На этой неделе в анонимном посте в Substack компании Delve, занимающейся автоматизацией соблюдения нормативных требований, предъявили серьёзные обвинения: стартап якобы вводил в заблуждение сотни клиентов, убеждая их, что они соответствуют нормам безопасности и конфиденциальности, включая HIPAA и GDPR. При этом реальное положение дел, по утверждению автора, могло подвергнуть клиентов уголовной ответственности и крупным штрафам.
Delve — стартап из акселератора Y Combinator, который в прошлом году привлёк 32 миллиона долларов при оценке в 300 миллионов (раунд возглавил Insight Partners). В пятницу компания опубликовала ответ на своём блоге, назвав пост «вводящим в заблуждение» и отметив, что в нём содержится «ряд неточных утверждений».
Автор поста выступает под псевдонимом DeepDelver и утверждает, что работал в компании — бывшем клиенте Delve. По его словам, в декабре он получил письмо, в котором сообщалось, что стартап утекла таблица с конфиденциальными отчётами клиентов. Хотя CEO Delve Карун Каушик (Karun Kaushik) позже заверил клиентов, что утечки не было и данные не попали к третьим лицам, это вызвало подозрения у DeepDelver и других пользователей.
«Имея общий опыт разочарования от работы с Delve и ощущение, что тут что-то нечисто, мы решили объединить усилия и провести расследование», — написал он.
Суть обвинений
По версии DeepDelver, Delve якобы выдаёт фальшивые доказательства соответствия, генерирует выводы аудиторов от имени сертификационных организаций, которые просто ставят галочки, и пропускает ключевые требования стандартов, утверждая при этом, что клиент достиг 100% соответствия.
Автор утверждает, что платформа предоставляет клиентам поддельные протоколы заседаний совета директоров, результаты тестов и описания процессов, которых никогда не проводилось. При этом перед клиентами стоит выбор: либо использовать эти фальшивые доказательства, либо выполнять большую часть работы вручную, получая при этом мало реальной автоматизации или помощи от искусственного интеллекта (AI).
Аудиторы как часть схемы?
DeepDelver также заявил, что почти все клиенты Delve проходят аудит через две компании — Accorp и Gradient. По его словам, это «одна и та же структура» с основной деятельностью в Индии и лишь номинальным присутствием в США.
Эти фирмы, по утверждению автора, не проводят независимой проверки, а просто автоматически утверждают отчёты, подготовленные самим Delve. Это, по его мнению, полностью нарушает логику аудита: «Delve формирует выводы аудиторов, процедуры проверок и финальные отчёты до независимого анализа. Таким образом, стартап становится и исполнителем, и проверяющим. Это не формальность — это структурное мошенничество, которое делает всю сертификацию недействительной».
Помимо обмана клиентов, DeepDelver утверждает, что Delve помогает им вводить в заблуждение общественность, размещая на страницах доверия (trust pages) информацию о мерах безопасности, которые на самом деле не внедрялись.
Сам автор сообщил, что его компания удалила страницу доверия и больше не использует Delve для обеспечения соответствия нормам.
Ответ Delve
Delve отрицает ключевые обвинения. В своём ответе компания заявила, что не выдаёт отчёты о соответствии вовсе. Вместо этого она позиционирует себя как платформу автоматизации, которая собирает данные о соблюдении норм и предоставляет их аудиторам.
«Окончательные отчёты и заключения выдаются исключительно независимыми, лицензированными аудиторами, а не Delve».
Стартап также отметил, что клиенты могут выбрать любого аудитора или воспользоваться сетью независимых аккредитованных фирм, с которыми сотрудничает Delve. Эти компании, утверждает стартап, являются проверенными игроками отрасли и используются и другими платформами.
В ответ на обвинения в подлоге доказательств Delve пояснил, что предоставляет клиентам лишь шаблоны для документирования процессов, как это делают и другие платформы.
«Черновые шаблоны — это не то же самое, что предзаполненные доказательства».
Delve добавил, что активно расследует возможные утечки и продолжает изучать пост в Substack. TechCrunch направил запрос в службу поддержки Delve, но письмо не дошло. Также журналисты связались с DeepDelver для комментария.