Juriidiliste ekspertide ja endiste föderaalametnike sõnul avaldab Twitteri endine julgeolekujuht sel nädalal ettevõttele uued föderaalsed juurdlused ja potentsiaalselt miljardeid dollareid trahve, karmimaid regulatiivseid kohustusi või muid karistusi USA valitsuse poolt.
Twitteri ees seisavad tohutud juriidilised riskid, mis tulenevad vilepuhuja avalikustamisest Peiter "Mudge" Zatko poolt, kes väidab ligi 200-leheküljeline avalikustamine võimudele, et ettevõte on täis infoturbe vigu – ja mõnel juhul on selle juhid eksitanud oma juhatust ja avalikkust ettevõtte seisundi osas, kui mitte sooritanud otsese pettuse.
Twitter on süüdistanud Zatkot, kes töötas ettevõttes 2020. aasta novembrist kuni vallandamiseni selle aasta jaanuaris Twitteri väitel kehva töötulemuse tõttu, "vale narratiivi avaldamises Twitteri ning meie privaatsus- ja andmeturbepraktikate kohta, mis on täis ebakõlasid ja ebatäpsusi. puudub oluline kontekst." Zatko on kõrgelt hinnatud küberjulgeolekuekspert, kellel on kogemusi juhtivatel ametikohtadel Google'is, Stripe'is ja kaitseministeeriumis. Tema vilepuhuja avalikustamisest teatasid teisipäeval esmakordselt CNN ja The Washington Post.
FTC 2011. aasta privaatsuskokkuleppe järgimine
USA valitsusele avaldatud teabes väidab Zatko, et Twitteri küberjulgeolekuasendis on "räigeid puudujääke", ta eksitab seadusandjaid kasutajaandmete käitlemise osas tahtlikult ja et ettevõte ei täida oma kohustusi. 2011. aasta privaatsuskokkulepe Föderaalse Kaubanduskomisjoniga – õiguslikult siduv korraldus, mis nõuab muuhulgas "mõistlike kaitsemeetmete" loomist kasutajate isikuandmete kaitsmiseks. FTC keeldus avalikustamist kommenteerimast.
Zatko hukatuslik avalikustamine väidab, et ligikaudu pooltel Twitteri töötajatel, sealhulgas kõigil selle inseneridel, on liigne sisemine juurdepääs ettevõtte reaalajas tootele, mida ettevõttes nimetatakse "tootmiseks", koos tegelike kasutajaandmetega. Samuti väidetakse, et ettevõttel puudub võime kaitsta siseringi ohtude, välisriikide valitsuste ja juhuslike andmelekete eest.
"Inseneri- ja turvalisuse põhiprintsiip on see, et juurdepääs reaalajas tootmiskeskkondadele peaks olema võimalikult piiratud," öeldakse avalikustamises. "Kuid Twitteris ehitasid, testisid ja arendasid insenerid otse tootmises uut tarkvara, millel on juurdepääs reaalajas olevatele kliendiandmetele ja muule tundlikule teabele Twitteri süsteemis."
Twitteri vilepuhuja väidab, et küberjulgeolekupoliitika on hoolimatu ja hoolimatu
Twitter on CNN-ile öelnud, et FTC järgimise rekord räägib enda eest, viidates agentuurile 2011. aasta nõusoleku korralduse alusel esitatud kolmandate osapoolte audititele. Twitter lisas, et see järgib asjakohaseid privaatsuseeskirju ja et ta on olnud reguleerivate asutuste jaoks läbipaistev oma süsteemides esinevate puuduste parandamiseks. Zatko ei osalenud audititöös ega saanud täielikult aru Twitteri FTC kohustustest ega sellest, kuidas ettevõte neid täitis, teatas Twitter.
Avalikustamises väidetakse, et Zatko töötajad olid Twitteri probleemidega enne FTC-d "lähedalt tuttavad" ja just nemad ütlesid, et Zatko Twitter ei järginud kunagi 2011. aasta korraldust ega kavatse seda järgida.
"Me jääme absoluutselt Mudge'i avalikustamise sisu juurde," ütles Zatko advokaat ja teda esindava organisatsiooni Whistleblower Aid asutaja John Tye CNN-ile.
