德克萨斯州本周成为美国第五个禁止在政府拥有的设备上使用 TikTok 应用程序的州,原因是担心该社交媒体应用程序会从用户设备上收集敏感数据并可能将其提供给中国政府。
现在的问题是,私营公司是否会对在员工用来访问企业数据和应用程序的设备上使用流行的社交媒体应用程序实施类似的限制。
不可接受的风险
德克萨斯州州长格雷格·阿博特周三表示,他已下令所有州机构立即禁止在任何州发行的设备上使用 TikTok。 雅培表示,他还要求各州机构在 15 年 2023 月 XNUMX 日之前实施各自关于在员工个人设备上使用 TikTok 的政策——但须经得克萨斯州公共安全部批准。
“TikTok 收获海量数据 来自其用户设备的信息——包括他们何时、何地以及如何进行互联网活动——并向中国政府提供这些潜在的敏感信息,”阿博特说,呼应了许多其他人最近表达的担忧。
阿博特指出中国的 2017 国家情报法,它要求中国公司和个人协助国家情报收集活动,以及联邦调查局局长克里斯托弗雷最近关于 TikTok 在影响力行动中的使用,作为他做出决定的理由。
雅培的命令是在马里兰州州长拉里霍根发布命令一天后发布的 紧急指令 禁止在国家发布的设备上使用 TikTok 和其他受中国和俄罗斯影响的产品,理由是它们给国家带来了“不可接受的”网络安全风险。
他的命令适用于 TikTok、华为技术、中兴通讯、腾讯控股产品(包括微信)、阿里巴巴产品(包括支付宝)和卡巴斯基。 Hogan 的指令要求所有马里兰州机构在 14 天内从州网络中删除这些产品,并实施基于网络的限制以防止访问这些服务。
和雅培一样,霍根也 引用了 Wray 的警告 关于 TikTok 在他的声明中对国家安全构成威胁,以及最近的 美国全国广播公司新闻报道 关于中国黑客窃取数百万美元与 COVID 相关的福利。
就类似问题发布类似指令的其他三个州是 南达科他州, 南卡罗来纳及 内布拉斯加. 此外,美国国防部、国务院和国土安全部都已禁止在联邦发行的设备上使用 TikTok。 今年 XNUMX 月,参议院情报特别委员会成员 致信 致联邦贸易委员会主席,敦促该机构调查其声称的 TikTok 在其数据隐私实践方面的欺诈行为。
尽管 TikTok 做出了保证,但担忧仍在增加
越来越多的禁止在州和联邦设备和网络上使用 TikTok 的禁令肯定会鼓励其他州政府、联邦机构和私营公司权衡使用社交媒体应用程序对安全和隐私的影响。
在今年早些时候的参议院听证会上, TikTok 首席运营官 Vanessa Pappas 维护 TikTok 不在中国境内运营,该应用程序在中国不可用。 她将该公司描述为在美国注册成立并遵守美国法律。 Pappas 作证说,虽然 TikTok 确实在中国有员工,但该公司对这些员工可以访问哪些数据以及 TikTok 存储数据的位置有严格的访问控制。 今年早些时候,该公司还宣布推出了一项名为 德州计划 旨在增强人们对公司已经实施并将实施的保障措施的信心,以保护美国用户数据和国家安全利益。 TikTok 首席执行官周寿子当时表示,TikTok 现在将 100% 的美国用户数据存储在 Oracle 的云环境中,并正在与 Oracle 合作实施高级数据安全控制。
在发给 Dark Reading 的电子邮件评论中,TikTok 发言人贾马尔·布朗 (Jamal Brown) 对最近的事态发展表示失望。 Brown 说:“我们认为,促使做出这些决定的担忧很大程度上是由关于我们公司的错误信息引起的。” “我们很高兴继续与州政策制定者举行建设性会议,讨论我们的隐私和安全做法。 我们感到失望的是,许多国家机构、办公室和大学将无法再使用 TikTok 来建立社区并与选民建立联系。”
尽管有这样的保证,但一个名为 ByteDance Ltd 的中国实体拥有 TikTok 并且中国政府至少拥有其子公司之一的部分股权这一事实仍然是许多人关注的主要问题。 关于使用该平台的威胁行为者的最新报告 分发恶意软件 没有帮助的事情。
Vulcan Cyber 的高级技术工程师 Mike Parkin 表示:“TikTok 的总部设在中国并受中国法律的约束,这可以让中国共产党 (CCP) 访问用户数据,这让很多人犹豫不决。”
TikTok 等社交媒体应用程序也可能对组织造成问题。 “它们非常受欢迎,尤其是在伴随着社交媒体长大的几代人中,”他说。 Parkin 说,组织会限制在其组织提供的设备上安装哪些应用程序,并建议他们的员工不要将其安装在他们用来访问企业系统的任何个人系统上,这是完全合理的。
他说,在组织提供的设备上,对 TikTok 的禁令将是绝对可执行的。 但他指出,个人拥有和不受管理的设备就不是这样了。 “组织可以制定要求,但执行这些要求在道德和法律上都变得更具挑战性,”Parkin 说。
Keeper Security 安全和架构副总裁 Patrick Tiquet 表示,BYOD 策略和分布式远程工作环境的迅速扩散导致公共和私营部门实体的端点和应用程序风险呈指数级增长。 “这使组织处于不稳定的境地,因为他们必须权衡 BYOD 政策的便利性和成本节约与重大的网络安全风险,”Tiquet 说。 “禁止特定应用程序似乎是确保安全的一种简单直接的方法,但使用 BYOD 策略很难执行。”
