Een in China gevestigd ByteDance-team onderzocht TikTok’s Global Security Chief, die toezicht hield op de zorgen over de Amerikaanse gegevens

0
13


Roland Cloutier, een veteraan van de Amerikaanse luchtmacht en voormalig wetshandhavingsfunctionaris, trad in juli 2022 af als TikTok’s Global Chief Security Officer, omdat de regering-Biden de nationale veiligheidsrisico’s van TikTok’s Chinese eigendom bleef evalueren.


EENHet in China gevestigde ByteDance-team leidde meerdere audits en onderzoeken naar TikTok’s voormalige Global Chief Security Officer in de VS, die verantwoordelijk was voor het toezicht op de inspanningen om de toegang van in China gevestigde werknemers tot Amerikaanse gebruikersgegevens te minimaliseren, volgens intern bedrijfsmateriaal beoordeeld door Forbes.

TikTok nam in maart 2020 Roland Cloutier aan als Global Chief Security Officer, kort nadat de Committee on Foreign Investment in the US (CFIUS) van het ministerie van Financiën een onderzoek opende naar de banden van TikTok met China. In openbare verklaringen prees TikTok het werk van Cloutier, een veteraan van de Amerikaanse luchtmacht en voormalig politiedetective voor veteranenzaken, als bewijs dat TikTok de zorgen over cyberbeveiliging en gegevens serieus nam.

Maar volgens huidige en voormalige werknemers, evenals interne materialen beoordeeld door Forbeswerden de inspanningen van Cloutier om een ​​robuust beveiligingsteam op te bouwen verlamd door de afdeling Interne Audit en Risicocontrole van ByteDance, die wordt geleid door Song Ye, een leidinggevende in Peking.

Uit de materialen blijkt dat Internal Audit meerdere audits en onderzoeken naar Cloutier heeft gestart, waarbij hij beweerde dat hij contracten ter waarde van miljoenen dollars had doorgeduwd aan in de VS gevestigde beveiligingsleveranciers die zijn persoonlijke vrienden waren. Forbes geen materiaal heeft bekeken dat de juistheid van deze aantijgingen afdoende staafde of weerlegde.

Sommige huidige en voormalige werknemers karakteriseerden de sondes in Cloutier echter als pretextuele visexpedities die waren ontworpen om een ​​reden te vinden om hem uit het bedrijf te duwen. Ze merkten op dat de Chief Internal Auditor van TikTok, Chris Lepitak, had betoogd dat een deel van het werk dat door het TikTok-team van Cloutier wordt beheerd, in plaats daarvan eigendom zou moeten zijn van het Internal Audit-team van ByteDance. De bronnen zeiden dat Lepitak aangaf dat Internal Audit toezicht moet houden op gebieden zoals digitaal forensisch onderzoek en insiderrisico, die essentieel zijn voor het waarborgen van de veiligheid van gebruikersgegevens. Lepitak rapporteert aan Song Ye, die rapporteert aan ByteDance medeoprichter en CEO Liang Rubo.

TikTok en ByteDance beantwoordden geen vragen over waarom Cloutier werd onderzocht, of hij werd ontslagen of dat hij uit het bedrijf werd gezet vanwege zijn werk aan gegevenstoegangscontroles.

Een onderzoek naar Cloutier was specifiek gericht op de relatie van de Global Security Organization met adviesgigant Booz Allen Hamilton. Verschillende voormalige medewerkers van Booz werken momenteel in het beveiligingsteam van TikTok. Booz hielp TikTok onder meer bij het beheren van de toegang van werknemers in China tot Amerikaanse gebruikersgegevens. Eerder weigerde Booz commentaar op zijn relatie met TikTok en reageerde niet onmiddellijk op een verzoek om commentaar.

