Texas blir den här veckan den femte staten i USA som förbjuder TikTok-appen på regeringsägda enheter på grund av oro för att appen för sociala medier samlar in känslig data från användarenheter och eventuellt gör den tillgänglig för den kinesiska regeringen.
Frågan är nu om privata företag kommer att implementera liknande begränsningar för användningen av den populära sociala medieappen på enheter som anställda använder för att komma åt företagsdata och applikationer.
Oacceptabel risk
Texass guvernör Greg Abbott sa på onsdagen att han hade beordrat alla statliga myndigheter att förbjuda TikTok på alla statligt utfärdade enheter med omedelbar verkan. Abbott sa att han också har gett varje statlig myndighet fram till den 15 februari 2023 för att implementera sina egna policyer angående användningen av TikTok på personliga enheter som tillhör anställda - med förbehåll för godkännande av Texas Department of Public Safety.
"TikTok skördar stora mängder data från sina användares enheter – inklusive när, var och hur de bedriver internetaktivitet – och erbjuder den här mängden potentiellt känslig information till den kinesiska regeringen”, sa Abbott och upprepade oro som många andra har uttryckt nyligen.
Abbott pekade på Kinas National Intelligence Law 2017, som förpliktar kinesiska företag och individer att hjälpa till med statlig underrättelseinsamling, och en nyligen varning från FBI-chefen Christopher Wray om TikToks användning i påverkansoperationer, som skäl för sitt beslut.
Abbotts order kom bara en dag efter att Marylands guvernör Larry Hogan utfärdade en nödsdirektiv att förbjuda användningen av TikTok och andra kinesiska och ryskt influerade produkter på statligt utfärdade enheter, med hänvisning till den "oacceptabelt" cybersäkerhetsrisk de utgjorde för staten.
Hans beställning gäller TikTok, Huawei Technologies, ZTE Corp., Tencent Holdings produkter inklusive WeChat, Alibaba produkter inklusive AliPay och Kaspersky. Hogans direktiv kräver att alla statliga myndigheter i Maryland tar bort dessa produkter från statliga nätverk inom 14 dagar och implementerar nätverksbaserade begränsningar som förhindrar åtkomst till dessa tjänster.
Liksom Abbott, även Hogan citerade Wrays varning om TikTok som presenterar ett nationellt säkerhetshot i sitt uttalande, såväl som ett nyligen NBC News rapporterar om kinesiska hackare som stjäl miljontals dollar i covid-relaterade förmåner.
De tre andra staterna som har utfärdat liknande direktiv över liknande problem är South Dakota, South Carolinaoch Nebraska. Dessutom har USA:s försvars-, stats- och hemsäkerhetsdepartement alla förbjudit TikTok på federalt utfärdade enheter. I juli, medlemmar av senatens utskott för underrättelsetjänst skickade ett brev till ordföranden för Federal Trade Commission och uppmanade byrån att undersöka vad den hävdade var vilseledande praxis av TikTok med avseende på dess praxis för datasekretess.
Bekymmer ökar trots TikToks försäkringar
Det växande antalet förbud mot användning av TikTok på statliga och federala enheter och nätverk kommer säkerligen att uppmuntra andra delstatsregeringar, federala myndigheter och privata företag att väga säkerhets- och integritetskonsekvenserna av att använda appen för sociala medier.
I en senatsutfrågning tidigare i år, TikTok COO Vanessa Pappas bibehålls att TikTok inte fungerar i Kina och appen är inte tillgänglig där. Hon har beskrivit företaget som inkorporerat i USA och i enlighet med amerikanska lagar. Även om TikTok har anställda baserade i Kina, har företaget strikt åtkomstkontroll över vilken data de anställda kan komma åt och var TikTok lagrar data, vittnade Pappas. Tidigare i år meddelade företaget också att det har lanserat ett initiativ som heter Projekt Texas utformad för att stärka förtroendet för de skyddsåtgärder som företaget har infört och kommer att införa för att skydda amerikanska användardata och nationella säkerhetsintressen. TikTok lagrar nu 100 % av amerikanska användardata i USA i Oracles molnmiljö och arbetar med Oracle för att implementera avancerade datasäkerhetskontroller, sa TikTok vd Shou Zi Chew då.
I en e-postkommentar till Dark Reading uttryckte TikToks talesperson Jamal Brown besvikelse över den senaste utvecklingen. "Vi tror att oron bakom dessa beslut till stor del drivs av felaktig information om vårt företag", säger Brown. "Vi är glada över att kunna fortsätta ha konstruktiva möten med statliga beslutsfattare för att diskutera vår integritets- och säkerhetspraxis. Vi är besvikna över att många statliga myndigheter, kontor och universitet inte längre kommer att kunna använda TikTok för att bygga samhällen och få kontakt med beståndsdelar.”
Trots sådana försäkringar fortsätter det faktum att en Kina-baserad enhet som heter ByteDance Ltd äger TikTok och att den kinesiska regeringen äger åtminstone en delandel i ett av dess dotterbolag att vara en stor källa till oro för många. Senaste rapporter om hotaktörer som använder plattformen att distribuera skadlig programvara har inte hjälpt saken.
"Den specifika situationen med att TikTok är baserat i Kina och är föremål för kinesisk lag, vilket kan ge det kinesiska kommunistpartiet (CCP) tillgång till användardata, gör att många människor stannar upp", säger Mike Parkin, senior teknisk ingenjör på Vulcan Cyber.
Sociala medieapplikationer som TikTok kan också vara problematiska för organisationer. "De är oerhört populära, särskilt bland de generationer som har vuxit upp med sociala medier", säger han. Det är helt rimligt att organisationer skulle begränsa vilka appar som installeras på deras organisationsförsedda enheter och rekommenderar att deras anställda inte installerar det på några personliga system de använder för att komma åt företagssystem, säger Parkin.
På enheter som tillhandahålls av organisationer skulle ett förbud mot TikTok vara absolut verkställbart, säger han. Men detsamma skulle inte vara sant för personligt ägda och ohanterade enheter, konstaterar han. "Organisationen kan lägga upp kraven, men att efterleva dem blir mycket mer utmanande både etiskt och juridiskt", säger Parkin.
Patrick Tiquet, vice vd för säkerhet och arkitektur på Keeper Security, säger att den snabba spridningen av BYOD-policyer och distribuerade fjärrarbetsmiljöer har bidragit till en exponentiell ökning av risken för endpoints och applikationer för både offentliga och privata enheter. "Detta försätter organisationer i en prekär situation, eftersom de måste väga bekvämligheten och kostnadsbesparingarna med BYOD-policyer med den betydande cybersäkerhetsrisken", säger Tiquet. "Att förbjuda specifika appar kan verka som ett enkelt och okomplicerat tillvägagångssätt för att säkerställa säkerhet, men med en BYOD-policy är det svårt att tillämpa."
