Įspėjimus kompanijos vadovybei perdavė ne mažiau nei trys buvę aukšto lygio „Amazon“ informacinių technologijų saugumo specialistai, iš kurių vienas dirba ES, o du JAV. Visi trys darbuotojai „Politico“ žurnalistams teigė, kad ne kartą bandė patraukti į tai aukščiausio lygio „Amazon“ vadovybės, dirbančios Sietle (JAV) dėmesį, tačiau buvo nutildyti, ignoruojami arba apskritai išstumti iš įmonės ir tai įvertino kaip profesinį kerštą.
ES erdvėję dirbęs specialistas šiuo metu Europos teismuose kovoja už sąžiningus sutarties nutraukimo su „Amazon“ terminus. Visi trys ekspertai su žurnalistais kalbėjosi su griežta anonimiškumo sąlyga, nes sakė, kad jiems dėl to gali būti kerštaujama arba jie gali susidurti su sunkumais ieškodami kito darbo, nes viešai aptarinėjo neviešus teisinius dalykus.
Apibendrinus visų šių buvusių „Amazon“ darbuotojų liudijimai nupiešia tokią „Amazon“ įmonės vidinę kultūrą, kurioje pirmenybė teikiama tik augimui, į paraštes nustumiant tokius dalykus, kaip klientų asmens duomenų saugumas, taisyklių, kurios sukurtos specialiai duomenims apsaugoti, laikymasis ar darbuotojų, kurie buvo pasamdyti specialiai tam, kad praneštų apie vidines problemas, karjerų apsaugojimas.
„Įsivaizduokite, kas būtų, jei įvyktų nutekėjimas tokio dydžio kompanijoje, kaip „Amazon“. Kalbama apie grėsmę milijonų žmonių asmeninės, identifikuojamos informacijos saugumui“, – sakė vienas buvęs „Amazon“ informacijos saugumo specialistas iš JAV.
Oficiali pozicija – neigti
„Amazon“ atstovas spaudai tvirtina, kad klientų pasitikėjimo išlaikymas saugant jų privatumą ir užtikrinant duomenų saugumą yra „kompanijos ilgalaikis ir aukščiausias prioritetas“.
„Šie netikslūs, nepagrįsti ir pasenę teiginiai neparodo mūsų pasiryžimo saugoti asmeninius duomenis. „Amazon“ turi aiškias, ilgą laiką taikomas privatumo bei saugumo politiką, procedūras ir technologijas. Reguliariai atliekame savo paslaugų auditą norėdami užtikrinti, kad jos atitinka visus reikalavimus ir laikomės nulinės tolerancijos taisyklių jei šių reikalavimų nesilaiko bet kurio lygmens darbuotojai“, – tvirtino atstovas spaudai.
Bet, kadangi ir JAV ir Europoje iš politinės pusės imamasi veiksmų siekiant užtikrinti, kad verslo įmonės rimtai vertintų savo klientų duomenų saugumą, labai tikėtina, kad buvusieji „Amazon“ darbuotojai atras juos išklausysiančią ausį valdžios koridoriuose.
Mat nors pastaraisiais metais ši internetinės prekybos milžinė ne kartą buvo kritikuojama dėl darbo sąlygų, įskaitant bandymus riboti sandėlių darbuotojų profesinių sąjungų veiklą, „Amazon“ duomenų saugumas paprastai dėmesio nepatraukdavo.
Visgi, kai kalbama apie klientų asmens duomenis, būtent „Amazon“ yra vienas iš galingiausių pasaulyje veikėjų: šios įmonės elektroninės prekybos, interneto reklamų ir gigantiško debesų kompiuterijos padalinio „Amazon Web Services“ sistemose surenkama begalės informacijos apie vartotojus.
Britų akademikas Garfieldas Benjaminas, anksčiau jau ne kartą domėjęsis „Amazon“ duomenų privatumo trūkumais, sakė, kad tos įmonės „atsainumas privatumo ir saugumo atžvilgiu“ yra „didelių problemų“ indikatorius.
„Atrodo keista – nors tikriausiai tokios keistenybės matomos pernelyg dažnai ir yra įprastos – kad kompanija, kuri taip aiškiai nusiteikusi duomenis paversti savo pagrindiniu verslu, taiko tokias prastas apsaugos priemones. Ar jų puikybė tokia didelė, o įsivaizduojama galia tokia milžiniška, kad jie galvoja, jog yra visiškai neliečiami?“ – svarstė mokslininkas.
Ir jei nutiktų koks incidentas, tai grėsmė kiltų ne tik pasitikėjimui „Amazon“ privatumo bei saugumo užtikrinimo taisyklėmis. Labai tikėtina, kad dėl šios įmonės taisyklių, kuriose esama silpnų vietų, įvykę įsilaužimai nutekintų itin didelio jautrumo informaciją į piktavalių asmenų rankas.
„Amazon“ saugomose duomenų bazėse yra pirkinių istorija, mokėjimų informacija, duomenys apie klientus, surinkti per „Amazon“ reklamų verslą ir pirkėjų identifikavimo formas. Netinkamose rankose ši informacija galėtų būti naudojama kaip šantažo įrankis grasinant paviešinti pirkinių istoriją, vykdant įvairias sukčiavimo schemas, pasitelkiama vykdant nutaikytas phishingo atakas, kai pavogta informacija yra panaudojama apgaulingai nukreipiant žmones atlikti mokėjimus, kurie neturėtų būti atliekami ar atskleidžiant dar jautresnę informaciją.
Žvelgiant plačiau buvusių darbuotojų liudijimai verčia kelti klausimą, už ką darbuotojai skatinami kompanijoje, kuri taip staigiai išliko į pasaulyje dominuojančios interneto parduotuvės poziciją.
Duomenų labirintai
Anot abiejų JAV dirbusių saugumo ekspertų, „Amazon“ duomenų saugumui grėsmė kyla dėl to, kad kompanija menkai susigaudo, kokius vartotojų duomenis jie sukaupę, kur tie duomenys yra saugomi ir kas turi prieigą prie tų duomenų.
„Jeigu norėtumėte pasinaudoti savo „teise būti užmirštais“, tai „Amazon“ būtų praktiškai neįmanoma identifikuoti visas vietas, kur jų sistemose esama su jumis susijusių duomenų“, – sakė vienas buvęs įmonės darbuotojas. Teisė būti užmirštais arba teisė reikalauti, kad bet kokie jūsų duomenys būtų ištrinti, yra viena iš esminių pilietinių teisių kai kuriose jurisdikcijose, įskaitant Europos Sąjungą ir Kalifornijos valstiją.
Tai, kad kompanija nelabai supranta, kokios aprėpties asmenų informaciją ji saugo, patvirtino ir kitas amerikietis, buvęs „Amazon“ IT saugumo specialistas. „Amazon“ augo taip greitai, kad jie nežino, ką jie turi. Jie nežino, kur yra jų duomenys, todėl jie nežino, ar tinkamai tuos duomenis saugo“, – sakė saugumo ekspertas.
„Amazon“ praktika, taikoma kelių esminių duomenų saugumo principų atžvilgiu – kontrolės, kas turi prieigą prie kokių duomenų, gebėjimo aptikti įsilaužimus, netgi slaptažodžių keitimo reguliarumo – buvo aršiai kritikuojami visų buvusių šios įmonės darbuotojų, kurių darbo patirtis informacijos saugumo srityje yra skaičiuojama dešimtmečiais.
„Amazon“ taikomos kontrolės kokybė yra siaubinga. Aptikome šimtus tūkstančių paskyrų, kai darbuotojo jau seniai nebėra, bet prieigą prie sistemų jie vis dar turi“, – sakė vienas JAV dirbęs buvęs „Amazon“ darbuotojas. Anot jo, tokie didžiuliai skaičiai įmanomi dėl to kad „Amazon“ darbuotojų kiekis yra milžiniškas, o personalo kaita labai greita. „Amazon“ teisinasi, jog taiko labai griežtas procedūras, nurodančias, kad darbuotojui palikus kompaniją jo prieigos prie duomenų yra panaikinamos.
„Amazon“ ganėtinai sunkiai sekėsi užtaisyti savo sistemų spragas. Vieno iš buvusių šios įmonės darbuotojų matytoje 2016–2017 m. vidinėje saugumo ataskaitoje, to darbuotojo teigimu, buvo pareiškimas, kad kompanija sugeba įdiegti naujinius į 55–70 proc. savo sistemų. Jis tokią praktiką palygino su atlapotomis namų durimis ir langais išvykstant iš namų.
„Amazon“ informacinių technologijų bendrasis valdymas, žinant mano patirtį ir tai, ką teko matyti praeityje, daugumos auditorių patikrinimų neįveiktų. Tos sistemos tiesiog prastai valdomos“ – sakė pirmasis buvęs „Amazon“ darbuotojas.
O prastas valdymas reiškia tai, jog „Amazon“ gali netgi nepastebėti įsilaužimo. Vidinė darbuotojams išsiuntinėta žinutė, kurią 2018 m. birželį gavo vienas iš buvusių darbuotojų, informavo apie „labai didelę“ tikimybę patirti kritinę finansinę ar reputacinę žalą verslui dėl įmonės nesugebėjimo atpažinti nedraugiškus skaitmeninius incidentus.
O „Amazon“ atstovas spaudai nurodė, jog kompanijai apie tokias ataskaitas ir žinutes nėra žinoma ir manoma, kad šių žinučių turinio nusakymas nėra tikslus. Anot atstovo spaudai, bet kokie istoriniai susirūpinimą keliantys dalykai, apie kuriuos sužinoma įprastinių vidinių ataskaitų keliu, yra sutaisomi, nes būtent toks yra vidinių patikrinimų tikslas.
Antrasis buvęs „Amazon“ darbuotojas iš JAV patvirtino, kad „Amazon“ nesugeba tinkamai suvaldyti prieigų prie sistemų ir kad kompanijoje, kurios darbuotojų kiekis išaugo iki daugiau nei milijono žmonių, begalė asmeninės informacijos yra prieinama žmonėms, kurių pareigos ar atsakomybės tokiai prieigai nėra tinkamos.
„Turite dešimtis tūkstančių komandų su prieiga prie didžiųjų duomenų. Reikėtų turėti būdą stebėti visų skirtingų tipų duomenis. Žvelgiant iš technologinės pusės reikia žinoti, kur duomenys keliauja ir kaip jie būna apsaugoti. To nėra“, – sakė su „Politico“ bendravęs anonimas.
Buvusieji darbuotojai labai aiškiai brėžė ribą tarp klausimų, kaip „Amazon“ viduje vertinami duomenų apsaugos reikalavimai ir to, kaip kompanija dirba duomenų saugumo inžinerijos srityje – to darbo vaisiai matomi tokiuose produktuose ir paslaugose, kurie yra AWS dalis.
AWS debesų kompiuterijos produktai yra naudojami tokių institucijų, kaip JAV vyriausybė ir jie yra visuotinai pripažįstami kaip neprilygstami visame pasaulyje, vertinant iš duomenų saugumo pusės. Vienas iš buvusių darbuotojų „Amazon“ turimų saugumo įrankių saugumą pavadino „neprilygstamu“, tačiau jis vis vien pažymėjo, kad tų įrankių gebėjimas apsaugoti AWS sistemas vis vien priklauso nuo to, kaip juos taiko naudotojas. Taip pat pažymėtina tai, kad AWS valdymas yra iš esmės nepriklausomas nuo „Amazon“.
Anot buvusių darbuotojų, problema yra ta, kad „Amazon“ duomenų saugumo įrankių efektyvumui koją kiša kompanijos polinkis apeiti vidinės kontrolės procesus.
Pavyzdžiui, anot dviejų buvusių informacijos saugumo profesionalų, duomenys, reikalingi naujiems projektams, neretai būdavo netinkamai klasifikuojami dėl to, kad buvo siekiama kuo mažiau vidinių patikrinimų keliamų kliūčių, atsirandančių norint gauti prieigą prie tų duomenų.
Įmonės atstovas spaudai vadino tai melu – anot jo, įmonėje veikia aiški ir privaloma privatumo bei saugumo politika, nustatytos procedūros ir taikomos technologijos, kurių laikosi visų lygių vadovai. Kompanija reguliariai atlieka auditavimą, kad būtų užtikrintas taisyklių laikymasis, o darbuotojai neturi galimybės priimti sprendimus, kurie peržengia jiems priskirtų pareigybių ribas.
Smarkiai atsilikinėjo
Europoje įteisintas darbo su asmens duomenimis įstatymų paketas – Bendrasis duomenų apsaugos reglamentas (BDAR) visame pasaulyje yra vertinamas už tai, kad smarkiai padidina asmens duomenų privatumo svarbą. Ypač – įmonių valdybose, kuriose potencialios baudos už reglamento reikalavimų pažeidimus (4 procentai nuo metinės pasaulinės apyvartos) yra vertinamos kaip egzistencinė grėsmė.
Bet net ir nepaisant tokio itin griežto teisinių reikalavimų paketo, „Amazon“ darbo grupę, kurios konkretus tikslas buvo prisitaikymas prie naujųjų įstatymų, įsteigė tik 2018 m. balandžio pabaigoje – likus vos keliems mėnesiams iki reglamento įsigaliojimo.
„Organizacija smarkiai atsilikinėjo“, – sakė pirmasis iš buvusių „Amazon“ darbuotojų, kalbėjusių su žurnalistais. O „Amazon“ atstovas spaudai tikino, kad duomenų privatumo ir saugumo komandos kompanijoje dirbo jau ilgą laiką ir 2018 metais buvo padaryti standartiniai organizaciniai pokyčiai, kurių tikslas buvo centralizuoti išteklius.
Buvęs „Amazon“ darbuotojas iš Europos ir kiti darbuotojai ne kartą bandė „Amazon“ vadovus informuoti apie BDAR grėsmes ir suderinamumo su naujaisiais reikalavimais spragas dar gerokai iki reglamento įsigaliojimo 2018 m. gegužę, tačiau visi tie bandymai nebuvo sėkmingi.
Dokumentai ir ketvirtinės ataskaitos, siunčiami aukšto lygio vadovams – tokiems, kaip „Amazon“ pasaulinio vartotojų verslo vadovui Jeffui Wilkesui, vyriausiajam patarėjui Davidui Zapolsky ir vyriausiajam finansų vadovui Brianui Olsavsky – aprašė visas su BDAR susijusias grėsmes ir spragas, taip pat daugelį kitų problemų, aprašomų šiame straipsnyje. „Amazon“ atstovas spaudai tvirtina, kad kalbama veikiausiai apie reguliarias ataskaitas, kurios kiekvienoje atsakingoje kompanijoje rašomos tam, kad vadovybė būtų supažindinta su svarbiausiais klausimais ir tai parodo, jog vykdomas tinkamas vadovybės informavimo procesas.
„Amazon“ darbuotojas europietis buvo vienas iš tų kelių IT saugumo darbuotojų, kurie pakartotinai eskaluodavo grėsmes įmonei dėl to, kad kilo rizika neatitikti ES duomenų apsaugos standartų. Šiuo metu jis yra teisiniame procese prieš „Amazon“ dėl darbo sutarties nutraukimo sąlygų. Byla nagrinėjama Liuksemburgo teisme.
Kitas saugumo profesionalas su įmone susitarė po to, kai aukščiausio lygio „Amazon“ teisės skyriaus vadovai jam nurodė „nesipriešinti“, nes to asmens bandymai pabrėžti suderinamumą su BDAR neatitiko „pranešėjo apie problemas“ (angl. whistleblower) reikalavimų pagal teisinius dokumentus. „Amazon“ atstovas spaudai nurodė, kad santykių su konkrečiais darbuotojais nekomentuoja, tačiau nesutinka su teiginiu, kad kuriam nors iš darbuotojų buvo trukdoma išsakyti savo susirūpinimą.
Bet jeigu buvo žmonių, kurie vylėsi, kad ES teisininkai stovėjo parengties būsenoje tik ir laukdami akimirkos, kad galėtų nubausti „Amazon“ už bet kokius naujojo reglamento nesilaikymo požymius, tai tokiems žmonėms teks nusivilti. Praėjo jau daugiau nei dveji metai nuo BDAR įsigaliojimo, o pagrindinė „Amazon“ veiklą stebinti duomenų apsaugos institucija – Liuksemburgo duomenų apsaugos inspekcija – taip ir neskyrė nė vienos baudos. Niekam neskyrė, ne tik „Amazon“.
Liuksemburgo duomenų apsaugos inspekcijos atstovas praėjusių metų gruodį sakė, kad negali atskleisti, kiek tyrimų yra pradėta prieš „Amazon“ pagal vietinius įstatymus, tačiau žadėjo, kad pirmosios baudos bus skirtos dar iki 2020 metų pabaigos. Tos pačios inspekcijos atstovas jau sausį sakė, kad pirmosios baudos bus skirtos „labai greitai“.
Pagaliai į ratus
Europoje dirbęs „Amazon“ darbuotojas viešai išsakė susirūpinimą dėl „Amazon“ neatitikimo su daugybe kitų ES ir Liuksemburgo taisyklių.
Bet „Amazon“ vadovybė Sietle, JAV, sumažino šio darbuotojo galimybes vykdyti vidinės kontrolės funkcijas, tokiu būdu pažeisdami reguliavimo institucijų patvirtintą Liuksemburgo padalinio valdymo modelį, sako du buvę darbuotojai.
Pavyzdžiui, žurnalistams parodytos susirašinėjimo grandinės rodo, kad „Amazon“ vadovybė iš JAV aiškino, jog jie turi patvirtinti ir tarti paskutinį žodį apie audito įsipareigojimus Liuksemburgo padaliniui, tokiu būdu pažeisdami reikalavimą tam padaliniui palikti galimybę priimti su padalinio valdymu susijusius sprendimus.
Kita laiškų grandinė rodo, kad Sietle dirbanti įmonės valdžia suteikė sau leidimą peržiūrėti ir patvirtinti prieigas prie Liuksmeburgo padalinio valdomų duomenų, nors tą procesą turėjo atlikti Liuksemburgo padalinio darbuotojai, kaip tai nurodo vidaus darbo politika ir teisiniai reikalavimai.
Buvęs ES darbuotojas taip pat susidūrė su sunkumais, kai bandė pasamdyti sau komandos narių. Jiems iš pradžių buvo nurodyta, kad jie turi būti samdomi per Sietlo biurą, nors naujieji darbuotojai būtų dirbę su Europos reikalais, iš Liuksemburgo valdomam padaliniui.
„Iš pradžių pamaniau, kad tai yra pokštas. Tai yra visai kita laiko zona ir kitokia kultūra. Pavyzdžiui, terminas „asmens duomenys“ JAV ir Europoje yra suprantamas skirtingai“, – sakė buvęs „Amazon“ darbuotojas.
Kitu atveju elektroninių laiškų grandinė parodė, kad „Amazon“ vadovai iš Sietlo pakeitė darbuotojo darbo sutartį taip, kad jis pagal tą sutartį negalėtų dirbti su jautriais dalykais Liuksemburgo padalinyje, nors to darbuotojo vadovas apie šiuos pakeitimus žinių neturėjo ir vėliau jiems prieštaravo. Pakeitimai buvo padaryti pažeidžiant įmonės politiką ir reguliatoriaus reikalavimus.
Su žurnalistais kalbėjęs buvęs įmonės darbuotojas sakė, jog jautėsi taip, lyg imamasi veiksmų norint iš jo grupės atimti išteklius ir trukdyti jai dirbti.
