Texas blir denne uken den femte amerikanske staten som forbyr TikTok-appen på statlig eide enheter på grunn av bekymringer om at sosiale medier-appen samler inn sensitive data fra brukerenheter og potensielt gjør den tilgjengelig for den kinesiske regjeringen.
Spørsmålet nå er om private selskaper vil implementere lignende restriksjoner på bruk av den populære sosiale medieappen på enheter som ansatte bruker for å få tilgang til bedriftsdata og -applikasjoner.
Uakseptabel risiko
Texas-guvernør Greg Abbott sa onsdag at han hadde beordret alle statlige byråer til å forby TikTok på alle statlig utstedte enheter med øyeblikkelig virkning. Abbott sa at han også har gitt hvert statlige byrå frem til 15. februar 2023 til å implementere sine egne retningslinjer angående bruk av TikTok på personlige enheter som tilhører ansatte - med forbehold om godkjenning fra Texas Department of Public Safety.
"TikTok høster enorme mengder data fra brukernes enheter – inkludert når, hvor og hvordan de utfører internettaktivitet – og tilbyr denne samlingen av potensielt sensitiv informasjon til den kinesiske regjeringen,” sa Abbott, og gjentok bekymringer som mange andre har uttrykt nylig.
Abbott pekte på Kinas 2017 National Intelligence Law, som forplikter kinesiske selskaper og enkeltpersoner til å bistå i statlige etterretningsinnhentingsaktiviteter, og en nylig advarsel fra FBI-direktør Christopher Wray om TikToks bruk i påvirkningsoperasjoner, som begrunnelse for hans avgjørelse.
Abbotts ordre kom bare én dag etter at Maryland-guvernør Larry Hogan utstedte en nøddirektiv forbud mot bruk av TikTok og andre kinesiske og russisk-påvirkede produkter på statlig utstedte enheter, med henvisning til den "uakseptable" cybersikkerhetsrisikoen de utgjorde for staten.
Bestillingen hans gjelder TikTok, Huawei Technologies, ZTE Corp., Tencent Holdings-produkter inkludert WeChat, Alibaba-produkter inkludert AliPay og Kaspersky. Hogans direktiv krever at alle statlige byråer i Maryland fjerner disse produktene fra statlige nettverk innen 14 dager og implementerer nettverksbaserte restriksjoner som hindrer tilgang til disse tjenestene.
Som Abbott, også Hogan siterte Wrays advarsel om TikTok som presenterer en nasjonal sikkerhetstrussel i sin uttalelse, samt en nylig NBC News rapporterer om kinesiske hackere som stjeler millioner av dollar i covid-relaterte fordeler.
De tre andre statene som har gitt lignende direktiver over lignende bekymringer er South Dakota, South Carolinaog Nebraska. I tillegg har de amerikanske forsvars-, stats- og hjemmesikkerhetsdepartementene alle forbudt TikTok på føderalt utstedte enheter. Denne juli, medlemmer av Senatets utvalgte komité for etterretning sendte et brev til lederen av Federal Trade Commission som oppfordrer byrået til å undersøke det det hevdet var villedende praksis fra TikTok med hensyn til dets personvernpraksis.
Bekymringer øker til tross for TikToks forsikringer
Det økende antallet forbud mot bruk av TikTok på statlige og føderale enheter og nettverk vil garantert oppmuntre andre statlige myndigheter, føderale byråer og private selskaper til å vurdere sikkerhets- og personvernimplikasjonene ved bruk av appen for sosiale medier.
I en høring i Senatet tidligere i år, TikTok COO Vanessa Pappas opprettholdt at TikTok ikke opererer i Kina og appen ikke er tilgjengelig der. Hun har beskrevet selskapet som innlemmet i USA og i samsvar med amerikanske lover. Selv om TikTok har ansatte basert i Kina, har selskapet streng tilgangskontroll over hvilke data de ansatte har tilgang til og hvor TikTok lagrer dataene, vitnet Pappas. Tidligere i år kunngjorde selskapet også at det har lansert et initiativ kalt Prosjekt Texas designet for å styrke tilliten til sikkerhetstiltakene selskapet har iverksatt og vil sette i verk for å beskytte amerikanske brukerdata og nasjonale sikkerhetsinteresser. TikTok lagrer nå 100 % av amerikanske brukerdata i USA i Oracles skymiljø og jobber med Oracle for å implementere avanserte datasikkerhetskontroller, sa TikTok-sjef Shou Zi Chew den gang.
I en e-postkommentar til Dark Reading uttrykte TikTok-talsperson Jamal Brown skuffelse over den siste utviklingen. "Vi tror bekymringene som driver disse beslutningene er i stor grad drevet av feilinformasjon om selskapet vårt," sier Brown. "Vi er glade for å fortsette å ha konstruktive møter med statlige beslutningstakere for å diskutere vår personvern- og sikkerhetspraksis. Vi er skuffet over at mange statlige etater, kontorer og universiteter ikke lenger vil være i stand til å bruke TikTok til å bygge fellesskap og få kontakt med velgere.»
Til tross for slike forsikringer, fortsetter det faktum at en Kina-basert enhet kalt ByteDance Ltd eier TikTok og at den kinesiske regjeringen eier minst en delvis eierandel i et av datterselskapene å være en stor kilde til bekymring for mange. Nylige rapporter om trusselaktører som bruker plattformen å distribuere skadelig programvare har ikke hjulpet sakene.
"Den spesifikke situasjonen med TikTok som er basert i Kina og er underlagt kinesisk lov, som kan gi det kinesiske kommunistpartiet (CCP) tilgang til brukerdata, gir mange mennesker pause," sier Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber.
Sosiale medier-applikasjoner som TikTok kan også være problematiske for organisasjoner. "De er umåtelig populære, spesielt blant generasjonene som har vokst opp med sosiale medier," sier han. Det er helt rimelig at organisasjoner vil begrense hvilke apper som blir installert på organisasjonens enheter og anbefaler sine ansatte å ikke installere det på noen personlige systemer de bruker for å få tilgang til bedriftssystemer, sier Parkin.
På enheter levert av organisasjoner ville et forbud mot TikTok være absolutt håndhevbart, sier han. Men det samme ville ikke være tilfelle for personlig eide og ikke-administrerte enheter, bemerker han. "Organisasjonen kan legge opp kravene, men å håndheve dem blir mye mer utfordrende både etisk og juridisk," sier Parkin.
Patrick Tiquet, visepresident for sikkerhet og arkitektur i Keeper Security, sier den raske spredningen av BYOD-policyer og distribuerte eksterne arbeidsmiljøer har bidratt til en eksponentiell økning i risikoen for endepunkter og applikasjoner for både offentlige og private enheter. "Dette setter organisasjoner i en prekær situasjon, siden de må veie bekvemmeligheten og kostnadsbesparelsene til BYOD-policyer med den betydelige cybersikkerhetsrisikoen," sier Tiquet. "Å forby spesifikke apper kan virke som en enkel og grei tilnærming for å sikre sikkerhet, men med en BYOD-policy er det vanskelig å håndheve."
