Berawal dari sebuah cara untuk menciptakan tawa melalui klip video pendek selama pandemi virus corona, TikTok telah mengambil format video pendek yang menarik perhatian dan mengukuhkan posisinya di antara aplikasi media sosial paling populer. Namun, sama seperti aplikasi milik asing lainnya yang menjadi viral, TikTok yang dimiliki oleh Cina terus menghadapi pengawasan atas pengumpulan data dan praktik privasinya. Namun, kali ini, bukan hanya Amerika Serikat yang membunyikan lonceng peringatan.
Dengan alasan ancaman terhadap "kedaulatan dan integritas," Australia bergabung dengan beberapa pemerintah global, termasuk India, Inggris, Amerika Serikat, Kanada, dan banyak negara di seluruh Eropa, yang menyerukan agar aplikasi TikTok dihapus dari ponsel semua pejabat. Pemerintah mulai menanggapi risiko TikTok dengan lebih serius, tetapi dengan lebih dari 1 miliar pengguna aktif bulanan, apakah perusahaan dan lembaga swadaya masyarakat juga melakukan hal yang sama?
Menurut Center for Internet Security, "Data yang dikumpulkan TikTok dari pengguna berisi informasi sensitif dan sering kali diambil tanpa sepengetahuan pengguna." Data ini termasuk, tetapi tidak terbatas pada, "merek dan model perangkat, versi Sistem Operasi (OS), operator seluler, riwayat penelusuran, nama dan jenis aplikasi dan file, pola atau ritme penekanan tombol, koneksi nirkabel, geolokasi." TikTok bahkan sampai mengumpulkan informasi pengenal pribadi (PII) lainnya seperti usia, gambar, kontak pribadi, dan data lain yang dikumpulkan melalui kemampuan sistem masuk tunggal (SSO) yang terintegrasi.
Mengingat aplikasi ini dapat mengumpulkan "konten [pesan] dan informasi tentang kapan [pesan] dikirim, diterima, dan/atau dibaca," dan, terutama dengan audiensi CEO TikTok baru-baru ini di Kongres yang menambahkan substansi lebih lanjut pada dialog secara keseluruhan, mudah untuk melihat mengapa organisasi besar dan perusahaan korporat di seluruh dunia semakin mewaspadai TikTok dan menyatakan keprihatinannya tentang perlindungan data pribadi dan korporat yang dikumpulkannya.
Mengapa pelanggaran ini terjadi?
Meskipun media sosial selalu memiliki berbagai risiko keamanan, termasuk kerentanan terhadap phishing dan penipuan, poin utama yang menjadi perhatian pemerintah, perusahaan, dan organisasi besar lainnya adalah kaburnya batas antara penggunaan pribadi dan perusahaan atas perangkat yang digunakan untuk menginstal dan menggunakan TikTok.
Selain itu, potensi penyalahgunaan data oleh pihak eksternal dan internal menjadi perhatian yang signifikan. Hal ini disebabkan oleh bagaimana platform dan layanan online saling terkait, dengan token otentikasi bersama, integrasi sistem masuk tunggal, portabilitas data, dan banyak lagi. Konsekuensi dari potensi pencurian dan penyalahgunaan data bisa sangat serius, terutama mengingat meluasnya penggunaan layanan web dan cloud.
Pertanyaannya adalah berapa banyak organisasi yang cukup peduli dengan ancaman keamanan untuk mendukung pelarangan TikTok versus berapa banyak yang sama sekali tidak menyadari risiko yang mereka ambil.
Seperti halnya ancaman web, cloud, atau seluler lainnya, sangat penting bagi tim keamanan untuk mempelajari dan memahami faktor risiko utama. Bagaimana TikTok menangani data? Bagaimana cara mengidentifikasi dan mengautentikasi pengguna dan perangkat dengan aman? Lalu lintas dan konten seperti apa yang bisa dibagikan dan dikonsumsi darinya? Di mana saja titik-titik keberadaan layanan ini, dan apa artinya bagi selera risiko organisasi?
Dengan jumlah pengguna, perangkat, lokasi, persyaratan bisnis, dan banyak lagi saat ini, terkadang sulit untuk melakukan pendekatan yang keras dengan memblokir akses ke layanan tertentu secara eksplisit dalam semalam. Ada banyak hal yang bisa dikatakan untuk mengedukasi pengguna dan memperkenalkan pagar pembatas keamanan dalam kasus-kasus di mana sebuah organisasi mungkin tidak ingin memblokir layanan secara tiba-tiba dalam satu gerakan.
Skyhigh Security membahas masalah ini dengan merinci berbagai atribut risiko yang perlu dipertimbangkan oleh analis keamanan saat pengguna menavigasi perairan yang bergejolak di sekitar TikTok sebagai platform dan layanan. Ini termasuk atribut risiko yang berkaitan dengan data itu sendiri, pengguna/perangkat, layanan, praktik bisnis organisasi, masalah hukum, dan keamanan siber.
Dari sana, tim keamanan dapat mulai memperkenalkan kontrol keamanan data, seperti pembatasan/pemblokiran login, unggahan, dan/atau unduhan; pembatasan bandwidth data; memperkenalkan halaman web edukasi pengguna khusus; dan langkah-langkah lain untuk tidak hanya mengekang kebocoran data dari perangkat ke platform TikTok, tetapi, secara lebih menyeluruh, untuk lebih mengontrol aliran data sensitif agar tidak sampai ke perangkat pengguna yang mungkin menggunakan layanan daring meragukan lainnya yang mungkin salah menangani data.
Apa yang bisa dilakukan?