Zakázat, nebo nezakázat ve firmě TikTok?

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) varuje před aplikací TikTok čínské společnosti ByteDance. Mezitím už nejstahovanější aplikaci posledních tří let zakázaly svým zaměstnancům americké úřady, Evropský parlament i společnost Amazon. Měli byste se k nim přidat i vy? 

Jestli máte děti nebo alespoň zákazníky mladší pětadvaceti let, určitě už jste o TikToku slyšeli. Jde o platformu s patrně nejlepším doporučovacím algoritmem, na které uživatelé sdílejí krátká videa. V podstatě takový zrychlený Youtube a Google v jednom, protože ti nejmladší už TikTok používají i jako primární vyhledávač.  

Kouzlo TikToku spočívá v tom, že ještě není přehlcený reklamou, že je autentický a že o dosahu videí zde nerozhodují peníze ani počet sledujících, ale čistě jejich zábavnost. Pro uživatele je tak relativně snadné stát se úspěšným tvůrcem. 

Proč je však TikTok kybernetickou hrozbou? 

Stejně jako ostatní sociální média sbírá i TikTok o svých uživatelích hromadu citlivých osobních údajů. Problém je však v tom, jak a kde všude je sbírá a že podle čínského zákona je musí „na požádání“ předat státu. A právě v tom spočívá jeho největší nebezpečí. 

Ptáte se, co bude kdo dělat s videi, na kterých zpíváte nebo třeba odpovídáte svým sledujícím na otázky? Například s pomocí umělé inteligence a pokročilými nástroji na syntézu řeči si mohou útočníci jednoduše pořídit vaše biometrické údaje, které třeba brzy budete využívat k ověřování identity při přihlašování k „důležitějším“ službám, než je Facebook a TikTok. 

TikTok navíc archivuje nejen vše, co na něm napíšete, ale i údaje o tom, „jak“ to napíšete. Trvá vám najít na klávesnici určité písmenko déle než jiné a některé kombinace znaků máte naopak namačkané dokonale? I to jsou biometrické údaje, které už dnes některé služby používají k identifikaci svých uživatelů. TikTok je zná a může je zneužít. 

Má také přístup k vaší poloze, druhu zařízení, které používáte, ale i k údajům ze všech dalších zařízení, na kterých jste se k němu kdy přihlásili. 

Pamatuje si také veškerou vaši aktivitu, biometrické údaje i obsah vašich konverzací. „Běžné praktiky informačního průmyslu,“ hájí se sice provozovatel TikToku, ale nikde jinde se tyto údaje nemohou tak snadno dostat do rukou státních institucí jako v Číně. A to může být zvlášť dnes – v době napjaté geopolitické situace – docela problém. 

Data jsou prý v bezpečí, přitom... 

Společnost ByteDance, která TikTok provozuje, sice tvrdí, že data uživatelů jsou u ní v bezpečí, nicméně třeba loni v prosinci přiznala, že její zaměstnanci využili dat z TikToku ke stopování amerických novinářů, kteří se měli tajně setkat se zaměstnanci společnosti. 

Teoreticky by útočníci z jeho dat mohli vyčíst třeba, kdy jsou vaši bezpečnostní pracovníci na toaletě, a v tu chvíli zahájit kybernetický útok nebo s pomocí deepfake nástrojů a řečových syntetizátorů připravit pro zaměstnance (video)vzkaz od vašeho CEO, jehož obsah může vaši společnost klidně položit. 

I když třeba (zatím) nejste součástí kritické informační infrastruktury, politiku používání TikToku na služebních zařízeních byste zkrátka ve vaší firmě měli důkladně zvážit. Rozhodně byste nebyli první... 

Jak mít zařízení vašich zaměstnanců pod kontrolou? 
Zajistěte dodržování bezpečnostních pravidel ve firmě pomocí Mobile Device Managementu a spravujte všechna mobilní zařízení i aplikace na dálku z jedné platformy.  Zákazy v USA, Kanadě i v Evropském parlamentě 

Plošný zákaz TikToku v USA plánoval už Donald Trump, ale jeho nástupce Joe Biden pak návrh stáhl. Nicméně od minulého týdne je znovu na stole.  

Mezitím už americké úřady v několika státech přistoupily alespoň k zákazu TikToku na vládních zařízeních. A stejně tak se stalo i v Kanadě a dalších evropských i asijských státech nebo na půdě Evropského parlamentu. Aplikaci v zařízeních svých zaměstnanců už však zakazují i soukromé společnosti, jako je Amazon. 

Ve světle toho všeho přichází se svým varováním i NÚKIB. Podle něj představuje TikTok „pravděpodobné, až velmi pravděpodobné“ riziko zejména pro zařízení připojená na systémy „kritické informační infrastruktury“. Jde tedy o poměrně úzký okruh informačních systémů, jejichž narušení by způsobilo významné škody hospodářství nebo by vážně narušilo život desítek tisíc lidí.  

Vzhledem k výše popsanému však opravdu není od věci se o zákazu TikToku pobavit i ve firmě, která součástí kritické infrastruktury není. Stejně jako doma u rodinné večeře. 

V práci manažer, doma rodič. Jak TikTok ohrožuje vaše děti? Děti na předávání údajů třetím stranám ani na zneužití biometrických dat samozřejmě neslyší, ale i pro ně představuje TikTok vážnou hrozbu. Kromě toho, že je díky chytrým algoritmům mimořádně návykový a bere jim spoustu času, pozornosti i energie, příliš na něm (oproti Facebooku či Twitteru) nefunguje kontrola a odstraňování závadného obsahu, což vede k virálnímu šíření nebezpečných výzev, často s tragickými následky. Pomohl by samozřejmě jeho plošný zákaz na území Evropské unie, ale leckdy stačí dětem jen nastavit limity pro jednotlivé aplikace. Odborníci doporučují vytvořit jim tzv. dětský účet a sledovat, jaké aplikace si do mobilů stahují a kolik času s nimi tráví. A samozřejmě se „nepříliš autoritativně“ zajímat o to, co na sociálních sítích dělají – projevit zájem a pochopení. Prostě s nimi mluvit. Hezky. 

Co si z článku odnést?  

• TikTok představuje bezpečnostní riziko jak pro vládní instituce, tak pro běžné uživatele. NÚKIB však zatím varuje jen články kritické informační infrastruktury. 
• V Číně existuje zákon, podle kterého musí soukromé firmy vydat státu na požádání veškerá data, která uchovávají. I ta o vašich zaměstnancích. 
• TikTok archivuje nejen vše, co na něm napíšete, ale i údaje o tom, „jak“ to napíšete. S pomocí umělé inteligence a pokročilými nástroji na syntézu řeči si tak mohou útočníci pořídit vaše biometrické údaje, které třeba brzy budete využívat k ověřování identity. 

Barbora Nováková
Marketingový specialista pro B2B