טקסס הפכה השבוע למדינה החמישית בארה"ב שאוסרת את אפליקציית TikTok במכשירים בבעלות ממשלתית בגלל חששות שאפליקציית המדיה החברתית אוספת נתונים רגישים ממכשירי משתמשים ועלולה להפוך אותם לזמינים לממשלת סין.
השאלה כעת היא האם חברות פרטיות יישמו הגבלות דומות על השימוש באפליקציית המדיה החברתית הפופולרית במכשירים שבהם עובדים משתמשים כדי לגשת לנתונים ואפליקציות ארגוניות.
סיכון בלתי מתקבל על הדעת
מושל טקסס, גרג אבוט, אמר ביום רביעי שהוא הורה לכל סוכנויות המדינה לאסור על TikTok על כל מכשיר שהונפקו על ידי המדינה בתוקף באופן מיידי. אבוט אמר שהוא גם נתן לכל סוכנות ממלכתית עד 15 בפברואר 2023 ליישם מדיניות משלהם לגבי השימוש ב-TikTok במכשירים אישיים השייכים לעובדים - בכפוף לאישור המחלקה לבטיחות הציבור של טקסס.
"TikTok אוספת כמויות אדירות של נתונים מהמכשירים של המשתמשים שלה - כולל מתי, היכן וכיצד הם מנהלים פעילות באינטרנט - ומציעה את שלל המידע הזה שעלול להיות רגיש לממשלה הסינית", אמר אבוט, מהדהד דאגות שרבים אחרים הביעו לאחרונה.
אבוט הצביע על זה של סין חוק המודיעין הלאומי 2017, המחייב חברות ויחידים סיניים לסייע בפעילויות של איסוף מודיעין ממלכתי, ואזהרה לאחרונה של ראש ה-FBI כריסטופר ריי על השימוש של TikTok בפעולות השפעה, כנימוקים להחלטתו.
ההוראה של אבוט הגיעה יום אחד בלבד לאחר שמושל מרילנד לארי הוגאן הוציא הודעה הנחיית חירום איסור השימוש ב-TikTok ובמוצרים אחרים בהשפעה סינית ורוסית במכשירים שהונפקו על ידי המדינה, תוך ציון סיכון אבטחת הסייבר ה"בלתי מקובל" שהם הציגו למדינה.
ההזמנה שלו חלה על מוצרי TikTok, Huawei Technologies, ZTE Corp., Tencent Holdings כולל WeChat, מוצרי עליבאבא כולל AliPay וקספרסקי. ההנחיה של הוגאן מחייבת את כל סוכנויות מדינת מרילנד להסיר מוצרים אלה מרשתות המדינה בתוך 14 יום וליישם הגבלות מבוססות רשת המונעות גישה לשירותים אלה.
כמו אבוט, גם הוגאן ציטט את האזהרה של ריי על כך ש-TikTok מציג איום לביטחון לאומי בהצהרה שלו, כמו גם לאחרונה דו"ח חדשות NBC על האקרים סינים שגונבים מיליוני דולרים בהטבות הקשורות ל-COVID.
שלוש המדינות האחרות שהוציאו הנחיות דומות בגלל דאגות דומות הן דרום דקוטה, דרום קרוליינה, ו נברסקה. בנוסף, משרדי ההגנה, המדינה וביטחון המולדת של ארה"ב אסרו כולם על TikTok על מכשירים שהונפקו בפדרלית. ביולי הקרוב חברים בוועדה הנבחרת של הסנאט למודיעין שלח מכתב ליו"ר ועדת הסחר הפדרלית שדוחקת בסוכנות לחקור את מה שלטענתה היו שיטות מטעה של TikTok בכל הנוגע לנוהלי פרטיות הנתונים שלה.
החששות עולים על אף ההבטחות של TikTok
המספר ההולך וגדל של האיסורים על השימוש ב-TikTok על מכשירים ורשתות ממלכתיות ופדרליות יעודד ממשלות אחרות, סוכנויות פדרליות וחברות פרטיות לשקול את השלכות האבטחה והפרטיות של השימוש באפליקציית המדיה החברתית.
