Twitterin entisen turvallisuuspäällikön tällä viikolla antama räjähdysmäinen ilmiantajien paljastaminen altistaa yrityksen uusille liittovaltion tutkimuksille ja mahdollisesti miljardeja dollareita sakkoja, tiukempia sääntelyvelvoitteita tai muita rangaistuksia Yhdysvaltain hallitukselta lakiasiantuntijoiden ja entisten liittovaltion virkamiesten mukaan.
Twitterillä on valtavia oikeudellisia riskejä, jotka johtuvat Peiter "Mudge" Zatkon ilmiantajan paljastamisesta, joka väittää lähes 200-sivuinen ilmoitus viranomaisille, että yhtiö on täynnä tietoturvapuutteita – ja että joissain tapauksissa sen johtajat ovat johtaneet harhaan omaa hallitusta ja yleisöä yrityksen tilasta, elleivät syyllistyneet suoraan petokseen.
Twitter on syyttänyt Zatkoa, joka työskenteli yrityksessä marraskuusta 2020 siihen asti, kunnes hänet erotettiin tämän tammikuun heikosta suorituskyvystä, "väärän kertomuksen Twitteristä ja tietosuoja- ja tietoturvakäytännöistämme, jotka ovat täynnä epäjohdonmukaisuuksia ja epätarkkuuksia. puuttuu tärkeä konteksti." Zatko on arvostettu kyberturvallisuuden asiantuntija, jolla on kokemusta johtavista rooleista Googlessa, Stripessä ja puolustusministeriössä. CNN ja The Washington Post raportoivat hänen ilmiantajuudestaan tiistaina.
FTC:n vuoden 2011 tietosuojaratkaisun noudattaminen
Yhdysvaltain hallitukselle antamassaan tiedotteessa Zatko väittää, että Twitterillä on "räväitä puutteita" kyberturvallisessa asennossaan, se on tarkoituksellisesti johtanut sääntelyviranomaisia harhaan käyttäjätietojen käsittelyssään ja että yhtiö ei täytä velvollisuuksiaan. 2011 tietosuojaratkaisu Federal Trade Commissionin kanssa – oikeudellisesti sitova määräys, joka edellyttää muun muassa ”kohtuullisten suojatoimien” luomista käyttäjien henkilötietojen suojaamiseksi. FTC kieltäytyi kommentoimasta paljastusta.
Zatkon tuomitseva paljastaminen väittää, että noin puolella Twitterin työntekijöistä, mukaan lukien kaikki sen insinöörit, on liiallinen sisäinen pääsy yrityksen live-tuotteeseen, joka tunnetaan yrityksessä "tuotantona" sekä todelliset käyttäjätiedot. Se väittää myös, että yhtiöllä ei ole kykyä puolustautua sisäpiiriuhkia, ulkomaisia hallituksia ja vahingossa tapahtuvia tietovuotoja vastaan.
"Perussuunnittelu- ja turvallisuusperiaate on, että pääsyä live-tuotantoympäristöihin tulee rajoittaa mahdollisimman paljon", tiedotteessa sanotaan. "Mutta Twitterissä insinöörit rakensivat, testasivat ja kehittivät uusia ohjelmistoja suoraan tuotannossa, ja niillä on pääsy live-asiakastietoihin ja muihin arkaluonteisiin tietoihin Twitterin järjestelmässä."
Twitterin ilmiantaja väittää piittaamattomasta ja huolimattomasta kyberturvallisuuspolitiikasta
Twitter on kertonut CNN:lle, että sen FTC-yhteensopivuustieto puhuu puolestaan vetoamalla virastolle vuoden 2011 suostumusmääräyksen mukaisesti toimitettuihin kolmannen osapuolen tarkastuksiin. Twitter lisäsi, että se noudattaa asiaankuuluvia tietosuojasäännöksiä ja että se on ollut avoin sääntelyviranomaisille pyrkimyksistään korjata järjestelmiensä puutteet. Zatko ei osallistunut tarkastustyöhön eikä ymmärtänyt täysin Twitterin FTC-velvoitteita tai sitä, miten yritys niitä täytti, Twitter sanoi.
Paljastus väittää, että Zatkon henkilökunta oli "läheisesti perehtynyt" Twitterin ongelmiin ennen FTC:tä ja että juuri he kertoivat, että Zatko Twitter ei koskaan noudattanut vuoden 2011 määräystä eikä ollut oikealla tiellä noudattaakseen sitä.
"Seisomme ehdottomasti Mudgen paljastamisen sisällössä", Zatkon asianajaja ja häntä edustavan Whistleblower Aidin perustaja John Tye kertoi CNN:lle.
Zatko saattaa olla oikeutettu rahalliseen palkintoon Yhdysvaltain hallitukselta ilmiantajien toiminnan seurauksena. SEC:n "alkuperäiset, oikea-aikaiset ja uskottavat tiedot, jotka johtavat onnistuneeseen täytäntöönpanotoimiin", voivat ansaita ilmiantajille jopa 30 prosentin leikkauksen toimiin liittyvistä viraston sakoista, jos seuraamukset ovat yli miljoona dollaria, SEC on sanonut. SEC on myöntänyt yli miljardi dollaria yli 1 ilmiantajalle vuodesta 1 lähtien.
Zatko jätti ilmoituksensa SEC:lle "auttaakseen virastoa valvomaan lakeja" ja saadakseen liittovaltion ilmiantajien suojan, Tye sanoi. "Palkinnon mahdollisuus ei ollut Mudgen päätökseen vaikuttanut tekijä, ja itse asiassa hän ei edes tiennyt palkintoohjelmasta, kun hän päätti ryhtyä lailliseksi ilmiantajaksi."
Ilmentäjän paljastus tulee kuukausia FTC:n jälkeen esitti omat väitteensä että Twitter käytti väärin tilin suojaustietoja mainontatarkoituksiin vuoden 2011 määräyksen vastaisesti. Viserrys suostui maksamaan 150 miljoonaa dollaria toukokuussa ratkaistakseen nämä vaatimukset toisessa FTC:n sovinnossa.
Nyt Zatkon paljastaminen herättää mahdollisuuden uuteen mahdolliseen Twitterin FTC-sitoumusten rikkomiseen - poikkeuksellisen vaaralliseen asemaan yritykselle ja sen johtajille, sanoo Jon Leibowitz, joka oli FTC:n puheenjohtaja Twitterin vuoden 2011 sovinnon aikaan.
"Jos tosiasiat ovat totta, ne rikkoisivat järjestystä ja FTC-lakia - ja se tekisi Twitteristä kolminkertaisen häviäjän", Leibowitz sanoi haastattelussa CNN:lle. "FTC:llä ei olisi mitään syytä olla heittämättä kirjaa heille." Tietenkin, Leibowitz lisäsi, FTC:n olisi ensin suoritettava perusteellinen tutkimus selvittääkseen itse, onko uusi rikkomus tapahtunut.
Senaatti Richard Blumenthal, senaatin kuluttajansuoja-alivaliokunnan puheenjohtaja ja entinen Connecticutin oikeusministeri, sanoi tiistaina antamassaan lausunnossa, että Zatkon paljastukset "paljastavat, että vastuu Twitterin tietoturvahäiriöistä on johtajilla".
Lisäksi hän kehotti FTC:tä kirjeessä tutkimaan syytökset ja sanoi, että viranomaisten tulisi määrätä Twitterin johtajat sakot ja asettaa ne henkilökohtaisesti vastuuseen, jos heidän todetaan olevan vastuussa FTC-lain tai Twitterin suostumusmääräyksen rikkomisesta. FTC:n oma uskottavuus on vaarassa, Blumenthal sanoi kirjeessä, joka lähetettiin myös FTC:lle tiistaina.
"Jos komissio ei tarkasti valvo ja pane täytäntöön määräyksiään, niitä ei oteta vakavasti ja nämä vaaralliset loukkaukset jatkuvat", Blumenthal kirjoitti.
"Asiat todellakin pahenivat mielekkäästi"
Peruskirjansa mukaan FTC:llä on oikeus nostaa syytteitä "epäreiluista tai petollisista liiketoimista ja käytännöistä". Internetin aikakaudella tämä on tarkoittanut yhä useammin sellaisten yritysten seuraamista, jotka väittävät suojaavansa kuluttajien digitaalista tietoa, mutta jotka eivät itse asiassa täytä julkisia vaatimuksiaan tai antavat vääriä tietoja suojasta.
Twitterin alkuperäinen vuoden 2011 sovinto syntyi kaksi väitettyä tapausta jossa hakkerit pystyivät vaarantamaan työntekijöiden heikkoja salasanoja ja väärinkäyttäen pääsyään Twitter-tileihin ja salaamaan yksityisiä tietoja huolimatta Twitterin julkisista lausunnoista käyttäjien yksityisyyden ja turvallisuuden turvaamisesta.
Twitterin sovinto ei ollut väärinkäytön myöntäminen. Mutta se tarvitaan Twitter luo "kattavan tietoturvaohjelman, joka on kohtuudella suunniteltu suojaamaan ei-julkisten kuluttajatietojen turvallisuutta, yksityisyyttä, luottamuksellisuutta ja koskemattomuutta" - sitoumusta, jota Zatko väittää, ei ole koskaan täytetty.
