Kdo by neslyšel o TikToku, v současnosti globálně nejpopulárnější sociální síti, která si získala přízeň miliard lidí. V únoru tohoto roku TikTok zaznamenal celosvětově přes 1,4 miliardy aktivních uživatelů. Je tak poměrně velká pravděpodobnost, že právě vy, nebo někdo z vašich známých, aplikaci užívá. Poslední dobou se nicméně objevuje mnoho informací, které nutí člověka k zamyšlení, zda stojí za to aplikaci nadále používat. Obavy se však neobjevují pouze na úrovni osobního bezpečí, ale i v otázkách státní bezpečnosti. Debata o problémech vycházejících z existence TikToku se rozmohla především v několika posledních měsících. V čem je tedy zakopaný pes? Měli bychom se TikToku bát? A především, je na místě bezprecedentně přestat aplikaci užívat? 

To, že TikTok může být potenciální bezpečnostní hrozbou, není novým faktem. Na tuto skutečnost upozorňovalo mnoho odborníků a laiků již mnohem dříve. V poslední době se však v problematice začaly veřejně po celém světě angažovat i státní autority a instituce zodpovědné za bezpečnost v kyberprostoru. Od začátku roku došlo v mnoha částech světa od USA, přes Kanadu a EU, až po Nový Zéland ke změně vnímání TikToku jako potenciální hrozby pro kritické informační systémy. Stejný přístup zaujala i Česká republika na základě doporučení Národního úřadu pro kybernetickou bezpečnost (NÚKIB). Byť se jedná o doporučení, vychází z něj některé povinnosti pro řadu osob a subjektů. Povinný režim doporučení je pak platný pro zařízení, která:

1. Přistupují k informačním a komunikačním systémům kritické infrastruktury (Jedná se o prvky nebo systémy prvků kritické infrastruktury, v odvětví komunikační bezpečnosti a informační systémy v oblasti kybernetické bezpečnosti – Dle zákona o kybernetické bezpečnosti)
2. Jsou součástí informačních systémů základní služby (Energetika, Zdravotnictví, Doprava, …)
3. Jsou součástí významných informačních systémů (Systémy spravované orgánem veřejné moci, které nejsou součástí předchozích dvou skupin a narušení jejich bezpečnosti může omezit, nebo ohrozit výkon působnosti tohoto orgánu)

NÚKIB jako hlavní motivy pro omezení aplikace uvádí pochybnou důvěryhodnost dodavatelů a výrobců aplikace. A to jak na technické, tak netechnické úrovni. Největším bezpečnostním úskalím aplikace je fakt, že její správa spadá do kompetencí čínské společnosti ByteDance. Zde nastává problém kvůli netransparentnosti ohledně nakládání s daty a především kvůli pochybné ochraně dat a jejich excesivnímu sběru. Příkladem budiž sběr informací o zařízení, na němž je aplikace spuštěna, kontaktech v tomto zařízení, aktivitě uživatele na zařízení, síťových připojeních tohoto zařízení a tak dále.

Množství pravomocí, které užívání aplikace vyžaduje navíc, přesahují odůvodnitelné požadavky pro zajištění funkčnosti aplikace. Množství států, v nichž je aplikace usídlena, by tak mohlo aplikaci zneužít například pro sběr bezpečnostně relevantních informací. Nejvíce znepokojujícím je v tomto ohledu pravděpodobně znění čínské národní legislativy. Její interpretace v zásadě tvrdí nutnost součinnosti jednotlivců i firem (včetně firmy ByteDance) s čínskou vládou v otázkách zajišťování státní bezpečnosti. To samozřejmě budí jistou skepsi a celá problematika spojena s užíváním aplikace vychází v zásadě z nedůvěry vůči potenciálnímu zneužití kriticky důležitých informací Čínou, případně jinými aktéry.

Data, jejichž sběr aplikace umožňuje, mohou vést k efektivně cíleným kybernetickým útokům na jednotlivce, ale také k vydírání zájmových osob a v nejzávažnějších případech až k narušení bezpečnostních a strategických zájmů národních států v oblasti politiky vojenství a ekonomiky. Celková hrozba aplikace vychází z kombinace třech faktorů:

1. Potenciálně nebezpečné architektury umožňující zneužívání informací, k nimž má aplikace přístup.
2. Množství uživatelů, kteří aplikaci využívají, a to včetně osob s přístupem k informačním a komunikačním systémům kritické informační infrastruktury, informačním systémům základní služby a významným informačním systémům.
3. Právního prostředí, z němž společnost ByteDance, jako tvůrce a správce aplikace operuje a jímž je vázána.

