Na poniedziałkowym spotkaniu polska Rada ds. Cyfryzacji (RdC) głosowała nad rekomendacją wykluczenia aplikacji TikTok z urządzeń służbowych w administracji publicznej.Zgodnie z danymi przekazanymi we wtorek przez przewodniczącego RdC Józefa Orła, 16 osób zagłosowało za przyjęciem uchwały, a jedna się wstrzymała.
Instytucja przyjęła więc rekomendację, doradzającą premierowi Mateuszowi Morawieckiemu nakaz usunięcia TikToka z urządzeń służbowych parlamentarzystów i urzędników. Niezależnie do decyzji Rady odniósł się też Janusz Cieszyński, obszernie tłumacząc zagadnienie w oficjalnym stanowisku. Wypowiedź sekretarza stanu w KPRM odpowiedzialnego za tematy cyfryzacji została jednak skrytykowana przez komentatorów.
O interpretację ostatnich wydarzeń poprosiliśmy dr Karolinę Małagocką, ekspertkę w obszarze cyberbezpieczeństwa z Akademii Leona Koźmińskiego.
Krzysztof Sobiepan, Wprost.pl: Rada ds. Cyfryzacji wyraziła „pozytywną opinię na temat nakazu usunięcia chińskiej aplikacji TikTok przez urzędników i pracowników administracji publicznej z telefonów służbowych”. Dokładnie tego się spodziewaliśmy, prawda?
Dr Karolina Małagocka, ALK: Tak, to stanowisko, którego się spodziewaliśmy. Usunięcie TikToka z urządzeń służbowych wpisuje się w szerszy światowy trend ograniczania dostępu do chińskiej aplikacji dla urzędników państwowych. Bardzo podobne zasady przyjęły na przykład wszystkie trzy ciała Unii Europejskiej: Parlament, Rada i Komisja Europejska.
Ciekawe jest tu stanowisko Janusza Cieszyńskiego. Mówi, że owszem, przyjęto rekomendację, ale to „nie zmienia praktycznie nic w sytuacji TikToka w Polsce”. Czy faktycznie?
Jeśli przeanalizujemy strukturę polskich użytkowników TikToka na podstawie ostatnich informacji firmy, możemy wyciągnąć następujące wnioski. Po pierwsze, w aplikacji królują osoby młode, w wieku poniżej 20 lat. Po drugie, kolejną dużą grupę stanowią osoby w wieku powyżej 40 lat. Zakładać można, że to osoby zajmujące się TikTokiem profesjonalnie. Na przykład organizujące na platformie kampanie marketingowe czy komunikacyjne.
Politycy czy pracownicy administracji publicznej najpewniej nie stanowią znaczącej grupy użytkowników TikToka w naszym kraju. Zakaz instalacji aplikacji może więc objąć dość niewielką grupę osób. W tym rozumieniu – dla firmy nic się nie zmienia.
Ja nie skupiałabym się jednak na tym, czy rekomendacja odinstalowania TikToka wpłynie na pięć, dziesięć czy pięćdziesiąt osób w Polsce. Ważny jest fakt, że toczy się publiczna dyskusja na temat bezpieczeństwa danych i rozdziału między danymi prywatnymi a służbowymi.
Nie chodzi tu tylko o zakaz oglądania seriali na firmowym laptopie, a raczej o przestrzeganie polityki bezpieczeństwa informacji w danej instytucji.
Kolejną tezą jest fakt, że instytucje publiczne w Polsce już wcześniej powinny mieć ustaloną politykę bezpieczeństwa informacji, zawierającą m.in. zakaz instalacji aplikacji rozrywkowych jak TikTok na służbowych sprzętach. Rekomendacja Rady jest więc jedynie formalnością?
Wydaje mi się, że do tej pory wśród pracowników administracji publicznej czy też pracowników większych firm w Polsce dominowała kultura wzajemnego zaufania. Niepisana zasada, że sprzęt służbowy powinno się wykorzystywać do pracy, nie zabawy.
Pracownicy nadal z dużym niezadowoleniem przyjmują np. decyzje działu IT o odgórnym zablokowaniu pewnych stron, funkcji czy aplikacji na służbowych sprzętach. Blokada serwisów streamingowych to pewien sygnał dla pracowników, mówiący o tym, że powinni się skupić na pracy.
Jeśli chodzi o bezpieczeństwo danych w instytucjach mamy zaś dwie dominujące strategie. Pierwsza to BYOD, czyli Bring Your Own Device. Oznacza to, że pracownikom pozwala się na przynoszenie własnych urządzeń do biura czy siedziby. Tu jednak powstaje ryzyko mieszania danych prywatnych i poufnych danych instytucji.
