Brian Armstrongs nylige kunngjøring om at Coinbase vil begynne å kreve personlig orientering og begrense visse roller til amerikanske statsborgere, skapte skepsis om hvorvidt selskapets nye retningslinjer ville bryte USAs antidiskrimineringslover.
I et intervju med BeInCrypto presiserte en talsperson for Coinbase at selskapet ikke innfører en generell “kun amerikanske statsborgere”-policy. Endringene, implementert for å bekjempe nordkoreanske hackere, vil kun påvirke roller med tilgang til sensitive systemer.
Den nordkoreanske infiltrasjonstrusselen
Coinbase forbereder seg på å innføre radikale nye sikkerhetspolicyer som svar på en økende trussel fra nordkoreanske hackere.
CEO Brian Armstrong kunngjorde forrige uke at selskapet vil omorientere sine forretningsoperasjoner mot USA, og begrense visse roller til kun amerikanske statsborgere.
De nye retningslinjene krever at alle nyansatte deltar på en personlig orientering. I tillegg vil ansatte som håndterer sensitive systemer nå være pålagt å være amerikanske statsborgere og gjennomgå fingeravtrykkstesting.
Coinbases problem er langt fra lite. Som en ledende sentralisert børs er det et konstant mål for nordkoreanske hackere. Disse statssponsede trusselaktørene har utviklet sine metoder utover tradisjonelle cyberangrep, og beveger seg mot en mer lumsk taktikk: infiltrasjon.
Denne nye tilnærmingen involverer nordkoreanske operatører som søker på fjernbaserte Web3- og IT-roller i kryptoselskaper. De bruker villedende identiteter og sofistikert sosial manipulering for å få fotfeste fra innsiden, noe som gjør dem i stand til å utføre massive tyverier og kanalisere midler tilbake til regimet.
Til tross for alvoret i situasjonen, har kunngjøringen utløst umiddelbar kontrovers og et sentralt juridisk spørsmål: Bryter disse retningslinjene, spesielt kravet om statsborgerskap, USAs føderale antidiskrimineringslover?
Kan Coinbase forsvare sine tiltak under gjeldende lov?
Ved første øyekast ser Coinbases nye policy ut til å være i direkte konflikt med USAs føderale lov.
Immigrasjons- og nasjonalitetsloven (INA) forbyr generelt arbeidsgivere å diskriminere basert på en persons statsborgerskap eller immigrasjonsstatus.
Gitt at systemet er designet for å sikre rettferdig behandling av amerikanske statsborgere, fastboende, asylsøkere og flyktninger, vil en generell “kun amerikanske statsborgere”-regel for alle jobber sannsynligvis være ulovlig.
Imidlertid anerkjenner INA flere viktige unntak. For eksempel kan føderal lov tillate arbeidsgivere å nekte muligheter til individer som ikke oppfyller spesifikke nasjonale sikkerhetskrav. Denne regelen gjelder ofte for roller som krever en formell sikkerhetsklarering eller tilgang til klassifisert informasjon.
Eksportkontrollovene forhindrer også at sensitiv teknologi faller i gale hender. Den strengeste av disse, International Traffic in Arms Regulations (ITAR), regulerer militære og forsvarsrelaterte gjenstander. De bredere Export Administration Regulations (EAR) reglene dekker “dual-use” gjenstander med kommersielle og militære anvendelser.
Disse lovene krever ikke ansettelser basert på statsborgerskap. Imidlertid kan de gjøre det lettere for et selskap å ansette en amerikansk statsborger og unngå den komplekse prosessen med å få en spesiell statlig lisens for å dele teknologi med ikke-amerikanere.
Til slutt kan et selskap være lovpålagt å kun ansette amerikanske statsborgere for visse roller under en føderal kontrakt.
Coinbases kjernejuridiske puslespill gjenstår om det kan lykkes med å argumentere for at dets sikkerhetsdrevne tiltak faller innenfor en av disse tillatte unntakene, eller om tilnærmingen setter en farlig presedens for teknologibransjen.
En målrettet politikk, ikke et generelt forbud
Den første nyheten om Coinbases kunngjøring utløste spekulasjoner om at det innførte en selskapsovergripende “kun amerikanske statsborgere”-ansettelsespolicy, som ville ha brutt føderal lov direkte.
