Loncat ke konten utama

Sumber daya

INTELIJEN MENCERNA

Dok Hickory Dickory: Masalah Privasi Mengganggu TikTok Secara Global

Apakah Data Anda Menari dengan Irama yang Berbeda?

24 April 2023

Oleh Rodman Ramezanian - Pemimpin Ancaman Cloud Global

Berawal dari sebuah cara untuk menciptakan tawa melalui klip video pendek selama pandemi virus corona, TikTok telah mengambil format video pendek yang menarik perhatian dan mengukuhkan posisinya di antara aplikasi media sosial paling populer. Namun, sama seperti aplikasi milik asing lainnya yang menjadi viral, TikTok yang dimiliki oleh Cina terus menghadapi pengawasan atas pengumpulan data dan praktik privasinya. Namun, kali ini, bukan hanya Amerika Serikat yang membunyikan lonceng peringatan.

Dengan alasan ancaman terhadap "kedaulatan dan integritas," Australia bergabung dengan beberapa pemerintah global, termasuk India, Inggris, Amerika Serikat, Kanada, dan banyak negara di seluruh Eropa, yang menyerukan agar aplikasi TikTok dihapus dari ponsel semua pejabat. Pemerintah mulai menanggapi risiko TikTok dengan lebih serius, tetapi dengan lebih dari 1 miliar pengguna aktif bulanan, apakah perusahaan dan lembaga swadaya masyarakat juga melakukan hal yang sama?

Menurut Center for Internet Security, "Data yang dikumpulkan TikTok dari pengguna berisi informasi sensitif dan sering kali diambil tanpa sepengetahuan pengguna." Data ini termasuk, tetapi tidak terbatas pada, "merek dan model perangkat, versi Sistem Operasi (OS), operator seluler, riwayat penelusuran, nama dan jenis aplikasi dan file, pola atau ritme penekanan tombol, koneksi nirkabel, geolokasi." TikTok bahkan sampai mengumpulkan informasi pengenal pribadi (PII) lainnya seperti usia, gambar, kontak pribadi, dan data lain yang dikumpulkan melalui kemampuan sistem masuk tunggal (SSO) yang terintegrasi.

Mengingat aplikasi ini dapat mengumpulkan "konten [pesan] dan informasi tentang kapan [pesan] dikirim, diterima, dan/atau dibaca," dan, terutama dengan audiensi CEO TikTok baru-baru ini di Kongres yang menambahkan substansi lebih lanjut pada dialog secara keseluruhan, mudah untuk melihat mengapa organisasi besar dan perusahaan korporat di seluruh dunia semakin mewaspadai TikTok dan menyatakan keprihatinannya tentang perlindungan data pribadi dan korporat yang dikumpulkannya.

Mengapa pelanggaran ini terjadi?

Meskipun media sosial selalu memiliki berbagai risiko keamanan, termasuk kerentanan terhadap phishing dan penipuan, poin utama yang menjadi perhatian pemerintah, perusahaan, dan organisasi besar lainnya adalah kaburnya batas antara penggunaan pribadi dan perusahaan atas perangkat yang digunakan untuk menginstal dan menggunakan TikTok.

Selain itu, potensi penyalahgunaan data oleh pihak eksternal dan internal menjadi perhatian yang signifikan. Hal ini disebabkan oleh bagaimana platform dan layanan online saling terkait, dengan token otentikasi bersama, integrasi sistem masuk tunggal, portabilitas data, dan banyak lagi. Konsekuensi dari potensi pencurian dan penyalahgunaan data bisa sangat serius, terutama mengingat meluasnya penggunaan layanan web dan cloud.

Pertanyaannya adalah berapa banyak organisasi yang cukup peduli dengan ancaman keamanan untuk mendukung pelarangan TikTok versus berapa banyak yang sama sekali tidak menyadari risiko yang mereka ambil.

Seperti halnya ancaman web, cloud, atau seluler lainnya, sangat penting bagi tim keamanan untuk mempelajari dan memahami faktor risiko utama. Bagaimana TikTok menangani data? Bagaimana cara mengidentifikasi dan mengautentikasi pengguna dan perangkat dengan aman? Lalu lintas dan konten seperti apa yang bisa dibagikan dan dikonsumsi darinya? Di mana saja titik-titik keberadaan layanan ini, dan apa artinya bagi selera risiko organisasi?

Dengan jumlah pengguna, perangkat, lokasi, persyaratan bisnis, dan banyak lagi saat ini, terkadang sulit untuk melakukan pendekatan yang keras dengan memblokir akses ke layanan tertentu secara eksplisit dalam semalam. Ada banyak hal yang bisa dikatakan untuk mengedukasi pengguna dan memperkenalkan pagar pembatas keamanan dalam kasus-kasus di mana sebuah organisasi mungkin tidak ingin memblokir layanan secara tiba-tiba dalam satu gerakan.