Osana viimeisintä FTC-ratkaisuaan tänä vuonna Twitter sitoutui entistä tarkempiin kyberturvallisuusvelvoitteisiin, mukaan lukien "pääsykäytännöt ja valvonta" kaikille käyttäjätietoja sisältäville tietokantoille sekä järjestelmille, jotka joko antavat työntekijöille pääsyn Twitter-tileihin tai joilla on tietoja. joka "mahdollistaa tai helpottaa" pääsyä sisäisiin Twitter-järjestelmiin. Nämä velvoitteet ovat jo voimassa sen jälkeen, kun tuomari allekirjoitti määräyksen tänä keväänä, mikä lisää entisestään Twitterin mahdollista oikeudellista altistumista.
Twitterin lisääntyvistä sääntelyvaatimuksista huolimatta Zatko väittää, että yhtiössä ei ole paljon muuttunut FTC:n yli kymmenen vuotta sitten tekemän alkuperäisen valituksen jälkeen.
"Asiat itse asiassa pahenivat mielekkäästi", hänen kongressille antamansa väittää. Paljastus väittää, että vaikka Twitter neuvotteli aktiivisesti toisesta sovintoratkaisusta FTC:n kanssa viime vuonna, yhtiö salli täysin erillisessä tapahtumassa samanlaisen tietojen väärinkäytön mainontatarkoituksiin toistua.
Vastauksena yli 50:een CNN:n paljastukseen liittyvään erityiskysymykseen Twitter ei vastannut Zatkon väitettä tapahtumasta. Se myönsi, että sen suunnittelu- ja tuotetiimit voivat käyttää Twitterin live-tuotantoympäristöä edellyttäen, että niillä on erityinen liiketoiminnallinen peruste, ja lisäsi, että muiden osastojen, kuten talous-, laki-, markkinointi-, myynti-, henkilöstö- ja tukiosastojen jäsenet eivät voi. Twitter kertoi myös CNN:lle, että työntekijöiden tietokoneet tarkistetaan automaattisesti sen määrittämiseksi, ovatko ne ajan tasalla, ja ne, jotka läpäisevät tarkistukset, eivät voi muodostaa yhteyttä tuotantoon.
Mahdollisuus uuteen ratkaisuun tai pukuun
Tietojen paljastamisen panokset voivat olla erittäin merkittäviä. FTC:n havainto, että Twitter on rikkonut sen määräystä kolmannen kerran, voi johtaa ankarimpiin rangaistuksiin, joita virasto on koskaan määrännyt yhtiölle. FTC:n puheenjohtajana toimii tällä hetkellä myös Lina Khan, a teknologia-alustojen äänekäs skeptikko ja hänen kutsumansa "kaupallinen valvonta" -teollisuus, joka hyötyy löyhistä kansallisista tietosuojasäännöistä. Khanin aikana FTC harkitsee valmistelua laajat uudet tietosuojasäännökset jotka voivat vaikuttaa suoraan yrityksiin kaikkialla taloudessa, mukaan lukien Twitter, ja siihen, miten ne keräävät, käyttävät ja jakavat henkilötietoja.
Jos FTC päättelee rikkomuksen tapahtuneen, sillä olisi kaksi päävaihtoehtoa Twitterin saattamiseksi vastuuseen, viraston entiset virkamiehet sanovat. Se voisi hakea kolmatta sovintoa yrityksen kanssa tai haastaa Twitterin oikeuteen olemassa olevista suostumusmääräyksistä ja pyytää tuomioistuimelta asianmukaisia seuraamuksia.
Sovintoratkaisun tapauksessa FTC voisi jopa pyrkiä nimeämään yksittäisiä johtajia – pitäen heidät henkilökohtaisesti vastuullisina ja pakottamalla heidät hyväksymään omasta käytöksestään velvollisuuksia, joista heidät voitaisiin saattaa vastuuseen, jos he tai yritys rikkovat määräystä uudelleen.
Jos käy ilmi, että Twitter rikkoi lakisääteisiä velvoitteitaan, Leibowitz sanoi, että FTC:n pitäisi "erittäin vakavasti harkita ... vastuullisten johtajien saattamista järjestykseen".
Pelkkä uhkaus nimetä yksittäisiä johtajia voi olla tehokasta, hän lisäsi. FTC:n puheenjohtajana ollessaan Leibowitz muisteli: "En voi kertoa teille, kuinka monta toimitusjohtajaa tuli toimistooni sanoen: 'Älä nimeä minua. En vain halua tulla nimetyksi. En välitä, jos maksan enemmän rahaa; Minua ei haittaa, jos yritykselleni annetaan vahvempi tilaus. Mutta en vain halua tulla nimetyksi."
