ชื่อของ NSO Group เป็นที่รู้จัก และพูดถึงอย่างมากทันทีที่มีการเปิดโปงการละเมิดสิทธิมนุษยชนโดยสปายแวร์ทรงอานุภาพที่ชื่อว่า “เพกาซัส” (Pegasus) สำนักข่าวและองค์กรภาคประชาสังคมทั่วโลกรายงานว่า มีหลายสิบประเทศที่เป็นลูกค้าของ NSO Group โดยหนึ่งในนั้นก็มีประเทศไทย ซึ่งสามารถย้อนความสัมพันธ์ทางธุรกิจได้กลับไปอย่างน้อยถึง 2558 ซึ่งในขณะนั้นมีรายงานว่าหน่วยงานของรัฐไทยเคยติดต่อกับบริษัทที่มีความเกี่ยวข้องกับ NSO Group ในขณะที่เพกาซัส มีการตรวจพบครั้งแรกในไทยตั้งแต่ปี 2557 หลังการรัฐประหารไม่ถึงอาทิตย์เท่านั้น
ทำความรู้จักกับ NSO Group และย้อนดูประวัติความสัมพันธ์ทางธุรกิจของรัฐบาลไทยในฐานะลูกค้าของบริษัทสุดอื้อฉาวจากอิสราเอล
NSO Group อัญมณียอดมงกุฎด้านเทคโนโลยีการสอดส่องของอิสราเอล
NSO Group ก่อตั้งขึ้นในปี 2553 ในฐานะสตาร์ทอัพที่ทำธุรกิจด้านเทคโนโลยีที่กำลังเฟื่องฟู โดยผู้ก่อตั้งบริษัทชาวอิสราเอลสามคนนำตัวอักษรตัวแรกของชื่อตนเองมาประกอบกันเป็นชื่อบริษัท NSO Group เป็นบริษัทที่นำเสนอเทคโนโลยี “สอดส่อง” ผ่านผลิตภัณฑ์หลากหลาย แต่ผลงานชิ้นเอกของบริษัทซึ่งได้ว่าจ้างหัวกะทิมากมาย รวมทั้งอดีตเจ้าหน้าที่จากหน่วย 8200 หน่วยข่าวกรองอันเลื่องชื่อของอิสราเอลก็คงหนีไม่พ้น “เพกาซัส” (Pegasus) สปายแวร์ศักยภาพสูงที่สามารถเจาะโทรศัพท์เป้าหมายได้โดย “ไร้การคลิ๊ก” (zero click) และทำให้ผู้เจาะสามารถเข้าถึงข้อมูลในเครื่องโทรศัพท์เป้าหมายได้อย่างสมบูรณ์
อิสราเอลเป็นประเทศที่มีชื่อเสียงด้านการขายอาวุธมาอย่างช้านาน และในระยะหลังเทคโนโลยีของอิสราเอลในด้านความปลอดภัยทางไซเบอร์ก็ยิ่งได้รับการยอมรับมากขึ้นว่ามีศักยภาพสูง แต่ในบรรดาอุตสาหกรรมเทคโนโลยีสอดส่องของอิสราเอล NSO Group นับได้ว่าเป็นบริษัทที่ประสบความสำเร็จมากที่สุดบริษัทหนึ่ง ถือว่าเป็น “ของรักของหวง” ของรัฐบาลอิสราเอล ในโลกยุคดิจิทัลที่ข้อมูลมีความสำคัญดั่งขุมทรัพย์ และความสามารถในการเข้าถึงข้อมูลมีมูลค่ามหาศาล
ในขณะที่ประเทศมหาอำนาจหลายแห่งก็มีศักยภาพในการพัฒนาเครื่องมือสำหรับสอดส่องในโลกไซเบอร์ของตนเอง แต่สำหรับประเทศที่ไม่มีศักยภาพมากพอ NSO Group และเพกาซัสก็นับว่าเป็นอีกทางเลือกราคาแพงหนึ่งที่รัฐบาลอาจยอมจ่ายเพื่อได้ใช้สปายแวร์หรือ “อาวุธไซเบอร์” นี้