Na základě doporučení NÚKIBu, zakazuje užívání aplikace v pracovním prostředí i značné množství soukromých firem. Tento krok je naprosto logický především z důvodů ochrany osobních informací zaměstnanců, interních firemních procesů a ochrany firemního know-how, které by mohlo být potenciálně zneužito ve prospěch jiných aktérů a subjektů. Podobný přístup k zákazu, případně omezení užívání aplikace, je často uplatňován i v případě zájmových osob (politici, osoby v rozhodovacích funkcích, vojenští představitelé,…), jejichž zájem na ochraně osobních informací je již z povahy jejich zaměstnání naprosto opodstatněný.

Co však tato “bezpečnostní bouře” znamená pro řadového uživatele aplikace? To už záleží především na vlastní zodpovědnosti za vlastní soukromí a bezpečí informací. Je však nutné opět zdůraznit, že aplikace je schopna sběru informací nejen o tom, kde se právě nacházíte, ale také například o tom, s kým si píšete, nebo co je obsahem vašich zpráv. Všechny tyto informace mohou být zneužity. Je poměrně nepravděpodobné, že právě vy jako řadový uživatel aplikace se dostanete do hledáčku čínského ministerstva státní bezpečnosti. Musíme si však uvědomit, že architektura aplikace dle zprávy NÚKIB disponuje také množstvím míst potenciálně zneužitelných například nestátními aktéry, nebo jednotlivci. Ti už totiž mohou mít z různorodých důvodů opodstatněný zájem na vašem soukromí, včetně toho, co na vašem mobilním zařízení děláte, nebo jaké stránky navštěvujete.

Druhou problematickou kapitolou, která se v kontextu užívání aplikace TikTok často objevuje, je diskuse týkající se psychologického vlivu aplikace, především na nezletilé uživatele. Není tajností, že na sociální sítě je nahlíženo přes prsty dlouhodobě. Nicméně u Tiktoku tohle platí dvounásob. Dle statistik uživatelé stráví denně v aplikaci přibližně 95 minut. Nezdá se vám to jako moc? Po jednoduchém přepočtu zjistíme, že při odečtení 8 hodin spánku denně stráví průměrný uživatel více než jeden měsíc ročně brouzdáním po TikToku. Tak dlouhý čas může mít za následek nejen řadu zdravotních problémů, ale může mít vliv také na psychiku člověka. A to bez ohledu na jeho věk, vzdělání, nebo cokoliv jiného.

Během posledních let se aplikace navíc ukázala jako efektivní způsob šíření různorodých názorových proudů. Některé z nich mohou například poměrně efektivně podrývat a rozdělovat společnost. Toho aplikace dosahuje díky svému značně vyspělému algoritmu, kterému je velice náročné se bránit. Obsah je jednoduše natolik líbivý, že uživatel ji bude užívat i přes znalost možných negativních vlivů. Tento algoritmus je navíc schopen člověku odhalit například do té doby neznámé sympatie, které v krajních případech mohou vést například až k různorodým typům radikalizace. Vzhledem k poměrně nízké kontrole obsahu, který po TikToku koluje, se však není ani čemu divit. Podobným negativním vlivem vyvěrajícím z absence kontroly obsahu, jsou také různorodá nebezpečí pro dospívající uživatele. Ti se kolektivně oddávají například různorodým výzvám, které mohou být zdraví a v krajních případech až životu nebezpečné (Viz Blackout challenge o níž jsme již psali). Vzhledem k tomu, že se v blízké době nepředpokládá absolutní zákaz aplikace, je nejlepší možností vzdělávání a komunikace. A to jak u nezletilých, tak dospělých uživatelů. Každý by měl být řádně obeznámen s negativními vlivy aplikace a především by uživatelé neměli ztrácet kvůli jejímu užívání kontakt s realitou. Když vidíte, že váš blízký nemůže kvůli TikToku dát mobil z ruky, je na místě se o tom s ním vlídně pobavit. A u dospívající osob tohle platí dvojnásob, byť uznáváme, že to někdy může být složité. 🙂

Jaký je tedy Závěr? Tiktok je pro bezpečnost národních států bezpochyby potenciálním nebezpečím a aplikace by neměla zůstat bez dozoru. I z tohoto důvodu bylo vypracováno ono doporučení Národního úřadu pro kybernetickou bezpečnost, jež jsme v článku stručně shrnuli. Zároveň se však nemusíme především na osobní úrovni ukvapovat k jakékoliv hysterii a aplikace démonizovat a masově odstraňovat z našich mobilních zařízení. Po osobní stránce není TikTok samozřejmě jedinou škodlivou aplikací. Má nicméně asi největší potenciál osoby jako jednotlivce ohrozit a měli bychom se mít na pozoru. Pro otázky státní bezpečnosti jsou vykonané kroky naprosto opodstatněné a není nereálné, že v blízké době se budou ještě měnit a zpřísňovat. Prozatím jsou však dostačující a všichni od osob jakkoliv přistupujících k důležitým informačním systémům, až po řadové uživatele aplikace bychom měli dbát na stanovená doporučení. A to ať již pro bezpečnost vlastní, tak bezpečnost ostatních.