Cyberexpert: “TikTok-verbod Rijksoverheid moet wake up call zijn voor CFO“

De rijksoverheid gaat het gebruik en downloaden van de populaire Chinese videoapp TikTok door ambtenaren, aan banden leggen. Loopt de overheid andere risico's of moeten CFO's dit voorbeeld bij hun bedrijf volgen?

Dat zegt CTO Piet Kerkhofs van cyberbeveiligingsbedrijf Eye Security naar aanleiding van het verbod, dat de Rijksoverheid vandaag bekend maakte. Wat betekent dit voor de CFO? Staatssecretaris van Huffelen van Digitalisering stelde namelijk dat rijksambtenaren de populaire videoapp uit China niet (meer) op hun werktelefoon mogen hebben. Intussen wordt door beveiligingsdiensten van de overheid gewerkt aan een technische slagboom die het in de toekomst onmogelijk maakt om de app te downloaden. Tot die tijd wordt het downloaden en gebruik van de videoapp verboden.

TikTok onder vuur

De Chinese applicatie ligt wereldwijd onder vuur vanwege de spionagemogelijkheden en verspreiding van desinformatie. Het gebruik van de app biedt namelijk de mogelijkheid om ongemerkt mee te kijken in de informatie op de telefoon en daarmee mogelijk in de netwerken die in verbinding staan met het apparaat.

Chinese overheid kijkt mee

Veiligheidsdiensten wijzen er al langer op dat het bedrijf achter TikTok de facto een Chinees staatsbedrijf is. Daardoor kan de Chinese staat de videoapp gebruiken om wereldwijd gevoelige informatie te verzamelen. Eerder besloot de Verenigde Staten al TikTok aan banden te leggen en onlangs volgden ruim 25 andere landen onder meer Nieuw Zeeland, België en de Europese Unie dit voorbeeld.

Bedrijven moeten overheid volgen

Volgens cyberexpert en oprichter Piet Kerkhofs van Eye Security moeten bedrijven nadenken over deze stap van de rijksoverheid. Hij wijst er op dat TikTok relatief veel informatie op telefoons verzamelt; “Na de overheid moeten nu ook bestuurders van bedrijven de vraag stellen wat zij wenselijk voor hun organisatie vinden.”

Wake up call voor bedrijfsbestuur

Kerkhofs ziet het verbod vanuit de landelijke overheid dan ook vooral als een wake-up call voor CFO’s: “Bedrijven moeten het beleid omtrent het gebruik van mobiele telefoons, data & privacy nu echt goed onder de loep nemen. Belangrijke beslissingen moeten en kunnen niet langer uitgesteld worden.”

Met de stap van de staatssecretaris komen vragen rondom het gebruik van TikTok (en vergelijkbare apps) nog meer in de bestuurskamers te liggen. Uit onderzoeken blijkt namelijk dat digitale veiligheid binnen bedrijven in veel gevallen onder het risicomanagement valt. Dat management is vaak een zaak van de CFO.

Bespreekbaar maken

De cyberexpert geeft de CFO’s dan ook een advies mee: “Heb je als CFO het gevoel dat de afweging niet, of niet voldoende, is gemaakt, maak het dan in ieder geval bespreekbaar. Technisch gezien is in principe alles mogelijk, zonder dat collega’s hier al te veel last van hoeven te ondervinden. Maar uiteindelijk moeten de beveiligingsbesluiten natuurlijk wel plaats vinden op C-level.”

Volgens recente schattingen heeft TikTok in Nederland meer dan vijf miljoen gebruikers. In België zijn dat er 3,3 miljoen. In augustus 2019 waren er volgens moederbedrijf ByteDance maandelijks meer dan 1,4 miljard actieve gebruikers. De eerste versie van de app werd in 2017 in China gelanceerd waarna de app internationaal als TikTok in 40 landen op de markt kwam. Intussen is de app wereldwijd meer dan twee miljard keer gedownload.

Per dag wordt de app gemiddeld 60 minuten gebruikt, door vooral minderjarigen en jongere vrouwen (65%). Met de app kunnen op de smartphone korte video’s worden gemaakt en worden bewerkt met beelden en effecten. Dit gebeurt door middel van kunstmatige intelligentie. Gemiddelde lengte van de video’s is vijftien seconden. Intussen gebruiken ook veel Nederlandse bedrijven de app voor hun marketing

Ook Amerikaanse apps hebben Chinese risico’s

Toch vindt Eye Security dat niet alleen naar beveiliging tegen de Chinese overheid en andere niet-Westerse concurrenten moet worden gekeken. Piet Kerkhofs vindt dat hetzelfde criterium ook zou moeten gelden voor apps van op-het-eerste-gezicht ‘bevriende landen’, zoals bijvoorbeeld toepassingen van Amerikaanse bedrijven. Bedrijven zoals Meta (waaronder Facebook & Instagram), Google en Microsoft hebben vaak toegang tot enorme hoeveelheden gevoelige informatie van bedrijven.

Bescherm patenten en persoonsgegevens

De CTO is van mening dat CFO’s – en overige bestuurders – zich moeten afvragen of gebruik van apps en overige diensten schadelijk kunnen zijn voor de patenten, blueprints of persoonsgegevens van medewerkers: “Dan is mijn advies: neem geen risico en limiteer het gebruik van apps in de organisatie. Dit geldt niet alleen voor TikTok maar voor tientallen officiële apps in de Apple Appstore of Android Marketplace; die hebben dezelfde dubieuze eigenschappen als TikTok”, zegt Kerkhofs.

3 do’s & don’ts

Naar aanleiding van het overheidsverbod heeft de cyberbeveiliger nog enkele adviezen.

1. Zo raadt hij bedrijven aan inzichtelijk te krijgen in hoeverre medewerkers mobiele telefoons gebruiken in combinatie met de zakelijke applicaties. Hij adviseert CFO’s daarom een risico assessment uit te laten voeren. De IT-afdeling moet zich daarbij niet alleen focussen op het veelgebruikte TikTok, maar ook op andere apps met vergelijkbare kenmerken: “Pas dan kan je beleid opstellen voor het gebruik van mobiele telefoons op het werk.”

2. Een tweede advies aan bedrijven is het opstellen van een strikte Mobile Device Management policy bij de uitgifte van mobiele telefoon. “IT-afdelingen weten wat MDM is, wat daar in moet staan en hoe dat moet worden opgesteld.”

3. En tot slot moeten bestuurders de vraag beantwoorden wat de bedrijfsgeheimen en kroonjuwelen zijn en welke medewerkers bovengemiddeld risico lopen bij een hypothetisch datalek naar China. “Er zijn er genoeg technische restricties mogelijk om apps, zoals TikTok, binnen de organisatie te verbieden. Bij veel organisaties gebeurt dit al. Nu dus ook bij de overheid”, aldus Piet Kerkhofs.

Gerelateerde artikelen