Logotyp serwisu CyberDefence24
Reklama

Cyberbezpieczeństwo

Czeska służba cyberbezpieczeństwa: TikTok to poważne ryzyko

Małgorzata Fraser

Logo agencji NUKIB - Národní úřad pro kybernetickou a informační bezpečnost
Autor. Národní úřad pro kybernetickou a informační bezpečnost / Facebook

Narodowa Agencja Cyberbezpieczeństwa i Bezpieczeństwa Informacji Czech – NUKIB – wydała ostrzeżenie przed TikTokiem, którego uważa za „poważne ryzyko” dla bezpieczeństwa urządzeń z dostępem do systemów IT ważnej infrastruktury.

Reklama

W dokumencie opublikowanym przez NUKIB w środę czytamy, że służba uważa instalację i użycie TikToka za poważne ryzyko dla bezpieczeństwa urządzeń „posiadających dostęp do systemów informacyjnych i komunikacyjnych krytycznej infrastruktury informacyjnej, systemów informacyjnych ważnych usług i innych ważnych systemów IT".

Reklama

Ryzyko związane z TikTokiem NUKIB ocenia jako wysokie, a więc „prawdopodobne lub bardzo prawdopodobne" pod względem wystąpienia zagrożeń.

Jakie skutki ma ostrzeżenie NUKIB?

W związku z ostrzeżeniem czeskiej agencji, władze na poziomie krajowym i wszystkie osoby, które są prawnie zobowiązane do zachowywania szczególnej ostrożności w zakresie cyberbezpieczeństwa, muszą odnieść się do ryzyka stwarzanego przez TikToka i podjąć właściwe działania celem zabezpieczenia się przed możliwym wystąpieniem zagrożeń – czytamy w sekcji rekomendacji dokumentu.

Reklama

Ostrzeżenie wydane przez Czechów dokłada kłopotów chińskiej platformie, która w Europie coraz bardziej jest na cenzurowanym – o tym, że zakaz korzystania z niej swoim pracownikom wydały już Komisja Europejska i Parlament Europejski, pisaliśmy na łamach naszego serwisu. Podobne restrykcje wprowadzają też inne kraje, np. Niderlandy czy USA.

Jednocześnie, TikTok rozpoczął ofensywę wizerunkową i dyplomatyczną w Europie - znaną jako projekt Clover, o którym pisaliśmy tutaj, wyjaśniając również genezę problemów platformy na Starym Kontynencie i poza nim.

Ciekawe w dokumencie NUKIB jest jednak to, że agencja zwraca dużą uwagę na „nietechniczne" aspekty cyberbezpieczeństwa.

Czym są „nietechniczne aspekty cyberbezpieczeństwa"?

NUKIB wskazuje, że w ocenie ryzyka związanego z TikTokiem zdaniem Czechów istotne są nie tylko aspekty techniczne, ale też i te, które wiażą się z wiarygodnością dostawców technologii, jak i jej producentów.

„To, czy dostawca technologii jest godny zaufania, jest bezpośrednio odzwierciedlane przez zaufanie, które otrzymuje jego produkt. Ma to bezpośredni wpływ na poziom ryzyka związany z daną technologią" – twierdzi NUKIB.

„Zaufanie do dostawcy musi być obecne zarówno na poziomie ukończonego rozwiązania (produktu technologicznego – red.) jak i na poziomie strategicznym, nietechnicznym, które znajduje wyraz w zaufaniu do biznesu, a także środowiska prawnego i politycznego, w którym operuje dostawca" – czytamy w dokumencie czeskiej agencji.

Czechy jasno wskazują na geopolitykę

Czeska służba wprost komunikuje, że problemem związanym z zaufaniem do TikToka jest to, do kogo aplikacja należy.

„Platforma społecznościowa TikTok, rozwijana i kontrolowana przez chińską firmę ByteDance, jest jedną z najszerzej używanych aplikacji w swojej kategorii, globalnie" – zwraca uwagę NUKIB. „TikTok przeżywa silny wzrost na czeskim rynku, gdzie obecnie korzysta z niego ok. 2 mln aktywnych użytkowników" – dodaje.

Dalej agencja mówi, że „ByteDance jest podmiotem podlegającym pod chińskie prawo narodowe. Prawo bezpieczeństwa narodowego Chin uchwalone w 2015 r. stwarza generalny obowiązek, któremu podlegają wszyscy obywatele ChRL i wszystkie organizacje z tego kraju, narzucający konieczność współpracy z władzami państwowymi w zakresie bezpieczeństwa narodowego".

„W 2017 r. uchwalono natomiast prawo dotyczące państwowych agencji wywiadowczych i ich działań w Chinach, a konkretnie jego Artykuł 7, w myśl którego każdy obywatel i każda organizacja musi wspierać działania wywiadowcze kraju, pomagać im poprzez współpracę, a także zachowywać poufność względem objętych klauzulami materiałów, które mają związek z czynnościami wywiadowczymi" – kontynuuje NUKIB, przypominając o obowiązujących w Chinach regulacjach prawnych.