Skyhigh Security membahas masalah ini dengan merinci berbagai atribut risiko yang perlu dipertimbangkan oleh analis keamanan saat pengguna menavigasi perairan yang bergejolak di sekitar TikTok sebagai platform dan layanan. Ini termasuk atribut risiko yang berkaitan dengan data itu sendiri, pengguna/perangkat, layanan, praktik bisnis organisasi, masalah hukum, dan keamanan siber.

Dari sana, tim keamanan dapat mulai memperkenalkan kontrol keamanan data, seperti pembatasan/pemblokiran login, unggahan, dan/atau unduhan; pembatasan bandwidth data; memperkenalkan halaman web edukasi pengguna khusus; dan langkah-langkah lain untuk tidak hanya mengekang kebocoran data dari perangkat ke platform TikTok, tetapi, secara lebih menyeluruh, untuk lebih mengontrol aliran data sensitif agar tidak sampai ke perangkat pengguna yang mungkin menggunakan layanan daring meragukan lainnya yang mungkin salah menangani data.

Apa yang bisa dilakukan?

Gunakan Skyhigh Security?

  • Gunakan Skyhigh Cloud Registry untuk memanfaatkan algoritme risiko eksklusif dan terstandardisasi.
  • Memanfaatkan aturan kontrol aktivitas untuk menentukan kriteria aktivitas pengguna yang dapat diterima, seperti login, unggah, dan/atau unduh pada perangkat yang dikelola.
  • Menerapkan kebijakan bayangan/web di lokasi-lokasi di mana TikTok mungkin sudah dilarang dan mulai membatasi dan mengontrol akses di tempat lain.
  • Sesuaikan pembobotan risiko global organisasi Anda di berbagai kategori atribut risiko.
  • Buat dan tetapkan grup layanan berdasarkan karakteristik tertentu, seperti praktik penanganan data, titik keberadaan global, pelanggaran terbaru, dan lainnya.
Rodman Ramezanian

Tentang Penulis

Rodman Ramezanian

Pemimpin Ancaman Cloud Global

Dengan pengalaman industri keamanan siber yang luas selama lebih dari 11 tahun, Rodman Ramezanian adalah Penasihat Keamanan Cloud Perusahaan, yang bertanggung jawab atas Penasihat Teknis, Pemberdayaan, Desain Solusi, dan Arsitektur di Skyhigh Security. Dalam perannya ini, Rodman terutama berfokus pada organisasi Pemerintah Federal Australia, Pertahanan, dan Perusahaan.

Rodman memiliki spesialisasi di bidang Intelijen Ancaman Musuh, Kejahatan Siber, Perlindungan Data, dan Keamanan Cloud. Dia adalah Penilai IRAP yang didukung oleh Australian Signals Directorate (ASD) - yang saat ini memegang sertifikasi CISSP, CCSP, CISA, CDPSE, Microsoft Azure, dan MITRE ATT&CK CTI.

Rodman memiliki hasrat yang kuat untuk mengartikulasikan hal-hal yang rumit dengan cara yang sederhana, membantu orang awam dan profesional keamanan baru untuk memahami apa, mengapa, dan bagaimana keamanan siber.

Sorotan Serangan

  • Aplikasi media sosial mengakar pada data dan perangkat yang ada di dalamnya-perangkat yang sama yang digunakan untuk keperluan pribadi dan perusahaan saat ini.
  • TikTok, seperti semua aplikasi lainnya, berpotensi membuka akses ke seluruh ponsel pengguna. Aplikasi ponsel dapat menawarkan potensi yang dapat dipercaya bagi aplikasi tersebut untuk menjembatani akses ke hal-hal lain di perangkat - dalam hal ini, data yang dimilikinya.
  • TikTok juga dapat mengakses dan mengumpulkan informasi dari sumber login lain atau yang ditautkan ke profil pengguna. Hal ini dapat mencakup akun Google, Facebook, Twitter, atau layanan lainnya yang digunakan untuk mengautentikasi pengguna ke TikTok.
  • Dengan terus berkembangnya praktik membawa perangkat sendiri (BYOD), batas virtual antara penggunaan pribadi dan perusahaan menjadi kabur. Aplikasi yang mengkhawatirkan yang sama terus hidup berdampingan dengan sejumlah besar titik data perusahaan yang tampaknya berakhir di tangan yang salah.
  • Sekarang dengan adanya tindakan pemerintah global yang melarang TikTok di perangkat pegawai pemerintah, bisnis dan organisasi lain juga didorong untuk memikirkan kembali bagaimana mereka menggunakan TikTok sebagai platform dan layanan.