İngiltere’de sosyal medya uygulaması TikTok’u devlet cihazlarına yükleme ve kullanma yasağı, ülkemizin politikasını Amerika Birleşik Devletleri (ABD) ve Avrupa Birliği üye devletleri (AB) dahil olmak üzere diğer yargı bölgeleriyle uyumlu hale getiriyor.
Lancaster Dükalığı Şansölyesi Oliver Dowden tarafından dün Avam Kamarasında duyurulan yasak, bakanlık ve bakanlık dışı departmanlardaki cihazları kapsıyor ve herhangi bir özel olay veya tehdide yanıt olarak alınmamış bir önlem hamlesi.
Bu, Batı ile Çin arasında veri gizliliği sorunları nedeniyle uzun süredir devam eden bir kan davasının son adımıdır ve TikTok’un yanı sıra IP gözetleme kameraları üreticisi Hikvision ve en ünlüsü ağ ve iletişim devi Huawei’yi de kendine çekmiştir. kendisi 2020’de İngiltere’nin temel iletişim altyapısından yasaklandı.
Tüm bu vakalar İngiltere, ABD ve diğer Batılı devletlerin paylaştığı endişelerden kaynaklanmaktadır. Genel olarak, bu endişeler, Çin hükümetinin casusluk amacıyla bu şirketlerden hassas veriler elde edebilme olasılığına odaklanıyor.
Çin’in uzun bir endüstriyel casusluk geçmişi var ve devlet destekli siber operasyonları yaygın olarak özellikle tehlikeli bir tehdit olarak kabul ediliyor, bu nedenle bu endişeler tamamen haksız değil ve Pekin’in Birleşik Krallık hükümetinin kişisel verilerini nasıl istismar edebileceğini hayal etmek zor değil. yetkililerin eline geçerse. Bunun ışığında, Tanium’da teknik hesap yönetiminden sorumlu başkan yardımcısı Chris Vaughan, Westminster’ın Brüksel ve Washington DC’nin izinden gitmesinin sürpriz olmadığını söyledi.
“Çin istihbarat taktikleri genellikle uzun vadeli hedeflere odaklanır ve sürekli veri toplanmasıyla beslenir” dedi. “Artık ticaret ve satın alma bilgilerini içerecek şekilde muazzam kullanıcı verileri koleksiyonu, biyometri ve etkinlik izleme ile birleştiğinde, Çin devlet dairelerine ayrıntılı istihbarat sağlıyor.
“Bu veriler, bireylere veya vatandaş gruplarına karşı hedefli, zamanında ve genellikle kişiselleştirilmiş psikolojik operasyonlar gerçekleştirmek için de kullanılabilir. Bu taktikler potansiyel olarak seçim döngülerinde ve önümüzdeki yıllarda siyasi olarak yüklü olaylarda kullanılabilir.”
Vaughan, İngiltere’nin TikTok yasağını, ulusal altyapıda ve günlük yaşamda Çin etkisinin ne kadar kabul edilebilir görüldüğüne dair daha geniş bir soruna işaret ediyor olarak görüyor (daha önce Huawei’nin peşini bırakmayan benzer sorunlar).
“Son aylarda Çin gözetim teknolojisinin kullanımının kısıtlanmasıyla Batı’da endişelerin arttığını gördük” dedi. “Ayrıca Çin’in lobicilik ve bağışlar yoluyla politikacıları ve sosyal medya ve dezenformasyonun yayılması yoluyla halkı etkileme çabalarına dair çok sayıda rapor var.”
“Tarihsel olarak Rusya, 2016 ABD seçimleri ve Brexit referandumu ile ilgili faaliyetlerinden gördüğümüz gibi, bilgi operasyonlarının en önde gelen kullanıcısı olmuştur. Çin, daha sonra kendi avantajına kullanabileceği fikri mülkiyeti çalmaya odaklandı. Bununla birlikte, CHP’nin olduğuna dair göstergeler var. [Chinese Communist Party] TikTok gibi teknolojilerin kullanımıyla ilgili endişeleri artıran stratejik hedeflerine ulaşmak için bilgiye ve etki operasyonlarına daha fazla odaklanmaya başlayacak.
