По мнению экспертов по правовым вопросам и бывших федеральных чиновников, взрывное раскрытие информации бывшим главой службы безопасности Twitter на этой неделе подвергает компанию новым федеральным расследованиям и, возможно, штрафам на миллиарды долларов, ужесточению нормативных обязательств или другим санкциям со стороны правительства США.
Twitter сталкивается с огромными юридическими рисками, связанными с раскрытием информатора Пайтером «Маджем» Затко, который утверждает в почти 200-страничное раскрытие властям, что компания изобилует недостатками информационной безопасности — и что в некоторых случаях ее руководители вводят в заблуждение совет директоров и общественность относительно состояния компании, а то и совершают откровенное мошенничество.
Twitter обвинил Затко, который работал в компании с ноября 2020 года до того, как его уволили в январе этого года за плохую работу, по словам Twitter, в распространении «ложного повествования о Twitter и наших методах конфиденциальности и безопасности данных, которое пронизано несоответствиями и неточностями и не хватает важного контекста». Затко — уважаемый эксперт по кибербезопасности с опытом работы на руководящих должностях в Google, Stripe и Министерстве обороны. О его разоблачении впервые сообщили CNN и The Washington Post во вторник.
Соблюдение соглашения FTC о конфиденциальности 2011 года.
В своем заявлении правительству США Затко утверждает, что Twitter страдает «вопиющими недостатками» в своей политике кибербезопасности, намеренно ввел в заблуждение регулирующих органов относительно обращения с пользовательскими данными и что компания не выполняет свои обязательства по Соглашение о конфиденциальности 2011 г. с Федеральной торговой комиссией — юридически обязывающим приказом, который требует, среди прочего, создания «разумных гарантий» для защиты личной информации пользователей. Федеральная торговая комиссия отказалась комментировать эту информацию.
В разоблачающем заявлении Затко утверждается, что примерно половина сотрудников Twitter, включая всех его инженеров, имеют чрезмерный внутренний доступ к работающему продукту компании, известному внутри компании как «производство», а также к реальным пользовательским данным. Он также утверждает, что у компании нет возможности защититься от инсайдерских угроз, иностранных правительств и случайных утечек данных.
«Основной принцип проектирования и безопасности заключается в том, что доступ к производственной среде должен быть максимально ограничен», — говорится в сообщении. «Но в Twitter инженеры создавали, тестировали и разрабатывали новое программное обеспечение непосредственно в производстве, имея доступ к актуальным данным клиентов и другой конфиденциальной информации в системе Twitter».
Информатор Twitter утверждает, что политика кибербезопасности безрассудна и небрежна
Twitter сообщил CNN, что его отчет о соблюдении требований Федеральной торговой комиссии говорит сам за себя, сославшись на результаты аудита третьих сторон, поданные в агентство в соответствии с приказом о согласии от 2011 года. Twitter добавил, что соблюдает соответствующие правила конфиденциальности и открыто информирует регулирующие органы о своих усилиях по устранению любых недостатков в своих системах. Затько не участвовал в аудиторской работе и не до конца понимал обязательства Twitter перед Федеральной торговой комиссией и то, как компания их выполняла, заявили в Twitter.
В заявлении утверждается, что сотрудники Затко были «тесно знакомы» с проблемами Twitter перед Федеральной торговой комиссией и что именно они сказали Затко, что Twitter никогда не соблюдал приказ 2011 года и не был на пути к его соблюдению.
«Мы абсолютно поддерживаем содержание раскрытия Маджа», — сказал CNN Джон Тай, адвокат Затко и основатель Whistleblower Aid, организации, представляющей его интересы.
Затко может иметь право на денежную награду от правительства США за свою информационную деятельность. «Оригинальная, своевременная и достоверная информация, которая приведет к успешным правоприменительным действиям» со стороны SEC, может принести информаторам до 30% снижения агентских штрафов, связанных с действиями, если сумма штрафов превышает 1 миллион долларов, заявила SEC. С 1 года SEC выплатила более 270 миллиарда долларов более чем 2012 информаторам.
