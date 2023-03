Pokud jde o čínské technologické společnosti, je otázka kybernetické bezpečnosti tématem, které k nim už tak nějak patří. Možné zneužití dat se aktuálně řeší třeba ve spojitosti s aplikací TikTok, které v USA hrozí úplný zákaz za předpokladu, že i nadále zůstane v čínském vlastnictví.

Už nyní se nesmí používat na půdě vládních institucí v Kanadě, Belgii, Dánsku, na Novém Zélandu, Tchaj-wanu, ve Spojeném království a v USA. Indie mezitím TikTok již zcela zakázala a ke stejnému kroku přistoupili například i v Afghánistánu ovládaném radikálním hnutím Táliban, který se tím snaží předejít ,klamání mladých lidí‘.

Aby si aplikaci odstranili z telefonů, svým zaměstnancům sdělila také Evropská unie. A z těchto kroků si vzaly příklad i firmy a instituce sídlící v Česku. TikTok tak nově nesmějí používat například zaměstnanci úřadu vlády, některých ministerstev, Akademie věd ČR či mobilního operátora Vodafone.

Před pár měsíci in, nyní out

Proč vlastně považují jednotlivé země i firmy TikTok za potenciální riziko? Tím spíš když ještě nedávno platilo, že kdo chtěl něco znamenat, bez vlastního profilu na něm se neobešel? Důvodů je několik.

Sociální síť spadající pod čínskou společnost ByteDance patří s ohledem na počet uživatelů k největším na světě. Jen v Česku ji aktuálně využívají přibližně dva miliony lidí. Od těch TikTok sbírá velké množství citlivých dat, o kterých není zcela jasné, jak s nimi ByteDance následně nakládá. Vesměs se jedná o osobní údaje, jako je jméno, příjmení, datum narození, e-mail či telefon, ale například i uložené platební karty a volnočasové aktivity.

Aplikace rovněž uchovává nahrané audiovizuální materiály jako fotografie či videa, ale také osobní konverzace a veškeré informace, které lidé zveřejňují. U svých uživatelů zaznamenává též polohu pomocí GPS a celou řadu metadat. „Jedním z nejproblematičtějších aspektů je pravděpodobný sběr – tedy typing patterns, což je jednoznačná identifikace uživatele pomocí unikátního stylu psaní,“ komentuje pro Euro.cz Ondřej Šafář ze společnosti ESET.

Ve firemním prostředí se pak jedná o citlivé interní informace, jež zaznamenávají firemní know-how, plány, cíle, kontrakty či data o zákaznících. Tyto údaje se tak dají využít třeba ke konkurenčnímu boji, průmyslové špionáži, poškození dobrého jména firmy či ztrátě důvěry zákazníků.

Důležité je dle Šafáře však zmínit, že na výše zmíněném principu pracují všechny nejpopulárnější sociální sítě a TikTok se v tomto směru nijak zásadně nevymyká. Nebezpečí tak podle jednotlivých zemí představuje především napojení sítě na čínskou vládu. „Má velký potenciál šířit čínský vliv a propagandu mezi mladými lidmi na Západě,“ komentuje pro BBC profesor Ross Anderson z univerzit v Cambridge a Edinburghu.

Sdílejte, ale s rozvahou

Že by se v případě bezpečnostních rizik TikToku jednalo o nějaký dosud nevídaný trend, se rozhodně říct nedá. V souvislosti s čínskými firmami se Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) podobnou problematikou zabýval třeba již v roce 2018, kdy vydal varování před použitím technických a programových prostředků společnosti Huawei a ZTE. To primárně nemířilo na běžného uživatele, ale týkalo se především subjektů provozujících informační systémy důležité pro chod státu. V inkriminovaném varování NÚKIB mimo jiné uvedl, že Čínská lidová republika (ČLR) po soukromých společnostech vyžaduje součinnost při naplňování svých zájmů, a to včetně podílu na zpravodajských aktivitách.

„Je zřejmé, že o zcela nový fenomén se tedy nejedná,“ potvrzuje naší redakci konzultant informační bezpečnosti ve společnosti DoxoLogic Pavel Duchan. „Důvodem, proč se o TikToku dnes tolik hovoří, je jeho dosah mezi lidmi, který skokově narostl a roste i nadále. I to je důvodem, proč návrh české transpozice evropské směrnice NIS2 hovoří o mechanismu prověřování bezpečnosti dodavatelského řetězce,“ pokračuje s tím, že směrnice požaduje zjišťovat, zda má země na tyto dodavatele nějaký vliv. Zvláště pak v případě technologií spojených se sítěmi čtvrté a páté generace či ve veřejných komunikačních sítích.

