Hoci sociálnu sieť Tiktok používajú najmä deti a tínedžeri, čoraz viac krajín obmedzuje jej používanie z dôvodu ochrany verejnej aj štátnej bezpečnosti. Pavol Lupták, zakladateľ a CEO spoločností Nethemba, ktorá stráži kybernetickú bezpečnosť firiem a inštitúcií, pre Forbes vysvetľuje, v čom je Tiktok nebezpečný a ako sa pred jeho hrozbami chrániť.
Sociálna sieť čínskej spoločnosti Bytedance je čoraz populárnejšia. V roku 2021 dosiahla jednu miliardu užívateľov a získava si ďalších priaznivcov na celom svete. V ostatných rokoch sa však dostala pod prísny dohľad v západných krajinách pre svoje bezpečnostné riziká.
Inštitúcie Európskej únie zakázali svojim zamestnancom používať Tiktok, pretože podľa nich predstavuje bezpečnostnú hrozbu, rovnako postupujú slovenská či česká vláda. Úrady odporúčajú zvážiť používanie sociálnej siete aj širokej verejnosti. V USA je dokonca pripravený zákon, ktorý zakazuje používanie tejto siete celoplošne. Je Tiktok nebezpečný?
Platí známe pravidlo, že ak si neplatím za produkt, produktom som sám. Všetky veľké a populárne sociálne siete ako Facebook, Instagram, Snapchat, Youtube či práve Tiktok predávajú informácie a údaje o používateľoch a ich návykoch iným spoločnostiam, ktoré cez ne cielene „marketujú“ svoje produkty na presne vybraného človeka. Práve na základe poznania jeho osobnosti a preferencií.
Množstvo zraniteľných používateľov
Na to, že o nás zbierajú údaje prevádzkovatelia webových služieb, sme si zvykli. V čom je Tiktok iný?
Problém je v tom, že ho vlastní čínska korporácia Bytedance, takže existujú signály a podozrenia, že prístup k údajom o používateľoch majú aj čínske úrady, vrátane čínskej tajnej služby. Nie je jasné, čo sa s dátami robí, na čo sa využívajú a ako sú chránené pred zneužitím. Ďalší problém je v tom, že Tiktok vraj nedostatočne overuje vek a na sieti si bez problémov vytvoria konto aj malé deti.
To však platí aj o iných sieťach…
Áno. V prípade Tiktoku to však nabralo iný rozmer, keď sa na sieti rozšírila kampaň s výzvou Blackout Challenge. Cieľom výzvy bolo vydržať bez dychu až do omdletia a len v USA sa na následky tejto a podobných hier udusilo 80 detí. Viaceré štáty vinia Tiktok, že umožnil alebo nezabránil šíreniu tejto výzvy.
Zdroj hlavné foto: Forbes.com
Popularita TikToku priniesla viacerým influencerom veľkú slávu a bohatstvo. Koláž: Forbes USA
Zrejme sa nedá celkom zabrániť tomu, aby ľudia zdieľali potenciálne nebezpečný obsah. Alebo je to na iných sieťach inak?
Veľký rozdiel je v tom, kto sieť používa. Kým Facebook používajú najmä štyridsiatnici a Instagram tridsiatnici, na Tiktoku sú prevažne deti a tínedžeri. Deti ľahšie podliehajú manipulácii, nemajú ešte vyvinuté obranné mechanizmy ako napríklad kritické myslenie. Nedokážu ešte dostatočne odhadnúť potenciálne riziká a sú voči nim zraniteľnejšie. Ak vás teda Tiktok nezaujíma, pretože ho nemáte a neplánujete používať, mali by ste mať prehľad, či a ako ho používajú vaše deti.
Lepšia je osveta
Chybou je teda to, že prevádzkovateľ siete alebo čínski regulátori nevstupujú do kontroly a regulácie obsahu aspoň v takej miere, ako sa to deje v prípade iných sociálnych sietí?
Ja vo všeobecnosti nemám rád regulácie a rozhodovanie štátu za ľudí. Myslím si, že na úrovni štátov by sa malo postupovať systémovo. Selektívne blokovať aplikácie mi príde zvláštne. A najmä nefunkčné, pretože zajtra môže prísť iná aplikácia, ktorá bude robiť to isté alebo ešte horšie.
Čo by bolo lepšie?
Podstatne lepšie by bolo investovať do osvety, či už širokej verejnosti alebo cielenej na deti, napríklad na školách, medzi rodičmi a učiteľmi. Vysvetľovať deťom a rodičom riziká, ktoré sú spojené s používaním sociálnych sietí, rozvíjať ich kritické myslenie. Keď už by sa mala prijať nová legislatíva a regulácia, tak potom taká, ktorá by viac chránila súkromie online používateľov.
Šéf sociálnej siete TikTok Šou C‘ Čche obhajoval jej bezpečnosť v americkom Kongrese. Foto: SITA/AP
Vráťme sa k podozreniam, že Tiktok môže byť zneužitý na špionáž. Jeho šéf Šou C‘ Čche v americkom Kongrese vyhlásil, že s čínskou vládou nikdy nezdieľali údaje a ak by mal takú požiadavku, nevyhovel by jej. Firma podľa neho nie je agentom Číny, nevlastní ani nekontroluje ju vládna alebo štátna inštitúcia. Existujú konkrétne dôkazy o tom, že Tiktok zneužíva údaje o užívateľoch v prospech čínskej vlády alebo jej inštitúcií?
Videl som to video a žiadne dôkazy predložené neboli. Viaceré dostupné analýzy však preukázali, že aplikácia posiela do Číny obrovské množstvo dát získané zo smartfónu, na ktorom je nainštalovaná. Podozrenia teda nie sú potvrdené, ale veľké množstvo dát a ich tok „smerom do Číny“ vyvoláva veľké podozrenia. Tiktok je navyše veľmi populárny, používa ho miliarda ľudí. Len v USA ho má na mobile viac ako 150 miliónov užívateľov.
Rozdiel v jurisdikcii
Údaje o používateľoch zbierajú a využívajú aj ostatné sociálne siete. V čom je rozdiel?
Hrozba spočíva v tom, že aplikácia Tiktok, ktorú si nainštalujete do smartfónu, vyžaduje, aby ste jej udelili množstvo oprávnení – prístup k mikrofónu, ku kamere, ku geografickej polohe a pohybu, ku kontaktom. Navyše je proprietárna, uzavretá. To znamená, že nikto okrem programátorov Tiktoku nevie, čo presne robí, aké dáta zhromažďuje či kam ich posiela.
Uzavretá aplikácia znamená, že softvér, ktorý si môže ktokoľvek stiahnuť zo smartfónu a pracovať s ním, je taký zašifrovaný, že nie je technicky možné ho rozkódovať a zistiť, ako funguje?
Je skompilovaný a keďže nemáte zdrojový kód, nedokážete zistiť, čo presne tá aplikácia robí. V istej miere môžete použiť reverzné inžinierstvo a na základe správania tej aplikácie približne zistiť, čo asi robí. Približne, ale nie presne.
Ale to zrejme opäť platí aj pre iné sociálne siete.
Áno, zdrojový kód nepoznáme ani pri ostatných aplikáciách sociálnych sietí. Je to know-how, ktoré si firmy chránia ako konkurenčnú výhodu. Rozdiel je v tom, že servery spoločnosti Bytedance sú centralizované v Číne pod kontrolou tamojšej vlády, kým Facebook ukladá údaje o používateľoch na americké servery, v americkej jurisdikcii.
Veríme, že tie dáta sú viac chránené pred únikom a zneužitím údajov ako na tých čínskych. Čínska vláda má kontrolu nad všetkými veľkými firmami, dokonca má majoritný podiel v najväčších čínskych firmách. V prípade Bytedance by to znamenalo, že má aj priamy prístup k dátam o používateľoch.
Dôvody pre zákaz aplikácie
Čím argumentujú kritici v snahe zakázať Tiktok?
Dôvodov je viac. Napríklad, že sa dá použiť ako spyware, špehovací nástroj. Aplikácia dokáže využiť slabiny telefónu, eskalovať privilégiá, získavať ďalšie povolenia a istým spôsobom nad ním získať kontrolu a zbierať informácie o používateľovi.
Ďalší dôvod je, že vlády chcú mať kontrolu nad online obsahom. U nás napríklad Národný bezpečnostný úrad či polícia bojujú voči dezinformáciám na sieťach, prijímajú sa predpisy, ktoré bránia šíreniu hate-speech. Tiktok môže upozornenia vlád na šírenie toxického obsahu ignorovať.
No a napokon existuje politické napätie medzi Západom a Čínou či Indiou. Veľa ľudí má preto obavy, že režimy, ktoré tvoria opozíciu voči západnému svetu, kŕmime terabajtmi informácií, ktoré je možné zneužiť v náš neprospech.
Sociálna sieť TikTok. Foto: Unsplash
Sociálna sieť TikTok čelí hrozbe plošného zákazu v USA. Foto: Unsplash
Mohli by ste uviesť konkrétny príklad, ako sa dajú zneužiť informácie o bežnom používateľovi?
