Zdaniem ekspertów prawnych i byłych urzędników federalnych gwałtowne ujawnienie przez byłego szefa ochrony Twittera sygnalisty w tym tygodniu naraża firmę na nowe dochodzenia federalne i potencjalnie wielomiliardowe grzywny, surowsze obowiązki regulacyjne lub inne kary nałożone przez rząd USA.
Twitter stoi w obliczu ogromnego ryzyka prawnego wynikającego z ujawnienia informacji przez sygnalistę przez Peitera „Mudge’a” Zatko, który twierdzi w prawie 200-stronicowy opis władzom, że firma jest pełna luk w zakresie bezpieczeństwa informacji i że w niektórych przypadkach jej kierownictwo wprowadziło w błąd własny zarząd i opinię publiczną co do stanu firmy, jeśli nie dopuściło się zwykłego oszustwa.
Twitter oskarżył Zatko, który pracował w firmie od listopada 2020 r. do zwolnienia w styczniu tego roku za, według Twittera, słabe wyniki w pracy, o rozpowszechnianie „fałszywej narracji na temat Twittera oraz naszych praktyk w zakresie prywatności i bezpieczeństwa danych, pełnej niespójności i nieścisłości oraz brakuje ważnego kontekstu.” Zatko to ceniony ekspert ds. cyberbezpieczeństwa z doświadczeniem na wysokich stanowiskach w Google, Stripe i Departamencie Obrony. O ujawnieniu jego przez sygnalistę po raz pierwszy poinformowały we wtorek CNN i The Washington Post.
Przestrzeganie ustaleń dotyczących prywatności FTC z 2011 roku
W swoim ujawnieniu przekazanym rządowi USA Zatko twierdzi, że Twitter cierpi na „rażące braki” w zakresie swojego poziomu cyberbezpieczeństwa, celowo wprowadził organy regulacyjne w błąd co do sposobu postępowania z danymi użytkowników oraz że firma nie wywiązuje się ze swoich obowiązków wynikających z Ugoda dotycząca prywatności z 2011 roku z Federalną Komisją Handlu – prawnie wiążące zarządzenie, które wymaga między innymi stworzenia „rozsądnych zabezpieczeń” w celu ochrony danych osobowych użytkowników. FTC odmówiła komentarza w sprawie ujawnienia informacji.
W potępiającym ujawnieniu Zatko twierdzi się, że mniej więcej połowa pracowników Twittera, w tym wszyscy jego inżynierowie, ma nadmierny wewnętrzny dostęp do działającego produktu firmy, zwanego w firmie „produkcją”, wraz z rzeczywistymi danymi użytkowników. Zarzuca również firmie brak zdolności do obrony przed zagrożeniami wewnętrznymi, zagranicznymi rządami i przypadkowymi wyciekami danych.
„Podstawową zasadą inżynierii i bezpieczeństwa jest maksymalne ograniczenie dostępu do środowisk produkcyjnych na żywo” – czytamy w ujawnieniu. „Ale w Twitterze inżynierowie budowali, testowali i opracowywali nowe oprogramowanie bezpośrednio w produkcji, mając dostęp do bieżących danych klientów i innych wrażliwych informacji w systemie Twittera”.
Informator na Twitterze zarzuca lekkomyślne i niedbałe polityki bezpieczeństwa cybernetycznego
Twitter powiedział CNN, że jego historia zgodności z FTC mówi sama za siebie, powołując się na audyty stron trzecich przekazane agencji na podstawie nakazu uzyskania zgody z 2011 r. Twitter dodał, że przestrzega odpowiednich przepisów dotyczących prywatności i że w przejrzysty sposób informował organy regulacyjne o swoich wysiłkach mających na celu naprawienie wszelkich niedociągnięć w swoich systemach. Twitter stwierdził, że Zatko nie brał udziału w pracach kontrolnych i nie rozumiał w pełni obowiązków Twittera związanych z FTC ani tego, w jaki sposób firma je wypełnia.
Z ujawnionych informacji wynika, że pracownicy Zatko „dokładnie zaznajomili się” z problemami Twittera przed FTC i to oni powiedzieli Zatko, że Twitter nigdy nie przestrzegał nakazu z 2011 r. ani nie był na dobrej drodze do osiągnięcia zgodności.
„Zdecydowanie podtrzymujemy treść ujawnienia Mudge’a” – powiedział CNN John Tye, prawnik Zatko i założyciel reprezentującej go organizacji Whistleblower Aid.