“Bu faaliyetlerin herhangi bir örneğinin, sorumluluğu bireysel kuruluşlara bırakmak yerine hükümet düzeyinde buna karşı güçlü bir duruş sergilemesi gereken Batılı siyasi liderler tarafından doğrudan karşılanması gerekiyor.”
Çifte standart
İşçi Partisi genel başkan yardımcısı Angela Rayner, Dowden’ın dünkü açıklamasına verdiği yanıtta, hükümeti eğrinin gerisinde kalmakla ve ani U dönüşleri yapmakla suçlayarak sert bir tavır sergiledi ve siber güvenlik camiasındaki bazı kişiler için, kararında belirgin bir şekilde şüphe uyandıran bir şeyler var.
Güvenli iletişim hizmetleri sağlayıcısı Element’in kurucu ortağı ve CEO’su Matthew Hodgson, önemli bir yönden yasağın düpedüz ikiyüzlü olduğunu söyledi.
Hodgson, “Birleşik Krallık hükümeti yetkililerin telefonlarında TikTok bulundurmasını yasaklarken, Birleşik Krallık hükümetinin Birleşik Krallık’taki tüm iletişimlere erişimini sağlayacak yasayı geçirmesi çifte standart çığlıkları atıyor” dedi.
“Şu anda yalnızca hükümet yetkilileri için olsa da, Çin’in Birleşik Krallık verilerine arka kapıdan girmesini engelleyerek veri güvenliğini ciddiye alıyorlar gibi görünüyor. Bununla birlikte, Birleşik Krallık hükümeti, Birleşik Krallık vatandaşları tarafından kullanılan her iletişim platformuna çok benzer bir arka kapı oluşturan Çevrimiçi Güvenlik Yasasını zorluyor.
“Öyleyse, Çin’in hükümet iletişimlerine erişmesi uygun değil, ancak Çevrimiçi Güvenlik Yasası zayıflıkları aracılığıyla vatandaşların iletişimlerine erişmeleri için bir yol sağlamaları uygun mu? Bugün Birleşik Krallık vatandaşlarının mahremiyetini kötü aktörlerden ve her şekil ve büyüklükteki ulus devletten korumamız gerekiyor” dedi.
TikTok konuşuyor
Doğal olarak, Westminster’ın düşünceleri, Çin hükümeti tarafından verileri teslim etmesinin asla istenmediğini vurgulamaya devam eden ve istenirse bunu asla yapmayacağı konusunda ısrar eden TikTok tarafından paylaşılmıyor.
Dowden’ın 16 Mart’taki açıklamasının ardından bir TikTok sözcüsü yaptığı açıklamada, “Bu karar bizi hayal kırıklığına uğrattı. Bu yasakların temel yanlış anlamalara dayandığına ve TikTok’un ve İngiltere’deki milyonlarca kullanıcımızın hiçbir rol oynamadığı daha geniş jeopolitik tarafından yönlendirildiğine inanıyoruz.
“Endişeleri gidermek için hükümetle birlikte çalışmaya kararlıyız, ancak gerçeklere göre değerlendirilmeli ve rakiplerimize eşit davranılmalıdır. Birleşik Krallık kullanıcı verilerinin Avrupa veri merkezlerimizde saklanmasını ve yaklaşımımızın üçüncü taraf bağımsız gözetimi de dahil olmak üzere veri erişim kontrollerinin sıkılaştırılmasını içeren, Avrupa kullanıcı verilerimizi daha fazla korumak için kapsamlı bir plan uygulamaya başladık.”
Kuruluş, Avrupa’daki varlığının Birleşik Krallık ve İrlanda’da kurulup düzenlenmesi ve ana şirketi Bytedance’in Çin dışında yerleşik olması nedeniyle onu Çin’e ait olarak tanımlamanın yanlış olduğuna inanıyor, bu nedenle onu gerektiren yasalara tabi olmayacak. istenirse verileri Pekin’e teslim edin.