Zatko võib oma vilepuhuja tegevuse tõttu saada USA valitsuselt rahalise preemia. SEC: "Originaalne, õigeaegne ja usaldusväärne teave, mis viib eduka täitetoiminguni", võib rikkumisest teatajatele teenida kuni 30% kärpeid hagiga seotud agentuuritrahve, kui karistused ulatuvad üle miljoni dollari, teatas SEC. SEC on alates 1. aastast andnud rohkem kui 1 vilepuhujale üle miljardi dollari.
Tye ütles, et Zatko esitas oma avalikustamise SEC-ile, "et aidata agentuuril seadusi jõustada" ja saada föderaalset kaitset vilepuhujatele. "Tasu väljavaade ei olnud Mudge'i otsuses oluline tegur ja tegelikult ei teadnud ta isegi preemiaprogrammist, kui otsustas hakata seaduslikuks vilepuhujaks."
Vilepuhuja avalikustamine toimub kuid pärast FTC-d esitas oma süüdistused et Twitter kuritarvitas konto turvateavet reklaamieesmärkidel, rikkudes 2011. aasta korraldust. Twitter nõustus maksma 150 miljonit dollarit mais nende nõuete lahendamiseks FTC teises kokkuleppes.
Nüüd tõstatab Zatko avalikustamine Twitteri 2011. aasta kokkuleppe sõlmimise ajal FTC esimehe Jon Leibowitzi sõnul väljavaateid veel ühele Twitteri FTC kohustuste võimalikule rikkumisele – see on ettevõtte ja selle juhtide jaoks erakordselt ohtlik positsioon.
"Kui faktid vastavad tõele, kujutavad need endast korralduse ja FTC seaduse rikkumist – ja see muudaks Twitteri kolmekordseks kaotajaks," ütles Leibowitz CNN-ile antud intervjuus. "FTC-l poleks põhjust neile raamatut mitte visata." Muidugi, lisas Leibowitz, peaks FTC kõigepealt läbi viima põhjaliku uurimise, et teha kindlaks, kas uus rikkumine on aset leidnud.
Senati tarbijakaitse allkomisjoni esimees ja endine Connecticuti peaprokurör senaator Richard Blumenthal ütles teisipäevases avalduses, et Zatko avalikustamised "paljastavad, et vastutus Twitteri turvatõrgete eest lasub ülaosas".
Lisaks kutsus ta FTC-d oma kirjas üles väiteid uurima, öeldes, et ametnikud peaksid Twitteri juhte trahvima ja isiklikult vastutama, kui leitakse, et nad on vastutavad FTC seaduse või Twitteri nõusoleku korralduse rikkumise eest. FTC enda usaldusväärsus on kaalul, ütles Blumenthal kirjas, mis saadeti teisipäeval ka FTC-le.
"Kui komisjon oma korraldusi jõuliselt ei jälgi ega jõusta, ei võeta neid tõsiselt ja need ohtlikud rikkumised jätkuvad," kirjutas Blumenthal.
"Asjad läksid tegelikult oluliselt hullemaks"
Oma põhikirja kohaselt on FTC-l volitused süüdistada "ebaausat või petlikku äritegevust ja tavasid". Internetiajastul on see üha enam tähendanud ettevõtete tagaajamist, kes väidavad, et nad kaitsevad tarbijate digitaalset teavet, kuid kes tegelikult ei täida oma avalikke väiteid ega esita neid kaitset valesti.
Twitteri algne 2011. aasta kokkulepe tekkis kaks väidetavat juhtumit kus häkkerid suutsid ohustada töötajate nõrku paroole ja kuritarvitada nende juurdepääsu Twitteri kontode ülevõtmiseks ja privaatse teabe nuhkima, hoolimata Twitteri avalikest avaldustest kasutajate privaatsuse ja turvalisuse kaitsmise kohta.
Twitteri kokkulepe ei olnud süüteo tunnistamine. Kuid see nõutav Twitter loob "laiaulatusliku teabeturbeprogrammi, mis on mõistlikult kavandatud mitteavaliku tarbijateabe turvalisuse, privaatsuse, konfidentsiaalsuse ja terviklikkuse kaitsmiseks" - Zatko väitel pole kunagi täidetud.
