Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal varování k aplikaci TikTok. Tato sociální síť oblíbená zejména mezi mladou generací může představovat bezpečnostní riziko, zejména pokud její aplikaci uživatel nainstaluje a používá na smartphonu nebo jiném zařízení, které má přístup do systémů tzv. kritické informační infrastruktury.
Varování je účinné pro tzv. povinné osoby dle zákona o kybernetické bezpečnosti účinné od okamžiku vyvěšení na úřední desce NÚKIB. Ostatní jej mohou brát jako doporučení. „K vydání tohoto varování vedla NÚKIB kombinace vlastních poznatků a zjištění spolu s informacemi od partnerů,“ uvádí úřad. TikTok by se tak podle úřadu neměl objevovat nejen na „pracovních“ telefonech, ale i soukromých zařízeních, které uvedené typy osob využívají k pracovním účelům.
Povinná osoba
Podle zákona č. 181/2014 Sb. – Zákon o kybernetické bezpečnosti (ZKB)
- Poskytovatelé služeb elektronických komunikací a subjekty zajišťující síť elektronických komunikací
- Významné sítě
- Kritická informační infrastruktura (KII)
- Významné informační systémy (VIS)
- Provozovatelé základních služeb (PZS)
- Poskytovatelé digitálních služeb
- Orgán veřejné moci využívající služeb poskytovatelů cloud computingu
Zdroj: NÚKIB
Obava z možných bezpečnostních hrozeb vyplývá především z množství shromažďovaných dat o uživatelích a způsobu, jakým jsou sbírána a jak se s nimi nakládá. Roli hraje právní i politické prostředí Čínské lidové republiky, jejímuž právnímu prostředí je podřízena společnost ByteDance, která vyvinula a provozuje sociální platformu TikTok.
Na základě vydaného varování musí výše zmíněné subjekty reagovat přijetím přiměřených bezpečnostních opatření. Hrozba je hodnocena na úrovni „Vysoká“, tedy jako pravděpodobná až velmi pravděpodobná. NÚKIB doporučuje zakázat instalaci a používání aplikace TikTok na zařízeních, jež mají přístup do regulovaného systému (pracovní i soukromá zařízení využívaná k pracovním účelům).
Úřad také současně doporučujeme široké veřejnosti zvážit použití této aplikace a zejména to, co v ní sdílí. U tzv. zájmových osob, tedy osob, které jsou například ve vysokých politických, veřejných či rozhodovacích funkcích, doporučuje aplikaci vůbec nepoužívat. „Varování nerozlišuje mezi uživateli ze státního a soukromého sektoru. Stěžejní je, zda by ohrožení konkrétního systému mohlo mít negativní dopad na fungování České republiky a bezpečí každého z nás,“ upřesňuje k vydanému varování ředitel NÚKIB Lukáš Kintr.
Jak TikTok shromažďuje data:
- mapování zařízení, kdy aplikace zjišťují informace o jiných spuštěných a instalovaných aplikacích
- obsah soukromé komunikace je ukládán na servery společnosti ByteDance
- pravidelná kontrola lokace zařízení
- přístup ke kontaktům v zařízení
- informace o zařízení včetně Wi-Fi SSID, předešlé konfigurace Wi-Fi, sériového čísla zařízení a SIM karty, ID zařízení, IMEI zařízení, MAC adresy, telefonního čísla, výčtu všech uživatelských účtů používaných na zařízení a kompletního přístupu ke clipboardu
- perzistentní přístup ke kalendáři umožňující jeho čtení a změnu
- vynucování využití nativního prohlížeče, jenž umožňuje sledovat téměř veškerou aktivitu uživatele (např. stisknutí kláves na obrazovce)
Zdroj: NÚKIB