Par TikTok izmantošanu

Pārskatot ierīču drošības politiku iestādēs, CERT.LV aicinātu nekoncentrēties tikai uz TikTok izmantošanu.

Lai izveidotā politika būtu ilgtspējīga, būtu svarīgi noteikt, ka iestādes valdījumā esošās mobilās ierīces centralizēti tiek pakļautas drošības politikai, kas liedz jebkādu lieku programmatūru (nav nepieciešamas iekārtas darbībai kā arī darbinieka darba pienākumu veikšanai) uzstādīšanu. Tādā veidā riski tiek kontrolēti kvalitatīvi un pēc būtības. Tehniski to var panākt ar Mobile Device Management starpniekprogrammatūru - MDM. Šī prakse tiek aktīvi izmantota banku sektorā, daudzās kapitālsabiedrībās un atsevišķās valsts iestādēs, ja darbiniekiem tiek izsniegtas darba devēja nodrošinātas mobilās iekārtas.

TikTok izmantošana sniedz iespēju uzrunāt jauniešu auditoriju, kas daļai valsts iestāžu varētu būt būtiski. Lai nezaudētu šo komunikācijas kanālu, iespējams, iestāžu un atsevišķu darbinieku līmenī būtu nepieciešams paredzēt izņēmumus, tos pamatojot un komunicējot.

TikTok un arī citu lietotņu tehnoloģiskie riski:

1. Pastāv teorētiska iespēja, ka izstrādātājs, Ķīnas valdības ietekmē, veic lietotājus apdraudošas izmaiņas programmatūrā, piemēram, iekļaujot kodā kaitīgu funkcionalitāti. Par šiem apdraudējumiem CERT.LV ir uzdevis tiešus jautājumus TikTok pārstāvim (Vice President Government Relations Europe). Atbildē ir saņēmti apgalvojumi, ka tas juridiski nebūtu iespējams, jo TikTok un tā mātes kompānija nav reģistrēta Ķīnā un tai nav jāpakļaujas Ķīnas likumdošanai. CERT.LV rīcībā nav pietiekamas informācijas, lai apgalvotu, ka Ķīnas valdības vai drošības iestāžu rīcībā faktiski ir nepieciešamās ietekmes sviras šādu mērķu sasniegšanai. Pagaidām CERT.LV vērtējumā šim riskam ir zema iestāšanās iespēja, taču jāturpina regulārs izvērtējums.
2. Pastāv risks, ka TikTok var izmantot kiberuzbrukumam kā starpniek-lietotni. Tas nozīmē, ka tajā var būt apzināti vai neapzināti izveidota ievainojamība, ar kuras palīdzību, piemēram, atsūtot ziņu vai īpaši pielāgotu saturu, iespējams kompromitēt iekārtu. Šādi riski ir arī ar citām lietotnēm. Riska novērtējumu ietekmē tas, vai informācija par šādām ievainojamībām ir pieejama kādam stratēģiskam oponentam, kurš to var izmantot apsteidzošos manevros, un cik atklāta un auditējama ir lietotnes izstrādes, piegādes un uzturēšanas vide, un cik uzticami ir audita rezultāti. TikTok gadījumā koda auditu veic kompānija Oracle.

TikTok ne-tehnoloģiskie riski:

1. Tiek veikta detalizēta informācijas apkopošana par iekārtu un lietotāju, kuru var izmantot tālākiem uzbrukumiem. Taču jāapzinās, ka tas ir iespējams un tiek darīts arī citās lietotnēs. Eiropas Savienībai ir būtiski spēt pārliecināties par to, ka tiek ievēroti visi spēkā esošie privātuma un datu aizsardzības normatīvi.
2. Iegūstot detalizētu informāciju par lietotājiem, iespējams veidot mērķauditoriju kopas. Šīm kopām noteiktā veidā prioritizējot saturu, iespējams veicināt Ķīnas un tai draudzīgu valstu interešu atbalstu, ietekmēt sabiedrības nostāju un politiskos procesus valsts un reģiona līmenī. Šis attiecināms arī uz citiem sociālajiem tīkliem, taču būtisks jautājums ir katra sociālā tīkla izcelsmes valsts un izstrādātāju uzticamība. Šeit atkal jāpiebilst, ka TikTok pārstāvis Vice President Government Relations Europe sarunā ar CERT.LV apgalvoja, ka Ķīnas valdībai šāda rīcība nekādā gadījumā nav juridiski iespējama, taču šie riski jāturpina vērtēt, pieņemot atbilstošus mērus ES un NATO partnervalstu līmenī.

Aizsardzības ministrijas publicētā informācija:
https://www.mod.gov.lv/lv/zinas/aizsardzibas-resors-atgadina-par-kiberhigienas-un-drosibas-principu-ieverosanu-darba-ierices

Attēls: unsplash.com