Texas minggu ini menjadi negara bagian AS kelima yang melarang aplikasi TikTok pada perangkat milik pemerintah karena kekhawatiran tentang aplikasi media sosial yang mengambil data sensitif dari perangkat pengguna dan berpotensi membuatnya tersedia untuk pemerintah China.
Pertanyaannya sekarang adalah apakah perusahaan swasta akan menerapkan pembatasan serupa pada penggunaan aplikasi media sosial populer di perangkat yang digunakan karyawan untuk mengakses data dan aplikasi perusahaan.
Risiko yang Tidak Dapat Diterima
Gubernur Texas Greg Abbott pada hari Rabu mengatakan dia telah memerintahkan semua lembaga negara untuk melarang TikTok pada perangkat apa pun yang dikeluarkan negara segera berlaku. Abbott mengatakan dia juga telah memberikan waktu kepada setiap lembaga negara bagian hingga 15 Februari 2023 untuk menerapkan kebijakan mereka sendiri terkait penggunaan TikTok pada perangkat pribadi milik karyawan — harus disetujui oleh Departemen Keamanan Publik Texas.
"TikTok memanen data dalam jumlah besar dari perangkat penggunanya — termasuk kapan, di mana, dan bagaimana mereka melakukan aktivitas internet — dan menawarkan harta karun informasi yang berpotensi sensitif ini kepada pemerintah China,” kata Abbott, menggemakan kekhawatiran yang diungkapkan banyak orang baru-baru ini.
Abbott menunjuk ke Cina UU Intelijen Nasional 2017, yang mewajibkan perusahaan dan individu China untuk membantu kegiatan pengumpulan intelijen negara, dan peringatan baru-baru ini dari Direktur FBI Christopher Wray tentang Penggunaan TikTok dalam operasi pengaruh, sebagai alasan keputusannya.
Perintah Abbott datang hanya satu hari setelah Gubernur Maryland Larry Hogan mengeluarkan sebuah arahan darurat melarang penggunaan TikTok dan produk-produk lain yang dipengaruhi China dan Rusia pada perangkat yang dikeluarkan negara, mengutip risiko keamanan siber yang “tidak dapat diterima” yang mereka berikan kepada negara.
Perintahnya berlaku untuk TikTok, Huawei Technologies, ZTE Corp., produk Tencent Holdings termasuk WeChat, produk Alibaba termasuk AliPay, dan Kaspersky. Arahan Hogan mewajibkan semua lembaga negara bagian Maryland untuk menghapus produk ini dari jaringan negara bagian dalam waktu 14 hari dan menerapkan pembatasan berbasis jaringan yang mencegah akses ke layanan ini.
Seperti Abbott, Hogan juga mengutip peringatan Wray tentang TikTok yang menghadirkan ancaman keamanan nasional dalam pernyataannya, serta baru-baru ini Laporan Berita NBC tentang peretas Tiongkok yang mencuri jutaan dolar dalam keuntungan terkait COVID.
Tiga negara bagian lain yang telah mengeluarkan arahan serupa atas masalah serupa adalah South Dakota, Carolina Selatan, dan Nebraska. Selain itu, Departemen Pertahanan, Negara Bagian, dan Keamanan Dalam Negeri AS semuanya telah melarang TikTok pada perangkat yang dikeluarkan pemerintah federal. Juli ini, anggota Komite Pilih Senat untuk Intelijen mengirim surat kepada ketua Komisi Perdagangan Federal mendesak badan tersebut untuk menyelidiki apa yang diklaimnya sebagai praktik penipuan oleh TikTok sehubungan dengan praktik privasi datanya.
Kekhawatiran Meningkat Terlepas dari Jaminan TikTok
Semakin banyak larangan penggunaan TikTok pada perangkat dan jaringan negara bagian dan federal pasti akan mendorong pemerintah negara bagian lain, lembaga federal, dan perusahaan swasta untuk mempertimbangkan implikasi keamanan dan privasi dari penggunaan aplikasi media sosial.