Megan Gray, entinen FTC:n lainvalvontalakimies, joka on työskennellyt joissakin viraston suurimmista tietosuojatapauksista, sanoi, että FTC:n käytettävissä on lukuisia työkaluja. (CNN puhui Grayn kanssa ennen kuin Zatkon syytökset tulivat julkisiksi ja paljastamatta niiden olemassaoloa, ja sitten uudelleen tiistaina sen jälkeen, kun CNN ja The Washington Post ilmoittivat Zatkon paljastuksesta.)
"Kohoavat sakot, enemmän vaatimustenmukaisuusraportteja, yksityiskohtaisempia valvontatoimia ja rajoituksia heidän liiketoiminta-aloillaan", Gray sanoi valitessaan vaihtoehtojen luetteloa. "Tai vaatimus saada mainokset etukäteen hyväksytyiksi virastolta tai sulkea ne pois tietyntyyppisistä tapahtumista."
Virasto, joka tarvitsee lisää työkaluja yritysten saattamiseksi vastuuseen
Twitter on viitannut kolmannen osapuolen suorittamiin tarkastuksiin todisteena siitä, että se on noudattanut FTC-sitoumuksiaan. Mutta yleensä tapa, jolla FTC:n tilintarkastusvaatimukset toimivat usein käytännössä, voi päästää yritykset irti liian helposti, Gray sanoi.
Esimerkiksi monet FTC:n tilaukset on kirjoitettu riittävän laajasti, jotta yritys voi täyttää velvoitteensa perustuen muun muassa "todistuksiin" niiden noudattamisesta - pinkie lupaus, Gray kertoi CNN:lle. Kolmannen osapuolen tarkastuksia suorittavat yritykset voivat FTC:lle toimittamissaan raporteissa yksinkertaisesti sanoa tai lainata tarkastettavan yrityksen lausuntoja, että yritys noudattaa vaatimuksia.
Vuodesta 2011 vuoteen 2022 Twitterin suostumusmääräys FTC:n kanssa salli tarkastusraportit todistusten perusteella. Sitten, tämän vuoden toisessa ratkaisussaan, FTC tarkensi tarkastusvaatimuksia ja esti Twitterin ulkopuolisia tarkastajia luottamasta "ensisijaisesti" Twitterin johdon todistuksiin.
Jopa tämäntyyppisistä rajoituksista huolimatta on edelleen syytä suhtautua skeptisesti FTC:n tarkastusraportteihin, Gray sanoi. Tämä johtuu siitä, että kolmannen osapuolen tilintarkastajille ei maksa FTC, vaan tarkastettavat yritykset, hän sanoi.
"Joten tilintarkastusyhtiöiden kannustimet ovat täysin poissa", Gray lisäsi.
Twitter kertoi CNN:lle, että auditoinnit ovat vain yksi tietosuoja- ja turvallisuusohjelmista, joita Twitterin on täytettävä FTC-velvoitteensa.
Monet nykyiset ja entiset FTC:n virkamiehet sekä Yhdysvaltain lainsäätäjät ja kuluttajaasianajajat ovat pyrkineet antamaan FTC:lle lisää työkaluja yritysten saattamiseksi vastuuseen, erityisesti viime vuoden korkeimman oikeuden jälkeen. iski alas viraston kyky hakea rahallista helpotusta tietyissä olosuhteissa.
Jotkut tiukemman valvonnan kannattajat ovat vaatineet, esimerkiksi antaa FTC:n määrätä sakkoja yrityksille, jos ne rikkovat ensimmäistä kertaa FTC-lakia. Tällä hetkellä FTC voi yleensä pyrkiä määräämään yritykselle vain siviilioikeudellisia seuraamuksia sen jälkeen, kun se on rikkonut aikaisempaa sovintoa.
Twitterin tapauksessa suostumusmääräyksen neuvotteleminen kolmannen kerran voi tuntua oudolta, sanoi toinen entinen FTC:n virkamies, joka puhui nimettömänä voidakseen puhua avoimemmin. Mutta jos se havaitsee rikkomuksen, ja kuten kaikissa tapauksissa, FTC:n on punnittava, mitä se uskoo saavansa Twitteristä sovinnon kautta, verrattuna siihen, mitä virasto voi voittaa oikeudenkäyntioikeudelta.
Entinen virkamies sanoi, että on olemassa riskejä pitkiin, pitkittyneisiin oikeudenkäynteihin, joissa tuomioistuin voi itse asiassa myöntää FTC:lle vähemmän.
"Jotkut ihmiset ajattelevat, että nämä määräykset eivät ole mitään", entinen virkamies sanoi, "mutta ne eivät ole. Ehkä joissakin tapauksissa ne ovat, eivätkä yritykset ota niitä vakavasti. Mutta monissa tapauksissa he tekevät, ja FTC voi aiheuttaa paljon kipua. Paljon kipua."
The-CNN-Wire™ & © 2022 Cable News Network, Inc., Warner Bros. Discovery Company. Kaikki oikeudet pidätetään.