По словам Тай, Затко подал информацию в Комиссию по ценным бумагам и биржам (SEC), «чтобы помочь агентству обеспечить соблюдение законов» и получить федеральную защиту информаторов. «Перспектива вознаграждения не была фактором, повлиявшим на решение Маджа, и на самом деле он даже не знал о программе вознаграждений, когда решил стать законным осведомителем».
Раскрытие информатора произошло через несколько месяцев после того, как Федеральная торговая комиссия (FTC) выдвинул свои собственные обвинения что Twitter неправомерно использовал информацию о безопасности учетной записи в рекламных целях в нарушение постановления 2011 года. Твиттер согласился заплатить 150 миллионов долларов в мае для урегулирования этих претензий в рамках второго соглашения FTC.
Теперь раскрытие информации Затко повышает вероятность еще одного возможного нарушения Твиттером обязательств Федеральной торговой комиссии — чрезвычайно опасное положение для компании и ее руководителей, по словам Джона Лейбовица, который был председателем Федеральной торговой комиссии во время соглашения с Твиттером в 2011 году.
«Если факты верны, они будут представлять собой нарушение приказа и Закона о Федеральной торговой комиссии — и это сделает Twitter трижды проигравшим», — сказал Лейбовиц CNN в интервью. «У Федеральной торговой комиссии не было бы причин не бросить им эту книгу». Конечно, добавил Лейбовиц, Федеральной торговой комиссии необходимо сначала провести тщательное расследование, чтобы определить, произошло ли новое нарушение.
Сенатор Ричард Блюменталь, председатель подкомитета Сената по защите прав потребителей и бывший генеральный прокурор штата Коннектикут, заявил во вторник в своем заявлении, что разоблачения Затко «показывают, что ответственность за сбои в системе безопасности Твиттера лежит на тех, кто находится наверху».
В письме он также призвал Федеральную торговую комиссию расследовать обвинения, заявив, что чиновники должны оштрафовать и привлечь руководителей Twitter к личной ответственности, если будет установлено, что они несут ответственность за нарушения Закона о Федеральной торговой комиссии или постановления Twitter о согласии. На кону стоит доверие к Федеральной торговой комиссии, сказал Блюменталь в письме, которое также было отправлено в Федеральную торговую комиссию во вторник.
«Если Комиссия не будет тщательно контролировать и обеспечивать соблюдение своих распоряжений, они не будут восприняты всерьез, и эти опасные нарушения будут продолжаться», — написал Блюменталь.
«На самом деле дела пошли значительно хуже»
Согласно своему уставу, Федеральная торговая комиссия уполномочена преследовать по суду «несправедливые или вводящие в заблуждение деловые действия и практики». В эпоху Интернета это все чаще означает преследование компаний, которые утверждают, что защищают цифровую информацию потребителей, но на самом деле не соответствуют своим публичным заявлениям или искажают эти меры защиты.
Первоначальное мировое соглашение Twitter в 2011 году возникло в результате два предполагаемых инцидента где хакерам удалось скомпрометировать слабые пароли сотрудников и злоупотребить их доступом для захвата учетных записей Twitter и отслеживания частной информации, несмотря на публичные заявления Twitter о защите конфиденциальности и безопасности пользователей.
Мировое соглашение Twitter не было признанием правонарушения. Но это обязательный Twitter создать «комплексную программу информационной безопасности, которая разумно разработана для защиты безопасности, конфиденциальности, конфиденциальности и целостности закрытой потребительской информации» — обязательство, по утверждению Затко, так и не было выполнено.