Zatko może kwalifikować się do nagrody pieniężnej od rządu USA w wyniku swojej działalności sygnalizacyjnej. „Oryginalne, aktualne i wiarygodne informacje, które prowadzą do skutecznych działań egzekucyjnych” SEC twierdzi, że SEC może zapewnić sygnalistom aż do 30% obniżki kar agencji związanych z działaniem, jeśli kary wynoszą ponad 1 milion dolarów. Od 1 roku SEC przyznała ponad 270 miliard dolarów ponad 2012 sygnalistom.
Tye powiedział, że Zatko zgłosił swoje ujawnienie do SEC, „aby pomóc agencji w egzekwowaniu prawa” i uzyskać federalną ochronę dla sygnalistów. „Perspektywa nagrody nie miała wpływu na decyzję Mudge'a i tak naprawdę nie wiedział on nawet o programie nagród, kiedy zdecydował się zostać legalnym sygnalistą”.
Ujawnienie sygnalisty następuje kilka miesięcy po wydaniu FTC podniósł własne zarzuty że Twitter niewłaściwie wykorzystał informacje dotyczące bezpieczeństwa konta do celów reklamowych, co stanowi naruszenie zarządzenia z 2011 r. Świergot zgodził się zapłacić 150 milionów dolarów w maju w celu rozstrzygnięcia tych roszczeń w ramach drugiej ugody FTC.
Teraz ujawnienie Zatko stwarza perspektywę kolejnego możliwego naruszenia zobowiązań Twittera wobec FTC – zdaniem Jona Leibowitza, który był przewodniczącym FTC w czasie zawierania ugody Twittera w 2011 r., jest to niezwykle niebezpieczna sytuacja dla firmy i jej kadry kierowniczej.
„Jeśli fakty są prawdziwe, stanowiłoby to naruszenie zarządzenia i ustawy o FTC, a to oznaczałoby, że Twitter byłby trzykrotnym przegranym” – powiedział Leibowitz w wywiadzie dla CNN. „Nie byłoby powodu, dla którego FTC nie rzuciłaby im tej książki”. Oczywiście, dodał Leibowitz, FTC musiałaby najpierw przeprowadzić dokładne dochodzenie, aby samodzielnie ustalić, czy doszło do nowego naruszenia.
Senator Richard Blumenthal, przewodniczący podkomisji Senatu ds. ochrony konsumentów i były prokurator generalny stanu Connecticut, stwierdził we wtorkowym oświadczeniu, że ujawnienia Zatko „ujawniają, że odpowiedzialność za błędy w zakresie bezpieczeństwa Twittera spoczywa na osobach na górze”.
Następnie w piśmie nalegał, aby FTC zbadała zarzuty, stwierdzając, że urzędnicy powinni ukarać grzywną i pociągnąć do odpowiedzialności kierownictwo Twittera, jeśli okaże się, że byli oni odpowiedzialni za naruszenia ustawy o FTC lub nakazu zgody Twittera. Wiarygodność FTC jest zagrożona, stwierdził Blumenthal w piśmie, który również został wysłany do FTC we wtorek.
„Jeśli Komisja nie będzie energicznie nadzorować i egzekwować swoich nakazów, nie będą one traktowane poważnie i te niebezpieczne naruszenia będą kontynuowane” – napisał Blumenthal.
„Sytuacja faktycznie uległa znacznemu pogorszeniu”
Zgodnie ze swoim statutem FTC jest upoważniona do ścigania „nieuczciwych lub oszukańczych działań i praktyk biznesowych”. W dobie Internetu oznacza to coraz częściej ściganie firm, które twierdzą, że chronią informacje cyfrowe konsumentów, ale w rzeczywistości nie spełniają swoich publicznych twierdzeń lub fałszywie przedstawiają tę ochronę.
Pierwotna ugoda Twittera z 2011 roku miała swój początek dwa rzekome zdarzenia gdzie hakerom udało się złamać słabe hasła pracowników i niewłaściwie wykorzystać ich dostęp do przejęcia kont na Twitterze i szpiegowania prywatnych informacji, pomimo publicznych oświadczeń Twittera w sprawie ochrony prywatności i bezpieczeństwa użytkowników.
Ugoda Twittera nie oznaczała przyznania się do winy. Ale to wymagany Twittera do stworzenia „kompleksowego programu bezpieczeństwa informacji, który zostanie rozsądnie zaprojektowany w celu ochrony bezpieczeństwa, prywatności, poufności i integralności niepublicznych informacji konsumenckich” – zobowiązanie, które według Zatko nigdy nie zostało dotrzymane.
