Brian Armstrongs nylige meddelelse om, at Coinbase ville begynde at kræve personlig orientering og begrænse visse roller til amerikanske statsborgere, skabte skepsis over, om virksomhedens nye politikker ville overtræde amerikanske antidiskriminationslove.
I et interview med BeInCrypto præciserede en talsmand fra Coinbase, at virksomheden ikke indfører en generel “kun amerikanske statsborgere” politik. Ændringerne, der er implementeret for at bekæmpe nordkoreanske hackere, vil kun påvirke roller med adgang til følsomme systemer.
Den nordkoreanske infiltrations trussel
Coinbase forbereder sig på at indføre radikale nye sikkerhedspolitikker som svar på en eskalerende trussel fra nordkoreanske hackere.
Direktør Brian Armstrong annoncerede i sidste uge, at virksomheden vil omorientere sin forretning mod USA og begrænse visse roller til kun amerikanske statsborgere.
De nye politikker kræver, at alle nye ansatte deltager i en personlig orientering. Derudover vil medarbejdere, der håndterer følsomme systemer, nu være forpligtet til at være amerikanske statsborgere og gennemgå fingeraftryk.
Coinbases problem er langt fra lille. Som en førende centraliseret børs er det et konstant mål for nordkoreanske hackere. Disse statssponsorerede trusselsaktører har udviklet deres metoder ud over traditionelle cyberangreb og skifter mod en mere lumsk taktik: infiltration.
Den nye tilgang involverer nordkoreanske operatører, der ansøger om fjernarbejde i Web3 og IT-roller hos kryptovirksomheder. De bruger bedrageriske identiteter og sofistikeret social engineering for at få fodfæste indefra, hvilket gør dem i stand til at udføre massive tyverier og kanalisere midler tilbage til regimet.
På trods af situationens alvor har meddelelsen udløst øjeblikkelig kontrovers og et centralt juridisk spørgsmål: Overtræder disse politikker, især kravet om statsborgerskab, amerikanske føderale antidiskriminationslove?
Kan Coinbase forsvare sine tiltag under gældende lov?
Ved første øjekast ser Coinbases nye politik ud til at være i direkte konflikt med amerikansk føderal lov.
Immigrations- og nationalitetsloven (INA) forbyder generelt arbejdsgivere at diskriminere baseret på en persons statsborgerskab eller immigrationsstatus.
Da systemet er designet til at sikre fair behandling af amerikanske statsborgere, fastboende, asylansøgere og flygtninge, ville en generel “kun amerikanske statsborgere” regel for alle job sandsynligvis være ulovlig.
Men INA anerkender flere vigtige undtagelser. For eksempel kan føderal lov tillade arbejdsgivere at nægte muligheder til personer, der ikke opfylder specifikke nationale sikkerhedskrav. Denne regel gælder ofte for roller, der kræver en formel sikkerhedsgodkendelse eller adgang til klassificeret information.
Eksportkontrollove forhindrer også følsom teknologi i at falde i de forkerte hænder. Den strengeste af disse, International Traffic in Arms Regulations (ITAR), regulerer militære og forsvarsrelaterede genstande. De bredere Export Administration Regulations (EAR) regler dækker “dual-use” genstande med kommercielle og militære anvendelser.
Disse love kræver ikke ansættelse baseret på statsborgerskab. Men de kan gøre det lettere for en virksomhed at ansætte en amerikansk statsborger og undgå den komplekse proces med at få en særlig regeringslicens til at dele teknologi med ikke-amerikanere.
Endelig kan en virksomhed være juridisk forpligtet til kun at ansætte amerikanske statsborgere til visse roller under en føderal kontrakt.
Coinbases centrale juridiske puslespil forbliver, om det kan argumentere for, at dets sikkerhedsdrevne foranstaltninger falder inden for en af disse tilladte undtagelser, eller om dets tilgang sætter en farlig præcedens for teknologibranchen.
En målrettet politik, ikke et generelt forbud
Den første nyhed om Coinbases meddelelse udløste spekulationer om, at det indførte en virksomhedsomfattende “kun amerikanske statsborgere” ansættelsespolitik, hvilket ville have overtrådt føderal lov.
Men en talsmand korrigerede denne fortælling i en e-mailudveksling, BeInCrypto havde med Coinbase.
“Vi indfører ikke en virksomhedsomfattende ‘kun amerikanske statsborgere’ ansættelsespolitik… Disse ændringer vil primært påvirke medarbejdere i roller med adgang til følsomme systemer, og Coinbase-roller forbliver åbne for kvalificerede kandidater uanset nationalitet,” sagde talsmanden til BeInCrypto.
Denne sondring antyder, at virksomheden ikke stoler på en specifik føderal regulering for at retfærdiggøre sin politik. Faktisk præciserede en talsmand, at Coinbases nye sikkerhedsforanstaltninger ikke handler om at udnytte nogen juridiske undtagelser fastlagt af amerikansk føderal lov.
“Dette handler ikke om at påberåbe sig ITAR/EAR eller skabe ansættelsesrestriktioner baseret på statsborgerskab. De ændringer, der diskuteres, handler om at tilføje nye sikkerhedsforanstaltninger i onboarding-fasen, såsom personlig identitetsverifikation, fingeraftryk og orientering, for at reducere risici fra ondsindede aktører,” sagde Coinbase.
Vedrørende den obligatoriske personlige orientering præciserede Coinbase, at disse begivenheder vil finde sted i regionale knudepunkter for ikke-amerikanske medarbejdere.
Mens Coinbases politik tilsyneladende undgår de mest åbenlyse juridiske faldgruber, bevæger den sig ind i et nyt og uprøvet gråzoneområde.
Udover ansættelse: Beskytte arbejdsstyrken
Coinbases position hviler på argumentet om, at truslen fra nordkoreanske aktører er så alvorlig, at det kræver en foranstaltning, der ellers ville blive betragtet som overgreb. Det er i bund og grund en satsning på, at en domstol vil finde dets sikkerhedsmæssige begrundelse overbevisende nok til at opveje et diskriminationskrav.
For at forsvare sin holdning placerede Coinbase sine nye tiltag i konteksten af et bredere skift i hele sektoren.
“Givet stigningen i bedrageriske ansøgninger og ondsindede aktører, der forsøger at infiltrere teknologivirksomheder, forventer vi, at stærkere bevis på identitet og begrænsede krav om personlig tilstedeværelse vil blive mere almindelige i hele branchen,” sagde Coinbase-talsmanden til BeInCrypto.
Som supplement til denne bredere tendens med strengere identitetsverifikation implementerede virksomheden også en flerlags sikkerhedstilgang for at bekæmpe interne sårbarheder.
“Vi tager insidertrusler alvorligt, herunder muligheden for ekstern tvang eller bestikkelsesforsøg. Vores lagdelte tilgang inkluderer teknisk overvågning, baggrundstjek, obligatorisk sikkerhedstræning og fremover stærkere sikkerhedsforanstaltninger ved personlig onboarding,” tilføjede Coinbase.
Ved at vise, at dets politikker omfatter både nye og eksisterende medarbejdere, positionerer Coinbase sine tiltag som en helhedsorienteret reaktion på en trussel, som føderal lovgivning måske ikke fuldt ud har forudset.
Coinbase som en test case for kryptoindustrien
Debatten om Coinbases politik er repræsentativ for en større kamp, som hele industrien står overfor. Efterhånden som statssponsorerede aktører og ondsindede grupper bliver mere sofistikerede, tvinges virksomheder til at vedtage sikkerhedsforanstaltninger, der udvisker grænserne mellem traditionelle ansættelsespraksisser og national sikkerhed.
Givet sin omfattende rækkevidde vil Coinbases reaktion på disse trusler sandsynligvis sætte en præcedens. Spørgsmålet er ikke længere, om en virksomhed kan ansætte en ikke-statsborger.
Det involverer også at balancere den juridiske og etiske linje for at beskytte sig selv og sine kunder mod disse stadig mere sofistikerede angreb.
Mens Coinbase har forsvaret sine handlinger, er det stadig uklart, om dets model vil sætte en ny industristandard eller blive den første test i en ny æra af juridiske kampe.