В рамках своего последнего соглашения с Федеральной торговой комиссией в этом году Twitter взял на себя еще более детальные обязательства по кибербезопасности, включая наличие «политик доступа и контроля» для всех баз данных, содержащих пользовательские данные, а также для систем, которые либо предоставляют сотрудникам доступ к учетным записям Twitter, либо содержат информацию. которое «включает или облегчает» доступ к внутренним системам Твиттера. Эти обязательства уже вступили в силу после подписания судьей постановления этой весной, что еще больше усиливает потенциальную юридическую угрозу Twitter.
Несмотря на растущие нормативные требования Twitter, Затко утверждает, что в компании мало что изменилось с момента подачи первоначальной жалобы Федеральной торговой комиссией более десяти лет назад.
«На самом деле ситуация значительно ухудшилась», — утверждается в его заявлении Конгрессу. В раскрытии утверждается, что, хотя Twitter активно вел переговоры по второму соглашению с Федеральной торговой комиссией в прошлом году, компания в совершенно отдельном инциденте допустила повторение того же типа неправомерного использования данных в рекламных целях.
В ответ на более чем 50 конкретных вопросов CNN, связанных с раскрытием информации, Twitter не ответил на утверждение Затко, связанное с этим инцидентом. Компания признала, что ее инженерные и продуктовые группы могут получить доступ к рабочей среде Twitter при наличии конкретного бизнес-обоснования, добавив, что сотрудники других отделов, таких как финансовый, юридический, маркетинговый, продажный, кадровый и служба поддержки, не могут этого сделать. Twitter также сообщил CNN, что компьютеры сотрудников автоматически проверяются, чтобы определить, обновлены ли они, и те, кто не проходит проверку, не могут подключиться к производству.
Возможность нового урегулирования или иска
Ставки раскрытия могут быть чрезвычайно значительными. Решение Федеральной торговой комиссии о том, что Twitter нарушил его приказ в третий раз, может привести к самым суровым наказаниям, которые агентство когда-либо налагало на компанию. В настоящее время FTC также возглавляет Лина Хан, ярый скептик в отношении технологических платформ и о том, что она называет индустрией «коммерческого наблюдения», которая получает прибыль от слабых национальных правил конфиденциальности. При Хане Федеральная торговая комиссия рассматривает возможность разработки радикальные новые правила конфиденциальности это может напрямую повлиять на компании во всей экономике, включая Twitter, и на то, как они собирают, используют и передают персональные данные.
Если Федеральная торговая комиссия придет к выводу, что нарушение имело место, у нее будет два основных варианта привлечения Twitter к ответственности, говорят бывшие представители агентства. Он может добиваться третьего урегулирования с компанией или может подать в суд на Twitter из-за существующих постановлений о согласии и попросить суд о назначении соответствующих санкций.
В случае урегулирования Федеральная торговая комиссия может даже попытаться назначить отдельных руководителей, призвав их к личной ответственности и заставив их принять на себя обязательства в отношении собственного поведения, за которые они могут быть привлечены к ответственности, если они или компания снова нарушат приказ.
Если выяснится, что Twitter действительно нарушил свои юридические обязательства, сказал Лейбовиц, Федеральной торговой комиссии следует «очень серьезно рассмотреть возможность… привлечения к ответственности руководителей».
Простая угроза назвать отдельных руководителей может оказаться эффективной, добавил он. Во время своего пребывания на посту председателя Федеральной торговой комиссии Лейбовиц вспоминал: «Я не могу сказать вам, сколько руководителей приходили ко мне в офис и говорили: «Пожалуйста, не называйте мое имя. Я просто не хочу, чтобы меня называли. Я не против, если я заплачу больше денег; Я не против, если на мою компанию наложат более строгий порядок. Но я просто не хочу, чтобы меня называли».
Меган Грей, бывший юрист Федеральной торговой комиссии, которая работала над некоторыми из крупнейших дел агентства по вопросам конфиденциальности, сказала, что в распоряжении Федеральной торговой комиссии имеется множество инструментов. (CNN поговорил с Греем до того, как обвинения Затко стали достоянием общественности и не раскрыли их существование, а затем еще раз во вторник, после того как CNN и The Washington Post сообщили о раскрытии Затко.)
