لماذا يعتبر حظر TikTok الذي تفرضه الحكومة الأمريكية غير عملي بالنسبة للقطاع الخاص

بدأت الحرب على TikTok. منذ أن وافق الرئيس بايدن على الحظر المفروض على قيام موظفي الحكومة الفيدرالية الأمريكية بتنزيل أو استخدام TikTok على الأجهزة المملوكة للدولة في ديسمبر 2022 ، قررت أكثر من عشرين ولاية حظر التطبيق ، بسبب مخاوف بشأن ممارسات جمع البيانات في ByteDance.

في كل من القطاعين العام والخاص ، هناك قلق متزايد من أن البيانات التي يجمعها التطبيق قد تتعرض للحزب الشيوعي الصيني (CCP).

هذه المخاوف لها ما يبررها ، حيث وجدت الأبحاث الأمنية من الإنترنت 2-0 أن البيانات التي تم جمعها بواسطة TikTok “مفرطة في التطفل” و “مفرطة” ، حيث تجمع المعلومات من جميع التطبيقات الأخرى على هاتف المستخدم.

الآن نظرًا لأن المؤسسات تُترك للنظر فيما إذا كانت ستتبع خطى حكومة الولايات المتحدة بشأن حظر TikTok تمامًا ، فمن المهم تقييم ما إذا كان حظر تطبيقات الوسائط الاجتماعية عمليًا بالفعل ، لا سيما في عصر إحضار أجهزتك الخاصة (BYOD) ، حيث الخط الفاصل بين الشخصية وغالبًا ما تكون أجهزة العمل غير موجودة.

فحص الأساس المنطقي وراء حظر TikTok

أحد الأسباب الرئيسية للقلق بشأن ممارسات مشاركة البيانات في TikTok هو أن المنظمة اعترفت العام الماضي بأنها تشارك بيانات المستخدم الخاصة بالمواطنين الأوروبيين مع موظفين في الصين والبرازيل وكندا وإسرائيل والولايات المتحدة وسنغافورة.

بينما تصر المنظمة على أن هذه الأساليب مخصصة للحفاظ على تجربة المستخدم و “معترف بها بموجب اللائحة العامة لحماية البيانات” ، لا تزال هناك احتمالية لوصول الدولة المطلوب ، مع ByteDance لإتاحة بياناتها إلى CCP بموجب القانون الصيني.

زاد القلق بشأن ممارسات جمع البيانات في TikTok أيضًا عندما ظهر الصوت المسرب من أكثر من 80 اجتماعًا داخليًا ، مع 14 بيانًا يقر بأن المهندسين في الصين لديهم إمكانية الوصول إلى البيانات الشخصية للمستخدمين المقيمين في الولايات المتحدة.وصل هذا الجدل إلى النقطة التي اختارت فيها حكومة الولايات المتحدة لحظر التطبيق تمامًا.

يُعد حظر TikTok المحتمل جزءًا من أولوية أمريكية أوسع لتقليل المخاطر الأمنية من الصين. قال بريان وير ، الرئيس التنفيذي لشركة LookingGlass والمساعد السابق لمدير الأمن السيبراني في CISA ، إن التقنيات الأخرى من Huawei و DJI و Hikvision وما إلى ذلك تخضع لتدقيق وقيود مماثلة.

ومع ذلك ، فإن المخاطر الأمنية لعمليات جمع البيانات في TikTok ليست ذات صلة فقط بحكومة الولايات المتحدة ، ولكنها أيضًا شيء تحتاج المنظمات إلى مراعاته أيضًا.

قال وير: “تمثل هذه الشركات والمنتجات مخاطر أمنية حقيقية وتأثيرات على الأعمال ، لذلك يجب على الشركات ألا تنتظر حتى يتم اتخاذ القرارات النهائية للبدء في الحد من تعرضها أو استخداماتها لـ TikTok وغيرها من المنتجات الصينية التي لها آثار أمنية معروفة”.

ما مدى سوء المخاطر؟

فيما يتعلق بالمخاطر العملية ، فإن أكثر ما يثير القلق هو أن المعلومات الخاصة التي يتم جمعها من خلال التطبيق قد ينتهي بها الأمر في أيدي CCP كجزء من عملية مراقبة الدولة القومية.

في حين أن البعض قد يجادل بأن TikTok هو ببساطة خطير بسبب تأثير وسائل التواصل الاجتماعي على جيل الشباب ، فإن الأمر الأكثر إثارة للقلق هو الاحتمال الحقيقي للغاية بأن المنصة الشعبية مدعومة من قبل الحزب الشيوعي الصيني (CCP) واستخدامها لإجراء عمليات التأثير. قال ماثيو مارسدن ، نائب الرئيس في تانيوم ، “جمع البيانات الشخصية والبيومترية الحساسة”.