Tiktok vďaka nepretržitému zberu údajov pozná správanie používateľa v aplikácii. Na základe prezeraného obsahu, lajkov či času, ktorý strávi sledovaním jednotlivých videí, dokáže vytvoriť relatívne presný psychologický profil alebo typ osobnosti daného užívateľa. To ani nehovorím o všetkých dátach, ktoré možno zbiera v mobile.
Na základe toho vie v budúcnosti pripraviť cielenú, na mieru šitú politickú kampaň či propagandu s dosahom na miliardy ľudí s cieľom promovať napríklad záujmy Číny alebo potlačiť záujmy západného sveta.
Čiže sa môže zopakovať kauza Cambridge Analytica, ktorá využívala dáta používateľov Facebooku na ovplyvnenie voličov v prospech zvolenia Donalda Trumpa za amerického prezidenta či na podporu brexitu?
Presne tak. Ak poznáte údaje o miliarde ľudí a denne im ponúkate obsah, dokážete ich konanie ovplyvniť vo svoj prospech.
Slabší odvar čínskej špehovacej aplikácie
Ako napríklad Facebook?
Rozdiel je v tom, že sa tvárime, že Facebooku a americkej jurisdikcii veríme a Číne neveríme. Vnímame ju ako nepriateľskú veľmoc, autoritatívny režim, ktorý uprednostňuje záujem štátu pred ľudskými právami, takže to berieme tak, že tie informácie zneužije skôr ako firma viazaná predpismi demokratického štátu.
Navyše, máme v tomto smere aj reálne negatívne skúsenosti. Napríklad smartfóny čínskej firmy obsahovali tzv. zadné vrátka, cez ktoré sa firma dokázala dostať k údajom v systémoch bez vedomia operátorov a preukázateľne boli zneužívané.
Ešte jeden príklad. Pri návšteve Číny si musíte na hraniciach nainštalovať do telefónu štátnu aplikáciu, ktorá počas celého pobytu monitoruje vaše aktivity. Na základe rôznych parametrov vám zvyšuje alebo znižuje tzv. sociálne skóre, ktoré má aj každý obyvateľ krajiny.
Na základnú ochranu súkromia na internete stačí podľa Pavla Luptáka pár jednoduchých pravidiel. Foto archív: P. Lupták
Používatelia sociálnych sietí by mali podľa etického hekera Luptáka zdieľať len veci, ktoré by povedali komukoľvek na ulici. Foto archív: P. Lupták
Nízke skóre znamená istý druh diskriminácie, napríklad nedostanete úver v banke alebo nekúpite letenku do vzdialeného mesta. Dobré skóre prináša výhody – napríklad nižší úrok na hypotéku. Tiktok je taký slabší odvar tejto špehovacej aplikácie, pretože nikto vás nenúti nainštalovať si ho.
Ako sa nepopáliť
Je rozdiel, či má v telefóne Tiktok vysoký štátny úradník a bežný človek?
Platí, že na telefóne, kde má štátny úradník alebo politik citlivé údaje alebo cezeň dokáže pristupovať k informačným systémom s citlivými dátami, by nemal mať nainštalovaný Tiktok. Môže si ho prevádzkovať na úplne samostatnom zariadení, kde má len osobné veci. Alebo v izolovanom prostredí, tzv. „sandboxe“, kde Tiktok nemá prístup k iným aplikáciám. Smartfón totiž môže mať rôzne lokálne zraniteľnosti, ktoré táto aplikácia dokáže zneužiť a získať plnú kontrolu nad zariadením. To sa dá a deje sa to.
Z pohľadu zamestnávateľov – dá sa to technicky a systémovo nastaviť „blbovzdorne“, aby sa eliminovali chyby či ľudská prirodzenosť obchádzať pravidlá?
Určite. Existuje korporátne riešenie dostupné aj vládam, tzv. „mobile device management“ (MDM). Podstatou tohto riešenia je, že každý zamestnanec dostane predinštalovaný telefón, kde si nesmie inštalovať ďalšie aplikácie a telefón je centrálne spravovaný, napríklad IT oddelením, ktoré rozhoduje, ktoré aplikácie sú pre daný mobil bezpečné a ktoré nie.
Akú ochranu alebo nastavenia odporúčate bežným užívateľom?
Akákoľvek sociálna sieť zbiera obrovské množstvo osobných údajov. Používateľom všetkých sociálnych sietí preto opakovane dlhodobo radím, aby od nich neočakávali akúkoľvek ochranu súkromia a používali ich výlučne na verejné veci. Cez Facebook, Tiktok či Instagram by ste teda mali zdieľať len taký obsah, ktorý by ste nemali problém ukázať alebo povedať komukoľvek na ulici.