TikTok onderhandelt momenteel over een nationaal veiligheidscontract met CFIUS dat zal bepalen hoe de Chinese app voor sociale media omgaat met de persoonlijke gebruikersgegevens van Amerikanen. Voordat hij zijn functie bij het bedrijf in juli 2022 verliet, had Cloutier gewerkt aan het verminderen van de toegang van in China gevestigde werknemers tot gegevens: in een blogpost van april 2020 schreef hij: “Ons doel is om de toegang tot gegevens tussen regio’s te minimaliseren, zodat, werknemers in de APAC-regio, inclusief China, zouden bijvoorbeeld zeer minimale toegang hebben tot gebruikersgegevens uit de EU en de VS”

BuzzFeed News meldde in juni dat Amerikaanse gebruikersgegevens tot ten minste januari 2022 herhaaldelijk waren geopend door werknemers in China. Forbes meldde vorige week dat de interne auditafdeling van ByteDance – dezelfde die Cloutier onderzocht – van plan was de locaties van individuele Amerikaanse burgers te controleren met behulp van de TikTok-app.

“Ons doel is om gegevenstoegang tussen regio’s te minimaliseren, zodat bijvoorbeeld werknemers in de APAC-regio, inclusief China, zeer minimale toegang hebben tot gebruikersgegevens uit de EU en de VS”

Roland Cloutier, TikTok’s voormalige Global Chief Security Officer

Cloutier reageerde niet op meerdere verzoeken om commentaar. TikTok kondigde aan dat hij in juli zijn functie als Chief Security Officer neerlegde, en volgens zijn LinkedIn-profiel verliet hij het bedrijf in september.

ByteDance-woordvoerder Jennifer Banks zei in een verklaring dat het interne auditteam “verantwoordelijk is voor het objectief controleren en evalueren van het bedrijf en de naleving van onze gedragscodes door onze medewerkers.” Banken vervolgden dat “[a]Elk intern onderzoek wordt gedaan met de bedoeling om een ​​veilige en conforme werkplek te behouden”, maar weigerde commentaar te geven op specifieke onderzoeken.

TikTok heeft geen commentaar gegeven op een gedetailleerde lijst met punten en vragen van Forbes over de Cloutier-onderzoeken en andere onderzoeken die zijn uitgevoerd door het interne auditteam van ByteDance. Echter, in reactie op Forbes’In een eerder rapport over het team tweette de communicatieafdeling van TikTok: “Ons interne auditteam volgt vastgestelde beleidslijnen en processen om informatie te verkrijgen die ze nodig hebben om intern onderzoek te doen naar schendingen van de gedragscodes van het bedrijf[.]”

Ondanks TikTok’s bewering dat Internal Audit “ons” team is, geven interne materialen aan dat het Internal Audit-team niet rapporteert aan leden van TikTok’s executive team, en in plaats daarvan rechtstreeks rapporteert aan ByteDance executives in China. TikTok beantwoordde geen vraag waarom het op deze manier naar het Internal Audit-team verwees.

Uit materiaal blijkt ook dat de onderzoeken die door Internal Audit zijn uitgevoerd vaak omvangrijk waren, inclusief contracten met externe beveiligingsbedrijven en beoordelingen van vele duizenden e-mails, correspondentie van medewerkers en berichten in Lark, de interne werkplekbeheersoftware van ByteDance. Uit materiaal blijkt ook dat sommige onderzoeken vertrouwelijk zijn behandeld door managers van medewerkers en HR.

Cloutier is ook niet de enige Amerikaanse executive die het doelwit was van de interne auditafdeling. Twee bronnen zeiden ook dat ten minste één andere leidinggevende, voormalig TikTok Global Head of Marketing Nick Tran, ook werd weggestuurd vanwege beschuldigingen van belangenconflicten als gevolg van persoonlijke relaties, die door de bronnen werden gekenmerkt als een excuus om de werknemer te ontslaan. Tran weigerde commentaar te geven.

Talloze senior medewerkers waren van mening “dat zijzelf en hun teams slechts ‘boegbeelden’ of ‘machteloze ombudsmannen'” zijn die “functioneel onderworpen zijn aan de controle van op CN gebaseerde teams”.

