Visselblåsare anklagar Delve för falsk regelefterlevnad

Ett regelefterlevnadsbolag med stöd av riskkapitalbolaget Y Combinator och en värdering på 300 miljoner dollar anklagas offentligt för att ha sålt kunder ”låtsad regelefterlevnad” genom att tillverka bevisning och leda granskningar via det visselblåsaren kallar certifieringsfabriker.

Enligt TechCrunch hävdar en anonym skribent på Substack, under signaturen ”DeepDelver”, att Delve hjälpt ”hundratals” kunder att framstå som om de uppfyllde ramverk för informationssäkerhet och integritet samtidigt som centrala krav hoppades över. Delves verkställande direktör Karun Kaushik förnekar uppgifterna och säger att Delve inte utfärdar några regelefterlevnadsrapporter samt att ”slutliga rapporter och utlåtanden utfärdas enbart av oberoende, licensierade revisorer”.

Tvisten är viktig därför att modern företagsäkerhet i praktiken ofta blivit en upphandlingsfråga innan den är en teknisk fråga. Rapporter enligt SOC 2, certifikat enligt ISO 27001 och liknande intyg behandlas rutinmässigt som inträdesbiljett för att sälja till större kunder, ingå partnerskap eller ens få betalt. När köpare inte kan bedöma ett annat bolags interna kontroller direkt, köper de ett dokument som får fungera som ersättning för förtroende. Det skapar en marknad för snabbhet och förutsägbarhet: den snabbaste vägen till ett ”godkänd”-resultat kan bli mer värd än det långsamma arbetet med att bygga kontroller som tål verklig granskning.

DeepDelver påstår att Delve utnyttjat denna efterfrågan genom att skapa bevisning och granskningsberättelser innan någon oberoende prövning skett, och därefter para ihop kunder med en snäv krets revisionsbyråer. I en sådan modell blir revisorn inte längre en skeptisk extern granskare utan sista steget i en produktionskedja. Drivkraften blir då att standardisera pappersarbetet så att det kan återanvändas mellan kunder, eftersom affärslogiken i regelefterlevnad som tjänst bygger på genomströmning.

Delves gensvar drar en juridisk och praktisk gräns: bolaget beskriver sig som en automatiseringsplattform som samlar in regelefterlevnadsuppgifter och ger revisorer tillgång, medan kunderna kan välja vilken revisor som helst eller använda någon ur Delves nätverk. Den åtskillnaden är avgörande i en värld där ansvaret landar hos den som påstår sig vara regelefterlevande, inte hos programvaruleverantören som hjälpt till att ta fram underlagen. Om en incident eller en myndighetsgranskning senare visar att kontroller aldrig införts är det kunden som riskerar avtalsmässiga påföljder och, i vissa rättsordningar, sanktionsavgifter.

Den bredare lärdomen är att intygssystem kan driva mot ett jämviktsläge där lägsta gemensamma nämnare vinner. Seriösa företag betalar för att införa kontroller och för att bli granskade; mindre seriösa företag betalar för samma stämpel via en billigare väg; köpare behandlar båda som likvärdiga eftersom upphandlingslistor sällan prissätter skillnaden.

I TechCrunchs redogörelse säger visselblåsaren att Delve vid ett tillfälle skickade ”flera kartonger munkar” samtidigt som en kund uttryckte oro. Anklagelsen är inte att pappersarbetet misslyckades med att lugna köpare – utan att det kan ha gjort sitt jobb alltför väl.