Ostatecznie, agencja odwołuje się do prawa ustanowionego w ChRL w 2014 r. dotyczącego działalności kontrwywiadowczej. „Nakłada ono obowiązek współpracy i dostarczania informacji nt. zagranicznych klientów chińskich firm w przypadku, jeśli są oni podejrzani o działalność szpiegowską przez organy państwa" – cytuje NUKIB i zwraca uwagę, że działalność szpiegowska jest w Chinach bardzo szeroko definiowana, natomiast przekazywanie informacji przez obywateli i podmioty odbywa się praktycznie bez nadzoru jakichkolwiek instytucji mogących pełnić rolę bezpieczników.

Ponadto, jak podkreślają Czesi, chińskie prawo zezwala władzom na wywieranie wpływu na firmy z ChRL, które muszą prowadzić działalność w zgodzie z Konstytucją tego kraju oraz przyjętymi w Chinach zasadami.

Bezpieczeństwo danych

Czeska agencja zwraca uwagę na duże ilości danych o użytkownikach, które pobiera TikTok i wskazuje, że dzięki nim możliwe jest m.in.:

  • Mapowanie urządzenia
  • Gromadzenie przez TikToka informacji o innych aplikacjach zainstalowanych uruchamianych na telefonie
  • Dostęp do kontaktów użytkownika
  • Gromadzenie informacji takich, jak aktualne i przeszłe konfiguracje sieci Wi-Fi, numer seryjny urządzenia i karty SIM, IMEI, adres MAC, numer telefonu, lista wszystkich kont użytkownika na urządzeniu i zawartość schowka
  • Ciągły dostęp do kalendarza i możliwość modyfikowania wpisów w nim
  • Zmuszanie użytkownika do uruchamiania wbudowanej przeglądarki w aplikacji pozwalającej na śledzenie niemal wszystkich aktywności

Do czego mogą posłużyć dane?

Zdaniem NUKIB, dane gromadzone przez TikToka, sposób ich pobierania i ilość, mogą posłużyć do ukierunkowanych cyberataków na konkretne osoby, co znacznie zwiększa ich powodzenie przy użyciu technik takich, jak np. spear-phishing (o socjotechnice więcej można przeczytać w tej analizie).

Dane te mogą być też wykorzystane do publicznego oczerniania osób znajdujących się w zainteresowaniu chińskich służb i podważania bezpieczeństwa oraz strategicznych interesów Republiki Czeskiej – twierdzi służba.

NUKIB pisze również, co ciekawe, o zdolnościach chińskiego odpowiednika TikToka – aplikacji Douyin, która zdaniem Czechów ma funkcje pozwalające na pobieranie i instalowanie na telefonie użytkownika kodu bez jego wiedzy i zgody.

Czesi zalecają ostrożność

Agencja rekomenduje, aby wszystkie osoby, które mogą pozostawać w polu zainteresowań chińskiego wywiadu i innych zagranicznych służb, czyli przede wszystkim osoby piastujące stanowiska polityczne, osoby publiczne lub biorące udział w procesach decyzyjnych, rozważyły ograniczenie lub całkowitą rezygnację z instalacji TikToka na swoich osobistych urządzeniach.

To pierwsza tego rodzaju rekomendacja – do tej pory mieliśmy do czynienia z apelami organizacji takich, jak KE czy PE oraz różne organy administracji na poziomie lokalnym np. w Danii czy USA, ograniczającymi się do wydania zakazu korzystania z TikToka na urządzeniach służbowych.

Czesi jednak wyraźnie wskazują na ograniczenie obecności TikToka również na osobistych telefonach – a przy tym wprost wymieniają aspekty geopolityczne i zaufanie do Chin jako państwa jako powody nieufności wobec platformy.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Komentarze

    Reklama

    Czytaj także

    #CyberMagazyn: ElevenLabs - polski jednorożec w generatywnej sztucznej inteligencji
    cyber cyberbezpieczeństwo
    #CyberMagazyn: Prawo i regulacje w nordyckiej cyberprzestrzeni
    Atak na użytkowników LastPass. Wyjątkowo sprytna metoda
    Uczelnia Techniczno-Handlowa im. H. Chodkowskiej
    Wielowymiarowość cyberbezpieczeństwa. Nadchodzi międzynarodowe wydarzenie
    NATO z centrum ds. cyberprzestrzeni. "Potrzebna świadomość sytuacyjna"
    Tomasz Kuźniar, założyciel i prezes Monit24
    Tomasz Kuźniar: Monitoring zauważy, że dana strona ma problem
    Wiceminister cyfryzacji Paweł Olszewski
    Nie będzie Agencji Cyberbezpieczeństwa. Przynajmniej nie w tym roku
    FBI ujawnia informacje o chińskich hakerach. "Czekają na dogodny moment"