadangan awan.
“Kami segera melibatkan pimpinan di DHS dan bekerja sama dengan sangat kolaboratif untuk memahami dengan tepat apa yang diberlakukan, apa cakupan kontrak ini, dan apakah kontrak tersebut mematuhi prosedur dan persyaratan perintah eksekutif atau tidak,” seorang senior AS pejabat administrasi yang memiliki pengetahuan langsung tentang cara kerja perintah eksekutif memberitahu WIRED. Pejabat tersebut meminta anonimitas untuk berbicara terus terang tentang tinjauan Gedung Putih terhadap kontrak ICE.
Paragon Solutions tidak menanggapi permintaan WIRED untuk mengomentari tinjauan kontrak.
Proses yang tertuang dalam perintah eksekutif memerlukan tinjauan menyeluruh terhadap uji tuntas baik terhadap vendor maupun alat tersebut, untuk melihat apakah ada kekhawatiran, seperti risiko kontra-intelijen, keamanan, dan penggunaan yang tidak patut. Undang-undang tersebut juga menetapkan bahwa suatu lembaga tidak boleh menggunakan spyware komersial secara operasional hingga setidaknya tujuh hari setelah memberikan informasi tersebut ke Gedung Putih atau hingga penasihat keamanan nasional presiden menyetujuinya.
“Pada akhirnya, harus ada tekad yang dibuat oleh pimpinan departemen. Hasilnya mungkin—berdasarkan informasi dan fakta yang kami miliki—vendor dan alat khusus ini tidak memicu pelanggaran terhadap persyaratan dalam perintah eksekutif,” kata pejabat senior tersebut.