Експерти з права та колишні федеральні посадовці вважають, що екс-голова служби безпеки Twitter цього тижня розкрив вибухову інформацію щодо інформатора, яка наражає компанію на нові федеральні розслідування та потенційно може призвести до штрафів у мільярди доларів, посилення регулятивних зобов’язань чи інших санкцій з боку уряду США.
Twitter стикається з величезними юридичними ризиками, пов’язаними з розголошенням інформатора Пейтером «Маджем» Затко, який стверджує в майже 200-сторінкове розкриття інформації владі, що компанія пронизана недоліками інформаційної безпеки — і що в деяких випадках її керівники вводили в оману власне правління та громадськість щодо стану компанії, якщо не здійснювали відверте шахрайство.
Twitter звинуватив Затко, який працював у компанії з листопада 2020 року до того, як його звільнили в січні цього року через, як Twitter вважає, низьку продуктивність, у тому, що він поширював «неправдиву розповідь про Twitter і наші методи конфіденційності та безпеки даних, яка насичена невідповідностями та неточностями та бракує важливого контексту». Затко є високоповажним експертом з кібербезпеки з досвідом роботи на керівних посадах у Google, Stripe і Міністерстві оборони. Про його розкриття інформаторів у вівторок вперше повідомили CNN і The Washington Post.
Дотримання угоди про конфіденційність FTC 2011 року
У своєму розкритті уряду США Затко стверджує, що Twitter має «кричущі недоліки» в кібербезпеці, навмисно ввів регуляторів в оману щодо обробки даних користувачів і що компанія не виконує своїх зобов’язань за Угода про конфіденційність 2011 року з Федеральною торговою комісією — юридично обов’язковий наказ, який вимагає, серед іншого, створення «розумних гарантій» для захисту особистої інформації користувачів. FTC відмовився коментувати цю інформацію.
У розкритті Затко стверджується, що приблизно половина співробітників Twitter, включаючи всіх його інженерів, мають надмірний внутрішній доступ до живого продукту компанії, відомого в компанії як «виробництво», разом із фактичними даними користувачів. Також стверджується, що компанії бракує здатності захищатися від внутрішніх загроз, іноземних урядів і випадкових витоків даних.
«Фундаментальним принципом інженерії та безпеки є те, що доступ до живих виробничих середовищ має бути максимально обмежений», — йдеться у розкритті інформації. «Але в Twitter інженери створили, протестували та розробили нове програмне забезпечення безпосередньо у виробництві з доступом до поточних даних клієнтів та іншої конфіденційної інформації в системі Twitter».
Інформатор Twitter заявляє про безрозсудну та недбалу політику кібербезпеки
Twitter повідомив CNN, що його звіт про дотримання вимог Федеральної торгової комісії говорить сам за себе, посилаючись на сторонні аудити, подані агентству відповідно до розпорядження про згоду від 2011 року. Twitter додав, що він дотримується відповідних правил конфіденційності та що він був прозорим з регуляторами щодо своїх зусиль щодо усунення будь-яких недоліків у своїх системах. Затко не брав участі в аудиторській роботі і не в повній мірі розумів зобов'язання Twitter FTC або те, як компанія їх виконувала, повідомляє Twitter.
У розкритті інформації стверджується, що співробітники Затко були «близько знайомі» з проблемами Twitter перед FTC і що саме вони сказали Затко, що Twitter ніколи не дотримувався наказу 2011 року та не збирався його виконувати.
«Ми повністю підтримуємо зміст заяви Маджа», — сказав CNN Джон Тай, адвокат Затко та засновник Whistleblower Aid, організації, що представляє його інтереси.
Затко може мати право на грошову винагороду від уряду США в результаті своєї інформативної діяльності. SEC заявила, що «оригінальна, своєчасна та достовірна інформація, яка веде до успішних примусових дій» SEC, може призвести до 30% скорочення штрафів агентства, пов’язаних із діями, якщо сума штрафів перевищує 1 мільйон доларів США. З 1 року SEC виплатила понад 270 мільярд доларів понад 2012 викривачам.
Затко подав свою заяву до SEC, щоб «допомогти агентству забезпечити дотримання законів» і отримати федеральний захист інформаторів, сказав Тай. «Перспектива винагороди не була фактором у рішенні Маджа, і насправді він навіть не знав про програму винагород, коли вирішив стати законним інформатором».
Розголошення викривачів надійшло через кілька місяців після FTC висунула власні звинувачення що Twitter зловживав інформацією про безпеку облікового запису в рекламних цілях, порушуючи наказ від 2011 року. Twitter погодився заплатити 150 мільйонів доларів у травні, щоб вирішити ці претензії в рамках другого врегулювання FTC.
Тепер розкриття Затко підвищує перспективу ще одного можливого порушення Twitter зобов’язань FTC — надзвичайно небезпечне становище для компанії та її керівників, за словами Джона Лейбовіца, який очолював FTC під час врегулювання з Twitter у 2011 році.