Osana oma viimasest selle aasta FTC kokkuleppest võttis Twitter kohustuse täita veelgi üksikasjalikumaid küberjulgeolekukohustusi, sealhulgas "juurdepääsupoliitika ja kontroll" kõigile kasutajaandmeid sisaldavatele andmebaasidele, samuti süsteemidele, mis annavad töötajatele juurdepääsu Twitteri kontodele või millel on teavet. mis "võimaldab või hõlbustab" juurdepääsu Twitteri sisesüsteemidele. Need kohustused jõustuvad juba pärast seda, kui kohtunik tänavu kevadel määrusele alla kirjutas, suurendades veelgi Twitteri võimalikku õiguslikku mõju.
Vaatamata Twitteri kasvavatele regulatiivsetele nõuetele, väidab Zatko, et pärast FTC esialgset kaebust rohkem kui kümme aastat tagasi pole ettevõttes palju muutunud.
"Asjad läksid tegelikult oluliselt hullemaks," väidab tema kongressile avaldamine. Avalikustamises väidetakse, et isegi kui Twitter pidas eelmisel aastal FTC-ga aktiivselt läbirääkimisi teise kokkuleppe üle, lubas ettevõte täiesti eraldiseisva intsidendi korral korduda sama tüüpi andmete väärkasutamist reklaamieesmärkidel.
Vastuseks enam kui 50 avalikustamisega seotud CNN-i konkreetsele küsimusele ei käsitlenud Twitter Zatko väidet selle juhtumi kohta. Ta tunnistas, et selle inseneri- ja tootemeeskonnad pääsevad juurde Twitteri reaalajas tootmiskeskkonnale tingimusel, et neil on konkreetne äriline põhjendus, lisades, et teiste osakondade liikmed (nt finants-, õigus-, turundus-, müügi-, personali- ja tugiosakond) ei saa seda teha. Twitter ütles ka CNN-ile, et töötajate arvuteid kontrollitakse automaatselt, et teha kindlaks, kas need on ajakohased, ja need, mis ei suuda kontrolle läbida, ei saa tootmissüsteemiga ühendust luua.
Võimalus uueks kokkuleppeks või ülikonnaks
Avalikustamise panused võivad olla väga olulised. FTC järeldus, et Twitter on kolmandat korda selle korraldust rikkunud, võib kaasa tuua kõige karmimad karistused, mida agentuur on ettevõttele kunagi määranud. FTC eesistuja on praegu ka Lina Khan, a tehnoloogiliste platvormide häälekas skeptik ja sellest, mida ta nimetab "kaubanduslikuks järelevalveks", mis saab kasu lõdvatest riiklikest privaatsuseeskirjadest. Khani ajal kaalub FTC eelnõu koostamist uued privaatsusreeglid mis võivad otseselt mõjutada ettevõtteid kogu majanduses, sealhulgas Twitterit, ning seda, kuidas nad isikuandmeid koguvad, kasutavad ja jagavad.
Kui FTC peaks jõudma järeldusele, et rikkumine aset leidis, on tal kaks peamist võimalust Twitteri vastutusele võtmiseks, väidavad agentuuri endised ametnikud. Ta võib taotleda ettevõttega kolmandat kokkulepet või kaevata Twitteri olemasolevate nõusolekukorralduste pärast kohtusse ja paluda kohtult asjakohaseid karistusi.
Kokkuleppe korral võib FTC isegi püüda nimetada üksikuid juhte, pidades neid isiklikult vastutavaks ja sundides neid võtma oma käitumisest tulenevaid kohustusi, mille eest võidakse neid vastutusele võtta, kui nad või ettevõte korraldust uuesti rikuvad.
Kui selgub, et Twitter rikkus oma juriidilisi kohustusi, peaks FTC "väga tõsiselt kaaluma ... vastutavate juhtide korda seadmist", ütles Leibowitz.
Ta lisas, et ainuüksi ähvardus nimetada üksikuid juhte võib olla tõhus. FTC esimeheks oleku ajal meenutas Leibowitz: „Ma ei oska öelda, kui palju tegevjuhte tuli minu kontorisse, öeldes: „Palun ära nimeta mind. Ma lihtsalt ei taha, et mind nimetataks. Mul pole midagi selle vastu, kui ma rohkem raha maksan; Mul pole midagi selle vastu, kui mu firmale jõulisema tellimuse alla antakse. Aga ma lihtsalt ei taha, et mind nimetataks.'”
