Masarykova Univerzita opouští TikTok a varuje před jeho používáním

Z důvodu bezpečnostních rizik se Masarykova univerzita rozhodla odejít z platformy TikTok. Chce jít příkladem a poukázat na nevhodné zacházení s osobními daty.

Sociální síť pro sdílení krátkých videí TikTok je v posledních letech nejrychleji rostoucí platformou svého druhu. Ve 154 zemích světa ji používá více než jedna miliarda uživatelů, v České republice jsou to dva miliony.

Se stále sílící popularitou této sítě se ale výrazněji řeší její bezpečnostní aspekty. TikTok totiž vyvinula a provozuje čínská společnost ByteDance sídlící v Pekingu. Ta tak spadá do působnosti legislativy Čínské lidové republiky, což vyvolává obavy. TikTok posílá data Číně, Facebook a Twitter USA. Záleží tedy na tom, která ze zemí je v současnou chvíli pro nás spojenec a která nepřítel. Úroveň důvěryhodnosti právního prostředí některých států má přímý dopad na důvěryhodnost společností, které jsou v nich usídleny a jsou takovým právním prostředím podřízeny. U států s méně důvěryhodným právním prostředím pak nelze vyloučit, že dané společnosti budou ze strany státu nuceny upřednostnit zájmy svého státu před zájmy svých zákazníků, vysvětlil vedoucí Divize kyberbezpečnosti a správy dat Kyberbezpečnostního týmu MU Tomáš Plesník.

TikTok tak může pro účely čínské vlády shromažďovat data z historie prohlížení, informace o biometrických identifikátorech, mapovat zařízení, sledovat soukromé komunikace i přistupovat ke kontaktům. Množství dat a způsob, jakým jsou sbírána, může sloužit k zacílení kybernetických útoků na konkrétní osoby, a tím zvýšit riziko jejich úspěchu (např. prostřednictvím spear phishingu). Současně lze tato data zneužít k vydírání zájmových osob a narušit tak bezpečnostní nebo strategické zájmy ČR, doplnil Tomáš Plesník.

Některé instituce v reakci na tato rizika a rostoucí popularitu aplikace už sáhly ke konkrétním krokům. Na začátku března zakázal svým zaměstnancům aplikaci TikTok používat Evropský parlament. Tento zákaz se vztahuje nejen na jejich firemní zařízení, ale také na ta osobní, která mají registrována pro služby Evropské unie.

Následně varoval před užíváním aplikace také Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Doporučil zakázat instalaci a používání aplikace TikTok na zařízeních, která zaměstnanci používají k pracovním účelům. Na Masarykově univerzitě se toto varování dotýká informačního systému(IS MU) apersonálně-ekonomického systému (INET). Z těchto důvodů i Kyberbezpečnostní tým MU vydal vlastní prohlášení.

Doporučení Kyberbezpečnostního týmu MU
Ve svém prohlášení Kyberbezpečnostní tým MU doporučuje studujícím a zaměstnancům univerzity, aby neinstalovali ani nepoužívali mobilní aplikaci TikTok na zařízeních, ze kterých přistupují k IS MU a INET, a to z důvodu ochrany jejich personálních dat.

Masarykova univerzita má svůj profil na síti TikTok od loňského léta. S přihlédnutím ke všem bezpečnostním rizikům se nyní rozhodla, že se se svými sledujícími na síti TikTok rozloučí a účet do konce dubna smaže. Nebude tuto sociální síť ani podporovat a používat jako komunikační a marketingový kanál. Tímto krokem chce univerzita jít příkladem a poukázat na nevhodné zacházení s osobními daty.

Varování pro uživatele IT na MU
Při používají aplikace TikTok může ze strany provozovatele aplikace docházet k:
• vynucování využití nativního prohlížeče, jenž umožňuje sledovat téměř veškerou aktivitu uživatele (např. stisknutí kláves na obrazovce);
• sběru informací o zařízení včetně připojování k Wi-Fi síti, sériového čísla zařízení a SIM karty, telefonního čísla, výčtu všech uživatelských účtů používaných na zařízení a kompletního přístupu ke schránce (clipboard);
• mapování zařízení, kdy aplikace zjišťuje informace o jiných spuštěných a instalovaných aplikacích;
• pravidelné kontrole polohy zařízení; předávání soukromé komunikace na servery čínské společnosti ByteDance;
• přístupu ke kontaktům v zařízení.

A jak by se situace ohledně TikTok mohla vyvíjet dále? Západní státy nejspíše půjdou cestou plošného zákazu TikTok pro všechny uživatele, nebo minimálně snahou o takový zákaz. V USA už takový zákon vydal stát Montana. Administrativa prezidenta Bidena se také nechala slyšet, že by chtěla plošný zákaz aplikace zavést i na federální úrovni. Na evropské úrovni vidíme podobný vývoj, kdy jednotlivé státy postupně zakazují aplikaci svým zaměstnancům, jen s menším časovým zpožděním proti USA. Z vývoje těchto událostí tedy předpokládáme, že se EU bude snažit aplikaci také regulovat plošně, dodává Tomáš Plesník.