Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) varoval včera před používáním čínské aplikace TikTok pro sdílení videí, kterou označil za bezpečnostní hrozbu. Následuje tak ostatní země, které na možné zneužití aplikace upozorňují. Čínský whistleblower mezitím odhalil, jak snadné je pro čínské zaměstnance TikToku dostal se k datům zahraničních uživatelů.
„K vydání varování jsem přistoupil na základě komplexní analýzy informací o aplikaci TikTok, které jsme získali jak z veřejných zdrojů, tak od našich spojenců. Množství sbíraných dat a nakládání s nimi, v kombinaci s právním prostředím v Číně a rostoucím počtem uživatelů v České republice, nám nedává jinou možnost než označit TikTok za bezpečnostní hrozbu,“ uvedl v tiskovém prohlášení ředitel NÚKIB Lukáš Kintr.
Dánské ministerstvo obrany tento týden zakázalo svým zaměstnancům TikTok používat na služebních zařízeních. Stejný zákaz platí také v USA pro federální zaměstnance nebo pro personál v rámci Evropské komise. Dá se čekat, že všichni američtí spojenci zaujmou k aplikaci dříve či později podobný přístup.
Ředitel FBI Christopher Wray včera na senátním slyšení potvrdil, že TikTok představuje pro Ameriku hrozbu z hlediska národní bezpečnosti a soukromí a že Komunistická strana Číny může software použít k manipulování myšlení milionů Američanů, například v otázce Tchaj-wanu a dalších.
NÚKIB, jehož varování sdílela na Twitteru i Bezpečnostní informační služba (BIS), která čínský režim v posledních letech pravidelně označuje za zpravodajskou hrozbu, upozorňuje, že technologie sbírá o uživatelích velké množství informací, které se ukládají na různých místech a „není zcela jasné, kdo k nim má přístup“.
Úřad zmínil, že závěry učiněné ve varování jsou podloženy „analýzami z veřejných zdrojů i informacemi od tuzemských i zahraničních partnerů“. „Vysokou“ hrozbu podle něj představuje video aplikace zejména pro zařízení přistupující do důležitých systémů, jako jsou kritická informační infrastruktura, významné informační systémy a informační systémy základní služby.
Kdo se musí varováním povinně zabývat
Varování NÚKIB není pouze informativní. Podle zákona se jím musí povinně zaobírat určité subjekty vyjmenované v zákoně o kybernetické bezpečnosti. Jsou to správci a provozovatelé informačních a komunikačních systémů kritické informační infrastruktury, správci a provozovatelé významných informačních systémů a správci a provozovatelé informačních systémů základních služeb.
V praxi jde například o IT správce ve vládních úřadech, u policie, hasičské záchranné služby, ve zdravotnictví, bankovnictví, energetice, mobilních sítích aj.
Jak Epoch Times vysvětlil Marek Vala z tiskového oddělení NÚKIB, správci a provozovatelé těchto systémů musí na základě varování vypracovat analýzu rizik, na jejímž základě pak stanoví další opatření. Správce může například určit, že TikTok bude povolen jen na soukromých telefonech zaměstnanců, kteří se nepřipojují do chráněné firemní sítě (uklízečka, vrátný).
Kybernetický úřad nicméně doporučil některé konkrétní kroky:
– zakázat instalaci a používání aplikace TikTok na zařízeních, jež mají přístup do regulovaného systému (pracovní i soukromá zařízení využívaná k pracovním účelům)
– nepoužívat TikTok v případě osob ve vysokých politických, veřejných či rozhodovacích funkcích
– zvážit použití TikToku a to, co v něm sdílíte u všech ostatních
Data kliknutím tlačítka
Čínské společnosti mají ze zákona povinnost předat státním orgánům všechna potřebná data, pokud je o to úřady požádají. TikTok vlastní mateřská společnost ByteDance se sídlem v Pekingu a jako taková podléhá čínským zákonům.
Zatímco provozní ředitelka TikToku, Vanessa Pappas, vypovídala v září 2022 pod přísahou před bezpečnostním výborem amerického senátu, že firma má „přísné kontrolní prvky, co se týče toho, kdo a jak se k našim datům dostane“ a dušovala se, že „tato data bychom v žádném případě Číně nedali“, podle jednoho whistleblowera jsou tyto kontrolní prvky pouze „povrchní“, pokud tam vůbec nějaké jsou.
Tento informátor se znalostmi, jak to v TikToku chodí, oslovil amerického senátora Joshe Hawleyho, který zjištěné skutečnosti označil za „hluboce znepokojující“. Mimo to jde o fakta, která popírají tvrzení zástupců TikToku.
Podle tohoto muže spolu ByteDance a TikTok úzce spolupracují a čínští zaměstnanci mohou „přepnout mezi čínskými a americkými daty pouhým kliknutím tlačítka“, uvedl Hawley. Používají k tomu vlastní softwarový nástroj Dorado. Dalším programem je Aeolus, díky němuž se pracovníci v Číně mohou dostat k datům amerických uživatelů, pokud dostanou svolení od vedoucího nebo vlastníka datového souboru.
„Na vlastní oči jsem viděl, jak inženýři v Číně procházejí soubory dat, které nebyly z Číny, a vytvářejí plánované úkoly k záloze, agregování a analýze dat,“ uvedl whistleblower. Podle něj se TikTok a ByteDance „spoléhají na vlastní software vytvořený v Číně, čímž se vyhnou zahraničnímu dohledu a umožní čínským programátorům vkládat softwarová zadní dvířka“, citoval informátora senátor Hawley.
Na dotaz The Epoch Times mluvčí TikToku uvedl, že whistleblower „má zřejmě špatné informace“.
„Nástroje popsané v dopise senátora Hawleyho jsou převážně analytické nástroje. Neumožňují samy o sobě přímý přístup k datům,“ uvedl mluvčí společnosti a dodal: „Veškerý přístup k datům z USA probíhá ve Spojených státech ze strany (firemní) U.S. Data Security a může opustit cloudové prostředí v Oracle za omezených a monitorovaných okolností.“
Proč zrovna TikTok?
Proč se všichni naváží právě do čínské video aplikace? Neexistují i jiné aplikace, která ve velkém shromažďují data a jsou velmi populární? Podle NÚKIB jsou v případě TikToku hrozby „markantnější než u většiny srovnatelně populárních aplikací“.
TikTok totiž o svých uživatelích „sbírá velké množství dat (včetně těch velmi citlivých), která bezprostředně nepotřebuje ke svému fungování. Dále je potřeba brát v potaz čínské právní prostředí, které ukládá povinnost čínským společnostem, a tudíž i provozovatelům aplikací, jako je TikTok, spolupracovat a sdílet informace se státem, a to bez náležitých právních záruk“.