Texas bliver i denne uge den femte amerikanske stat, der forbyder TikTok-appen på statsejede enheder på grund af bekymringer om, at den sociale medie-app indsamler følsomme data fra brugerenheder og potentielt gør den tilgængelig for den kinesiske regering.
Spørgsmålet er nu, om private virksomheder vil implementere lignende begrænsninger for brugen af den populære sociale medie-app på enheder, som medarbejderne bruger til at få adgang til virksomhedens data og applikationer.
Uacceptabel risiko
Texas-guvernør Greg Abbott sagde onsdag, at han havde beordret alle statslige agenturer til at forbyde TikTok på alle statsudstedte enheder med øjeblikkelig virkning. Abbott sagde, at han også har givet hvert statsagentur indtil den 15. februar 2023 til at implementere deres egne politikker vedrørende brugen af TikTok på personlige enheder, der tilhører ansatte - med forbehold for godkendelse af Texas Department of Public Safety.
"TikTok høster enorme mængder data fra sine brugeres enheder – inklusive hvornår, hvor og hvordan de udfører internetaktivitet – og tilbyder denne skare af potentielt følsomme oplysninger til den kinesiske regering,” sagde Abbott og gentog bekymringer, som mange andre har givet udtryk for for nylig.
Abbott pegede på Kinas 2017 National Intelligence Law, som forpligter kinesiske virksomheder og enkeltpersoner til at hjælpe med statslige efterretningsindsamlingsaktiviteter, og en nylig advarsel fra FBI-direktør Christopher Wray om TikToks brug i indflydelsesoperationer, som begrundelse for sin beslutning.
Abbotts ordre kom blot en dag efter Marylands guvernør Larry Hogan udstedte en nøddirektiv forbud mod brugen af TikTok og andre kinesiske og russisk-påvirkede produkter på statsudstedte enheder, med henvisning til den "uacceptable" cybersikkerhedsrisiko, de udgjorde for staten.
Hans ordre gælder for TikTok, Huawei Technologies, ZTE Corp., Tencent Holdings-produkter inklusive WeChat, Alibaba-produkter inklusive AliPay og Kaspersky. Hogans direktiv kræver, at alle statslige myndigheder i Maryland fjerner disse produkter fra statsnetværk inden for 14 dage og implementerer netværksbaserede begrænsninger, der forhindrer adgang til disse tjenester.
Ligesom Abbott, også Hogan citerede Wrays advarsel om TikTok, der præsenterer en national sikkerhedstrussel i sin erklæring, såvel som en nylig NBC News rapport om kinesiske hackere, der stjæler millioner af dollars i COVID-relaterede fordele.
De tre andre stater, der har udstedt lignende direktiver over lignende bekymringer, er South Dakota, South Carolinaog Nebraska. Derudover har de amerikanske forsvars-, stats- og hjemmesikkerhedsministerier alle forbudt TikTok på føderalt udstedte enheder. I juli, medlemmer af Senatets udvalgte efterretningskomité sendte et brev til formanden for Federal Trade Commission, der opfordrede agenturet til at undersøge, hvad det hævdede var vildledende praksis fra TikTok med hensyn til dets databeskyttelsespraksis.
Bekymringerne stiger på trods af TikToks forsikringer
Det voksende antal forbud mod brugen af TikTok på statslige og føderale enheder og netværk vil helt sikkert tilskynde andre statslige regeringer, føderale agenturer og private virksomheder til at afveje sikkerheds- og privatlivsimplikationerne ved at bruge den sociale medie-app.
I en høring i Senatet tidligere i år, TikTok COO Vanessa Pappas fastholdt at TikTok ikke fungerer i Kina, og appen er ikke tilgængelig der. Hun har beskrevet virksomheden som stiftet i USA og i overensstemmelse med amerikanske love. Selvom TikTok har ansatte baseret i Kina, har virksomheden streng adgangskontrol over, hvilke data disse medarbejdere kan få adgang til, og hvor TikTok gemmer dataene, vidnede Pappas. Tidligere i år meddelte selskabet også, at det har lanceret et initiativ kaldet Projekt Texas designet til at styrke tilliden til de sikkerhedsforanstaltninger, virksomheden har indført og vil indføre for at beskytte amerikanske brugerdata og nationale sikkerhedsinteresser. TikTok gemmer nu 100 % af amerikanske brugerdata i USA i Oracles cloud-miljø og arbejder sammen med Oracle om at implementere avancerede datasikkerhedskontroller, sagde TikTok CEO Shou Zi Chew dengang.
I en e-mail-kommentar til Dark Reading udtrykte TikTok-talsmand Jamal Brown skuffelse over den seneste udvikling. "Vi mener, at bekymringerne bag disse beslutninger i høj grad er drevet af misinformation om vores virksomhed," siger Brown. "Vi er glade for fortsat at have konstruktive møder med statslige politikere for at diskutere vores privatlivs- og sikkerhedspraksis. Vi er skuffede over, at mange statslige agenturer, kontorer og universiteter ikke længere vil være i stand til at bruge TikTok til at bygge fællesskaber og forbinde med vælgere."
På trods af sådanne forsikringer er det faktum, at en Kina-baseret enhed kaldet ByteDance Ltd ejer TikTok, og at den kinesiske regering ejer mindst en delvis andel i et af dets datterselskaber, fortsat en stor kilde til bekymring for mange. Nylige rapporter om trusselsaktører, der bruger platformen at distribuere malware har ikke hjulpet sagerne.
"Den specifikke situation med TikTok, der er baseret i Kina og er underlagt kinesisk lov, som kan give det kinesiske kommunistparti (CCP) adgang til brugerdata, giver mange mennesker pause," siger Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber.
Sociale medieapplikationer som TikTok kan også være problematiske for organisationer. "De er uhyre populære, især hos de generationer, der er vokset op med sociale medier," siger han. Det er helt rimeligt, at organisationer vil begrænse, hvilke apps der bliver installeret på deres organisationsleverede enheder og anbefale deres medarbejdere ikke at installere det på nogen personlige systemer, de bruger til at få adgang til virksomhedssystemer, siger Parkin.
På enheder leveret af organisationer ville et forbud mod TikTok være absolut håndhæverligt, siger han. Men det samme ville ikke være tilfældet med personligt ejede og ikke-administrerede enheder, bemærker han. "Organisationen kan opstille kravene, men at håndhæve dem bliver meget mere udfordrende både etisk og juridisk," siger Parkin.
Patrick Tiquet, vicepræsident for sikkerhed og arkitektur hos Keeper Security, siger, at den hurtige udbredelse af BYOD-politikker og distribuerede fjernarbejdsmiljøer har bidraget til en eksponentiel stigning i risikoen for slutpunkter og applikationer for både offentlige og private enheder. "Dette sætter organisationer i en prekær situation, da de skal afveje bekvemmeligheden og omkostningsbesparelserne ved BYOD-politikker med den betydelige cybersikkerhedsrisiko," siger Tiquet. "At forbyde specifikke apps kan virke som en enkel og ligetil tilgang til at sikre sikkerhed, men med en BYOD-politik er det svært at håndhæve."