Een interne risicobeoordeling opgesteld door het interne auditteam van ByteDance

Drie huidige en voormalige werknemers beschreven ook een lijst met TikTok-medewerkers – van wie sommigen het bedrijf nu hebben verlaten – die ByteDance hoopte uit hun functie te zetten. Noch TikTok, noch ByteDance hebben commentaar geleverd op het bestaan ​​van zo’n lijst. De Financial Times meldde eerder dat TikTok een ‘kill-lijst’ had gemaakt voor werknemers die het uit het bedrijf wilde verdrijven. TikTok vertelde destijds aan FT dat het “geen lijst kon vinden die aan deze beschrijving voldeed”.

TikTok heeft zijn volgende Chief Global Security Officer nog niet benoemd, maar uit documenten blijkt dat de Global Security Organization van het bedrijf zich momenteel midden in een bedrijfsherstructurering bevindt, bedoeld om “pijnpunten” aan te pakken, waaronder redundantie tussen teams. TikTok en ByteDance weigerden vragen te beantwoorden over de vraag of de herstructurering de verdeling van verantwoordelijkheden tussen TikTok’s Global Security Organization en ByteDance’s Internal Audit-team zou veranderen.

In het verleden worstelde TikTok met het behoud van in de VS gevestigde leidinggevenden. In september, Forbes meldde dat ten minste vijf senior leiders bij TikTok het bedrijf hadden verlaten omdat ze vonden dat ze niet konden bijdragen aan belangrijke besluitvorming. De interne auditafdeling van ByteDance vond blijkbaar hetzelfde: uit een risicobeoordeling die eind 2021 door de afdeling werd opgesteld, bleek dat tal van senior medewerkers het gevoel hadden “dat zijzelf en hun teams slechts ‘boegbeelden’ of ‘machteloze ombudsmannen’ zijn” die “functioneel onderworpen zijn aan de controle over op CN gebaseerde teams.”

Noch TikTok, noch ByteDance gaven commentaar op de risicobeoordeling.

Vorige maand vaardigde president Biden een uitvoerend bevel uit waarin hij CFIUS opdroeg om de risico’s van de toegang van buitenlandse bedrijven tot privégegevens van Amerikanen nader in overweging te nemen. Gisteren hield het ministerie van Justitie een persconferentie om aanklachten bekend te maken tegen twee Chinese inlichtingenfunctionarissen van de regering die naar verluidt een federaal onderzoek naar vermeend wangedrag door de in China gevestigde telecomgigant Huawei wilden belemmeren. (Huawei reageerde niet onmiddellijk op een verzoek om commentaar.)

Op de persconferentie zei plaatsvervangend procureur-generaal Lisa Monaco, die naar verluidt een van de functionarissen is die de deal tussen TikTok en CFIUS herzien, over de Huawei-zaak: “Deze zaak legt de onderlinge connectie tussen PRC-inlichtingenofficieren en Chinese bedrijven bloot. En het toont eens te meer aan waarom dergelijke bedrijven, met name in de telecommunicatie-industrie, niet mogen worden vertrouwd om veilig om te gaan met onze gevoelige persoonlijke gegevens en communicatie.”

Richard Nieva droeg bij aan rapportage.

MEER OVER TIKTOK EN BYTEDANCE

MEER VAN FORBESTikTok Parent ByteDance is van plan TikTok te gebruiken om de fysieke locatie van specifieke Amerikaanse burgers te controlerenMEER VAN FORBESLinkedIn-profielen geven aan dat 300 huidige TikTok- en ByteDance-medewerkers vroeger voor Chinese staatsmedia werkten – en sommigen doen dat nog steedsMEER VAN FORBESTikTok laat Amerikaanse bestuurders bloeden omdat China nog steeds de touwtjes in handen heeft, zeggen ex-werknemersMEER VAN FORBESInlichtingencommissie van de Senaat roept FTC op om TikTok te onderzoeken voor ‘misleiding’MEER VAN FORBESTikTok, ziekenhuizen en bijles-apps: de vele tentakels van Chinese Tech Giant ByteDance

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in