«Якщо факти правдиві, вони означатимуть порушення наказу та Закону про FTC — і це зробить Twitter тричі програшим», — сказав Лейбовіц в інтерв’ю CNN. «Не було б причин для FTC не кинути їм книгу». Звичайно, додав Лейбовіц, Федеральній торговій біржі потрібно буде спочатку провести ретельне розслідування, щоб самостійно визначити, чи мало місце нове порушення.
Сенатор Річард Блюменталь, голова підкомітету Сенату із захисту прав споживачів і колишній генеральний прокурор штату Коннектикут, заявив у вівторок, що розкриття Затко «показує, що відповідальність за збої в безпеці Twitter лежить на верхівці».
Крім того, він закликав FTC у листі розслідувати звинувачення, заявивши, що чиновники повинні оштрафувати та притягнути керівників Twitter до особистої відповідальності, якщо буде встановлено, що вони відповідальні за порушення Закону FTC або розпорядження Twitter про надання згоди. Довіра до FTC поставлена під загрозу, сказав Блюменталь у листі, який також був надісланий до FTC у вівторок.
«Якщо Комісія не буде жорстко контролювати та виконувати свої розпорядження, вони не будуть сприйняті серйозно, і ці небезпечні порушення триватимуть», — написав Блюменталь.
«Справа насправді стала значно гіршою»
Згідно зі своїм статутом FTC уповноважена переслідувати «нечесні або оманливі ділові дії та практики». В епоху Інтернету це все частіше означало переслідування компаній, які стверджують, що захищають цифрову інформацію споживачів, але насправді не відповідають своїм публічним претензіям або спотворюють цей захист.
Початкова мирова угода Twitter у 2011 році виникла з два передбачуваних інциденти де хакерам вдалося скомпрометувати слабкі паролі працівників і зловживати їхнім доступом, щоб заволодіти обліковими записами Twitter і стежити за приватною інформацією, незважаючи на публічні заяви Twitter про захист конфіденційності та безпеки користувачів.
Мирова угода Twitter не була визнанням протиправних дій. Але це вимагається Twitter має створити «всеохоплюючу програму інформаційної безпеки, яка розумно розроблена для захисту безпеки, конфіденційності, конфіденційності та цілісності закритої споживчої інформації» — зобов’язання, як стверджує Затко, ніколи не було виконано.
У рамках свого останнього врегулювання FTC цього року Twitter зобов’язався ще більш детальних зобов’язань щодо кібербезпеки, включаючи «політику доступу та контроль» для всіх баз даних, що містять дані користувачів, а також для систем, які або надають працівникам доступ до облікових записів Twitter, або мають інформацію що «надає або полегшує» доступ до внутрішніх систем Twitter. Ці зобов’язання вже набули чинності після того, як суддя підписав наказ цієї весни, що ще більше посилює потенційну правову небезпеку для Twitter.
Незважаючи на посилення нормативних вимог Twitter, Затко стверджує, що в компанії мало що змінилося з моменту першої скарги FTC більше десяти років тому.
«Насправді справи значно погіршилися», — йдеться в його заяві Конгресу. У розкритті інформації стверджується, що навіть коли Twitter активно вів переговори про друге врегулювання з FTC минулого року, компанія в абсолютно окремому інциденті дозволила повторити той самий тип неправильного використання даних у рекламних цілях.
У відповідь на понад 50 конкретних запитань CNN, пов’язаних з розголошенням, Twitter не відповів на звинувачення Затко щодо цього інциденту. Він визнав, що його інженерні та продуктові команди можуть отримати доступ до живого робочого середовища Twitter, якщо вони мають конкретне бізнес-обґрунтування, додавши, що члени інших відділів — таких як фінанси, юридичний відділ, маркетинг, продажі, кадри та підтримка — не можуть. Twitter також повідомив CNN, що комп’ютери співробітників автоматично перевіряються, щоб визначити, чи вони оновлені, і ті, які не пройшли перевірку, не можуть підключитися до виробництва.
Потенціал для нового поселення або костюма
Ставки розкриття можуть бути надзвичайно значними. Висновок Федеральної торгової комісії про те, що Twitter порушив її розпорядження втретє, може призвести до найсуворіших покарань, які агентство коли-небудь накладало на компанію. FTC також очолює Ліна Хан, a голосний скептик технологічних платформ і того, що вона називає індустрією «комерційного стеження», яка отримує прибуток від м’яких національних правил конфіденційності. Під керівництвом Хана FTC розглядає можливість розробки широкі нові правила конфіденційності які можуть безпосередньо вплинути на компанії по всій економіці, включно з Twitter, і на те, як вони збирають, використовують і обмінюються особистими даними.
