Po mnenju pravnih strokovnjakov in nekdanjih zveznih uradnikov je eksplozivno razkritje žvižgačev s strani nekdanjega vodje varnosti Twitterja ta teden izpostavilo podjetje novim zveznim preiskavam in morebitnim milijardam dolarjev glob, strožjim regulativnim obveznostim ali drugim kaznim s strani ameriške vlade.
Twitter se sooča z ogromnimi pravnimi tveganji, ki izhajajo iz razkritja žvižgača s strani Peiterja »Mudgea« Zatka, ki trdi v skoraj 200 strani dolgo razkritje oblastem, da je podjetje polno pomanjkljivosti v informacijski varnosti - in da so v nekaterih primerih njegovi vodstveni delavci zavajali svoj upravni odbor in javnost glede stanja podjetja, če ne celo zagrešili goljufijo.
Twitter je obtožil Zatka, ki je v podjetju delal od novembra 2020 do januarja letos, ko je bil odpuščen zaradi, kot Twitter pravi, slabe uspešnosti, da širi »lažno pripoved o Twitterju in naši praksi zasebnosti in varnosti podatkov, ki je prepredena z nedoslednostmi in netočnostmi ter nima pomembnega konteksta." Zatko je zelo cenjen strokovnjak za kibernetsko varnost z izkušnjami na višjih položajih pri Googlu, Stripe in Ministrstvu za obrambo. O njegovem razkritju žvižgačev sta v torek prva poročala CNN in The Washington Post.
Skladnost z dogovorom o zasebnosti FTC iz leta 2011
V svojem razkritju ameriški vladi Zatko trdi, da ima Twitter "nenavadne pomanjkljivosti" glede kibernetske varnosti, da je regulatorje namerno zavajal glede ravnanja s podatki uporabnikov in da podjetje ne izpolnjuje svojih obveznosti iz 2011 dogovor o zasebnosti z zvezno komisijo za trgovino — pravno zavezujoča odredba, ki med drugim zahteva vzpostavitev "razumnih zaščitnih ukrepov" za zaščito osebnih podatkov uporabnikov. FTC ni želel komentirati razkritja.
Zatkovo obsojajoče razkritje navaja, da ima približno polovica zaposlenih v Twitterju, vključno z vsemi njegovimi inženirji, pretiran interni dostop do produkta podjetja v živo, ki je v podjetju znan kot "proizvodnja", skupaj z dejanskimi uporabniškimi podatki. Trdi tudi, da podjetje nima zmožnosti obrambe pred notranjimi grožnjami, tujimi vladami in nenamernim uhajanjem podatkov.
"Temeljno inženirsko in varnostno načelo je, da mora biti dostop do živih proizvodnih okolij čim bolj omejen," pravi razkritje. "Toda pri Twitterju so inženirji zgradili, preizkusili in razvili novo programsko opremo neposredno v proizvodnji z dostopom do podatkov o strankah v živo in drugih občutljivih informacij v Twitterjevem sistemu."
Twitterjev žvižgač trdi o nepremišljenih in malomarnih politikah kibernetske varnosti
Twitter je za CNN povedal, da njegova evidenca FTC o skladnosti govori sama zase, pri čemer se je skliceval na revizije tretjih oseb, ki so bile vložene agenciji v skladu z odredbo o soglasju iz leta 2011. Twitter je dodal, da je v skladu z ustreznimi predpisi o zasebnosti in da je bil pregleden z regulatorji glede svojih prizadevanj za odpravo morebitnih pomanjkljivosti v svojih sistemih. Zatko ni sodeloval pri revizijskem delu in ni v celoti razumel Twitterjevih obveznosti FTC ali kako jih podjetje izpolnjuje, so sporočili iz Twitterja.
Razkritje trdi, da je bilo Zatkovo osebje "dobro seznanjeno" s Twitterjevimi težavami pred FTC in da so Zatku povedali, da Twitter nikoli ni bil v skladu z odredbo iz leta 2011, niti ni na dobri poti, da postane skladen.
"Absolutno stojimo za vsebino Mudgejevega razkritja," je za CNN povedal John Tye, Zatkov odvetnik in ustanovitelj Whistleblower Aid, organizacije, ki ga zastopa.