Imidlertid korrigerte en talsperson denne fortellingen i en e-postutveksling BeInCrypto hadde med Coinbase.
“Vi innfører ikke en selskapsovergripende ‘kun amerikanske statsborgere’-ansettelsespolicy… Disse endringene vil primært påvirke ansatte i roller med tilgang til sensitive systemer, og Coinbase-roller forblir åpne for kvalifiserte kandidater uavhengig av nasjonalitet,” sa talspersonen til BeInCrypto.
Denne distinksjonen antyder at selskapet ikke stoler på en spesifikk føderal regulering for å rettferdiggjøre sin policy. Faktisk presiserte en talsperson at Coinbases nye sikkerhetstiltak ikke handler om å utnytte noen juridiske unntak fastsatt av USAs føderale lov.
“Dette handler ikke om å påberope seg ITAR/EAR eller skape ansettelsesrestriksjoner basert på statsborgerskap. Endringene som diskuteres handler om å legge til nye sikkerhetstiltak i onboarding-fasen, som personlig identitetsverifisering, fingeravtrykkstesting og orientering, for å redusere risikoen fra ondsinnede aktører,” sa Coinbase.
Når det gjelder den obligatoriske personlige orienteringen, presiserte Coinbase at disse arrangementene vil finne sted i regionale knutepunkter for ikke-amerikanske ansatte.
Selv om Coinbases policy tilsynelatende unngår de mest åpenbare juridiske fallgruvene, beveger den seg inn i et nytt og uprøvd gråområde.
Utover ansettelser: Beskytte arbeidsstyrken
Coinbases posisjon hviler på argumentet om at trusselen fra nordkoreanske aktører er så alvorlig at det krever et tiltak som ellers ville blitt ansett som overtramp. Det satser i hovedsak på at en domstol vil finne dets sikkerhetsbegrunnelse overbevisende nok til å oppveie et diskrimineringskrav.
For å forsvare sin holdning, plasserte Coinbase sine nye tiltak i konteksten av et bredere skifte i hele sektoren.
“Gitt økningen i falske søknader og ondsinnede aktører som forsøker å infiltrere teknologiselskaper, forventer vi at sterkere identitetsbevis og begrensede krav til personlig oppmøte vil bli mer vanlig i hele bransjen,” fortalte en talsperson fra Coinbase til BeInCrypto.
Som et supplement til denne bredere trenden med strengere identitetsverifisering, implementerte selskapet også en flerlags sikkerhetstilnærming for å bekjempe interne sårbarheter.
“Vi tar risikoen for interne trusler på alvor, inkludert muligheten for ekstern tvang eller bestikkelsesforsøk. Vår lagdelte tilnærming inkluderer teknisk overvåking, bakgrunnssjekker, obligatorisk sikkerhetstrening, og fremover, sterkere sikkerhetstiltak ved personlig onboarding,” la Coinbase til.
Ved å vise at deres retningslinjer gjelder både nyansatte og eksisterende ansatte, posisjonerer Coinbase sine tiltak ikke som diskriminerende, men som en helhetlig respons på en trussel som føderal lov kanskje ikke fullt ut har forutsett.
Coinbase som en test for kryptobransjen
Debatten om Coinbases policy er representativ for en større kamp som hele industrien står overfor. Etter hvert som statssponsede aktører og ondsinnede grupper blir mer sofistikerte, blir selskaper tvunget til å ta i bruk sikkerhetstiltak som visker ut linjene mellom tradisjonelle ansettelsespraksiser og nasjonal sikkerhet.
Gitt sin omfattende rekkevidde, vil Coinbases respons på disse truslene sannsynligvis sette en presedens. Spørsmålet er ikke lenger om et selskap kan ansette en ikke-statsborger.
Det innebærer også å balansere den juridiske og etiske stramlinjen for å beskytte seg selv og sine kunder mot disse stadig mer sofistikerte angrepene.
Selv om Coinbase har forsvart sine handlinger, er det fortsatt uklart om deres modell vil sette en ny industristandard eller bli den første test saken i en ny æra av juridiske kamper.
