Después de perder a miles de empleados y altos funcionarios de cumplimiento en Twitter Inc., los adjuntos de Elon Musk se apresuran a contener las crecientes preocupaciones de que el personal sea responsable de las fallas de seguridad.
El abogado de Musk, Alex Spiro, quien está guiando al equipo legal luego de la adquisición del multimillonario, trató de asegurarles a los empleados que no irían a la cárcel si se descubre que la compañía violó un decreto de consentimiento de la Comisión Federal de Comercio, según un mensaje visto por Bloomberg.
“Entiendo que ha habido empleados en Twitter que ni siquiera trabajan en el asunto de la FTC comentando que podrían ir a la cárcel si no cumplíamos, simplemente no es así como funciona esto”, dijo el abogado de Quinn Emanuel Urquhart & Sullivan LLP. escribió en un memorando, informado anteriormente por Insider. “Es obligación de la empresa. Es la carga de la empresa. Es responsabilidad de la empresa”.
Un equipo de seguridad de la información en Twitter que supervisaba el intercambio de datos de usuarios con anunciantes y socios de investigación fue despedido después de la adquisición, una medida que generó preocupaciones internas sobre la vulnerabilidad a las amenazas de seguridad y posibles violaciones de las reglas de la FTC, según dos personas familiarizadas con el asunto. .
Los despidos, que comenzaron el 3 de noviembre y afectaron al 50 % de todos los empleados de Twitter, contribuyeron a crear un ambiente caótico dentro de la empresa y esta semana fueron seguidos por las renuncias de altos ejecutivos, incluida la directora de seguridad de la información, Lea Kissner, el director de privacidad, Damien Kieran. y la Directora de Cumplimiento Marianne Fogarty.
Spiro dijo que Twitter había hablado con la FTC y tiene próximamente su primera verificación de cumplimiento. “El departamento legal lo está manejando”, dijo en su nota.
La decisión de eliminar el equipo de seguridad de la información de seis personas se combinó con el despido de al menos una docena de otros empleados que trabajaban en temas de seguridad, privacidad y cumplimiento en la empresa, dijeron las personas. El tamaño completo de esos equipos no estuvo disponible de inmediato.
Los despidos y salidas son particularmente notables en una empresa que está bajo un decreto de consentimiento de la FTC en el que acordó proteger mejor los datos personales de los usuarios y también tiene que someterse a auditorías periódicas de sus sistemas de privacidad y seguridad de datos. Twitter ha sido duramente criticado por exempleados por fallas en la seguridad, y en mayo estuvo sujeto a una multa de $130 millones como parte de un acuerdo con la FTC y el Departamento de Justicia sobre privacidad de datos.
El equipo de seguridad de la información se centró en la gestión de riesgos de terceros y fue responsable de brindar garantías de seguridad a los anunciantes que trabajan con Twitter y comparten datos con la empresa, según dos personas familiarizadas con el asunto, que hablaron bajo condición de anonimato. no están autorizados a discutir la situación públicamente.
El equipo también supervisó el intercambio de datos de usuarios de Twitter con docenas de socios comerciales y organizaciones de investigación, algunos de los cuales tienen acceso a una interfaz de programación que se puede usar para ver información confidencial no pública sobre los usuarios de Twitter, como datos de ubicación, direcciones IP y códigos únicos de identificación de dispositivos, dijeron las personas.
“La gente de Twitter que verifica ese acceso simplemente ya no está allí”, dijo una de las personas, y agregó que, como resultado, la privacidad y la seguridad de los datos de los usuarios se han puesto en riesgo.
El trabajo realizado por el equipo de seguridad de la información despedido estaba destinado en parte a garantizar el cumplimiento de un decreto de consentimiento emitido por la FTC en marzo de 2011, según las personas. El decreto, vigente hasta 2042, ordenó que Twitter debe establecer y mantener “un programa integral de seguridad de la información que esté razonablemente diseñado para proteger la seguridad, privacidad, confidencialidad e integridad de la información no pública del consumidor”. Las violaciones del decreto pueden resultar en grandes multas.
El jueves, un líder del equipo legal de Twitter hizo circular una nota interna que advertía a los empleados que, en el futuro, la empresa pediría a los ingenieros que autocertificaran el cumplimiento de los requisitos de la FTC, según un memorando visto por Bloomberg.
“Esto supondrá una gran cantidad de riesgos personales, profesionales y legales para los ingenieros”, escribió el miembro anónimo del equipo legal. “Anticipo que todos ustedes serán presionados por la gerencia para impulsar cambios que probablemente conducirán a incidentes importantes”.
En un comunicado, la FTC escribió que estaba siguiendo los desarrollos recientes en Twitter con “profunda preocupación”. La agencia agregó que ningún director ejecutivo o empresa está “por encima de la ley”, y las empresas deben seguir los decretos de consentimiento.
Las políticas de seguridad cibernética de Twitter han enfrentado críticas anteriormente luego de filtraciones de datos de alto perfil. En 2014 y 2015, Arabia Saudí reclutó espías dentro de la empresa y los utilizó para obtener información sobre disidentes que operaban en la plataforma de forma anónima, según fiscales estadounidenses. En 2020, un adolescente de Florida fue acusado de comprometer las cuentas de personas prominentes, incluidos Musk y el presidente de los EE. UU. Joe Biden, y usarlas para promover una estafa de criptomonedas.
En septiembre, Peiter Zatko, exjefe de seguridad de Twitter conocido como “Mudge”, dijo al Comité Judicial del Senado que la empresa tenía malas prácticas de seguridad, lo que la hacía vulnerable a “adolescentes, ladrones y espías”. Dijo que el liderazgo de Twitter había «ignorado a sus ingenieros» en parte porque «sus incentivos ejecutivos los llevaron a priorizar las ganancias sobre la seguridad».
Si bien es raro, ha habido casos de responsabilidad personal para ejecutivos de empresas por violaciones de seguridad. El exjefe de seguridad de Uber, Joe Sullivan, fue declarado culpable en un tribunal federal de San Francisco en un caso que surgió de un hackeo en 2016, cuyos detalles trató de mantener ocultos. Parte de los cargos contra Sullivan se relacionan con el hecho de que Uber tiene una orden con la FTC y está obligada a revelar las infracciones.