W ramach najnowszego tegorocznego porozumienia z FTC Twitter zobowiązał się do jeszcze bardziej szczegółowych obowiązków w zakresie cyberbezpieczeństwa, w tym posiadania „polityki dostępu i kontroli” do wszystkich baz danych zawierających dane użytkowników, a także do systemów, które albo zapewniają pracownikom dostęp do kont na Twitterze, albo zawierają informacje które „umożliwiają lub ułatwiają” dostęp do wewnętrznych systemów Twittera. Obowiązki te obowiązują już po podpisaniu postanowienia przez sędziego wiosną tego roku, co jeszcze bardziej zwiększa potencjalne ryzyko prawne Twittera.
Pomimo rosnących wymogów regulacyjnych wobec Twittera Zatko twierdzi, że od czasu pierwszej skargi złożonej ponad dziesięć lat temu w firmie niewiele się zmieniło.
„Sytuacja faktycznie uległa znacznemu pogorszeniu” – twierdzi jego ujawnienie Kongresowi. Z ujawnionych informacji wynika, że nawet gdy Twitter aktywnie negocjował w zeszłym roku drugą ugodę z FTC, firma w zupełnie odrębnym incydencie dopuściła do powtórzenia się tego samego rodzaju niewłaściwego wykorzystania danych do celów reklamowych.
W odpowiedzi na ponad 50 konkretnych pytań zadanych przez CNN w związku z ujawnieniem Twitter nie odniósł się do zarzutów Zatko dotyczących tego incydentu. Przyznała jednak, że jej zespoły inżynieryjne i produktowe mogą uzyskać dostęp do działającego na żywo środowiska produkcyjnego Twittera, pod warunkiem, że mają konkretne uzasadnienie biznesowe, i dodała, że członkowie innych działów – takich jak finanse, dział prawny, marketing, sprzedaż, zasoby ludzkie i wsparcie – nie mogą. Twitter powiedział także CNN, że komputery pracowników są automatycznie sprawdzane w celu ustalenia, czy są aktualne, a te, które nie przejdą kontroli, nie mogą połączyć się z produkcją.
Potencjał do nowej ugody lub pozwu
Ryzyko ujawnienia może być niezwykle znaczące. Stwierdzenie przez FTC, że Twitter po raz trzeci naruszył jej nakaz, może skutkować najsurowszymi karami, jakie agencja kiedykolwiek nałożyła na firmę. Obecnie FTC przewodniczy także Lina Khan, a głośny sceptyk wobec platform technologicznych oraz tego, co nazywa branżą „nadzoru komercyjnego”, która czerpie korzyści z luźnych krajowych przepisów dotyczących prywatności. Pod rządami Khana FTC rozważa powołanie do służby wojskowej nowe, szeroko zakrojone przepisy dotyczące prywatności które mogłyby bezpośrednio wpłynąć na firmy w całej gospodarce, w tym na Twittera, oraz na sposób, w jaki gromadzą, wykorzystują i udostępniają dane osobowe.
Gdyby FTC stwierdziła, że doszło do naruszenia, miałaby dwie główne możliwości pociągnięcia Twittera do odpowiedzialności, twierdzą byli urzędnicy agencji. Może dążyć do trzeciej ugody ze spółką lub może pozwać Twittera w związku z istniejącymi nakazami uzyskania zgody i zwrócić się do sądu o odpowiednie kary.
W przypadku ugody FTC mogłaby nawet dążyć do wskazania poszczególnych członków kadry kierowniczej, pociągając ich do osobistej odpowiedzialności i zmuszając do przyjęcia na siebie zobowiązań, za które mogliby zostać pociągnięci do odpowiedzialności, gdyby oni sami lub firma ponownie naruszyli nakaz.
Jeśli okaże się, że Twitter rzeczywiście naruszył swoje obowiązki prawne, stwierdził Leibowitz, FTC powinna „bardzo poważnie rozważyć… uporządkowanie odpowiedzialnych menedżerów”.
Dodał, że sama groźba powołania poszczególnych członków kadry kierowniczej może być skuteczna. Kiedy Leibowitz był przewodniczącym FTC, wspominał: „Nie jestem w stanie zliczyć, ilu dyrektorów generalnych przyszło do mojego biura i powiedziało: «Proszę, nie wymieniaj mnie. Po prostu nie chcę, żeby mnie nazywano. Nie przeszkadza mi, jeśli zapłacę więcej pieniędzy; Nie przeszkadza mi, jeśli moja firma zostanie objęta silniejszym porządkiem. Ale po prostu nie chcę, żeby mnie wymieniano”.