ในรายงานเรื่อง ดัชนีตลาดสปายแวร์ (The Global Spyware Market Index) ของเว็บไซต์ Top10VPN ประเมินว่าตลาดสปายแวร์สำหรับการพาณิชย์ในปัจจุบันมีมูลค่าอย่างน้อย 12,000 ล้านดอลลาร์สหรัฐ (ประมาณ 430,000 ล้านบาท) และ NSO Group ก็อยู่ในหัวแถวของอุตสาหกรรม ทันทีที่พัฒนาเสร็จ เพกาซัสก็กลายมาเป็นที่สนใจของรัฐบาลทั่วโลกอย่างรวดเร็ว ขีดความสามารถที่ทำให้เพกาซัสต่างจากผลิตภัณฑ์เดิมที่อยู่ในตลาด ไม่ใช่แค่ความสามารถในการการเข้าถึงข้อมูลในโทรศัพท์เป้าหมาย แต่รวมถึงความสามารถในการปรับแต่งเอสเอมเอสให้เหยื่อคล้อยตามได้ในช่วงแรก ก่อนจะพัฒนาให้ก้าวหน้ามากขึ้นจนสามารถเข้าถึงเป้าหมายได้โดยไม่มีทางรู้ตัว
ในรายงานเรื่อง การพุ่งขึ้นและตกลงของเอ็นเอสโอ (The Rise And Fall Of NSO Group) ของเว็บไซต์ ForbiddenStories เปิดเผยว่า NSO Group สามารถทำเงินจากการเซ็นสัญญาขายสปายแวร์ของตนเองให้กับเม็กซิโกได้มากกว่า 32 ล้านดอลลาร์สหรัฐ (ประมาณ 1,000 ล้านบาท) ความสำเร็จในด้านธุรกิจของบริษัทที่เคยเป็นเพียงสตาร์ทอัพได้นำไปสู่การหลั่งไหลเข้ามาของเงินทุนอีกหลักร้อยล้านดอลลาร์สหรัฐ
NSO ก็อาจจะเห็นข้อมูลของคนที่รัฐบาลสอดส่องอยู่ด้วย
เนื่องจากเพกาซัสถือว่าเป็นอาวุธรูปแบบหนึ่ง ลูกค้าของ NSO Group จึงต้องเป็นหน่วยงานที่สังกัดรัฐบาลเท่านั้น องค์กรหรือหน่วยงานเอกชนทั่วไปไม่สามารถมีเพกาซัสไว้ในครอบครองได้ นอกจากนี้ รัฐบาลอิสราเอลยังมอบหมายให้กระทรวงกลาโหมของอิสราเอลเป็นผู้กำกับดูแลและให้ไฟเขียวในการอนุญาตการซื้อขายในแต่ละครั้ง ด้านนิวยอร์ก ไทมส์ เคยออกรายงานระบุว่า เพกาซัสถูกรัฐบาลอิสราเอลนำไปใช้เป็นเครื่องมือต่อรองในการเมืองระหว่างประเทศ
อาวุธอานุภาพสูงอย่างเพกาซัสถูกรัฐจำนวนมากฉวยโอกาสนำไปใช้ในทางที่ผิด คือ การสอดส่องประชาชนหรือใช้เพื่อผลประโยชน์ทางการเมือง การเปิดโปงการละเมิดสิทธิมนุษยชนที่เกิดขึ้นอย่างกว้างขวางด้วยความช่วยเหลือจาก NSO Group ได้นำไปสู่เสียงวิพากษ์วิจารณ์อย่างรุนแรง และทำให้บริษัทสัญชาติอิสราเอลต้องตกอยู่ภายใต้การจับจ้องจากทั่วโลก NSO Group ถูกฟ้องร้องโดยบริษัทยักษ์ใหญ่ทั้งแอปเปิลและเมต้า ในขณะที่รัฐบาลสหรัฐฯ ก็นำบริษัทขึ้นบัญชีดำ และสหภาพยุโรปก็ตั้งกรรมาธิการเพื่อตรวจสอบเพกาซัสและบริษัทผู้ผลิตโดยเฉพาะ