Zatko je morda upravičen do denarne nagrade ameriške vlade zaradi svojih dejavnosti žvižgačev. "Izvirne, pravočasne in verodostojne informacije, ki vodijo do uspešnega izvršilnega ukrepa" SEC, lahko žvižgačem prinesejo do 30-odstotno znižanje kazni agencije, povezane z ukrepom, če kazni znašajo več kot 1 milijon dolarjev, je dejal SEC. SEC je od leta 1 dodelil več kot milijardo dolarjev več kot 270 žvižgačem.
Zatko je svoje razkritje vložil pri SEC, "da bi agenciji pomagal pri uveljavljanju zakonov" in da bi pridobil zvezno zaščito žvižgačev, je dejal Tye. "Možnost nagrade ni bila dejavnik pri Mudgejevi odločitvi in pravzaprav sploh ni vedel za program nagrajevanja, ko se je odločil postati zakonit žvižgač."
Razkritje žvižgačev je prišlo nekaj mesecev po FTC podala lastne obtožbe da je Twitter zlorabil varnostne podatke računa za namene oglaševanja in s tem kršil odredbo iz leta 2011. Twitter strinjal, da bo plačal 150 milijonov dolarjev maja za rešitev teh zahtevkov v drugi poravnavi FTC.
Zdaj Zatkovo razkritje odpira možnost še ene možne kršitve Twitterjevih zavez FTC – po besedah Jona Leibowitza, ki je bil predsednik FTC v času Twitterjeve poravnave leta 2011, je izjemno nevaren položaj za podjetje in njegovo vodstvo.
"Če so dejstva resnična, bi pomenila kršitve odredbe in zakona FTC - in zaradi tega bi bil Twitter trikratni poraženec," je Leibowitz povedal za CNN v intervjuju. "Nobenega razloga ne bi bilo, da jim FTC ne bi vrgel knjige." Seveda, je dodal Leibowitz, bi moral FTC najprej izvesti temeljito preiskavo, da bi sam ugotovil, ali je prišlo do nove kršitve.
Senator Richard Blumenthal, predsednik senatnega pododbora za varstvo potrošnikov in nekdanji državni tožilec Connecticuta, je v torkovi izjavi dejal, da Zatkovo razkritje "razkriva, da odgovornost za varnostne napake Twitterja nosijo tisti na vrhu."
Nadalje je FTC v pismu pozval, naj razišče obtožbe, in dejal, da bi morali uradniki oglobiti in osebno odgovarjati vodstvo Twitterja, če se ugotovi, da so odgovorni za kršitve zakona FTC ali Twitterjeve odredbe o soglasju. Lastna kredibilnost FTC je v nevarnosti, je Blumenthal dejal v pismu, ki je bilo v torek poslano tudi FTC.
"Če Komisija ne bo odločno nadzorovala in izvrševala svojih ukazov, jih ne bo jemala resno in te nevarne kršitve se bodo nadaljevale," je zapisal Blumenthal.
"Stvari so se dejansko občutno poslabšale"
Po svoji listini je FTC pooblaščen za pregon "nepoštenih ali zavajajočih poslovnih dejanj in praks." V dobi interneta je to vedno bolj pomenilo preganjanje podjetij, ki trdijo, da ščitijo digitalne podatke potrošnikov, vendar v resnici ne izpolnjujejo svojih javnih trditev ali te zaščite napačno predstavljajo.
Twitterjeva prvotna poravnava iz leta 2011 je nastala iz dva domnevna incidenta kjer so hekerji lahko ogrozili šibka gesla zaposlenih in zlorabili njihov dostop, da so prevzeli račune Twitter in vohljali po zasebnih podatkih, kljub javnim izjavam Twitterja o varovanju zasebnosti in varnosti uporabnikov.
Twitterjeva poravnava ni bila priznanje nepravilnosti. Ampak to obvezna Twitter naj ustvari "obsežen program informacijske varnosti, ki je razumno zasnovan za zaščito varnosti, zasebnosti, zaupnosti in celovitosti nejavnih podatkov potrošnikov" - zaveza, po Zatkoovih trditvah, ni bila nikoli izpolnjena.
