Texas is deze week de vijfde Amerikaanse staat geworden die de TikTok-app verbiedt op apparaten die eigendom zijn van de overheid vanwege bezorgdheid over de sociale media-app die gevoelige gegevens verzamelt van gebruikersapparaten en deze mogelijk beschikbaar stelt aan de Chinese overheid.
De vraag is nu of particuliere bedrijven vergelijkbare beperkingen zullen invoeren voor het gebruik van de populaire sociale media-app op apparaten die werknemers gebruiken om toegang te krijgen tot bedrijfsgegevens en -applicaties.
Onaanvaardbaar risico
De gouverneur van Texas, Greg Abbott, zei woensdag dat hij alle overheidsinstanties had bevolen TikTok met onmiddellijke ingang te verbieden op alle door de staat uitgegeven apparaten. Abbott zei dat hij ook elke overheidsinstantie tot 15 februari 2023 de tijd heeft gegeven om hun eigen beleid te implementeren met betrekking tot het gebruik van TikTok op persoonlijke apparaten van werknemers – onder voorbehoud van goedkeuring door het Texas Department of Public Safety.
"TikTok verzamelt enorme hoeveelheden gegevens van de apparaten van zijn gebruikers - inclusief wanneer, waar en hoe ze internetactiviteit uitvoeren - en biedt deze schat aan potentieel gevoelige informatie aan de Chinese overheid, 'zei Abbott, in navolging van de zorgen die vele anderen onlangs hebben geuit.
Abbott wees naar die van China Nationale inlichtingenwet 2017, die Chinese bedrijven en individuen verplicht om te helpen bij het verzamelen van inlichtingen door de staat, en een recente waarschuwing van FBI-directeur Christopher Wray over Het gebruik van TikTok bij beïnvloedingsoperaties, als redenen voor zijn beslissing.
Het bevel van Abbott kwam slechts één dag nadat de gouverneur van Maryland, Larry Hogan, een noodrichtlijn het verbieden van het gebruik van TikTok en andere door China en Rusland beïnvloede producten op door de staat uitgegeven apparaten, daarbij verwijzend naar het "onaanvaardbare" cyberbeveiligingsrisico dat ze voor de staat vormden.
Zijn bestelling is van toepassing op TikTok, Huawei Technologies, ZTE Corp., Tencent Holdings-producten, waaronder WeChat, Alibaba-producten, waaronder AliPay, en Kaspersky. De richtlijn van Hogan vereist dat alle overheidsinstanties van Maryland deze producten binnen 14 dagen van de staatsnetwerken verwijderen en netwerkgebaseerde beperkingen invoeren die de toegang tot deze diensten verhinderen.
Net als Abbott, Hogan ook citeerde de waarschuwing van Wray over TikTok die in zijn verklaring een bedreiging voor de nationale veiligheid vormt, evenals een recente NBC News-rapport over Chinese hackers die miljoenen dollars aan COVID-gerelateerde voordelen stelen.
De drie andere staten die soortgelijke richtlijnen hebben uitgevaardigd over soortgelijke zorgen zijn dat wel zuid Dakota, zuid Carolina en Nebraska. Bovendien hebben de Amerikaanse ministeries van Defensie, Staat en Binnenlandse Veiligheid TikTok allemaal verboden op federaal uitgegeven apparaten. In juli leden van de Senate Select Committee on Intelligence een brief gestuurd aan de voorzitter van de Federal Trade Commission die er bij het bureau op aandrong om te onderzoeken wat volgens haar misleidende praktijken van TikTok waren met betrekking tot zijn praktijken op het gebied van gegevensprivacy.
De zorgen nemen toe ondanks de verzekeringen van TikTok
Het groeiende aantal verboden op het gebruik van TikTok op staats- en federale apparaten en netwerken zal andere deelstaatregeringen, federale agentschappen en particuliere bedrijven zeker aanmoedigen om de veiligheids- en privacyimplicaties van het gebruik van de sociale media-app af te wegen.
Tijdens een hoorzitting in de Senaat eerder dit jaar TikTok COO Vanessa Pappas onderhouden dat TikTok niet actief is in China en dat de app daar niet beschikbaar is. Ze heeft het bedrijf beschreven als opgericht in de VS en in overeenstemming met de Amerikaanse wetgeving. Hoewel TikTok werknemers heeft die in China zijn gevestigd, heeft het bedrijf strikte toegangscontrole over welke gegevens die werknemers toegang hebben en waar TikTok de gegevens opslaat, getuigde Pappas. Eerder dit jaar kondigde het bedrijf ook aan dat het een initiatief genaamd Project Texel ontworpen om het vertrouwen te versterken in de waarborgen die het bedrijf heeft ingevoerd en zal invoeren om Amerikaanse gebruikersgegevens en nationale veiligheidsbelangen te beschermen. TikTok slaat nu 100% van de Amerikaanse gebruikersgegevens in de VS op in de cloudomgeving van Oracle en werkt samen met Oracle om geavanceerde gegevensbeveiligingscontroles te implementeren, zei TikTok-CEO Shou Zi Chew destijds.
In een reactie per e-mail aan Dark Reading uitte TikTok-woordvoerder Jamal Brown zijn teleurstelling over de recente ontwikkelingen. "Wij geloven dat de zorgen die deze beslissingen sturen, grotendeels worden aangewakkerd door verkeerde informatie over ons bedrijf", zegt Brown. “We blijven graag constructieve vergaderingen houden met beleidsmakers van de staat om onze privacy- en beveiligingspraktijken te bespreken. We zijn teleurgesteld dat veel overheidsinstanties, kantoren en universiteiten TikTok niet langer kunnen gebruiken om gemeenschappen op te bouwen en contact te maken met kiezers.”
Ondanks dergelijke garanties blijft het feit dat een in China gevestigde entiteit genaamd ByteDance Ltd eigenaar is van TikTok en dat de Chinese overheid op zijn minst een gedeeltelijk belang heeft in een van haar dochterondernemingen, voor velen een grote bron van zorg. Recente rapporten over bedreigingsactoren die het platform gebruiken om malware te verspreiden hebben de zaken niet geholpen.
"De specifieke situatie waarin TikTok in China is gevestigd en onderworpen is aan de Chinese wet, die de Chinese Communistische Partij (CCP) toegang kan geven tot gebruikersgegevens, zet veel mensen aan het denken", zegt Mike Parkin, senior technisch ingenieur bij Vulcan Cyber.
Ook voor organisaties kunnen social media-applicaties zoals TikTok problematisch zijn. "Ze zijn immens populair, vooral bij de generaties die zijn opgegroeid met sociale media", zegt hij. Het is volkomen redelijk dat organisaties zouden beperken welke apps mogen worden geïnstalleerd op hun door de organisatie geleverde apparaten en hun werknemers zouden aanraden deze niet te installeren op persoonlijke systemen die ze gebruiken om toegang te krijgen tot bedrijfssystemen, zegt Parkin.
Op apparaten die door organisaties ter beschikking worden gesteld, zou een verbod op TikTok absoluut afdwingbaar zijn, zegt hij. Maar hetzelfde zou niet gelden voor persoonlijke en onbeheerde apparaten, merkt hij op. "De organisatie kan de vereisten opstellen, maar het handhaven ervan wordt veel moeilijker, zowel ethisch als juridisch", zegt Parkin.
Patrick Tiquet, vice-president beveiliging en architectuur bij Keeper Security, zegt dat de snelle verspreiding van BYOD-beleid en gedistribueerde externe werkomgevingen heeft bijgedragen aan een exponentiële toename van het risico voor endpoints en applicaties voor entiteiten in zowel de publieke als de private sector. "Dit plaatst organisaties in een precaire situatie, omdat ze het gemak en de kostenbesparingen van BYOD-beleid moeten afwegen tegen het aanzienlijke cyberbeveiligingsrisico", zegt Tiquet. "Het verbieden van specifieke apps lijkt misschien een eenvoudige en ongecompliceerde benadering om de beveiliging te waarborgen, maar met een BYOD-beleid is het moeilijk af te dwingen."