NSO Group ปฏิเสธความรับผิดชอบต่อกรณีการละเมิดสิทธิมนุษยชนมาโดยตลอดโดยอ้างว่าบริษัทไม่เก็บข้อมูลการใช้งานเพกาซัสของลูกค้า ทำให้ไม่สามารถทราบได้ว่ามีการนำไปใช้กับบุคคลใดบ้าง อย่างไรก็ตาม ซีอีโอของ NSO Group กลับเคยให้สัมภาษณ์ว่าระบบของบริษัทสามารถตรวจสอบการใช้งานได้ เพื่อปฏิเสธข้อกล่าวหาว่าเพกาซัสมีบทบาทในการลอบสังหารจามาล คาช็อกกี นักข่าวชาวซาอุดิอาระเบียจนเป็นข่าวใหญ่ระดับโลก ข้อมูลนี้ยังได้รับการยืนยันจากอดีตพนักงาน NSO Group ซึ่งเคยให้สัมภาษณ์ว่าหลังจากซื้อเพกาซัสไปแล้ว บริษัทยังคงทำงานให้การสนับสนุนลูกค้า ซึ่งรวมถึงความสามารถในการเห็นการทำงานของเพกาซัสด้วย
หาก NSO Group สามารถเห็นประวัติการใช้งานเพกาซัสของลูกค้าได้จริง ก็หมายความว่ารัฐบาลอิสราเอลในฐานะผู้กำกับดูแลอาจจะเห็นข้อมูลชุดเดียวกัน ซึ่งจะเป็นปัญหาต่อการทำงานด้านข่าวกรองที่ควรจะเป็นความลับของประเทศอย่างมาก อาจเรียกได้ว่าการใช้งานเพกาซัสก็เหมือนกับการเปิดประตูให้รัฐบาลต่างชาติทราบข้อมูลลับภายในประเทศ เพียงเพราะรัฐบาลต้องการสอดส่องคนเห็นต่างภายในประเทศ
ตรวจพบเพกาซัสในไทยตั้งแต่ปี 2557 หลังรัฐประหารไม่ถึงสัปดาห์
เรื่องราวการครอบครองระบบหรือเทคโนโลยีใดที่ใช้เพื่อการสอดส่องของรัฐบาลไม่ใช่เรื่องแปลกใหม่นัก หลังการรัฐประหาร 2557 รัฐบาลทหารให้ความสนใจกับการควบคุมโลกออนไลน์เป็นอย่างมาก ในเดือนธันวาคม 2558 บางกอกโพสรายงานต่อจากข้อมูลทาง Wikileaks ว่ารัฐบาลไทยได้ซื้อเทคโนโลยีสำหรับการสอดส่องจาก Hacking Team บริษัทจากประเทศอิตาลีที่มีชื่อเสียงอื้อฉาวด้านการขายผลิตภัณฑ์ที่ให้รัฐสามารถล้วงข้อมูลจากเป้าหมายได้ เอกสารหลุดระบุว่าหน่วยงานที่เป็นลูกค้าของ Hacking Team (ซึ่งถูกเจาะเสียเอง และต่อมาจะถูก NSO Group แซงหน้าไป) คือกองทัพไทยและสำนักงานตำรวจแห่งชาติ
แต่ศักยภาพของเพกาซัส โดยเฉพาะการโจมตีแบบ “ไร้การคลิ๊ก” กลับอยู่ในระดับสูงกว่าที่เคยมีมาทั้งหมด การครอบครองเพกาซัสของหน่วยงานในองคาพยพของรัฐไทยจึงเป็นการยกระดับปฏิบัติการการสอดส่องไปอีกขั้น
หลักฐานที่มีอยู่พบมีเพกาซัสใช้งานในประเทศมาแล้วอย่างน้อยตั้งแต่ปี 2557 จากการตรวจสอบโดย The Citizen Lab พบว่าครั้งแรกที่มีการตรวจเจอสปายแวร์ตัวนี้คือวันที่ 27 พฤษภาคม 2557 หรือหลังจากรัฐประหารโดยคณะรักษาความสงบแห่งชาติไม่ถึงหนึ่งสัปดาห์ และอีกครั้งในเดือนพฤศจิกายน 2557 นอกจากนี้ รัฐบาลไทยยังเป็นลูกค้าหรือมีความเกี่ยวข้องกับบริษัทในเครือของ NSO Group มาอย่างน้อยตั้งแต่ปี 2558 แล้ว ในรายงานของ Citizen Lab เกี่ยวกับบริษัท Circles ซึ่งก่อตั้งในปี 2551 ก่อนจะควบรวมกับ NSO Group ในภายหลัง ระบุว่ามีหน่วยงานรัฐในหลายประเทศทั่วโลกที่เข้าถึงเทคโนโลยีของ Circles ซึ่งฉวยโอกาสเจาะช่องโหว่ของ Signalling System No. 7 (SS7) หรือมาตรฐานการสื่อสารระหว่างโทรศัพท์ในการดักฟังหรืออ่านข้อความ
