Brytyjski zakaz instalowania i używania aplikacji społecznościowej TikTok na urządzeniach rządowych zbliża politykę naszego kraju do polityki innych jurysdykcji, w tym Stanów Zjednoczonych (USA) i państw członkowskich Unii Europejskiej (UE).
Ogłoszono wczoraj w Izbie Gmin przez Olivera Dowdena, kanclerza Księstwa Lancaster, zakaz obejmuje urządzenia w departamentach ministerialnych i pozaministerialnych i jest posunięciem zapobiegawczym, które nie zostało podjęte w odpowiedzi na żaden konkretny incydent lub zagrożenie.
To najnowszy krok w długotrwałym sporze między Zachodem a Chinami w kwestiach prywatności danych, który oprócz TikTok rysowane w stylu Hikvisionproducent kamer IP do monitoringu, a najbardziej znany, giganta sieciowego i komunikacyjnego Huaweiktóry się znalazł wyrzucony z podstawowej infrastruktury komunikacyjnej Wielkiej Brytanii w 2020 r.
Wszystkie te przypadki wynikają z obaw podzielanych przez Wielką Brytanię, Stany Zjednoczone i inne państwa zachodnie. Ogólnie rzecz biorąc, obawy te koncentrują się na możliwości, że chiński rząd może być w stanie wyodrębnić poufne dane z tych firm w celach szpiegowskich.
Chiny mają długą historię szpiegostwa przemysłowego, a wspierane przez państwo operacje cybernetyczne są powszechnie uznawane za szczególnie niebezpieczne zagrożenie, więc obawy te nie są całkowicie nieuzasadnionei nietrudno sobie wyobrazić, w jaki sposób Pekin mógłby wykorzystać dane osobowe brytyjskich urzędników państwowych, gdyby wpadły w ich ręce. W związku z tym Chris Vaughan, wiceprezes ds. technicznego zarządzania kontami w firmie Tanpowiedział, że nie jest zaskoczeniem, że Westminster podąża śladami Brukseli i Waszyngtonu.
„Chińskie taktyki wywiadowcze są zwykle skoncentrowane na celach długoterminowych i są napędzane ciągłym gromadzeniem danych” – powiedział. „Ogromny zbiór danych użytkowników, który teraz obejmuje informacje o handlu i zakupach, w połączeniu z danymi biometrycznymi i śledzeniem aktywności, dostarcza szczegółowych informacji wywiadowczych do chińskich departamentów stanu.
„Dane te można również wykorzystać do przeprowadzania ukierunkowanych, terminowych i często spersonalizowanych operacji psychologicznych przeciwko jednostkom lub grupom obywateli. Taktyka ta mogłaby potencjalnie zostać wykorzystana podczas cykli wyborczych i wydarzeń o charakterze politycznym w nadchodzących latach”.
Vaughan uważa, że zakaz TikTok w Wielkiej Brytanii dotyczy szerszej kwestii dotyczącej tego, ile chińskich wpływów uważa się za dopuszczalne w krajowej infrastrukturze i życiu codziennym (podobne problemy trapiły wcześniej Huawei).
„W ostatnich miesiącach obserwowaliśmy na Zachodzie wzrost obaw związanych z ograniczeniem korzystania z chińskiej technologii inwigilacyjnej” – powiedział. „Istniały również liczne doniesienia o chińskich próbach wywierania wpływu na polityków poprzez lobbing i darowizny, a także opinii publicznej za pośrednictwem mediów społecznościowych i szerzenia dezinformacji”.
„Historycznie Rosja była najwybitniejszym użytkownikiem operacji informacyjnych, co widzieliśmy na podstawie jej działań związane z wyborami w USA w 2016 r. i referendum w sprawie brexitu. Chiny są bardziej skoncentrowane na kradzieży własności intelektualnej, którą mogą następnie wykorzystać na swoją korzyść. Istnieją jednak przesłanki, że KPCh [Chinese Communist Party] zacznie bardziej koncentrować się na operacjach informacyjnych i wpływających, aby osiągnąć swoje cele strategiczne, co zwiększa obawy dotyczące korzystania z technologii, takiej jak TikTok.