«Увеличение штрафов, больше отчетов о соблюдении требований, более детальный контроль и ограничения в их сферах деятельности», — сказал Грей, отмечая список вариантов. «Или требование получать рекламные объявления, предварительно одобренные агентством, или исключение их из определенных видов транзакций».
Агентству необходимо больше инструментов для привлечения компаний к ответственности
Twitter сослался на свои сторонние аудиты как на доказательство выполнения своих обязательств Федеральной торговой комиссией. Но в целом то, как аудиторские требования Федеральной торговой комиссии часто работают на практике, может слишком легко позволить компаниям уйти от ответственности, сказал Грей.
Например, многие приказы Федеральной торговой комиссии написаны достаточно широко, чтобы позволить компании выполнить свои обязательства, основываясь, среди прочего, на «подтверждениях» их соответствия — обещание на мизинце, сказал Грей CNN. В отчетах для FTC компании, проводящие аудит третьей стороной, могут просто сказать или процитировать заявления проверяемой компании о том, что компания соблюдает требования.
С 2011 по 2022 год приказ Twitter о согласии с Федеральной торговой комиссией разрешал составлять аудиторские отчеты на основе аттестаций. Затем, во втором соглашении в этом году, FTC ужесточила требования к аудиту, запретив сторонним аудиторам Twitter полагаться «в первую очередь» на подтверждения руководства Twitter.
Даже несмотря на такие ограничения, по-прежнему есть причины скептически относиться к аудиторским отчетам FTC, сказал Грей. Это потому, что сторонним аудиторам платит не Федеральная торговая комиссия, а проверяемые компании, сказала она.
«Таким образом, стимулы для аудиторских компаний совершенно не подходят», — добавил Грей.
В Twitter сообщили CNN, что аудиты — это лишь одна из программ конфиденциальности и безопасности, которые Twitter должен выполнить для выполнения своих обязательств Федеральной торговой комиссии.
Многие действующие и бывшие должностные лица Федеральной торговой комиссии, а также американские законодатели и защитники прав потребителей настаивают на том, чтобы предоставить Федеральной торговой комиссии больше инструментов для привлечения бизнеса к ответственности, особенно после решения Верховного суда в прошлом году. сразила способность агентства добиваться денежной помощи при некоторых обстоятельствах.
Некоторые сторонники ужесточения надзора призвали, например, разрешение Федеральной торговой комиссии налагать штрафы на компании за первое нарушение Закона о Федеральной торговой комиссии. В настоящее время Федеральная торговая комиссия может, как правило, стремиться лишь наложить на компанию гражданские штрафы. после того, как оно нарушило предварительное соглашение.
В случае с Twitter переговоры о согласии в третий раз могут показаться странными, сказал другой бывший сотрудник Федеральной торговой комиссии, пожелавший остаться анонимным, чтобы говорить более откровенно. Но в случае обнаружения нарушения, как и в любом другом случае, Федеральной торговой комиссии придется сопоставить то, что, по ее мнению, она может получить от Twitter посредством мирового соглашения, с тем, что агентство может выиграть в суде первой инстанции.
По словам бывшего чиновника, существуют риски длительных и затяжных судебных разбирательств, в ходе которых суд может фактически присудить Федеральной торговой комиссии меньшую сумму.
«Некоторые люди действительно думают, что эти приказы ничего не значат, — сказал бывший чиновник, — но это не так. Возможно, в некоторых случаях они и есть, но компании не воспринимают их всерьез. Но во многих случаях они так и делают, и Федеральная торговая комиссия может причинить много боли. Много боли."
The-CNN-Wire™ и © 2022 Cable News Network, Inc., компания Warner Bros. Discovery. Все права защищены.