Firma yakın zamanda, Birleşik Krallık ve Avrupa Ekonomik Alanı (AÇA) kullanıcı verilerini barındırmak için özel bir güvenli Avrupa “yerleşim bölgesi” olan Project Clover’ı duyurdu. Bu projenin gerçekleştirilmesi, şu anda Singapur ve ABD’deki veri merkezlerinde saklanan Birleşik Krallık kullanıcı verilerinin Avrupa yetki alanına taşındığını da görecektir.
Ayrıca, kontrollerini ve korumalarını denetlemesi, veri akışlarını izlemesi ve ilgili yasalara uygunluğunu doğrulaması için üçüncü taraf bir siber güvenlik şirketini görevlendirdi ve bunun şu anda başka herhangi bir teknoloji platformunun yaptıklarının ötesine geçtiğine inanıyor.
Venari Security baş teknoloji sorumlusu Simon Mullis, TikTok yasağının bir dereceye kadar siyasi amaçlı olduğunu kabul ediyor. “Endişeler, veri koruma güven zincirini baştan sona ve aradaki tüm adımlarda sağlama becerisine gerçekten dayanıyor” dedi. TikTok ile bunun çeşitli teknik ve politik nedenlerle son derece zor olduğu kanıtlandı.
Mullis, “Adil olmak gerekirse, yasak, uygulamanın teknik tasarımının bir sonucu olduğu kadar siyasidir” dedi. “TikTok tasarımı ve mimarisi, yaygın kullanımdaki diğer sosyal medya uygulamalarından büyük güvenlik korkularına neden olacak kadar çılgınca farklı mı? Cevap büyük ihtimal ile hayır’.”
Uzun zaman geliyor
Ancak ExtraHop’un kıdemli teknik müdürü Jamie Moles, TikTok’un nasıl çalıştığı hakkında bildiklerimiz ve en önemlisi talep ettiği ve bir cihazda çalışmak için erişmesi gereken veriler hakkında bildiklerimiz göz önüne alındığında, bunun neden şaşırtıcı olduğunu söyledi. Birleşik Krallık hükümeti çok uzun süredir oyalanıyordu.
“Birleşik Krallık hükümetinde çalışanlar da dahil olmak üzere diğerleri gibi TikTok’u indirip kullanan bir güvenlik uzmanıyım” dedi. “Ama fark şu: Uygulamanın, GPS verileri, diğer uygulamalardan kimlik doğrulama bilgileri vb.
“Telefonunuzda bu uygulamaya sahip olmak, Çin hükümetine ekonomimizin anahtarlarını vermekle eşdeğerdir.”
Arctic Wolf baş bilgi güvenliği sorumlusu (CISO) Adam Marrè şunları söyledi: “TikTok, tüketicilerden kullanıcı konumu, ses izleri, takvim bilgileri ve diğer hassas veriler gibi büyük miktarda bilgi topluyor. Sorun şu ki, bu verilerin ne için kullanıldığını veya yabancı bir hükümetin bunlara erişimi olup olmadığını bilmiyoruz.
“Kullanıcı bilgilerini satarak geçimini sağlayan veri aracılarının yükselişiyle bu platform, kötü niyetli aktörlerin yararlanabileceği bir araç görevi görebilir. Daha sonra, kimlik avı e-postaları yoluyla insanları hedeflemek, propaganda yoluyla etkilemek ve hatta cihazları kontrol etmek veya bunlara erişmek için kullanılabilecek bu bilgileri satabilirler. Bu, hiçbir şeyin gerçekten ‘özgür’ olmadığını ve hepimizin dikkatli olması gerektiğini hatırlatsın.”
SOTI İngiltere ve İrlanda satış direktörü Faaki Saadi şunları söyledi: “İçine koyduğunuz verileri toplayan herhangi bir uygulamaya dikkatle yaklaşılmalıdır. Özellikle hassas şirket bilgileri konusunda güvenilen kişiler için.
“İngiltere hükümet cihazlarından TikTok’un yasaklanması, diğer kuruluşlar için bir uyandırma çağrısı görevi görmelidir – çalışanlarınızın kurumsal cihazlarında sahip olduğu uygulamalar üzerinde tam bir görünürlüğe sahip misiniz? Değilse, belki de şimdi stok alma zamanı. Üstelik bunun ağır bir yük olmasına da gerek yok – bunu sizin yerinize yapabilecek ve istenmeyen uygulamaları anında silebilecek çözümler var.”
