Riigi infosüsteemi amet: TikTok on olemuselt turvarisk ({{contentCtrl.commentsTotal}})

Riigi infosüsteemi amet (RIA) on tänaseks keelanud oma töötajatel töötelefonides ülipopulaarse äpi TikTok kasutamise ning soovitab kuhjuvate tõendite toel kõigil enne mõelda, kui kõnealune äpp nutiseadmesse laaditakse.

RIA-le kuuluvates telefonides on kogu maailmas tohutult populaarseks muutunud TikTok keelatud alates juuni lõpust.

Otsusest teavitati ka teiste riigiametite ja ministeeriumite IT-osakondi, kuid keelamise otsuse peavad asutused ise tegema.

"Keelamise otsuse võtsime vastu kohe, kui jaanilaupäeval sellises keskkonnas nagu Boredpanda kaks Leedu ajakirjanikku jagasid uudislugu sellest, et TikToki näol on tegu pigem andmeid koguva rakendusega, mille fassaadiks on sotsiaalmeedia," ütles ERR-ile RIA küberintsidentide käsitlemise osakonna (CERT-EE) juht Tõnu Tammer.

Leedukate artikkel põhines ühel kasutajal nimega Bangorlol, kes enda väitel oli teinud selgeks, kuidas TikTok on üles ehitatud ning kes soovitas seejärel tungivalt kõigil TikToki kasutamisest loobuda, viidates varjatud andmete kogumisele äpi poolt ja selle seotusele Hiina valitsusega.

Boredpanda artikkel on paljudest, kus viidatakse TikTokiga seotud ohtudele. Näiteks Wall Street Journal kirjutas augustis, et TikTok on seni vilistanud Google`i 2015. aastal kehtestatud reeglitele, mille järgi on kasutajate tehnoloogiline jälgimine keelatud. Artiklis viidati telefonide MAC-aadressidele (Media Access Contol, eesti keeles meediumipöörduse juhtimise aadress), mille järgi on võimalik kasutajat üheselt tuvastada ning mida kasutaja üldjuhul ise muuta ei saa.

"See oli Google`i poolt keelatud juba 2015. Kolm aastat pärast seda tuli TikTok välja ja algusest peale eiras keeldu ja läks seda teed, et kogus andmeid, mida Google on tegelikult keelanud koguda," märkis Tammer.

TikToki ohtudele juhtis tähelepanu ka USA küberturbe ettevõte Penetrum, mis avaldas mullu vastava raporti. Raportis märgiti, et TikTok kogub oma kasutajatelt palju rohkem infot, kui oleks vaja, lisaks on haavatavad kohad äpi koodis ning kogu see kooslus peaks TikToki kasutajad panema end tundma "väga ebamugavalt". Penetrum hindas suurimat turvaviga, mida nemad äpist leidsid, kümnepallisüsteemis 8,8-ga.

Tammer juhtis tähelepanu kahele peamisele nüansile. "Esiteks see äpp ise kogub hästi palju infot nii telefoni kui telefoni sees olevate andmete kohta – näiteks kõikvõimalikud tarkvarad, mis sul telefonis on. Tegelikult pole TikTokil sugugi vaja teada, kas mul on seal näiteks ERR-i äpp või mitte. Teatud juhtudel (määrab äpp) iga 30 sekundi tagant GPS-i asukoha, kus kasutaja reaalselt asub," rääkis ta.

Kahtlaseks muudab äpi ka asjaolu, et andmekorjet varjab TikTok ise "üsna hästi". "Seal on rakendatud täiendavat krüptograafiat ja on tehtud tegevusi, et seda varjata. Pluss see, et äpp muudab oma käitumist, kui ta saab aru, et teda üritatakse torkida ja uurida," märkis Tammer.

Teiseks murekohaks on Tammeri sõnul äpi turvanõrkused. "See äpp on turvarisk olemuselt, mille abil on võimalik kompromiteerida nutiseadet ja saada ligipääs," nentis ta.

Tammeri sõnul ei julge ta praegu veel avalikult välja öelda, et TikTok ongi loodud jälgimiseks ja varjatud andmekorjeks. "Küll aga vaadates avalikult kättesaadavaid andmeid, on meile väga hästi aru saada, miks USA näeb seal julgeolekuohtu iseendale. Ka meie näeme murekohti. Tõendeid selle kohta, et vaga vee taga on sügav põhi, tuleb juurde kogu aeg," ütles ta.

Äpi on riigis keelanud India, USA-s rakendub keeld septembris. Lisaks on TikTok uurimise all mitmes riigis Euroopas, näiteks Prantsusmaal.

Viimati keelas äpi kasutamise oma töötajatel Rootsi rahvusringhääling, põhjuseks julgeolekukaalutlused. Rootslasedki märkisid, et TikToki rakendus "jagab vajalikust rohkem infot".

RIA ise äppide ohtlikkust ei uuri

Kuigi RIA keelas TikToki kasutamise ametile kuuluvates telefonides, siis ise äppi uurima pole asutud.

"See on asi, millest me ise tahame hoiduda, sest rakendusi on sadu tuhandeid, kui mitte miljoneid. Kõiki neid rakendusi me läbi käia ei suuda. Seda me ütlesime ka Yandexi kontekstis, et see võimekus meil paraku puudub. Siin on oluline, et nii Google oma Play kui Apple oma poe puhul kontrollivad nõuetele vastavust," rääkis Tammer.