FTC endine jõustamisadvokaat Megan Gray, kes on töötanud agentuuri suurimate privaatsusjuhtumite kallal, ütles, et FTC käsutuses on palju tööriistu. (CNN rääkis Greyga enne Zatko süüdistuste avalikuks saamist ja nende olemasolu avalikustamata ning seejärel uuesti teisipäeval pärast seda, kui CNN ja The Washington Post teatasid Zatko avalikustamisest.)
"Trahvide suurenemine, rohkem vastavusaruandeid, üksikasjalikumad kontrollid ja piirangud nende ärivaldkondadele," ütles Gray valikute loendis linnukesega. "Või nõue saada reklaamid eelnevalt agentuuri poolt heaks kiidetud või nende välistamine teatud tüüpi tehingutest."
Agentuur, kes vajab rohkem tööriistu, et ettevõtteid vastutada
Twitter on viidanud oma kolmandate osapoolte audititele kui tõenditele, et ta on järginud oma FTC kohustusi. Gray ütles, et üldiselt võib see, kuidas FTC auditinõuded praktikas sageli toimivad, ettevõtteid liiga lihtsalt konksust lahti lasta.
Näiteks on paljud FTC korraldused kirjutatud piisavalt laialt, et võimaldada ettevõttel täita oma kohustusi, tuginedes muuhulgas "tõenditele" nende vastavuse kohta - roosa lubadus, ütles Gray CNN-ile. FTC-le esitatavates aruannetes võivad kolmanda osapoole auditeid läbi viivad ettevõtted lihtsalt öelda või tsiteerida auditeeritava ettevõtte avaldusi, et ettevõte järgib eeskirju.
Aastatel 2011 kuni 2022 võimaldas Twitteri FTC-ga nõusoleku korraldus esitada tunnistustel põhinevaid auditiaruandeid. Seejärel muutis FTC selle aasta teisel kokkuleppel auditinõuded täpsemaks, keelates Twitteri kolmandatest osapooltest audiitoritel tugineda "peamiselt" Twitteri juhtkonna kinnitustele.
Gray ütles, et isegi seda tüüpi piirangute korral on FTC auditiaruannete suhtes siiski põhjust skeptiline olla. Selle põhjuseks on asjaolu, et kolmandatest osapooltest audiitoreid ei maksa mitte FTC, vaid auditeeritavad ettevõtted, ütles ta.
"Seega on audiitorfirmade jaoks stiimulid täiesti tühjad," lisas Gray.
Twitter ütles CNN-ile, et auditid on vaid üks privaatsus- ja turvaprogrammidest, mida Twitter peab oma FTC kohustuste täitmiseks.
Paljud praegused ja endised FTC ametnikud, samuti USA seadusandjad ja tarbijakaitsjad on püüdnud anda FTC-le rohkem vahendeid ettevõtete vastutusele võtmiseks, eriti pärast ülemkohut eelmisel aastal. lööge alla agentuuri võime taotleda teatud tingimustel rahalist abi.
Mõned karmima järelevalve pooldajad on kutsunud, näiteks lubades FTC-l määrata ettevõtetele FTC seaduse esmakordsete rikkumiste eest trahve. Praegu võib FTC üldiselt püüda määrata ettevõttele tsiviilkaristusi pärast seda, kui see on rikkunud eelnevat kokkulepet.
Twitteri puhul võib kolmandat korda nõusolekutellimuse läbirääkimine tunduda veider pilk, ütles teine endine FTC ametnik, kes soovis jääda avameelseks, et rääkida anonüümsust. Kuid kui ta tuvastab rikkumise, ja nagu igal juhul, peab FTC kaaluma, mida ta usub, et ta võib Twitterist kokkuleppe kaudu saada, võrreldes sellega, mida agentuur võib menetlev kohus võita.
Endine ametnik ütles, et on oht, et pikad ja pikad kohtuvaidlused, kus kohus võib tegelikult FTC-le vähem välja mõista.
"Mõned inimesed arvavad, et need korraldused pole midagi," ütles endine ametnik, "kuid see pole nii. Võib-olla mõnel juhul on ja ettevõtted ei võta neid tõsiselt. Kuid paljudel juhtudel nad seda teevad ja FTC võib põhjustada palju valu. Palju valu."
The-CNN-Wire™ & © 2022 Cable News Network, Inc., Warner Bros. Discovery Company. Kõik õigused kaitstud.