Druga droga to COPE, od Company Owned Personally Enabled. Tu telefony czy laptopy są własnością firmy i to pracodawca decyduje o tym, co może robić pracownik na wydanym mu urządzeniu. W tym przypadku można zablokować dostęp do danych serwisów czy aplikacji.
Jednocześnie firma może zgodzić się na to, by firmowy telefon wykorzystywać do celów prywatnych po godzinach pracy. COPE też nie jest więc całkowicie odporny na instalację aplikacji do rozrywki takich jak TikTok.
TikTok to „na pewno nie jest największe zagrożenie, które czyha na nas w cyberprzestrzeni” – mówi Cieszyński. Ale czy to znaczy, że powinniśmy zagrożenia wiązane z TikTokiem ignorować, zamiatać pod dywan?
Co roku mamy całą masę rankingów dotyczących „największych zagrożeń w sieci”. Rzeczywiście, TikTok na nich nie figuruje, ale jest to zbyt duże uogólnienie. Eksperci ds. cyberbezpieczeństwa skupiają się bowiem na złośliwym oprogramowaniu: trojanach, wirusach czy ransomware, czyli programach szyfrujących dane i żądających okupu.
TikTok nie jest jawnie złośliwym oprogramowaniem, nie są nim przeprowadzane ataki na infrastrukturę czy firmy, nie wykrada się też informacji użytkowników takich jak loginy czy hasła. Co do zasady chińska aplikacja nie posiada teraz takich funkcji.
Dziś nie wiemy, czy TikTok jest stosowany w celach szpiegowskich lub w przyszłości będzie stosowana do zbierania informacji wywiadowczych. Technicznie istnieje taka możliwość, a chińska aplikacja już teraz zbiera szereg danych o swoich użytkownikach.
W stanowisku Rady ds. Cyfryzacji Cieszyński skupia się na możliwych lukach bezpieczeństwa czy podatnościach aplikacji TikTok. Prawie zupełnie ignoruje zaś fakt, że TikTok zbiera masę informacji i potencjalnie wysyła je do Chin. Czy to nie jest głównym problemem?
To jest pomieszanie dwóch porządków. Aplikacja może być złośliwa bądź nie. To kwestia tego, czy zawiera w sobie niechciany kod, stanowiący potencjalne niebezpieczeństwo dla użytkownika – utratę danych, przejęcie tajnych informacji, kont czy pieniędzy.
Zupełnie oddzielnie powinno się zaś mierzyć możliwe zagrożenia związane ze zbieraniem i przekazywaniem danych. Nie chodzi o to, że sama aplikacji TikTok jest niebezpieczna. Chodzi o potencjalne zagrożenie związane ze zbieranymi przez nią danymi, które mogą trafić do rządu Chin.
Korporacja ByteDance gromadzi jednak dane, które w teorii może potem sprzedać najróżniejszym podmiotom. Polscy obywatele pewnie nie czuliby się zbyt bezpieczni, gdyby ich prywatne dane zostały odsprzedane rządowi Rosji, prawda?
Uchwała Rady ds. Cyfryzacji to nie prawo, a rekomendacja. Jak oceniać ten krok i co może stać się dalej?
Trzeba jasno podkreślić – bardzo dobrze, że powstała rekomendacja dotycząca TikToka. Właśnie w takich tematach Rada ds. Cyfryzacji powinna mieć mocny głos, bo wypowiada się na temat niezwykle ważny dla cyberbezpieczeństwa krajów Zachodu. Sprawa TikToka jest bowiem obecnie podnoszona w USA, UE, Wielkiej Brytanii czy Francji.
Stanowisko Rady ma dać przykład podwyższonej higieny cyfrowej i praktyk dotyczących bezpieczeństwa danych instytucyjnych. Takimi wytycznymi powinny się kierować nie tylko instytucje publiczne, ale praktycznie wszystkie firmy działające w naszym kraju.
Uchwała z poniedziałku to jedno z pierwszych w Polsce oficjalnych stanowisk dotyczących bezpieczeństwa danych i wyraźne wyznaczenie granic, do czego i jakim zakresie mogą być oraz powinny być stosowane urządzenia służbowe.
Czytaj też:
Kolejny kraj zakazuje TikToka. Wywiad ostrzega przed chińską aplikacjąCzytaj też:
PiS naruszyło zasady TikToka. „Mam nadzieję, że uda się to odwrócić”