Tammeri sõnul on RIA partnerid USA-st tähelepanu juhtinud ka teistele potentsiaalselt ohtlikele äppidele. "Me ei ole neid äppe võtnud, et anda hinnang, sest sul tuleb homme uus versioon ja olukord on hoopis teine," märkis ta.

Tammer tõi näiteks kurikuulsaks muutunud Hiina maksuameti rakenduse, mida välismaised ettevõtjad peavad samuti kasutama. Juuli alguses leiti sealt tagauks, kuid selle asemel, et hiinlased oleks teatanud tagaukse eemaldamisest või võimalikust turvaveast, kadus see vaikselt.

"Tegelikult üritatakse jätta muljet, nagu polekski seda seal olnud ja sa ei suuda tuvastada, kas ta oli. See on sealt ühiskonnast tulevate lahenduste strateegiline risk: me ei tea, kas ja kuidas kommunistlikus režiimis toodetud lahendused on üles ehitatud, kuidas nad vastavad Lääne ühiskonna tõekspidamistele või väärtustele," rääkis Tammer.

Eestis TikToki keelata ei saa

Hiina tehnoloogiaga, sealhulgas ka TikToki ja Hiina maksuameti rakendusega kaasnevatale riskidele juhtis tähelepanu ka tänavune Eesti välisluureameti aastaraamat.

"Needsamad näited TikToki ja maksuameti rakenduse kohta näitavad, et mure pole üksnes riistvaras või 5G seadmetes, vaid mure on horisontaalsem. Ma eeldan, et just sellestsamast murest kannustatuna on India teinud otsuse TikTok keelata, USA on samasuguse otsuse välja andnud, see jõustub septembri keskpaigas," märkis Tammer, kelle sõnul on kõige efektiivsem selliseid otsuseid jõustada USA-s, sest nii Apple kui Google on USA ettevõtted. "Eestil seda teha on natuke keeruline," nentis ta.

Tammeri sõnul ollakse teavitanud suuremaid riigi IT-majade turvajuhte sellest, et RIA tegi otsuse seda äppi oma telefonides mitte lubada.

"See on ka ainus koht, kus me seda otsust jõustada saame. Arvestades TikToki kasutajagruppi – USA-s 60 protsenti vanuserühmas 16–24, siis ega teda Eestis nii massiliselt riigiametites ei kasutata," ütles Tammer.

Tammeri sõnul oleks Eestis ühe konkreetse äpi keelamine väga keeruline ja ainus pretsedent, mis meelde tuleb, on seadusemuudatused seoses 5G tehnikaga. Needki muudatused tehti peamiselt ühe Hiina ettevõtte, Huawei, tõttu.

Majandusministeerium (MKM) selgitas ERR-ile, et kui näiteks TikTok ära keelata, peaks see toimuma Euroopa Liidu tasandil. "Eesti on Euroopa Liidu turu osa ja seega peaks Euroopa Liit ühtselt lähenema, kas üht või teist äppi peaks keelustama. Hetkel seda tehtud pole," ütles ministeeriumi avalike suhete juht Rasmus Ruuda.

Ruuda sõnul pole majandusministeeriumis RIA eeskuju järgitud ning asutusesisest keeldu TikTokile kehtestatud.

"Suurel enamikul MKM-i töötajatel ei ole töötelefoni ning töötaja isiklike telefonide kasutamist me ei reguleeri ega kontrolli. Töötelefonidele saab vajadusel piiranguid panna haldustarkvaraga. Korraldame oma töötajatele regulaarseid IT-alaseid turvakoolitusi ja inimesed on kursis võimalike ohtudega," lausus Ruuda.

Tammer märkis, et TikToki puhul ei peitu oht vaid võimalikus jälgimises või andmekorjes.

"TikToki puhul kahjuks leidub näiteid, kus vanuserühmas kaheksa kuni kümme tüdrukud laulavad 40–50-aastaste meesterahvastega ebatsensuurse alatooniga laule. Asi, mida YouTube`ist naljalt ei leia. See ei ole ainult küberturvalisuse küsimus, siin võivad olla ka natuke teised nüansid," lausus ta.

TikToki tohutut populaarsust üle maailma ilmestab asjaolu, et äpi looja Byte Dance teenis mullu kolm miljardit USA dollarit puhaskasumit, nagu teatas Bloomberg.

TikTokil on umbes miljard kasutajat, peamiselt teismelised, kes teevad ja jagavad lühivideoid.

Boredpanda allikas, TikToki uurinud ja selle eest kasutajaid hoiatanud Bangorlol: "TikTok ei täida kõiki kriteeriume, et seda saaks kutsuda pahavaraks, kuid see äpp on kindlasti pahaendeline ja minu arvates lausa kuri. Sellel, miks valitsused selle ära keelavad, on põhjus. Ärge kasutage seda äppi. Ärge lubage oma lastel seda kasutada. Öelge oma sõpradele, et nad lõpetaksid selle kasutamise. See ei paku teile midagi muud kui kiiret ligipääsu meelelahutusele, mida saate kätte ka mujalt ilma et te annaksite Hiina valitsusele informatsiooni enda kohta. Te seate (TikToki kasutades) ohtu nii enda kui teiega ühes võrgus (kas kodus või töökohas) olevad inimesed."

Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: