Hickory Dickory Dock: ปัญหาความเป็นส่วนตัวทําให้เกิดภัยพิบัติ TikTok ทั่วโลก

สิ่งที่เริ่มต้นจากการสร้างเสียงหัวเราะผ่านคลิปวิดีโอสั้น ๆ ในช่วงการระบาดใหญ่ของโคโรนาไวรัส TikTok ได้นํารูปแบบวิดีโอสั้นที่ดึงดูดความสนใจและทําให้ตําแหน่งเป็นหนึ่งในแอปโซเชียลมีเดียยอดนิยม แต่เช่นเดียวกับแอปต่างประเทศอื่น ๆ ที่แพร่ระบาด TikTok ของจีนยังคงเผชิญกับการตรวจสอบข้อเท็จจริงเกี่ยวกับการรวบรวมข้อมูลและแนวทางปฏิบัติด้านความเป็นส่วนตัว อย่างไรก็ตาม คราวนี้ไม่เพียงแต่สหรัฐอเมริกาเท่านั้นที่ส่งเสียงระฆังเตือนภัย

ออสเตรเลียอ้างถึงภัยคุกคามต่อ "อธิปไตยและบูรณภาพ" ออสเตรเลียเข้าร่วมกับรัฐบาลระดับโลกจํานวนหนึ่ง รวมถึงอินเดีย สหราชอาณาจักร สหรัฐอเมริกา แคนาดา และหลายประเทศทั่วยุโรป โดยเรียกร้องให้ลบแอป TikTok ออกจากโทรศัพท์มือถือของเจ้าหน้าที่ทุกคน รัฐบาลเริ่มให้ความสําคัญกับความเสี่ยงของ TikTok มากขึ้น แต่ด้วย ผู้ใช้งานมากกว่า 1 พันล้านคนต่อเดือน บริษัท และองค์กรพัฒนาเอกชนกําลังทําเช่นเดียวกันหรือไม่?

จากข้อมูลของ Center for Internet Security "ข้อมูลที่ TikTok รวบรวมจากผู้ใช้มีข้อมูลที่ละเอียดอ่อนและมักถูกถ่ายโดยที่ผู้ใช้ไม่ทราบอย่างชัดเจน" ข้อมูลนี้รวมถึงแต่ไม่จํากัดเพียง "แบรนด์และรุ่นของอุปกรณ์, เวอร์ชันระบบปฏิบัติการ (OS), ผู้ให้บริการมือถือ, ประวัติการเข้าชม, ชื่อและประเภทของแอปและไฟล์, รูปแบบหรือจังหวะการกดแป้นพิมพ์, การเชื่อมต่อไร้สาย, ตําแหน่งทางภูมิศาสตร์" TikTok ยังไปไกลถึงการรวบรวมข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) อื่นๆ เช่น อายุ รูปภาพ ผู้ติดต่อส่วนบุคคล และข้อมูลอื่นๆ ที่รวบรวมผ่านความสามารถในการลงชื่อเพียงครั้งเดียว (SSO) ในตัว

เมื่อพิจารณาว่าแอปสามารถรวบรวม "เนื้อหาของ [ข้อความ] และข้อมูลเกี่ยวกับเวลาที่ [ข้อความ] ถูกส่ง รับ และ/หรืออ่าน" และโดยเฉพาะอย่างยิ่งกับ การพิจารณาของรัฐสภาเมื่อเร็วๆ นี้ของ CEO ของ TikTok ที่เพิ่มเนื้อหาเพิ่มเติมในการสนทนาโดยรวม จึงเป็นเรื่องง่ายที่จะเห็นว่าเหตุใดองค์กรขนาดใหญ่และองค์กรธุรกิจทั่วโลกจึงระมัดระวัง TikTok มากขึ้นเรื่อยๆ และแสดงความกังวลเกี่ยวกับการปกป้องข้อมูลส่วนบุคคลและข้อมูลองค์กรที่รวบรวม

เหตุใดการละเมิดเหล่านี้จึงเกิดขึ้น

แม้ว่าโซเชียลมีเดียจะก่อให้เกิดความเสี่ยงด้านความปลอดภัยต่างๆ อยู่เสมอ รวมถึงความเสี่ยงต่อฟิชชิงและการฉ้อโกง แต่ประเด็นหลักที่น่ากังวลสําหรับรัฐบาล องค์กร และองค์กรขนาดใหญ่อื่นๆ คือการเบลอเส้นแบ่งระหว่างการใช้งานส่วนบุคคลและองค์กรของอุปกรณ์ที่ติดตั้งและใช้งาน TikTok

นอกจากนี้ ศักยภาพในการใช้ข้อมูลในทางที่ผิดโดยทั้งภายนอกและภายในยังเป็นข้อกังวลที่สําคัญ นี่เป็นเพราะความเกี่ยวพันของแพลตฟอร์มและบริการออนไลน์ที่มีโทเค็นการตรวจสอบสิทธิ์ที่ใช้ร่วมกันการผสานรวมการลงชื่อเพียงครั้งเดียวการพกพาข้อมูลและอื่น ๆ การแตกแขนงของการโจรกรรมข้อมูลที่อาจเกิดขึ้นและการใช้ในทางที่ผิดอาจเป็นเรื่องร้ายแรงโดยเฉพาะอย่างยิ่งเมื่อมีการใช้บริการเว็บและคลาวด์อย่างแพร่หลาย

คําถามคือมีกี่องค์กรที่ใส่ใจเกี่ยวกับภัยคุกคามด้านความปลอดภัยเพียงพอที่จะรองรับการแบน TikTok เทียบกับจํานวนที่ไม่ทราบถึงความเสี่ยงที่พวกเขากําลังเผชิญอยู่

เช่นเดียวกับภัยคุกคามบนเว็บ คลาวด์ หรืออุปกรณ์เคลื่อนที่ ทีมรักษาความปลอดภัยจําเป็นต้องเรียนรู้และทําความเข้าใจปัจจัยเสี่ยงที่สําคัญ TikTok จัดการกับข้อมูลอย่างไร? จะระบุและรับรองความถูกต้องของผู้ใช้และอุปกรณ์อย่างปลอดภัยได้อย่างไร การเข้าชมและเนื้อหาประเภทใดที่สามารถแชร์และบริโภคได้ จุดแสดงตนของบริการอยู่ที่ไหน และนั่นมีความหมายอย่างไรต่อความเสี่ยงที่ยอมรับได้ขององค์กร

ด้วยจํานวนผู้ใช้ อุปกรณ์ สถานที่ ข้อกําหนดทางธุรกิจ และอื่นๆ จํานวนมากในปัจจุบัน บางครั้งจึงเป็นเรื่องยากที่จะใช้แนวทางที่หนักหน่วงโดยการบล็อกการเข้าถึงบริการบางอย่างอย่างชัดเจนในชั่วข้ามคืน มีหลายสิ่งที่ต้องพูดเพื่อให้ความรู้แก่ผู้ใช้และแนะนํารั้วรักษาความปลอดภัยในกรณีที่องค์กรอาจไม่ต้องการบล็อกบริการอย่างกะทันหันในคราวเดียว

Skyhigh Security แก้ไขปัญหานี้โดยให้รายละเอียดคุณลักษณะความเสี่ยงมากมายที่นักวิเคราะห์ความปลอดภัยต้องพิจารณาในขณะที่ผู้ใช้สํารวจน่านน้ําที่ปั่นป่วนรอบๆ TikTok ในฐานะแพลตฟอร์มและบริการ ซึ่งรวมถึงคุณลักษณะความเสี่ยงที่เกี่ยวข้องกับตัวข้อมูลเองผู้ใช้ / อุปกรณ์บริการการดําเนินธุรกิจขององค์กรเรื่องกฎหมายและความปลอดภัยทางไซเบอร์

จากนั้นทีมรักษาความปลอดภัยสามารถเริ่มแนะนําการควบคุมความปลอดภัยของข้อมูลเช่นการจํากัด / บล็อกการเข้าสู่ระบบการอัปโหลดและ / หรือการดาวน์โหลด การควบคุมปริมาณแบนด์วิดท์ข้อมูล แนะนําหน้าเว็บการศึกษาผู้ใช้ที่กําหนดเอง และมาตรการอื่น ๆ ที่ไม่เพียง แต่ควบคุมการรั่วไหลของข้อมูลจากอุปกรณ์ไปยังแพลตฟอร์ม TikTok เท่านั้น แต่ยังเป็นองค์รวมมากขึ้นเพื่อควบคุมการไหลของข้อมูลที่ละเอียดอ่อนจากการเข้าถึงอุปกรณ์ของผู้ใช้ที่อาจใช้บริการออนไลน์ที่น่าสงสัยอื่น ๆ ที่อาจจัดการข้อมูลผิดพลาด

สิ่งที่สามารถทําได้?