Megan Gray, była prawniczka FTC ds. egzekwowania prawa, która pracowała nad niektórymi z największych spraw dotyczących prywatności prowadzonych przez tę agencję, stwierdziła, że FTC ma wiele narzędzi do dyspozycji. (CNN rozmawiało z Grayem przed upublicznieniem zarzutów Zatko i bez ujawnienia ich istnienia, a następnie ponownie we wtorek po tym, jak CNN i The Washington Post poinformowały o ujawnieniu Zatko.)
„Rosnące kary, więcej raportów dotyczących zgodności, bardziej szczegółowe kontrole i ograniczenia w ich branżach” – powiedział Gray, zaznaczając listę opcji. „Lub wymóg uzyskania wstępnej akceptacji reklam przez agencję lub wykluczenia ich z określonych rodzajów transakcji.”
Agencja potrzebująca większej liczby narzędzi do pociągania firm do odpowiedzialności
Twitter przytoczył audyty przeprowadzone przez strony trzecie jako dowód, że dotrzymał swoich zobowiązań FTC. Jednak ogólnie rzecz biorąc, sposób, w jaki wymogi audytowe FTC często sprawdzają się w praktyce, może zbyt łatwo uwolnić firmy od kłopotów, stwierdził Gray.
Na przykład wiele zamówień FTC jest sformułowanych na tyle szeroko, aby umożliwić firmie wywiązanie się ze swoich zobowiązań w oparciu, między innymi, o „zaświadczenia” potwierdzające ich przestrzeganie – czyli obietnica na mały palec, powiedział Gray CNN. W raportach dla FTC firmy przeprowadzające audyty stron trzecich mogą po prostu stwierdzić lub zacytować oświadczenia kontrolowanej firmy, że firma przestrzega przepisów.
Od 2011 r. do 2022 r. na podstawie zgody Twittera wydanej przez FTC możliwe było sporządzanie raportów z kontroli w oparciu o atesty. Następnie w swoim drugim ugodzie w tym roku FTC uszczegółowiła wymogi audytu, zabraniając zewnętrznym audytorom Twittera polegania „głównie” na poświadczeniach kierownictwa Twittera.
Gray stwierdził, że nawet przy tego rodzaju ograniczeniach nadal istnieją powody, aby być sceptycznym wobec raportów z audytów FTC. Dzieje się tak dlatego, że audytorzy zewnętrzni są opłacani nie przez FTC, ale przez kontrolowane firmy – dodała.
„Zatem zachęty są całkowicie nietrafione dla firm audytorskich” – dodał Gray.
Twitter powiedział CNN, że audyty to tylko jeden z programów ochrony prywatności i bezpieczeństwa, które Twitter musi spełnić, aby wywiązać się ze swoich obowiązków FTC.
Wielu obecnych i byłych urzędników FTC, a także amerykańskich prawodawców i obrońców konsumentów nalegało, aby zapewnić FTC więcej narzędzi umożliwiających pociąganie przedsiębiorstw do odpowiedzialności, szczególnie po zeszłorocznym wyroku Sądu Najwyższego uderz zdolność agencji do ubiegania się w pewnych okolicznościach o ulgę pieniężną.
Niektórzy zwolennicy ostrzejszego nadzoru wzywali, na przykład zezwolenie FTC na nakładanie kar finansowych na przedsiębiorstwa za pierwsze naruszenia ustawy o FTC. Obecnie FTC może zasadniczo dążyć jedynie do nałożenia na spółkę kar cywilnych po naruszeniu wcześniejszej ugody.
W przypadku Twittera trzecie negocjowanie nakazu zgody może wydawać się dziwnym spojrzeniem, powiedział inny były urzędnik FTC, wypowiadając się pod warunkiem zachowania anonimowości, aby móc wypowiadać się bardziej szczerze. Jednak w przypadku stwierdzenia naruszenia – jak w każdym przypadku – FTC będzie musiała rozważyć, co według niej może uzyskać od Twittera w drodze ugody, z tym, co agencja może zyskać przed sądem pierwszej instancji.
Długie i przeciągające się postępowania sądowe wiążą się z ryzykiem, w wyniku którego sąd może faktycznie przyznać FTC mniejszą kwotę, powiedział były urzędnik.
„Niektórzy rzeczywiście myślą, że te nakazy to nic takiego” – powiedział były urzędnik, „ale tak nie jest. Być może w niektórych przypadkach tak jest, ale firmy nie traktują ich poważnie. Ale w wielu przypadkach tak się dzieje, a FTC może sprawić wiele bólu. Dużo bólu."
The-CNN-Wire™ i © 2022 Cable News Network, Inc., firma Warner Bros. Discovery. Wszelkie prawa zastrzeżone.
