Incidenten bij het controversiële TikTok laten zien hoe snel en gemakkelijk operationele procedures in datacenters overtreden kunnen worden. Theorie en praktijk lijken vaak ver uit elkaar te liggen. Met grote gevolgen voor de security in deze faciliteiten.
Net als veel andere techbedrijven huurt TikTok in de Verenigde Staten ruimte in datacenters in de staat Virginia. Daar werden tot oktober vorig jaar alle data van Amerikaanse gebruikers verwerkt en opgeslagen. Gezien de beschuldigingen over spionage en dergelijke heeft TikTok inmiddels zijn datacenteraanpak veranderd en werkt men nu samen met datacenters die eigenaar zijn van het Amerikaanse software- en cloudbedrijf Oracle. Gebruikersdata van voor die tijd is echter nog altijd in Virginia opgeslagen.
Doordat TikTok onder andere beschuldigd wordt van het feit dat het bedrijf het gebruik dat journalisten van onder andere zakenblad Forbes maken van de app nauwgezet volgt (de journalisten spreken zelf liever van bespioneren) hebben deze redacteuren de operationele gang van zaken van de datacenters van TikTok in de VS stevig onder de loep genomen. Met als gevolg een waslijst aan kleine en grotere incidenten die veel Nederlandse datacenter professionals de wenkbrauwen zullen doen fronsen.
Voorbeelden van incidenten zijn onder andere usb-sticks die in servers steken en waarvan het operationeel personeel niet weet waarom die daar zijn en door wie deze zijn geplaatst. Dozen vol harde schijven blijken onbewaakt in de lobby van een datacenter te zijn achtergelaten. Ook bleken mensen die het datacenter bezochten dit te kunnen doen zonder dat zij werden begeleid door geautoriseerd personeel.
Ook lastig voor TikTok is de leverancier van servers waar het bedrijf lang mee heeft samengewerkt: Inspur. Deze leverancier zal voor datacenter professionals die belangstelling hebben voor open source hardware geen onbekende zijn. Deze Chinese firma is al jarenlang actief binnen de wereld van Open Computer Project. Problematisch voor TikTok is echter het feit de Amerikaanse overheid heeft vastgesteld dat Inspur deels eigendom is van de Chinese overheid. Met als gevolg dat het bedrijf op een Amerikaanse sanctielijst is terecht gekomen.
De operationele en security-procedures zijn met name naar buiten gekomen in een artikel dat Forbes onlangs publiceerde. Het blad haalt daarin een blog post van TikTok aan waarin wordt gesteld dat er duidelijke fysieke en logische regels zijn opgesteld rond de beveiliging. Het zakenblad stelt echter met minstens zeven huidige en voormalige werknemers van TikTok’s datacenteroperatie te hebben gesproken die zeiden dat de beveiliging op de sites ‘variabel en laks’ is. Volgens deze medewerkers verschillen fysieke beveiligingssystemen per gebouw, maar vertrouwen de meeste op een badgesysteem. Het bedrijfsbeleid stelt dat gasten, waaronder koeriers, hardwareleveranciers, installateurs en andere professionals, te allen tijde door een medewerker moeten worden begeleid. Maar in de praktijk gebeurt dat volgens vier medewerkers niet altijd omdat men daar geen tijd voor heeft. Een veelheid aan ticketingsystemen maakt het bovendien lastig om IT- en andere apparatuur die onderhoud of reparatie dienen te ondergaan goed te kunnen volgen. Met alle security-risico’s van dien.
Interessant is tenslotte de reactie van een medewerker van een Amerikaanse universiteit die door Forbes om commentaar is gevraagd. Het blad stelt: ‘Volgens Sanjukta Das Smith, voorzitter van Management Science and Systems aan de University of Buffalo School of Management en een expert op het gebied van datacenter resources, is onvoldoende investering in datacenterbeveiliging een sectorbreed probleem. In een interview zei ze: “Vaak heeft beveiliging de neiging om op de achtergrond te komen, omdat bij de meeste klantgerichte interacties de focus meer ligt op de ervaring van de klant: hoe snel laden dingen op hun apparaten en wat is de esthetiek daarvan?’
Verder stelt Forbes: ‘Ondanks deze systemische uitdagingen, weken de praktijken beschreven door TikTok-medewerkers af en toe af van de industrienormen beschreven door Smith. In de datacenters die ze heeft bezocht, zei Smith bijvoorbeeld: “Zelfs als je voorafgaande toestemming hebt, is het niet alsof iemand vrij rondloopt als je eenmaal door de check-in bent gegaan. Het is een begeleide ervaring.’ Maar dit is blijkbaar niet het geval in de TikTok-centra, waar een bron zei: ‘We wisten nooit echt wanneer deze mensen zouden komen opdagen, ze kwamen gewoon opdagen met een kaartje en vroegen om toegang te worden ontzegd, en iemand zou hen de toegang ontzeggen en ze zouden naar binnen gaan en doen wat ze doen en dan vertrekken.’
Smith van de University of Buffalo zei verder ook dat ze nog nooit usb-drives in datacenters heeft gebruikt, maar dat het gebruik daarvan voor extra zorgen zou moeten leiden, aangezien het heel gemakkelijk is om via een usb-stick kwaadaardige software op een server te installeren.