Dalam sidang Senat awal tahun ini, kata COO TikTok, Vanessa Pappas bahwa TikTok tidak beroperasi di China dan aplikasinya tidak tersedia di sana. Dia menggambarkan perusahaan itu didirikan di AS dan mematuhi undang-undang AS. Meskipun TikTok memiliki karyawan yang berbasis di China, perusahaan memiliki kontrol akses yang ketat atas data apa yang dapat diakses oleh karyawan tersebut dan di mana TikTok menyimpan data tersebut, Pappas bersaksi. Awal tahun ini, perusahaan juga mengumumkan telah meluncurkan inisiatif bernama Proyek Texas dirancang untuk meningkatkan kepercayaan pada perlindungan yang telah dan akan dilakukan perusahaan untuk melindungi data pengguna AS dan kepentingan keamanan nasional. TikTok sekarang menyimpan 100% data pengguna AS di AS dalam lingkungan cloud Oracle dan bekerja sama dengan Oracle untuk menerapkan kontrol keamanan data tingkat lanjut, kata CEO TikTok Shou Zi Chew saat itu.
Dalam komentar email ke Dark Reading, juru bicara TikTok Jamal Brown mengungkapkan kekecewaannya atas perkembangan terakhir. “Kami yakin kekhawatiran yang mendorong keputusan ini sebagian besar dipicu oleh informasi yang salah tentang perusahaan kami,” kata Brown. “Kami senang untuk terus melakukan pertemuan konstruktif dengan pembuat kebijakan negara bagian untuk membahas praktik privasi dan keamanan kami. Kami kecewa karena banyak lembaga negara, kantor, dan universitas tidak lagi dapat menggunakan TikTok untuk membangun komunitas dan terhubung dengan konstituen.”
Terlepas dari jaminan tersebut, fakta bahwa entitas yang berbasis di China bernama ByteDance Ltd memiliki TikTok dan bahwa pemerintah China memiliki setidaknya sebagian saham di salah satu anak perusahaannya terus menjadi sumber perhatian utama banyak orang. Laporan terbaru tentang pelaku ancaman yang menggunakan platform untuk mendistribusikan malware belum membantu masalah.
“Situasi khusus dengan TikTok yang berbasis di Tiongkok dan tunduk pada hukum Tiongkok, yang dapat memberikan akses kepada Partai Komunis Tiongkok (PKT) ke data pengguna, membuat banyak orang terhenti,” kata Mike Parkin, insinyur teknis senior di Vulcan Cyber.
Aplikasi media sosial seperti TikTok juga bisa menjadi masalah bagi organisasi. “Mereka sangat populer, terutama dengan generasi yang tumbuh dengan media sosial,” katanya. Sangat masuk akal bahwa organisasi akan membatasi aplikasi apa yang diinstal pada perangkat yang disediakan organisasi mereka dan merekomendasikan karyawan mereka untuk tidak menginstalnya pada sistem pribadi apa pun yang mereka gunakan untuk mengakses sistem perusahaan, kata Parkin.
Pada perangkat yang disediakan oleh organisasi, larangan TikTok akan benar-benar dapat ditegakkan, katanya. Tetapi hal yang sama tidak berlaku untuk perangkat yang dimiliki dan tidak dikelola secara pribadi, catatnya. “Organisasi dapat menetapkan persyaratan, tetapi menegakkannya menjadi jauh lebih menantang baik secara etis maupun hukum,” kata Parkin.
Patrick Tiquet, wakil presiden keamanan dan arsitektur di Keeper Security, mengatakan perkembangan pesat kebijakan BYOD dan lingkungan kerja jarak jauh terdistribusi telah berkontribusi pada peningkatan eksponensial risiko titik akhir dan aplikasi untuk entitas sektor publik dan swasta. “Hal ini menempatkan organisasi dalam situasi genting, karena mereka harus mempertimbangkan kenyamanan dan penghematan biaya kebijakan BYOD dengan risiko keamanan siber yang signifikan,” kata Tiquet. “Melarang aplikasi tertentu mungkin tampak seperti pendekatan sederhana dan langsung untuk memastikan keamanan, tetapi dengan kebijakan BYOD, sulit untuk ditegakkan.”