يسلط Marsden الضوء على أن سياسة خصوصية TikTok تنص على أن المزود “قد يجمع المعرّفات البيومترية والمعلومات البيومترية على النحو المحدد بموجب قوانين الولايات المتحدة ، مثل بصمة الوجه والمطبوعات الصوتية” ، ويعترف علنًا أنه يجوز له أيضًا “مشاركة جميع المعلومات التي نجمعها مع أحد الوالدين ، شركة فرعية أو شركة تابعة أخرى لمجموعة شركاتنا “.

قال مارسدن: “هذا أمر مقلق للغاية لأن CCP يمكن بسهولة إجبار الشركات التي تتخذ من الصين مقراً لها على مشاركة المعلومات لدعم أهداف الحزب”.

في الواقع ، قد يترك الموظفون الذين يستخدمون TikTok في العمل والأجهزة الشخصية المعلومات البيومترية وغيرها من معلومات تحديد الهوية الشخصية مكشوفة للجهات الفاعلة في الدولة القومية. مع زيادة استخدام المصادقة البيومترية ، يمكن استخدام جمع المعلومات البيومترية للتغلب على الحلول واستغلالها في المستقبل.

التطبيق العملي لحظر TikTok

على الرغم من أن حكومة الولايات المتحدة قد بدأت بالفعل حملتها القمعية على TikTok ، إلا أن حظر استخدام التطبيق تمامًا يصعب تحقيقه للمنظمات لعدد من الأسباب. على سبيل المثال ، تحتاج المؤسسات إلى أن تكون قادرة على إدارة الاستخدام على مستوى التطبيق لتنفيذ الحظر.

لن يكون فرض حظر على TikTok أو أي تطبيق سياسة سهلة التنفيذ. قال باريت ليون ، الشريك المؤسس وكبير المهندسين المعماريين في Netography ، إنه يتطلب نهجًا شاملاً يتم تنفيذه وتطبيقه ، وهو ما يمكن أن يكون مهمة مهمة لمؤسسة لم يتم إنشاؤها لإدارة المستخدمين من منظور تطبيق المستخدم “.

يسلط ليون الضوء على أن معظم المؤسسات لا تملك الوسائل أو الموارد التقنية لحظر التطبيق تمامًا ، لا سيما عندما يمكن للتطبيقات تغيير أسماء المضيف أو البنية التحتية للشبكة أو عناوين IP أو التداخل في شبكات CDN الحالية التي تخدم تطبيقات مهمة أخرى.

في الوقت نفسه ، تعني الطبيعة الواسعة الانتشار لسياسات BYOD أن العديد من الأجهزة الشخصية التي يستخدمها الموظفون لأداء وظائفهم كل يوم لا يتحكم فيها فريق الأمان.

هذا يعني أن الخيار الوحيد هو حظر استخدام الأجهزة الشخصية ، وهو أمر غير عملي بالنسبة لمعظم المؤسسات العاملة في بيئات العمل المختلطة.

إذن ما الذي يمكن أن تفعله المنظمات حيال TikTok؟

أفضل خيار لدى الشركات عند التخفيف من مخاطر أمان البيانات المحتملة لـ TikTok هو الاعتماد على وعي المستخدم. في الممارسة العملية ، هذا يعني تثقيف الموظفين حول المخاطر الأمنية التي ينشئها التطبيق حتى يتمكنوا من تحديد ما إذا كانوا يريدون تعريض معلوماتهم الشخصية للخطر أم لا.

قال ستيفن جيتس ، المبشر الأمني ​​في Checkmarx ، “في حالة استخدام الأجهزة الشخصية في أماكن العمل ، هناك القليل مما يمكن القيام به ، بخلاف تقديم إرشادات للموظفين”.

على سبيل المثال ، يمكن تنفيذ حظر على استخدام TikTok عندما يكون الجهاز الشخصي متصلاً بشبكة مؤسسة. لكن هذا يكاد يكون من المستحيل تنفيذه بسبب حركة المرور المشفرة والشبكات الافتراضية الخاصة وما شابه ذلك ، “قال جيتس.

من المهم أيضًا للمؤسسات تقييم ما إذا كان برنامج BYOD ضروريًا للموظفين لأداء وظائفهم. يعود ذلك إلى تقييم ما إذا كانت المرونة التي يوفرها BYOD تفوق الضرر المحتمل للبيانات التي يتم تسريبها إلى الجهات الفاعلة في الدولة القومية.

يتعين على المؤسسات التي تقرر الاستمرار في العمل في بيئات BYOD قبول فقدان السيطرة على مخاطر التطبيقات التي تجمع البيانات الشخصية.

أوضح آدم ماري ، مدير مكتب التحقيقات الفدرالي السابق على الإنترنت: “إذا سمحت للموظفين” بإحضار جهازك الخاص “(BYOD) ، فإن سيطرتك على هذا الجهاز محدودة للغاية من الناحية القانونية لأنها ليست مملوكة للمؤسسة ، بل هي مملوكة للموظف”. وكيل خاص ورئيس CISO الحالي في Arctic Wolf.