โดย Citizen Lab ตรวจสอบการทำงานด้วยวิธีทางอิเล็กทรอนิกส์แล้วพบว่า มีหน่วยงานไทยสามหน่วยงานที่เกี่ยวข้อง ได้แก่ กองบัญชาการตำรวจปราบปรามยาเสพติด (บช.ปส.) กองอำนวยการรักษาความสงบภายใน (กอ.รมน.) และกองพันหน่วยข่าวกรองทหาร ทั้งนี้ จากการวิเคราะห์พบว่า บช.ปส. ซึ่งมีรหัสลูกค้าว่า Toyota Dragon มีการใช้เทคโนโลยีของ Circles ในการสอดส่องเป็นหน่วยงานแรกของไทย โดยครั้งแรกที่ตรวจพบเจอคือในเดือนกันยายน 2558 หรือหลังการรัฐประหารเพียงหนึ่งปีกว่า
ต่อมา ในรายงานของ Citizen Lab ที่เปิดเผยการทำงานของเพกาซัสโดยตรงในอย่างน้อย 45 ประเทศทั่วโลก ได้มีการพบสปายแวร์สัญชาติอิสราเอลในประเทศไทยด้วย โดยผู้ใช้งานเพกาซัสในไทยมีการใช้งานตั้งแต่เดือนมกราคม 2561 แต่ยังไม่สามารถทราบได้ว่ามาจากหน่วยงานใด
ปัญหาของเพกาซัสในไทยเริ่มเป็นที่รู้จักมากขึ้นเมื่อแอปเปิลส่งอีเมลแจ้งเตือนให้กับผู้ใช้งานไอโฟนในไทยซึ่งมีทั้งนักกิจกรรม นักวิชาการ นักการเมือง และนักปกป้องสิทธิมนุษยชนนับสิบคนในช่วงเดือนพฤศจิกายน 2564 ว่ากำลังตกเป็นเป้าหมายของการโจมตีซึ่งได้รับการสนับสนุนโดยรัฐ (state-sponsored attack) ก่อนจะทราบในภายหลังว่าการโจมตีนั้นมาจากเพกาซัส โดยจุดร่วมที่ทุกคนมีเหมือนกันคือการแสดงออกทางการเมืองในทางที่ไม่เห็นด้วยกับรัฐบาลและให้การสนับสนุนการชุมนุมทางการเมืองของกลุ่มนักศึกษา จากการสืบสวนร่องรอยเพกาซัสในไทยต่อทำให้ทราบว่ามีอย่างน้อย 30 คนที่โทรศัพท์ถูกเจาะข้อมูลโดยสปายแวร์จากอิสราเอล โดยเป้าหมายและวันเวลาที่เกิดการโจมตีมีความสัมพันธ์กับการชุมนุมและเหตุการณ์ทางการเมืองครั้งสำคัญทั้งสิ้น ซึ่งหลังจากมีการเปิดเผยเรื่องราวของเพกาซัสในประเทศไทย ชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้กล่าวในระหว่างการอภิปรายไม่ไว้วางใจเมื่อวันที่ 19 กรกฎาคม 2565 ยอมรับว่าเพกาซัสอยู่ในไทย “จริง” แต่เป็นงานด้านความมั่นคงหรือปราบปรามยาเสพติด และไม่ได้อยู่ในความรับผิดชอบของกระทรวงดิจิทัลฯ
สิ่งหนึ่งที่น่าสนใจในความสัมพันธ์ระหว่างไทยและ NSO Group คือ นอกจากไทยจะเป็นลูกค้าของ NSO Group มาอย่างยาวนานแล้ว ยังถูกเลือกให้เป็นหนึ่งในจุดหมายปลายทางที่บริษัทสัญชาติอิสราเอลนำพนักงานของตนเองมาพักผ่อนหย่อนใจอีกด้วย