בדיון בסנאט מוקדם יותר השנה, ונסה פפאס, מנהלת המנהלים של TikTok ש-TikTok לא פועל בתוך סין והאפליקציה לא זמינה שם. היא תיארה את החברה כמאוגדת בארה"ב ותואמת לחוקים בארה"ב. למרות של-TikTok יש עובדים שבסיסם בסין, לחברה יש בקרת גישה קפדנית על הנתונים שהעובדים יכולים לגשת אליהם והיכן TikTok מאחסן את הנתונים, העיד Pappas. מוקדם יותר השנה, החברה גם הודיעה שהיא השיקה יוזמה בשם פרויקט טקסס נועד לחזק את האמון באמצעי ההגנה שהחברה הציבה ותפעיל כדי להגן על נתוני המשתמשים בארה"ב ואינטרסים של ביטחון לאומי. TikTok מאחסנת כעת 100% מנתוני המשתמשים בארה"ב בסביבת הענן של אורקל ועובדת עם אורקל כדי להטמיע בקרות אבטחת נתונים מתקדמות, אמר אז מנכ"ל TikTok, Shou Zi Chew.
בהערה שנשלחה בדוא"ל ל-Dark Reading, דובר TikTok, ג'מאל בראון, הביע אכזבה מההתפתחויות האחרונות. "אנו מאמינים שהחששות המניעים את ההחלטות הללו ניזונים במידה רבה ממידע שגוי על החברה שלנו", אומר בראון. "אנו שמחים להמשיך לקיים פגישות בונות עם קובעי מדיניות במדינה כדי לדון בפרקטיקות הפרטיות והאבטחה שלנו. אנו מאוכזבים מכך שסוכנויות, משרדים ואוניברסיטאות ממלכתיות רבות לא יוכלו עוד להשתמש ב-TikTok כדי לבנות קהילות ולהתחבר עם בוחרים".
למרות הבטחות כאלה, העובדה שיישות מבוססת סין בשם ByteDance Ltd היא הבעלים של TikTok ושהממשלה הסינית מחזיקה לפחות חלק חלקי באחת מחברות הבת שלה, ממשיכה להיות מקור עיקרי לדאגה עבור רבים. דיווחים אחרונים על גורמי איומים המשתמשים בפלטפורמה כדי להפיץ תוכנות זדוניות לא עזרו לעניינים.
"המצב הספציפי עם TikTok שבסיסה בסין וכפופה לחוק הסיני, שיכול לתת למפלגה הקומוניסטית הסינית (CCP) גישה לנתוני משתמשים, גורם לאנשים רבים להשהות", אומר מייק פרקין, מהנדס טכני בכיר בוולקן סייבר.
יישומי מדיה חברתית כמו TikTok יכולים להיות בעייתיים גם עבור ארגונים. "הם פופולריים מאוד, במיוחד בקרב הדורות שגדלו עם המדיה החברתית", הוא אומר. זה סביר לחלוטין שארגונים יגבילו אילו אפליקציות יותקנו במכשירים שסופקו על ידי הארגון וימליצו לעובדים שלהם לא להתקין את זה במערכות אישיות בהן הם משתמשים כדי לגשת למערכות ארגוניות, אומר פרקין.
על מכשירים שסופקו על ידי ארגונים, איסור על TikTok יהיה בר אכיפה, הוא אומר. אבל זה לא יהיה נכון לגבי מכשירים בבעלות אישית ולא מנוהלים, הוא מציין. "הארגון יכול להגדיר את הדרישות, אבל אכיפתן הופכת להרבה יותר מאתגרת הן מבחינה אתית והן מבחינה משפטית", אומר פרקין.
Patrick Tiquet, סגן נשיא לאבטחה וארכיטקטורה ב-Keeper Security, אומר שההתפשטות המהירה של מדיניות BYOD וסביבות עבודה מרוחקות מבוזרות תרמה לעלייה אקספוננציאלית בסיכון לנקודות קצה ויישומים עבור גופים במגזר הציבורי והפרטי כאחד. "זה מציב את הארגונים במצב מעורער, שכן עליהם לשקול את הנוחות והחיסכון בעלויות של מדיניות BYOD עם סיכון אבטחת הסייבר המשמעותי", אומר Tiquet. "איסור על אפליקציות ספציפיות עשוי להיראות כמו גישה פשוטה וישירה להבטחת אבטחה, אבל עם מדיניות BYOD, קשה לאכוף."
