Pegasus kann man erstens super schwer nachweisen, da es oft keine Spuren im permanenten Speicher hinterlässt (ein Handy Neustart reicht und man findet nix mehr). Auch wenn das Citizen Lab einen genialen Job macht, denke ich, dass die Dunkelziffer viel höher war/ist. Und dann hat man zweitens das Problem der Attribuierung. Klar, weiß man, dass es eine Software der NSO Group ist, aber da NSO "fast" alle beliefert hat, die gezahlt haben, ist es sehr schwer auf den Auftraggeber zu schliessen. CNI war/ist sicher Kunde (so wie nahezu alle Geheimdienste in Europa, wenn sie nicht bei der Fisher Group eingekauft haben). Aber NSO hat auch fleissig an Polizeiorganisationen, Regierungen, Militärs, usw verkauft. Die waren/sind da wenig wählerisch :-)
Menschen in Regierungsverantwortung müssen sich leider aktuell schon etwas mit IT befassen. Ein Standard iPhone oder Android reicht da sicher nicht. Am Besten ein entgoogltes System wie /e/OS, das man aktuell hält und in regelmäßigen Abständen neu aufspielt. Aber auch dies ist keine absolute Garantie.