Kot del svoje zadnje letošnje poravnave FTC se je Twitter zavezal k še natančnejšim obveznostim glede kibernetske varnosti, vključno s "politiko dostopa in nadzorom" za vse baze podatkov, ki vsebujejo podatke o uporabnikih, kot tudi za sisteme, ki bodisi zaposlenim omogočajo dostop do računov Twitter ali imajo informacije ki "omogoča ali olajša" dostop do internih sistemov Twitterja. Te obveznosti že veljajo po sodnikovem podpisu odredbe to pomlad, kar še povečuje potencialno pravno izpostavljenost Twitterja.
Kljub naraščajočim regulativnim zahtevam Twitterja Zatko trdi, da se v podjetju ni veliko spremenilo od prve pritožbe FTC pred več kot desetletjem.
"Stvari so se dejansko občutno poslabšale," trdi njegovo razkritje kongresu. Razkritje trdi, da je družba, čeprav se je Twitter lani aktivno pogajal o drugi poravnavi s FTC, v povsem ločenem incidentu dovolila ponovitev iste vrste zlorabe podatkov v oglaševalske namene.
V odgovoru na več kot 50 posebnih vprašanj CNN v zvezi z razkritjem, Twitter ni obravnaval Zatkovih obtožb v zvezi s tem incidentom. Priznal je, da lahko njegove inženirske in produktne ekipe dostopajo do Twitterjevega produkcijskega okolja v živo, če imajo posebno poslovno utemeljitev, dodal pa je, da člani drugih oddelkov – kot so finance, pravni oddelki, trženje, prodaja, kadrovski viri in podpora – ne morejo. Twitter je za CNN tudi povedal, da se računalniki zaposlenih samodejno preverjajo, da se ugotovi, ali so posodobljeni, in tisti, ki ne uspejo preverjanja, se ne morejo povezati s produkcijo.
Možnost nove poravnave ali obleke
Vložek razkritja bi lahko bil zelo pomemben. Ugotovitev FTC, da je Twitter tretjič kršil njeno odredbo, bi lahko povzročila najstrožje kazni, ki jih je agencija kadarkoli naložila podjetju. FTC trenutno tudi predseduje Lina Khan, a glasen skeptik do tehnoloških platform in o tem, kar sama imenuje industrija "komercialnega nadzora", ki ima koristi od ohlapnih nacionalnih pravil o zasebnosti. Pod Khanom FTC razmišlja o pripravi nove predpise o zasebnosti ki bi lahko neposredno vplivale na podjetja v celotnem gospodarstvu, vključno s Twitterjem, in na to, kako zbirajo, uporabljajo in delijo osebne podatke.
Če bi FTC ugotovil, da je prišlo do kršitve, bi imel dve glavni možnosti, da bi Twitter odgovarjal, pravijo nekdanji uradniki agencije. Lahko zahteva tretjo poravnavo s podjetjem ali pa toži Twitter zaradi obstoječih odredb o soglasju in zaprosi sodišče za ustrezne kazni.
V primeru poravnave bi FTC lahko celo poskušal poimenovati posamezne vodstvene delavce – pri čemer bi jih osebno označil za odgovorne in jih prisilil, da sprejmejo obveznosti glede lastnega ravnanja, za katere bi lahko bili odgovorni, če bi oni ali podjetje znova kršili ukaz.
Če se izkaže, da je Twitter kršil svoje zakonske obveznosti, bi moral FTC "zelo resno razmisliti o tem, da bi odgovornim vodstvenim delavcem dal red."
Že sama grožnja z imenovanjem posameznih vodilnih je lahko učinkovita, je dodal. V času, ko je bil predsednik FTC, se je Leibowitz spomnil: »Ne morem vam povedati, koliko generalnih direktorjev je prišlo v mojo pisarno in rekli: 'Prosim, ne imenujete me. Samo ne želim biti imenovan. Ne moti me, če plačam več denarja; Ne moti me, če je moje podjetje strožje urejeno. Ampak preprosto ne želim biti imenovan.'”
