Brian Armstrongin äskettäinen ilmoitus siitä, että Coinbase alkaisi vaatia henkilökohtaista perehdytystä ja rajoittaisi tiettyjä rooleja Yhdysvaltain kansalaisille, herätti epäilyksiä siitä, rikkovatko yhtiön uudet käytännöt Yhdysvaltain syrjinnänvastaisia lakeja.
Haastattelussa BeInCryptolle Coinbasen tiedottaja selvensi, että yhtiö ei ota käyttöön yleistä “vain Yhdysvaltain kansalaisille” -politiikkaa. Muutokset, jotka on toteutettu Pohjois-Korean hakkereiden torjumiseksi, vaikuttavat vain rooleihin, joilla on pääsy arkaluonteisiin järjestelmiin.
Pohjois-Korean tunkeutumisuhka
Coinbase valmistautuu ottamaan käyttöön radikaaleja uusia turvallisuuskäytäntöjä vastauksena Pohjois-Korean hakkereiden kasvavaan uhkaan.
Toimitusjohtaja Brian Armstrong ilmoitti viime viikolla, että yhtiö suuntaa liiketoimintansa uudelleen Yhdysvaltoihin, rajoittaen tiettyjä rooleja vain amerikkalaisille kansalaisille.
Uudet käytännöt edellyttävät, että kaikki uudet työntekijät osallistuvat henkilökohtaiseen perehdytykseen. Lisäksi työntekijöiden, jotka käsittelevät arkaluonteisia järjestelmiä, on nyt oltava Yhdysvaltain kansalaisia ja heille tehdään sormenjälkitunnistus.
Coinbasen ongelma ei ole vähäpätöinen. Johtavana keskitettynä pörssinä se on jatkuva kohde Pohjois-Korean hakkereille. Nämä valtion tukemat uhkatoimijat ovat kehittäneet menetelmiään perinteisten kyberhyökkäysten ulkopuolelle, siirtyen kohti kavalampaa taktiikkaa: soluttautumista.
Tämä uusi lähestymistapa sisältää Pohjois-Korean agenttien hakemuksia etätyöpaikkoihin Web3- ja IT-rooleissa kryptoyrityksissä. He käyttävät harhaanjohtavia identiteettejä ja kehittynyttä sosiaalista manipulointia saadakseen jalansijaa sisältäpäin, mikä mahdollistaa massiiviset varkaudet ja varojen kanavoinnin takaisin hallintoon.
Vaikka tilanne on vakava, ilmoitus on herättänyt välittömästi kiistaa ja keskeisen oikeudellisen kysymyksen: rikkovatko nämä käytännöt, erityisesti kansalaisuusvaatimus, Yhdysvaltain liittovaltion syrjinnänvastaisia lakeja?
Voiko Coinbase puolustaa toimenpiteitään nykyisen lain puitteissa?
Pintapuolisesti Coinbasen uusi käytäntö näyttää olevan suorassa ristiriidassa Yhdysvaltain liittovaltion lain kanssa.
Immigration and Nationality Act (INA) kieltää yleensä työnantajia syrjimästä henkilöä hänen kansalaisuutensa tai maahanmuuttostatuksensa perusteella.
Koska järjestelmä on suunniteltu varmistamaan Yhdysvaltain kansalaisten, pysyvien asukkaiden, turvapaikanhakijoiden ja pakolaisten oikeudenmukainen kohtelu, yleinen “vain Yhdysvaltain kansalaisille” -sääntö kaikille työpaikoille olisi todennäköisesti laiton.
Kuitenkin INA tunnustaa useita tärkeitä poikkeuksia. Esimerkiksi liittovaltion laki voi sallia työnantajien evätä mahdollisuuksia henkilöiltä, jotka eivät täytä tiettyjä kansallisen turvallisuuden vaatimuksia. Tämä sääntö koskee usein rooleja, jotka vaativat virallista turvallisuusselvitystä tai pääsyä salaisiin tietoihin.
Vientivalvontalait estävät myös arkaluonteisen teknologian joutumisen vääriin käsiin. Näistä tiukin, International Traffic in Arms Regulations (ITAR), säätelee sotilas- ja puolustustarvikkeita. Laajemmat Export Administration Regulations (EAR) -säännöt kattavat “kaksoiskäyttöiset” tuotteet, joilla on kaupallisia ja sotilaallisia sovelluksia.
Nämä lait eivät edellytä kansalaisuuteen perustuvaa palkkaamista. Ne voivat kuitenkin helpottaa yrityksen palkata Yhdysvaltain kansalainen ja välttää monimutkaisen prosessin saada erityinen hallituksen lupa teknologian jakamiseen ei-amerikkalaisten kanssa.
Lopuksi yritys voi olla laillisesti velvollinen palkkaamaan vain Yhdysvaltain kansalaisia tiettyihin rooleihin liittovaltion sopimuksen nojalla.
Coinbasen keskeinen oikeudellinen pulma on, voiko se menestyksekkäästi väittää, että sen turvallisuuteen perustuvat toimenpiteet kuuluvat johonkin näistä sallituista poikkeuksista vai asettaako sen lähestymistapa vaarallisen ennakkotapauksen teknologiasektorille.