„Amazon“ atstovas spaudai tokius kaltinimus neigė ir sakė, kad įmonės valdymo principai yra stiprūs ir atitinka visus ES ir Liuksemburgo reikalavimus. Jo teigimu, tais atvejais, kai situacija to reikalavo, klausimas būdavo eskaluojamas į pagrindinį įmonės biurą, ir tai rodo, kaip rimtai „Amazon“ vertina duomenų saugumą. Jo teigimu, nėra tokio reikalavimo, kuris sakytų, kad visi darbuotojai privalo būti ES, ir, kada tai reikalinga, įmonė laikosi visų galiojančių taisyklių bei reguliavimų.
Bet amerikiečiai buvę „Amazon“ darbuotojai taip pat patvirtino, kad pagalių kišimas į veiklos ratus norint suvaldyti situaciją nėra vien tik Liuksemburge nutikęs atvejis.
„Aš kėliau į viešumą daug klausimų, kilusių mano komandai. Ir daugybę kartų mes buvome nutildyti. Kartais iki tokio lygio, kad reguliavimo įstaigoms būdavo pateikiamos nepilnos arba netikslios ataskaitos“, – sakė vienas iš amerikiečių.
Jis pridūrė, kad vyriausioji įmonės vadovybė nuo jų nuslėpė informaciją, taip užkirsdama kelią tinkamai pateikti ataskaitas reguliavimo įstaigoms. Vienu atveju, jau užpildžius ataskaitas reguliatoriams, jie sužinojo, kad įmonė netinkamai stebėjo savo sistemas net dvejus metus.
Abiem amerikiečiams taip pat jų aukščiausioji vadovybė kažkuriuo metu paaiškino „neieškoti problemų“, nors pagal įvairius įstatymus, reguliavimus ir pramonės reikalavimus jie būtent tai ir turėjo daryti.
Visi trys tie darbuotojai jautėsi taip, tarsi buvo stengiamasi juos laikyti „toliau nuo reikalų“, kad jie negalėtų kelti problemų ar netgi tinkamai atlikti savo kontrolinių funkcijų „Amazon“ valdymo modelyje. Jie nebuvo kviečiami į svarbius susitikimus, jų nebuvo prašoma prisidėti rašant ataskaitas, jiems nebuvo suteikiama tinkama informacija.
„Amazon“ atstovas spaudai sakė, kad tie darbuotojai nebuvo atkertami nuo valdymo ir informacijos, tačiau buvo tikimasi, kad jie dirbs sutartuose atsakomybės rėmuose.
Visi trys su žurnalistais kalbėję buvę „Amazon“ darbuotojai sakė, jog jų patirtis rodo, kad problemos įmonėje siekia didesnį nei vidutinio lygio vadovų lygį.
„Aš suteikiau „Amazon“ visas galimybes, kad taip nėra, eskaluodamas klausimus įvairioms vidinės kontrolės funkcijoms kompanijoje, eskaluodamas klausimus įmonės pasaulinių rizikų valdymo komitetui, vykdydamas formalias procedūras. Jie galėjo grįžti ir paaiškinti: „Žiūrėk, sutinkame, kad problema yra, pasistengsime ją išspręsti“, bet taip nebuvo. Jie paprašė manęs, kad išeičiau iš darbo“, – sakė buvęs įmonės darbuotojas ES.
„Amazon“ ėmėsi sistemingai atsikratyti tų veikėjų, kurie kėlė klausimus dėl įstatymų atitikimo, tvirtino pirmasis darbuotojas iš JAV. „Organizacija suryja saviškius tam, kad nutildytų triukšmą, kylantį dėl problemų. O tuomet paslepia juos po popieriais“, – sakė jis.
Antrasis amerikietis sakė, kad „Amazon“ dydžio kompanija turėtų aukščiausio lygio duomenų saugumą. „Vos nedidukas paslydimas „Amazon“ reikštų šimtų tūkstančių, jei ne milijonų asmenų duomenų praradimą. Tam nėra jokio pateisinimo, kai kompanija tokia pelninga“.