Bezpečnostní varování Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) vůči aplikaci TikTok od čínské společnosti ByteDance nemělo vliv na neustálý růst počtu uživatelů této sítě na českém trhu. Kyberúřad zároveň neplánuje vůči TikToku další výrazný krok v podobě pokusu o jeho zákaz.
NÚKIB vydal varování osmého března tohoto roku. Během tvorby analýzy používalo TikTok v Česku kolem 1,5 milionu aktivních uživatelů. Dnes jsou to něco přes dva miliony. „Jejich počet bude zřejmě stále růst. Naše opatření pravděpodobně nebude mít vliv na to, kolik šestnáctiletých uživatelů si tuto aplikaci stáhne,“ zobecnil během sezení poslaneckého výboru pro obranu Michal Myklín, ředitel odboru centrální analytiky NÚKIBu.
Snížení penetrace populární appky mezi českými uživateli ani nemělo být primárním cílem vydaného varování. NÚKIB upozornil na hrozbu v souvislosti se zařízeními přistupujícími k informačním a komunikačním systémům kritické informační infrastruktury, informačním systémům základní služby a významným informačním systémům. Tedy k infrastruktuře klíčové pro chod státu.
Zákaz není ve hře
Ministerstva, úřady a další instituce často zareagovaly a TikTok na telefonech zakázaly. Někdo tak učinil ještě před varováním, například Armáda ČR. „Obáváme se, že TikTok může sloužit jako nástroj čínské státní špionáže,“ uvedlo Velitelství informačních a kybernetických sil. „S opatřením přišly i instituce nespadající pod zákon o kyberbezpečnosti,“ popsal náměstek NÚKIBu Pavel Štěpáník.
Štěpán Daněk z oddělení regulace veřejného sektoru NÚKIBu ve sněmovně doplnil, že úřad neplánuje plošný zákaz TikToku a že ani nedisponuje nástrojem a pravomocí, které by něco takového umožnily. Varování také podle úřadu neznamená plošný zákaz, ale není možné jej ignorovat nebo zlehčovat.
Zákaz určité aplikace by byl v západních státech ošemetný. Americký stát Montana s takovým banem přišel, to ale zřejmě ještě bude mít divoké pokračování. „Není jasné, jak se k tomu postaví tamní soud, a stejně tak není jasné, jak by se k tomu postavily demokratické instituce na celém západě,“ shrnul místopředseda výboru pro obranu ve sněmovně Josef Flek (STAN). „Nejsem pro zákaz, ale pro edukaci uživatelů.“
Flek také nadhodil myšlenku, že by o případném zákazu šlo debatovat u některých konkrétních osob, typicky ve vysokých státních funkcích.
Čínský dohled nad zranitelnostmi
NÚKIB důvody k vydání varování sepsal v samotném dokumentu. Na výboru pro obranu, kterého se Lupa účastnila, jeho zástupci vypíchnuli několik klíčových bodů. „Za mě je to centrální dohled Číny nad zranitelnostmi hardwaru a softwaru,“ uvedl Myklín.
Čínské subjekty mají povinnost hlásit objevení zranitelností ministerstvu průmyslu a IT, které je dále předává ministerstvu pro státní bezpečnost a zpravodajské službě zodpovědné za kybernetické operace proti státům Evropské unie a NATO. „Velmi pravděpodobně jsou tyto nezveřejněné zranitelnosti využívané ke kybernetickým útokům. Lze říci, že téměř jistě,“ popsal Myklín.
V bezpečnostní komunitě není tajemstvím, že objevené takzvané zero-day zranitelnosti jsou cenným zbožím, které se draze prodává a v případě státních aktérů se nikam nehlásí a využívá se k vlastnímu prospěchu. Není to pouze záležitostí Číny.
TikToku je také přisuzován velmi intenzivní sběr uživatelských dat. Ani to není nic, co by nedělaly další podobné služby. Společnost ESET uvedla, že čínská aplikace je v množství sbíraných informací až za Facebookem, Instagramem a LinkedInem. Jako celek vede Google. Vše to jsou americké projekty. „Zatím nemáme důkazy, že by mezinárodní verze TikToku byla zneužitá,“ uvedl vedoucí pražského výzkumu a vývoje ESETu Robert Šuman.
Zero-day, sběr dat a další aspekty, které se dějí na obou polokoulích, nicméně z pohledu bezpečnostních složek mají jedno důležité „ale“. „Úroveň důvěryhodnosti právního prostředí některých států má přímý dopad na důvěryhodnost společností, které jsou v nich usídleny a jsou takovým prostředím podřízeny,“ shrnul Myklín z kyberúřadu. „Do jisté míry je to o důvěře, kdo nám technologie dodává,“ navázal jeho kolega Štěpáník.
Buňky plné soudruhů
Důvodů, proč nevěřit Číně, případně se před ní mít na pozoru, je dost. Od roku 2012, kdy se moci v zemi chytil současný prezident Si Ťin-pching, se neustále zpřísňují zákony velmi dráždící západní společenství. NÚKIB se ostatně na některou legislativu odkazoval už ve varování proti Huawei a ZTE a od té doby často tyto zákony ještě více zhoustly.