Kohdennettu politiikka, ei yleiskieltoa
Alkuperäinen uutinen Coinbasen ilmoituksesta herätti spekulaatioita siitä, että se ottaisi käyttöön yrityksen laajuisen “vain Yhdysvaltain kansalaisille” -palkkauspolitiikan, mikä olisi suoraan rikkonut liittovaltion lakia.
Kuitenkin tiedottaja korjasi tämän narratiivin sähköpostivaihdossa, jonka BeInCrypto kävi Coinbasen kanssa.
“Emme ota käyttöön yrityksen laajuista ‘vain Yhdysvaltain kansalaisille’ -palkkauspolitiikkaa… Nämä muutokset vaikuttavat ensisijaisesti työntekijöihin, joilla on pääsy arkaluonteisiin järjestelmiin, ja Coinbasen roolit ovat edelleen avoimia päteville ehdokkaille kansallisuudesta riippumatta,” tiedottaja kertoi BeInCryptolle.
Tämä ero viittaa siihen, että yhtiö ei perusta politiikkaansa tiettyyn liittovaltion säädökseen. Itse asiassa tiedottaja selvensi, että Coinbasen uudet turvallisuustoimenpiteet eivät koske Yhdysvaltain liittovaltion lain asettamien oikeudellisten poikkeusten hyödyntämistä.
“Tässä ei ole kyse ITAR/EAR:n käyttöönotosta tai kansalaisuuteen perustuvien palkkausrajoitusten luomisesta. Keskustelun alla olevat muutokset koskevat uusien turvatoimien lisäämistä perehdytysvaiheessa, kuten henkilökohtaista henkilöllisyyden varmistamista, sormenjälkitunnistusta ja perehdytystä, riskien vähentämiseksi pahantahtoisilta toimijoilta,” Coinbase sanoi.
Pakollisen henkilökohtaisen perehdytyksen osalta Coinbase selvensi, että nämä tapahtumat järjestetään alueellisissa keskuksissa Yhdysvaltojen ulkopuolisille työntekijöille.
Vaikka Coinbasen politiikka näyttää välttävän ilmeisimmät oikeudelliset sudenkuopat, se astuu uuteen ja testaamattomaan harmaaseen alueeseen.
Rekrytoinnin lisäksi: työvoiman suojeleminen
Coinbasen kanta perustuu väitteeseen, että Pohjois-Korean toimijoiden uhka on niin vakava, että se vaatii toimenpiteen, joka muuten katsottaisiin ylilyönniksi. Se käytännössä luottaa siihen, että tuomioistuin pitää sen turvallisuusperustelua riittävän vakuuttavana syrjintäväitteen kumoamiseksi.
Puolustaessaan kantaansa Coinbase asetti uudet toimenpiteensä laajempaan sektorin muutokseen.
“Huijarisovellusten ja haitallisten toimijoiden lisääntyessä, jotka yrittävät tunkeutua teknologiayrityksiin, odotamme, että vahvempi henkilöllisyyden todentaminen ja rajoitetut henkilökohtaiset vaatimukset yleistyvät alalla”, Coinbase:n edustaja kertoi BeInCrypto:lle.
Täydentäen tätä laajempaa tiukemman henkilöllisyyden tarkistuksen suuntausta, yritys otti käyttöön monikerroksisen turvallisuuslähestymistavan sisäisten haavoittuvuuksien torjumiseksi.
“Otamme sisäiset uhkariskit vakavasti, mukaan lukien ulkoisen pakottamisen tai lahjontayritysten mahdollisuus. Monikerroksinen lähestymistapamme sisältää teknisen seurannan, taustatarkistukset, pakollisen turvallisuuskoulutuksen ja jatkossa vahvemmat henkilökohtaiset perehdytyssuojat,” Coinbase lisäsi.
Näyttämällä, että sen käytännöt koskevat sekä uusia työntekijöitä että nykyisiä työntekijöitä, Coinbase esittää toimenpiteensä ei syrjivinä, vaan kokonaisvaltaisena vastauksena uhkaan, jota liittovaltion laki ei ehkä ole täysin ennakoinut.
Coinbase testitapauksena kryptoalalle
Keskustelu Coinbasen politiikasta edustaa laajempaa kamppailua, joka koskee koko alaa. Valtion tukemien toimijoiden ja haitallisten ryhmien kehittyessä yhä taitavammiksi, yritykset joutuvat ottamaan käyttöön turvallisuustoimenpiteitä, jotka hämärtävät perinteisten rekrytointikäytäntöjen ja kansallisen turvallisuuden rajoja.
Laajan vaikutusvaltansa vuoksi Coinbasen vastaus näihin uhkiin asettaa todennäköisesti ennakkotapauksen. Kysymys ei ole enää siitä, voiko yritys palkata ei-kansalaisen.
Se sisältää myös oikeudellisen ja eettisen tasapainoilun suojellakseen itseään ja asiakkaitaan näiltä yhä kehittyneemmiltä hyökkäyksiltä.
Vaikka Coinbase on puolustanut toimiaan, on epäselvää, asettaako sen malli uuden alan standardin vai onko se ensimmäinen testitapaus uudessa oikeudellisten taisteluiden aikakaudessa.
