Нещодавня заява Брайана Армстронга про те, що Coinbase почне вимагати особистого орієнтування та обмежувати певні ролі для громадян США, викликала скептицизм щодо того, чи не порушить нова політика компанії антидискримінаційні закони США.
В інтерв’ю BeInCrypto представник Coinbase уточнив, що компанія не дотримується загальної політики «тільки для громадян США». Зміни, запроваджені для боротьби з північнокорейськими хакерами, торкнуться лише посад, які мають доступ до конфіденційних систем.
Загроза проникнення з боку Північної Кореї
Coinbase готується прийняти радикально нову політику безпеки у відповідь на зростаючу загрозу з боку північнокорейських хакерів.
Генеральний директор Брайан Армстронг оголосив минулого тижня, що компанія переорієнтує свої бізнес-операції на США, обмеживши певні ролі лише американськими громадянами.
Нова політика вимагає, щоб усі нові працівники проходили особисте орієнтування. Крім того, співробітники, які працюють з конфіденційними системами, тепер повинні будуть бути громадянами США і здавати відбитки пальців.
Проблема Coinbase далеко не другорядна. Як провідна централізована біржа, вона є постійною мішенню для північнокорейських хакерів. Ці спонсоровані державою суб’єкти загроз розвинули свої методи за межі традиційних кібератак, перейшовши до більш підступної тактики: проникнення.
Цей новий підхід передбачає , що північнокорейські оперативники подають заявки на віддалені посади в Web3 та IT у криптокомпаніях. Вони використовують оманливі особистості та складну соціальну інженерію, щоб закріпитися зсередини, що дозволяє їм здійснювати масові крадіжки та спрямовувати кошти назад до режиму.
Незважаючи на серйозність ситуації, ця заява викликала негайні суперечки і центральне юридичне питання: чи порушує ця політика, особливо вимога громадянства, федеральні антидискримінаційні закони США?
Чи може Coinbase захистити свої заходи відповідно до чинного законодавства?
На перший погляд, нова політика Coinbase здається такою, що прямо суперечить федеральному законодавству США.
Закон про імміграцію та громадянство (INA) загалом забороняє роботодавцям дискримінувати людину за громадянством або імміграційним статусом.
Враховуючи, що система призначена для забезпечення справедливого поводження з громадянами США, постійними жителями, шукачами притулку та біженцями, загальне правило «лише для громадян США» для всіх робочих місць, швидше за все, буде незаконним.
Однак INA визнає кілька важливих винятків. Наприклад, федеральний закон може дозволити роботодавцям відмовляти у наданні можливостей особам, які не відповідають конкретним вимогам національної безпеки. Це правило часто застосовується до посад, які вимагають офіційного допуску до безпеки або доступу до секретної інформації.
Закони про експортний контроль також запобігають потраплянню чутливих технологій у чужі руки. Найсуворіший з них, Міжнародні правила торгівлі зброєю (ITAR), регулюють військові та оборонні питання. Ширші правила Правил експортного контролю (EAR) охоплюють товари «подвійного призначення» з комерційним та військовим застосуванням.
Ці закони не зобов’язують приймати на роботу за громадянством. Тим не менш, вони можуть полегшити компанії найм громадянина США і уникнути складного процесу отримання спеціальної урядової ліцензії на обмін технологіями з неамериканцями.
Нарешті, компанія може бути юридично зобов’язана наймати лише громадян США на певні посади за федеральним контрактом.
Основна юридична головоломка Coinbase полягає в тому, чи зможе вона успішно стверджувати, що її заходи, засновані на безпеці , підпадають під один з цих допустимих винятків, або ж її підхід створює небезпечний прецедент для технологічної індустрії.
Цілеспрямована політика, а не повна заборона
Початкова новина про оголошення Coinbase викликала спекуляції про те, що вона приймає політику найму для всієї компанії «тільки для громадян США», що безпосередньо порушило б федеральне законодавство.
Однак представник виправив цей наратив в електронному обміні BeInCrypto з Coinbase.
“Ми не приймаємо політику найму “тільки для громадян США” в масштабах всієї компанії… Ці зміни в першу чергу торкнуться співробітників на посадах з доступом до конфіденційних систем, і ролі Coinbase залишаються відкритими для кваліфікованих кандидатів незалежно від національності», – сказав представник BeInCrypto.
Ця відмінність свідчить про те, що компанія не покладається на конкретне федеральне регулювання для обґрунтування своєї політики. Фактично, представник уточнив, що нові заходи безпеки Coinbase не стосуються використання будь-яких юридичних винятків, викладених федеральним законодавством США.
«Мова не йде про те, щоб задіяти ITAR/EAR або створити обмеження на найм на основі громадянства. Зміни, що обговорюються, стосуються додавання нових заходів безпеки на етапі реєстрації, таких речей, як особиста перевірка особи, зняття відбитків пальців та орієнтація, щоб зменшити ризики з боку зловмисників», – заявили в Coinbase.
Що стосується обов’язкового особистого орієнтування, Coinbase уточнила, що ці заходи будуть проходити в регіональних хабах для співробітників, які не проживають в США.
У той час як політика Coinbase, очевидно, уникає найбільш очевидних юридичних підводних каменів, вона наважується увійти в нову і неперевірену сіру зону.
Крім найму: захист робочої сили
Позиція Coinbase ґрунтується на аргументі про те, що загроза з боку північнокорейських акторів настільки серйозна , що вимагає заходу, який в іншому випадку вважався б надмірним. По суті, це ставка на те, що суд визнає своє обґрунтування безпеки достатньо переконливим, щоб переважити позов про дискримінацію.
Захищаючи свою позицію, Coinbase поставила свої нові заходи в контекст більш широкого зсуву в масштабах сектора.
«З огляду на зростання кількості шахрайських додатків і зловмисників, які намагаються проникнути в технологічні компанії, ми очікуємо, що більш суворі вимоги до підтвердження особи та обмежені вимоги до особистої присутності стануть більш поширеними в галузі», – сказав представник Coinbase BeInCrypto.
Доповнюючи цю ширшу тенденцію більш суворої перевірки особи, компанія також впровадила багаторівневий підхід до безпеки для боротьби з внутрішніми вразливостями.
«Ми серйозно ставимося до ризиків внутрішньої загрози, включаючи можливість зовнішнього примусу або спроб хабарництва. Наш багаторівневий підхід включає технічний моніторинг, перевірку біографічних даних, обов’язкове навчання з безпеки і, в майбутньому, більш посилені гарантії особистої адаптації», – додали в Coinbase.
Показуючи, що її політика стосується як нових співробітників, так і існуючих співробітників, Coinbase позиціонує свої заходи не як дискримінаційні, а як цілісну відповідь на загрозу, яку федеральний закон, можливо, не до кінця передбачив.
Coinbase як тестовий приклад для криптоіндустрії
Дебати з приводу політики Coinbase відображають більш широку боротьбу, з якою стикається вся індустрія. У міру того, як спонсоровані державою суб’єкти та зловмисні групи стають все більш витонченими, компанії змушені вживати заходів безпеки, які розмивають межі між традиційними практиками найму та національною безпекою.
З огляду на широке охоплення, відповідь Coinbase на ці загрози, швидше за все, створить прецедент. Питання вже не в тому, чи може компанія взяти на роботу негромадянина.
Це також передбачає проходження юридичного та етичного канату, щоб захистити себе та своїх клієнтів від цих дедалі витонченіших атак.
Хоча Coinbase захистила свої дії, залишається незрозумілим, чи встановить її модель новий галузевий стандарт або стане першим тестовим прикладом у нову епоху юридичних баталій.