Letos v březnu pak NÚKIB vydal nové varování, ve kterém hrozbu TikToku hodnotí jako vysokou. Doporučuje rovněž zakázat instalaci a používání aplikace na zařízeních, jež jsou využívána k pracovním účelům, a vyzval veřejnost, aby zvážila, co skrze aplikaci sdílí, přičemž u osob v politických, veřejných či rozhodovacích funkcí doporučuje TikTok vůbec nevyužívat.

„K vydání varování jsem přistoupil na základě komplexní analýzy informací o aplikaci TikTok, které jsme získali jak z veřejných zdrojů, tak od našich spojenců. Množství sbíraných dat a nakládání s nimi, v kombinaci s právním prostředím v Číně a rostoucím počtem uživatelů v České republice, nám nedává jinou možnost než označit TikTok za bezpečnostní hrozbu,“ uvedl k vydanému varování ředitel NÚKIB Lukáš Kintr s tím, že dokument nerozlišuje mezi uživateli ze soukromého či státního sektoru.

,Špionáž‘, ale věcně správná

Stejně jako Šafář i Duchan upozorňuje na fakt, že způsob, jakým se sociální síť chová, je věcně správná. „Je to právě obava z vlivu Čínské lidové republiky na jednotlivce nebo skupiny, která některé státy vedla k zákazu aplikace na zařízeních používaných státními úředníky,“ říká.

Nicméně tato opatření dle něj k eliminaci hrozby nevedou. Číně pouze staví překážky do cesty. Údaje si totiž může koupit od jiných poskytovatelů sociálních služeb, jak koneckonců dokazuje třeba kauza Cambridge Analytica z roku 2018. V rámci té získala stejnojmenná poradenská společnost přístup k údajům 87 milionů uživatelů Facebooku. Ty měla následně využít pro cílení kampaně Donalda Trumpa.

Mnoho zemí je pak dle BBC opatrných i vůči dalším čínským technologickým firmám. Zejména těm specializujícím se na mýty opředenou technologii 5G. Vedle Huawei a ZTE se jedná třeba o společnost Hytera. Ve spojitosti se všemi třemi inkriminovanými subjekty bylo zakázáno instalovat zařízení do sítí v Austrálii, USA, Japonsku, Indii a Kanadě. Vláda Spojeného království pak dokonce nařídila, aby zařízení instalovaná firmou Huawei byla do roku 2027 ze sítí 5G odstraněna.

Ve stejnou dobu vlády Spojených států a Nizozemska omezují vývoz polovodičů do Číny kvůli bezpečnostním obavám z vývoje superpočítačů a technologií umělé inteligence v této zemi. Britská a australská vláda nařídily odstranění bezpečnostních kamer čínské výroby z citlivých míst, jako jsou vládní budovy.

Pozor na zadní vrátka

K uvedeným krokům jednotlivé země přistupují z obavy, že by 5G zařízení instalovaná čínskými firmami mohla obsahovat ,zadní vrátka‘, jejichž prostřednictvím by data byla předávána Pekingu. A vzhledem k tomu, že je Čína díky společnostem, jako je Hikvision, největším světovým výrobcem bezpečnostních kamer na světě, předpokládají vlády, že by tajné informace mohla získávat právě i tímto způsobem.

Na druhou stranu, globální bezpečnostní poradce společnosti ESET Jake Moore upozorňuje, že neexistují žádné přesvědčivé důkazy o tom, že by Peking technologie k tomuto záměru skutečně využíval. Nicméně i tak je dobré s uvedeným scénářem raději počítat: „Vlády mají pravdu, když proti nim přijímají preventivní opatření raději teď než později.“

Pokud jde o běžné uživatele a firmy, zcela bezpečný způsob využívání produktů a služeb, jež pracují s našimi daty, dle Šafáře neexistuje. „Lze jen minimalizovat riziko výběrem partnera, dodavatele služby, kterému důvěřujeme. Vždy musíme počítat s tím, že ke ztrátě dat, osobních či firemních, dojít může. Liší se jen míra rizika či motivace,“ vysvětluje.

A jak kroky ze strany jednotlivých států vnímá samotná Čína? Tamní ministerstvo zahraničí označilo zákazy pro TikTok a další technologické firmy za politické divadlo. Obavy ze strany USA jsou dle ní přehnané a jen potlačují společnosti jiných zemí.