Цього тижня Техас став п’ятим штатом США, який заборонив додаток TikTok на державних пристроях через занепокоєння щодо того, що програма соціальних мереж збирає конфіденційні дані з пристроїв користувачів і потенційно робить їх доступними уряду Китаю.
Питання в тому, чи запровадять приватні компанії подібні обмеження на використання популярної програми соціальних мереж на пристроях, які співробітники використовують для доступу до корпоративних даних і програм.
Неприйнятний ризик
Губернатор Техасу Грег Ебботт у середу заявив, що наказав усім державним установам негайно заборонити TikTok на будь-яких державних пристроях. Ебботт сказав, що він також дав кожному державному агентству до 15 лютого 2023 року реалізацію власної політики щодо використання TikTok на особистих пристроях, що належать співробітникам, за умови схвалення Департаментом громадської безпеки Техасу.
"TikTok збирає величезні обсяги даних з пристроїв своїх користувачів — включно з тим, коли, де і як вони здійснюють діяльність в Інтернеті — і пропонує цю скарбницю потенційно конфіденційної інформації уряду Китаю», — сказав Ебботт, повторюючи занепокоєння, яке нещодавно висловили багато інших.
Еббот вказав на Китай Закон про національну розвідку 2017 року, який зобов’язує китайські компанії та окремих осіб допомагати в державній діяльності зі збору розвідувальних даних, а також нещодавнє попередження директора ФБР Крістофера Рея про Використання TikTok в операціях впливу, як причини свого рішення.
Наказ Еббота надійшов лише через день після того, як губернатор штату Меріленд Ларрі Хоган видав директиву про надзвичайну ситуацію забороняючи використання TikTok та інших китайських і російських продуктів на державних пристроях, посилаючись на «неприйнятний» ризик кібербезпеки, який вони представляють для держави.
Його наказ стосується TikTok, Huawei Technologies, ZTE Corp., продуктів Tencent Holdings, включаючи WeChat, продуктів Alibaba, включаючи AliPay, і Kaspersky. Директива Хогана вимагає від усіх установ штату Меріленд видалити ці продукти з державних мереж протягом 14 днів і запровадити мережеві обмеження, що перешкоджають доступу до цих послуг.
Як Ебботт, Хоган теж процитував попередження Рея про те, що TikTok представляє загрозу національній безпеці в його заяві, а також нещодавній Про це повідомляє NBC News про китайських хакерів, які викрадають мільйони доларів у вигляді пільг, пов’язаних із COVID.
Три інші штати, які видали подібні директиви з подібних проблем Південна Дакота, Південна Кароліна та Небраска. Крім того, Міністерство оборони США, Державний департамент і Міністерство внутрішньої безпеки США заборонили TikTok на пристроях, виданих федеральними органами. У липні цього року члени спеціального комітету Сенату з розвідки направила лист до голови Федеральної торгової комісії, закликаючи агентство розслідувати те, що, на його думку, було оманливою практикою TikTok щодо його практики конфіденційності даних.
Занепокоєння зростають, незважаючи на запевнення TikTok
Зростаюча кількість заборон на використання TikTok на державних і федеральних пристроях і мережах обов’язково спонукає уряди інших штатів, федеральні агентства та приватні компанії зважити наслідки для безпеки та конфіденційності використання програми соціальних мереж.
На слуханнях у Сенаті на початку цього року, Головний операційний директор TikTok Ванесса Паппас підтримується що TikTok не працює в Китаї, і програма там недоступна. Вона описала компанію як зареєстровану в США та відповідну законам США. Хоча у TikTok дійсно є співробітники в Китаї, компанія суворо контролює доступ до того, до яких даних ці співробітники мають доступ і де TikTok зберігає дані, свідчив Паппас. Раніше цього року компанія також оголосила, що запустила ініціативу під назвою Проект Техас призначений для зміцнення довіри до гарантій, які компанія запровадила та запровадить для захисту даних користувачів США та інтересів національної безпеки. TikTok тепер зберігає 100% даних користувачів США в США в хмарному середовищі Oracle і працює з Oracle над впровадженням розширених засобів контролю безпеки даних, заявив тоді генеральний директор TikTok Шоу Цзи Чу.
У електронному коментарі Dark Reading речник TikTok Джамал Браун висловив розчарування останніми подіями. «Ми вважаємо, що занепокоєння, що спричинили ці рішення, значною мірою викликано дезінформацією про нашу компанію», — каже Браун. «Ми раді продовжувати проводити конструктивні зустрічі з державними політиками, щоб обговорити нашу практику конфіденційності та безпеки. Ми розчаровані тим, що багато державних установ, офісів і університетів більше не зможуть використовувати TikTok для створення спільнот і зв’язку з виборцями».
Незважаючи на такі запевнення, той факт, що китайська компанія під назвою ByteDance Ltd володіє TikTok і що уряд Китаю володіє принаймні частковою часткою акцій однієї з її дочірніх компаній, продовжує бути основним джерелом занепокоєння для багатьох. Останні звіти про загрозливих акторів, які використовують платформу поширювати шкідливі програми справи не допомогли.
«Особлива ситуація, коли TikTok знаходиться в Китаї та підпадає під дію китайського законодавства, яке може надати Комуністичній партії Китаю (КПК) доступ до даних користувачів, змушує багатьох людей зупинитися», — каже Майк Паркін, старший технічний інженер Vulcan Cyber.
Програми соціальних мереж, такі як TikTok, також можуть бути проблемними для організацій. «Вони надзвичайно популярні, особливо серед поколінь, які виросли в соціальних мережах», — каже він. Цілком розумно, що організації обмежують установку додатків на пристрої, надані їх організацією, і рекомендують своїм співробітникам не встановлювати їх на жодних особистих системах, які вони використовують для доступу до корпоративних систем, говорить Паркін.
На пристроях, наданих організаціями, заборона TikTok була б абсолютно виконуваною, каже він. Але те саме не стосується пристроїв, якими володіють користувачі та не керуються ними, зазначає він. «Організація може сформулювати вимоги, але дотримання їх стає набагато складнішим як з етичної, так і з юридичної точки зору», — каже Паркін.
Патрік Тіке, віце-президент із безпеки та архітектури Keeper Security, каже, що швидке поширення політик BYOD і розподілених віддалених робочих середовищ сприяло експоненціальному збільшенню ризику для кінцевих точок і додатків як для державних, так і для приватних організацій. «Це ставить організації в небезпечну ситуацію, оскільки вони повинні зважувати зручність і економію політики BYOD із значним ризиком кібербезпеки», — каже Тіке. «Заборона певних програм може здатися простим і зрозумілим підходом до забезпечення безпеки, але за допомогою політики BYOD її важко застосувати».