Typicky jde o zákon nařizující čínským občanům a firmám podílet se na špionáži nebo vládě poskytovat data na vyžádání. Další věcí je fakt, že čínské podniky musí povinně mít buňku komunistické strany Číny. Rozdíl mezi státní a privátní společností se zužuje.
„Původně to byly takové buňky pro stranické školení a starání se o zaměstnance. Nyní mají vliv na to, jaké zaměstnance si firma vybírá nebo koho povýší. Uvádí se například, že straničtí členové by měli mít více prostoru pro projevení svého talentu. Firma také musí respektovat rétoriku strany a buduje se loajalita šéfů. To se projevuje třeba při veřejném vystupování. Když byl ředitel TikToku na slyšení v americkém kongresu, na citlivé otázky raději neodpovídal,“ vysvětlila Veronika Blabová, analytička Asociace pro mezinárodní otázky (AMO).
Blabová také zopakovala, že jasné důkazy o konkrétním zneužívání TikToku ke špatnostem chybí. Nicméně i z technického pohledu, a to i s ohledem na masivní sbírání dat ze strany západních appek, lze najít několik varovných signálů.
Agresivní funkce
Produkt od ByteDance mimo jiné sleduje, co si uživatelé kopírují do schránky. Monitoruje, jak rychle a jakým způsobem lidé píší na klávesnici, což v podstatě funguje jako biometrický podpis. Aplikace sbírá seznam kontaktů včetně údajů v nich. Soustavně kolektuje data o poloze, i když je k chodu nepotřebuje. Odkaz vedoucí na externí weby nelze otevřít v samostatném prohlížeči, ale pouze v interním prohlížeči TikToku, takže ByteDance má přehled i o brouzdání na webu.
Firma také dlouho mlžila, kde a jak skladuje data. Pravděpodobně je i ze západu posílala a posílá do Číny. Při svém vykrucování byla nachytána. Nyní se například snaží rozjet projekty na lokální skladování (třeba projekt Texas v USA) s lokálními partnery, s důvěrou to ale bude mít nadále těžké.
Masivní sběr dat se může hodit k řadě věcí. „Dá se dělat i zpětná analýza big data. Informace, jež jsou na první pohled nevinné, mohou dlouhodobě poskytnout fantastické věci. Třeba to, jak dlouho trávíte na toaletě a zda z toho lze vysledovat zdravotní problémy,“ naznačil Šuman z ESETu.
Podle NÚKIBu hrozí i tvorba rozsáhlých databází o jednotlivcích. „Může se stát, že po příletu do Číny v systému problikne váš profil, který nebude obsahovat jen informace z pasu, ale i to, co jste s Čínou nesdíleli,“ nastínil Myklín.
Měkká síla
„Data mohou sloužit i k tomu, aby Čína lépe poznala společnost v daných zemích. Čína může chtít šířit narativ svého vidění světa a s klipy s pandami na kolotočích se jí to nedaří. Neznají zdejší reálie a to, co na lidi funguje. Přes data se to mohou naučit,“ odhadla Blabová z AMO.
To, že asijský moloch chce šířit takzvanou měkkou sílu, není nic nového. USA se to daří s Hollywoodem, populární hudbou, sociálními sítěmi, módou a podobně. Jižní Korea a Japonsko jsou v tomto premianty v Asii. Před Čínou se ale „všichni“ mají na pozoru, a to nejenom kvůli problematickým zákonům, ale i kvůli „vlčí diplomacii“ a vyhrožování během covidu nebo krádežím duševního vlastnictví.
TikTok se prosadil díky své inovativnosti. Zároveň je pouze jednou z úspěšných vlaštovek čínské soft power ve světě. Na západě už například nějakou dobu „frčí“ e-shopy Temu a Shein, kde díky podezřele nízkým cenám nakupuje velké množství Američanů. A byť tyto a další firmy mohou (ale nemusí) mít zakladatele a šéfy, kteří prostě chtějí dělat byznys a neřešit politiku a lustrování ze západních zemí, kvůli zákonům své vlády mají smůlu.
„Čína má legislativu nastavenou tak, že společnosti jsou plně oddány tomu, co si přeje vláda. Je třeba se mít na pozoru, jaké aplikace a odkud používáme a jaké informace z našich přístrojů získávají,“ shrnul poslanec a předseda stálé komise pro kontrolu NÚKIBu Petr Letocha (STAN).
TikTok se podle NÚKIBu a dalších na západních trzích pohybuje na hraně či za ní, oproti Číně to ale ještě nic není. Tam funguje lokální verze aplikace s názvem Douyin, která je propracovanější a mnohem agresivnější.
„Douyin bychom v našem prostředí klasifikovali jako malware. Dovoluje třeba spouštět vzdálený kód, a to bez jakékoliv interakce s uživatelem. Nad takovým telefonem má někdo z ústředí plnou kontrolu,“ zakončil Šuman z ESETu.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU