این گزارش به بررسی جنجال های اخیر پیرامون استارتاپ دلو می پردازد که متهم به انطباق تقلبی و ارائه مدارک جعلی برای دور زدن قوانین حریم خصوصی شده است؛ اتهاماتی که اهمیت نظارت دقیق بر پلتفرم های خودکار امنیتی را بیش از پیش نشان می دهد.
یک پست ناشناس در ساب استک که همین هفته منتشر شده، استارتاپ حوزه انطباق (Compliance) به نام «دلو» (Delve) را متهم کرده که با فریبکاری «صدها مشتری را متقاعد کرده که با مقررات حریم خصوصی و امنیتی مطابقت دارند». این ادعای انطباق تقلبی به طور بالقوه این مشتریان را در معرض «مسئولیت کیفری تحت قانون HIPAA و جریمه های سنگین تحت قانون GDPR» قرار می دهد.
دلو یک استارتاپ تحت حمایت Y Combinator است که سال گذشته (1402) اعلام کرد 32 میلیون دلار در دور سری A با ارزش گذاری 300 میلیون دلار سرمایه جذب کرده است. (رهبری این دور سرمایه گذاری را Insight Partners بر عهده داشت.) روز جمعه، این استارتاپ در وبلاگ خود سعی کرد این اتهامات را رد کند و پست ساب استک را «گمراه کننده» خواند و گفت که این پست «شامل تعدادی ادعای نادرست است».
پست ساب استک به نام «دیپ دلوور» (DeepDelver) منتشر شده که خودش را به عنوان کارمند یکی از مشتریان (سابق) دلو معرفی کرده است.
دیپ دلوور ماجرای دریافت ایمیلی در آذرماه را بازگو کرد که در آن ادعا شده بود این استارتاپ «یک فایل اکسل حاوی گزارش های محرمانه مشتریان را لو داده است». چنین وقایعی که به افشای اطلاعات شخصی مشتریان در پی نقص امنیتی منجر می شود، نگرانی های جدی را ایجاد کرد؛ هرچند کارون کاوشیک، مدیرعامل دلو، ظاهرا در ایمیل بعدی به مشتریان اطمینان داده بود که آن ها در وضعیت انطباق هستند و هیچ شخص خارجی به داده های حساس دسترسی پیدا نکرده است.
او نوشت: «از آنجایی که تجربه مشترکی از عملکرد ضعیف دلو داشتیم و کلا حس می کردیم یک جای کار می لنگد، تصمیم گرفتیم منابعمان را روی هم بگذاریم و با هم تحقیق کنیم.»
اتهامات مربوط به انطباق تقلبی و مدارک جعلی
نتیجه گیری آن ها چه بود؟ اینکه دلو «ادعای خود مبنی بر سریع ترین پلتفرم بودن را با تولید مدارک جعلی، ایجاد نتیجه گیری های حسابرس به جای مراکز صدور گواهی صوری که گزارش ها را فقط مهر و امضا می کنند، و نادیده گرفتن الزامات اصلی چارچوب ها به دست می آورد؛ در حالی که به مشتریان می گوید 100٪ منطبق هستند». این همان مشکل انطباق تقلبی است.
دیپ دلوور با جزئیات قابل توجهی به این ادعاها پرداخت و این استارتاپ را متهم کرد که به مشتریان «مدارک ساختگی از جلسات هیئت مدیره، تست ها و فرآیندهایی که هرگز اتفاق نیفتاده اند» ارائه می دهد و سپس آن مشتریان را مجبور می کند که «بین پذیرش مدارک جعلی یا انجام کارهای دستی زیاد با اتوماسیون یا هوش مصنوعی ناچیز، یکی را انتخاب کنند».
دیپ دلوور همچنین ادعا کرد که به نظر می رسد تقریبا تمام مشتریان دلو از دو شرکت حسابرسی به نام های «اکورپ» (Accorp) و «گرادینت» (Gradient) عبور کرده اند که او آن ها را به عنوان «بخشی از یک عملیات واحد» توصیف کرد که عمدتا در هند فعالیت می کنند و فقط یک حضور صوری در ایالات متحده دارند.
او گفت این شرکت ها صرفا گزارش هایی را که توسط دلو تولید شده، مهر تایید می زنند. در نتیجه، دیپ دلوور گفت که این استارتاپ ساختار معمول انطباق را «معکوس» کرده است: «دلو با ایجاد نتیجه گیری های حسابرس، روش های تست و گزارش های نهایی قبل از هرگونه بررسی مستقل، خودش را هم در نقش مجری و هم در نقش بررسی کننده قرار می دهد. این فقط یک مسئله فنی نیست؛ یک کلاهبرداری ساختاری است که کل تاییدیه را باطل می کند.» این مصداق بارز انطباق تقلبی است.
دیپ دلوور علاوه بر متهم کردن دلو به گمراه کردن مشتریانش، گفت که این استارتاپ به آن مشتریان کمک می کند تا «با میزبانی صفحات اعتماد (trust pages) که شامل اقدامات امنیتیِ هرگز اجرا نشده است، افکار عمومی را فریب دهند». این می تواند منجر به انطباق تقلبی در نمایش عمومی شود.
در مورد رابطه خودش با دلو، دیپ دلوور گفت که شرکت آن ها صفحه اعتماد خود را از حالت انتشار خارج کرده و دیگر برای بحث انطباق به این استارتاپ تکیه نمی کند.
پاسخ دلو به ادعاهای انطباق تقلبی
دلو با بیان اینکه اصلا گزارش های انطباق صادر نمی کند، به این اتهامات پاسخ داد. در عوض، این شرکت خود را یک «پلتفرم اتوماسیون» می نامد که اطلاعات مربوط به انطباق را دریافت کرده و سپس دسترسی به آن اطلاعات را برای حسابرسان فراهم می کند.
این شرکت اعلام کرد: «گزارش ها و نظرات نهایی صرفا توسط حسابرسان مستقل و دارای مجوز صادر می شود، نه توسط دلو.»
دلو همچنین گفت که مشتریانش «می توانند انتخاب کنند که با حسابرس مورد نظر خودشان کار کنند یا با یکی از شرکت های حسابرسی مستقل و معتبر در شبکه دلو همکاری داشته باشند». این استارتاپ گفت که این شرکت ها «مراکز شناخته شده ای هستند که به طور گسترده در صنعت، از جمله توسط سایر پلتفرم های انطباق، استفاده می شوند».
دلو در پاسخ به این اتهام که «مدارک جعلی» به مشتریان ارائه می دهد، استدلال کرد که صرفا «قالب هایی (templates) را برای کمک به تیم ها جهت مستندسازی فرآیندهایشان مطابق با الزامات انطباق ارائه می دهد، درست مانند سایر پلتفرم های انطباق». این اقدامات مرز باریکی با انطباق تقلبی دارند.
این شرکت گفت: «قالب های پیش نویس با مدارک از پیش پر شده یکی نیستند.» و این تفاوت کلیدی برای جلوگیری از انطباق تقلبی است.
دلو اضافه کرد که «به طور فعال در حال بررسی هرگونه نشت اطلاعاتی است» و «همچنان در حال بررسی پست ساب استک است». این بررسی ها برای روشن شدن ابهامات مربوط به انطباق تقلبی ضروری است.
تقابل میان ادعاهای افشاگران و دفاعیات شرکت دلو، ضرورت بازنگری در مدل های واگذاری امنیت به الگوریتم ها و پلتفرم های خودکار را یادآوری می کند. در دنیایی که داده ها ارزشمندترین دارایی شرکت ها هستند، شفافیت در گزارش دهی و صداقت در رعایت استانداردها باید فراتر از یک ابزار بازاریابی باشد تا امنیت واقعی کاربران در برابر تهدیدات سایبری و قانونی به طور کامل حفظ گردد.
Delve accused of misleading customers with ‘fake compliance’