Якщо FTC дійде висновку про порушення, вона матиме два основних варіанти притягнути Twitter до відповідальності, кажуть колишні чиновники агентства. Він може домагатися третього врегулювання з компанією або може подати до суду на Twitter через існуючі розпорядження про згоду та вимагати від суду відповідних санкцій.
У разі врегулювання FTC може навіть спробувати назвати окремих керівників, притягнувши їх до особистої відповідальності та змусивши прийняти зобов’язання щодо власної поведінки, за які вони можуть бути притягнуті до відповідальності, якщо вони або компанія знову порушать наказ.
Якщо виявиться, що Twitter дійсно порушив свої юридичні зобов’язання, сказав Лейбовіц, Федеральна торгова комісія повинна «дуже серйозно розглянути … наведення порядку над відповідальними керівниками».
Проста загроза назвати окремих керівників може бути ефективною, додав він. Під час свого перебування на посаді голови FTC Лейбовіц згадував: «Я не можу сказати вам, скільки генеральних директорів приходили до мене в офіс і казали: «Будь ласка, не називайте мене». Я просто не хочу, щоб мене називали. Я не проти, якщо я заплачу більше грошей; Я не проти, якщо на мою компанію посилять порядок. Але я просто не хочу, щоб мене називали».
Меган Грей, колишній юрист FTC, яка працювала над деякими з найбільших справ агентства щодо конфіденційності, сказала, що інструментів, які є в розпорядженні FTC, багато. (CNN поспілкувався з Греєм до того, як звинувачення Затко стали оприлюдненими, і не розголошував їх існування, а потім знову у вівторок після того, як CNN і The Washington Post повідомили про розкриття Затко.)
«Посилення штрафів, більше звітів про відповідність вимогам, більш детальний контроль і обмеження на їхні напрямки діяльності», — сказав Грей, ставлячи галочку в списку варіантів. «Або вимога попереднього схвалення реклами агентством або виключення їх із певних типів транзакцій».
Агентство потребує додаткових інструментів для забезпечення відповідальності компаній
Twitter посилався на перевірки третьої сторони як доказ того, що він дотримувався своїх зобов’язань FTC. Але загалом те, як вимоги FTC до аудиту часто працюють на практиці, може занадто легко звільнити компанії з гачка, сказав Грей.
Наприклад, багато розпоряджень Федеральної торгової комісії написані досить широко, щоб дозволити компанії виконати свої зобов’язання на основі, серед іншого, «підтвердження» того, що вони відповідають вимогам — це мізинець, сказав Грей CNN. У звітах для FTC компанії, які проводять сторонні аудити, можуть просто сказати або цитувати заяви компанії, яка перевіряється, що компанія відповідає вимогам.
З 2011 до 2022 року розпорядження Twitter про згоду FTC дозволяло складати аудиторські звіти на основі атестацій. Потім, у своєму другому врегулюванні цього року, FTC уточнила вимоги до аудиту, заборонивши стороннім аудиторам Twitter покладатися «головним чином» на атестації керівництва Twitter.
Навіть з такими типами обмежень все ще є причини скептично ставитися до аудиторських звітів FTC, сказав Грей. Це тому, що стороннім аудиторам платить не FTC, а компанії, які перевіряються, сказала вона.
«Тож стимули абсолютно непридатні для аудиторських компаній», — додав Грей.
У Twitter повідомили CNN, що перевірки — це лише одна з програм конфіденційності та безпеки, яку Twitter має виконати для виконання своїх зобов’язань FTC.
Багато нинішніх і колишніх посадових осіб FTC, а також законодавців США та захисників прав споживачів наполягали надати FTC більше інструментів для притягнення компаній до відповідальності, особливо після рішення Верховного суду минулого року. знищити можливість агентства вимагати грошової компенсації за певних обставин.
Деякі прихильники жорсткішого нагляду закликали, наприклад, дозволити FTC накладати штрафи на компанії за перші порушення Закону FTC. Наразі Федеральна торгова комісія може, як правило, намагатися накласти на компанію лише цивільні санкції після порушення попередньої домовленості.
У випадку з Twitter обговорення наказу про згоду втретє може здатися дивним, сказав інший колишній чиновник FTC, який говорив на умовах анонімності, щоб говорити відвертіше. Але в разі виявлення порушення, як і в будь-якій справі, FTC повинна буде зважити, що, на її думку, вона може отримати від Twitter шляхом врегулювання проти того, що агентство може виграти в суді першої інстанції.
За словами колишнього посадовця, існують ризики тривалого, тривалого судового розгляду, коли суд може фактично присудити FTC менше.
«Деякі люди дійсно думають, що ці накази ні до чого, – сказав колишній чиновник, – але це не так. Можливо, у деяких випадках це так, і компанії не сприймають їх серйозно. Але в багатьох випадках вони це роблять, і FTC може заподіяти багато болю. Багато болю».
The-CNN-Wire™ & © 2022 Cable News Network, Inc., компанія Warner Bros. Discovery. Всі права захищені.