Sosyal medya güvenliği
Marrè ve Faadi, genel olarak sosyal medyayla ilgili daha geniş bir sorundan bahsediyor. Facebook ve Instagram sahibi Meta gibi diğer sosyal medya platformları, kullanıcı verileri ve güvenlik politikaları konusunda son derece bıkkın olduklarını defalarca gösterdiler. Kararsız Elon Musk’ın kontrolündeki Twitter da benzer bir yöne doğru ilerliyor.
Ve Tenable’ın baş güvenlik sorumlusu Robert Huber, yalnızca TikTok’a odaklanmanın ağaçlar için ormanı kaçırma riskini aldığımız anlamına geldiğini söyledi. “Devlet kurumlarında her gün kullanılan ve risk oluşturan yüzlerce yazılım uygulaması var ve yama yapılmamış bilinen güvenlik açıkları, veri ihlallerinin en olası kaynağı” dedi.
“Güvenlik liderlerinin anahtarı, kuruluşlarının benzersiz risk profilini anlamak, güvenlik açıklarının nerede olduğunu keşfetmek ve en zararlı olabilecekleri ilk önce ortadan kaldırmak için düzeltme çabalarına öncelik vermektir.”
Hepimiz TikTok’u yasaklamalı mıyız?
BlackBerry’de tehdit araştırması ve istihbarattan sorumlu başkan yardımcısı Ismael Valenzuela, TikTok’un şirket cihazlarında kullanımını yasaklamayı düşünen CISO’larla görüştüğünü söyledi. Bu özellikle, şirketlerin haklı olarak kendi ürün güvenlik testlerini ve gizlilik politikası pozisyonlarına ilişkin yasal incelemelerini en azından sınırlandırmak için yürütmelerinin beklendiği finansal hizmetler sektörü gibi yüksek düzeyde düzenlenmiş ortamlarda faaliyet gösteren kuruluşlar için çalışanlar için geçerlidir. kurumsal cihazlarda veya yüksek değerli kullanıcılar tarafından kullanın.
Valenzuela, “İçeriğe dayalı zekaya, gelişmiş varlık yönetimi uygulamalarına ve entegre yönetim uç nokta çözümlerine dayalı olarak düzenli olarak güncellenen tehdit modellerine sahip kuruluşların bu riski kurum çapında yönetmek için daha iyi konumlandığına hiç şüphe yok” dedi.
“Kuruluş genelinde risk yönetiminin öneminin ve yeni ürün ve teknolojilerin tanıtılmasının genel kurumsal güvenlik üzerindeki etkisinin değerlendirilmesi ve dolayısıyla kontrol edilmesi gerektiğinin altını çiziyor. Bu, görünüşte zararsız olan sohbet ve sosyal medya uygulamalarının kullanımını içerir.
“Sadece sınırlı sayıda CISO’nun TikTok’un gizlilik politikası beyanından haberdar olduğundan şüpheleniyorum” diye devam etti. “Tedarik zincirine yönelik saldırılar bugün gerçek bir endişe kaynağı olsa da, yüksek riskli kuruluşların CISO’ları için gizlilik riski de en önemli öncelik olmalıdır. Bunun nedeni, şirket yöneticileri ve diğer önemli kişiler hakkındaki kişisel verilerin, finansal amaçlı saldırganların veya devletin elinde çok değerli olabilmesidir.”
Nihayetinde, güvenlik liderlerinin TikTok’un şirkete ait cihazlarda kullanımını yasaklaması veya kısıtlaması gerekip gerekmediği sorusu, yalnızca onların cevaplayabileceği bir sorudur. Ancak önerilen veya yürürlüğe giren hükümet yasaklarının sayısındaki artış göz önüne alındığında, en azından, kurumsal sosyal medya faaliyetlerinin daha geniş bir denetimiyle birlikte kapsamlı bir risk değerlendirmesi yapılması gerekiyor.