Megan Gray, nekdanja odvetnica FTC, ki je delala na nekaterih največjih primerih zasebnosti agencije, je dejala, da so orodja, ki jih ima FTC na voljo, številna. (CNN je govoril z Grayem, preden so Zatkove obtožbe prišle v javnost in ne da bi razkril njihov obstoj, nato pa še enkrat v torek, potem ko sta CNN in The Washington Post poročala o Zatkovem razkritju.)
»Stopnjevanje glob, več poročil o skladnosti, natančnejši nadzor in omejitve njihovih poslovnih vrst,« je dejal Gray in označil seznam možnosti. "Ali zahteva, da dobi oglase, ki jih predhodno odobri agencija, ali jih izključi iz določenih vrst transakcij."
Agencija, ki potrebuje več orodij za prevzemanje odgovornosti podjetij
Twitter je navedel svoje revizije tretjih oseb kot dokaz, da je podprl svoje zaveze FTC. Toda na splošno lahko način, na katerega revizijske zahteve FTC pogosto delujejo v praksi, lahko podjetja prelahko spusti s trnka, je dejal Gray.
Številni ukazi FTC so na primer napisani dovolj široko, da podjetju omogočijo, da izpolni svoje obveznosti na podlagi, med drugim, "potrdil", da so skladni - obljuba mezinca, je za CNN povedal Gray. Podjetja, ki izvajajo revizije tretjih oseb, lahko v poročilih FTC preprosto rečejo ali navedejo izjave revidirane družbe, da je družba v skladu.
Od leta 2011 do leta 2022 je Twitterjev ukaz o soglasju z FTC dovoljeval revizijska poročila na podlagi potrdil. Nato je FTC v svoji drugi letošnji poravnavi revizijske zahteve natančneje določil in Twitterjevim tretjim revizorjem prepovedal, da bi se zanašali »predvsem« na potrdila vodstva Twitterja.
Tudi s temi vrstami omejitev še vedno obstajajo razlogi, da smo skeptični do revizijskih poročil FTC, je dejal Gray. To je zato, ker zunanjih revizorjev ne plačuje FTC, ampak revidirana podjetja, je dejala.
"Torej so spodbude za revizijske družbe popolnoma neustrezne," je dodal Gray.
Twitter je za CNN povedal, da so revizije le eden od programov zasebnosti in varnosti, ki jih mora Twitter izpolniti, da izpolnjuje svoje obveznosti FTC.
Številni sedanji in nekdanji uradniki FTC ter ameriški zakonodajalci in zagovorniki potrošnikov so si prizadevali, da bi FTC dali več orodij za prevzemanje odgovornosti podjetij, zlasti po lanskem sodišču vrhovnega sodišča. zadeti zmožnost agencije, da v nekaterih okoliščinah zahteva denarno pomoč.
Nekateri zagovorniki strožjega nadzora so poklicali, na primer dovoliti, da FTC izda denarne kazni podjetjem za prve kršitve zakona FTC. Trenutno lahko FTC na splošno samo poskuša naložiti civilne kazni podjetju potem ko je kršil predhodno poravnavo.
V primeru Twitterja se lahko tretje pogajanje o soglasju zdi nenavadno, je dejal drug nekdanji uradnik FTC, ki je želel ostati anonimen, da bi lahko govoril bolj odkrito. Toda v primeru, da ugotovi kršitev in tako kot v vsakem primeru, bo morala FTC pretehtati, kaj lahko po njenem mnenju pridobi od Twitterja s poravnavo v primerjavi s tem, kar bi lahko agencija pridobila na sodišču.
Obstajajo tveganja za dolge, dolgotrajne sodne postopke, kjer lahko sodišče FTC dejansko dodeli manj, je dejal nekdanji uradnik.
»Nekateri mislijo, da ti ukazi niso nič,« je dejal nekdanji uradnik, »vendar niso. Morda v nekaterih primerih so in jih podjetja ne jemljejo resno. Toda v veliko primerih to storijo in FTC lahko povzroči veliko bolečine. Veliko bolečine.”
The-CNN-Wire™ & © 2022 Cable News Network, Inc., podjetje Warner Bros. Discovery. Vse pravice pridržane.