„Wszelkie przypadki takich działań muszą zostać skonfrontowane z zachodnimi przywódcami politycznymi, którzy powinni zająć zdecydowane stanowisko przeciwko nim na szczeblu rządowym, zamiast pozostawiać odpowiedzialność poszczególnym organizacjom”.
Podwójne standardy
W swojej odpowiedzi na wczorajsze oświadczenie Dowdena, wiceprzewodnicząca Partii Pracy, Angela Rayner, zjadliwie zarzuciła rządowi, że jest za zakrętem i dokonuje nagłych zwrotów, a dla niektórych członków społeczności zajmującej się bezpieczeństwem cybernetycznym jest coś wyraźnie podejrzanego w tej decyzji.
Matthew Hodgson, współzałożyciel i dyrektor generalny dostawcy bezpiecznych usług komunikacyjnych Elementpowiedział, że pod jednym ważnym względem zakaz jest jawną hipokryzją.
„Rząd Wielkiej Brytanii zakazujący urzędnikom posiadania TikTok na swoich telefonach, jednocześnie forsując przepisy, które dadzą rządowi Wielkiej Brytanii dostęp do całej brytyjskiej komunikacji, krzyczy o podwójnych standardach” – powiedział Hodgson.
„Z zewnątrz wygląda na to, że poważnie traktują bezpieczeństwo danych, powstrzymując Chiny przed wejściem do brytyjskich danych, choć obecnie tylko dla urzędników państwowych. Jednak rząd Wielkiej Brytanii jest przeforsować ustawę o bezpieczeństwie w Interneciektóry tworzy bardzo podobny backdoor do każdej platformy komunikacyjnej używanej przez obywateli Wielkiej Brytanii.
„Więc nie jest w porządku, aby Chiny miały dostęp do komunikatów rządowych, ale można zapewnić im trasę dostępu do komunikacji obywatelskiej za pośrednictwem słabości ustawy o bezpieczeństwie online? Musimy dziś chronić prywatność obywateli Wielkiej Brytanii przed złymi aktorami i państwami narodowymi wszystkich kształtów i rozmiarów” – powiedział.
TikTok zabiera głos
Oczywiście myśli Westminstera nie podziela TikTok, który nadal podkreśla, że nigdy nie został poproszony o przekazanie danych przez chiński rząd i twierdzi, że nigdy by tego nie zrobił, gdyby został o to poproszony.
W oświadczeniu po ogłoszeniu Dowdena 16 marca rzecznik TikTok powiedział: „Jesteśmy rozczarowani tą decyzją. Uważamy, że te zakazy opierają się na fundamentalnych nieporozumieniach i są napędzane szerszą geopolityką, w której TikTok i miliony naszych użytkowników w Wielkiej Brytanii nie odgrywają żadnej roli.
„Pozostajemy zaangażowani we współpracę z rządem w celu rozwiązania wszelkich problemów, ale powinniśmy być oceniani na podstawie faktów i traktowani na równi z naszymi konkurentami. Rozpoczęliśmy wdrażanie kompleksowego planu dalszej ochrony danych naszych europejskich użytkowników, który obejmuje przechowywanie danych użytkowników z Wielkiej Brytanii w naszych europejskich centrach danych i zaostrzenie kontroli dostępu do danych, w tym niezależny nadzór strony trzeciej nad naszym podejściem”.
Organizacja uważa, że opisywanie jej jako należącej do Chin jest niewłaściwe, ponieważ jej europejska obecność jest zarejestrowana i regulowana w Wielkiej Brytanii i Irlandii, a jej spółka macierzysta, Bytedance, jest zarejestrowana poza Chinami, więc nie podlegałaby przepisom, które wymagają od niej przekazać dane Pekinowi, jeśli zostanie o to poproszony.
Firma niedawno ogłosiła Project Clover, dedykowana, bezpieczna europejska „enklawa” do przechowywania danych użytkowników z Wielkiej Brytanii i Europejskiego Obszaru Gospodarczego (EOG). Realizacja tego projektu spowoduje również przeniesienie danych użytkowników z Wielkiej Brytanii – obecnie przechowywanych w centrach danych w Singapurze i USA – w ramach jurysdykcji europejskiej.
Firma wyznaczyła również zewnętrzną firmę zajmującą się bezpieczeństwem cybernetycznym, która przeprowadzi audyt jej kontroli i zabezpieczeń, monitoruje przepływ danych i weryfikuje zgodność z odpowiednimi przepisami, co jej zdaniem wykracza poza to, co obecnie robi jakakolwiek inna platforma technologiczna.
Ochrona Venariego dyrektor ds. technologii Simon Mullis zgadza się, że zakaz TikTok jest do pewnego stopnia motywowany politycznie. „Obawy są tak naprawdę zakorzenione w możliwości zapewnienia łańcucha zaufania ochrony danych od początku do końca i na wszystkich etapach pomiędzy nimi” – powiedział. „W przypadku TikToka okazało się to niezwykle trudne z różnych powodów technicznych i politycznych.
„Szczerze mówiąc, zakaz jest w równym stopniu polityczny, co wynika z technicznego projektu aplikacji” – powiedział Mullis. „Czy projekt i architektura TikTok tak bardzo różni się od innych powszechnie używanych aplikacji społecznościowych, że powoduje ogromne obawy dotyczące bezpieczeństwa? Odpowiedź brzmi „prawdopodobnie nie”.
Już dawno
Ale Jamie Moles, starszy kierownik techniczny w ExtraHoppowiedział, że biorąc pod uwagę to, co wiemy o tym, jak działa TikTok, a co najważniejsze, co wiemy o danych, których żąda i do których musi mieć dostęp, aby działać na urządzeniu, zastanawiające jest, dlaczego rząd Wielkiej Brytanii tak długo się wahał.
„Jestem ekspertem ds. bezpieczeństwa, który pobrał i używał TikTok, gdy się pojawił, jak wielu innych, w tym osoby pracujące w rządzie Wielkiej Brytanii” – powiedział. „Ale oto różnica: usunąłem ją, gdy tylko stało się jasne, że aplikacja może zbierać wszystko z mojego telefonu, w tym kontakty – dane GPS, informacje uwierzytelniające z innych aplikacji i tak dalej.
„Posiadanie tej aplikacji na telefonie jest równoznaczne z przekazaniem chińskiemu rządowi kluczy do naszej gospodarki”.
Arktyczny Wilk dyrektor ds. bezpieczeństwa informacji (CISO) Adam Marrè powiedział: „TikTok zbiera ogromne ilości informacji od konsumentów, takich jak lokalizacja użytkownika, odciski głosowe, informacje z kalendarza i inne poufne dane. Problem polega na tym, że nie wiemy, do czego są wykorzystywane te dane ani czy obcy rząd ma do nich dostęp.
„Wraz z rozwojem brokerów danych, którzy zarabiają na życie ze sprzedaży informacji o użytkownikach, ta platforma może służyć jako naczynie dla złośliwych podmiotów do wykorzystania. Następnie mogą sprzedawać te informacje, które mogą być wykorzystywane do atakowania ludzi za pośrednictwem wiadomości e-mail typu phishing, wywierania wpływu poprzez propagandę, a nawet do kontrolowania lub uzyskiwania dostępu do urządzeń. Niech to będzie przypomnieniem, że nic nie jest naprawdę „za darmo” i że wszyscy powinniśmy zachować ostrożność”.
Faaki Saadi, dyrektor sprzedaży w Wielkiej Brytanii i Irlandii w SOTI, powiedział: „Każda aplikacja, która zbiera dane, które do niej wprowadzasz, powinna być traktowana z ostrożnością. Szczególnie dla osób, którym powierzono poufne informacje firmowe.
„Zakaz TikToka na urządzeniach rządowych w Wielkiej Brytanii powinien być dzwonkiem alarmowym dla innych organizacji – czy masz pełny wgląd w aplikacje, które Twoi pracownicy mają na swoich urządzeniach firmowych? Jeśli nie, być może nadszedł czas, aby podsumować. I nie musi to być ciężka praca – dostępne są rozwiązania, które mogą to zrobić za Ciebie i błyskawicznie usunąć niechciane aplikacje”.
Bezpieczeństwo mediów społecznościowych
Marrè i Faadi poruszają ogólnie szerszy problem związany z mediami społecznościowymi. Inne platformy mediów społecznościowych takich jak właściciel Facebooka i Instagrama Meta wielokrotnie okazali się bardzo zblazowani w odniesieniu do swoich danych użytkowników i zasad bezpieczeństwa. Twitter, pod kontrolą nieobliczalnego Elona Muska, zmierza w podobnym kierunku.
I Robert Huber, szef ochrony w Możliwy do utrzymania, powiedział, że skupianie się tylko na TikToku oznacza, że ryzykujemy pominięcie lasu dla drzew. „Istnieją setki aplikacji używanych codziennie w agencjach rządowych, które stwarzają ryzyko, a niezałatane znane luki w zabezpieczeniach są najbardziej prawdopodobnym źródłem naruszeń danych” – powiedział.
„Kluczem dla liderów bezpieczeństwa jest zrozumienie unikalnego profilu ryzyka ich organizacji, wykrycie słabych punktów i ustalenie priorytetów działań naprawczych w celu wyeliminowania tych, które mogą być najbardziej szkodliwe w pierwszej kolejności”.
Czy wszyscy powinniśmy zakazać TikToka?
Ismael Valenzuela, wiceprezes ds. badań nad zagrożeniami i wywiadu w Jeżyna, powiedział, że już widzi, że CISO rozważają zakazanie używania TikTok na urządzeniach firmowych. Jest to szczególnie istotne dla osób pracujących w organizacjach, które działają w wysoce regulowanych środowiskach, takich jak sektor usług finansowych, gdzie słusznie oczekuje się od firm przeprowadzania własnych testów bezpieczeństwa produktów i przeglądu prawnego stanowisk w zakresie polityki prywatności co najmniej do ograniczenia używać na urządzeniach firmowych lub przez użytkowników o dużej wartości.
„Nie ma wątpliwości, że organizacje z regularnie aktualizowanymi modelami zagrożeń opartymi na analizie kontekstowej, dojrzałych praktykach zarządzania aktywami i zintegrowanych rozwiązaniach zarządzania punktami końcowymi mają lepszą pozycję do zarządzania tym ryzykiem w całym przedsiębiorstwie” — powiedział Valenzuela.
„Podkreśla znaczenie zarządzania ryzykiem w całej organizacji oraz potrzebę oceny, a tym samym kontroli wpływu wprowadzania nowych produktów i technologii na ogólne bezpieczeństwo organizacji. Obejmuje to korzystanie z pozornie nieszkodliwych aplikacji do czatu i mediów społecznościowych.
„Podejrzewam, że tylko ograniczona liczba CISO jest świadoma polityki prywatności TikTok” – kontynuował. „Chociaż ataki na łańcuch dostaw są obecnie poważnym problemem, ryzyko prywatności powinno być również najwyższym priorytetem dla CISO organizacji wysokiego ryzyka. Dzieje się tak dlatego, że dane osobowe dyrektorów firm i innych ważnych osób mogą mieć wielką wartość w rękach atakujących z motywacją finansową lub państwa”.
Ostatecznie pytanie, czy liderzy bezpieczeństwa powinni zakazać lub ograniczyć korzystanie z TikTok na urządzeniach należących do firmy, jest pytaniem, na które tylko oni mogą odpowiedzieć. Ale biorąc pod uwagę rosnącą liczbę proponowanych lub wprowadzanych zakazów rządowych, konieczna jest co najmniej dokładna ocena ryzyka połączona z szerszym audytem korporacyjnych działań w mediach społecznościowych.