Truer TikTok rikets sikkerhet?
TikTok slettes nå på tjenestetelefoner verden over. Hvilken type informasjon er det man frykter skal komme på avveie?
Nasjonal sikkerhetsmyndighet (NSM) kom 21. mars med en anbefaling om at TikTok og Telegram ikke bør brukes på offentlige ansattes jobbtelefoner eller andre enheter som er tilknyttet interne systemer.
Justisdepartementet fulgte straks opp, og forbyr ansatte i alle departementene å bruke appene på slike enheter.
Samme tilnærming ble deretter valgt av en rekke offentlige instanser, blant annet:
Stortinget, domstolene, universitets- og høyskoleansatte, Nav, Oslo kommune, Bergen kommune, Grimstad kommune, Larvik kommune, Moss kommune, Elverum kommune, Indre Østfold kommune, Asker kommune og Bærum kommune.
Norges Bank har også sagt at anbefalingen fra NSM gjelder deres ansatte.
Tiltak verden over
Det er ikke bare her hjemme at offentlige ansatte får slike beskjeder - det samme skjer verden over.
Sikkerhetstiltak på tjenestetelefoner er også satt i gang i Storbritannia, Canada, Frankrike, India, Danmark, New Zealand og Taiwan for å nevne noen.
I USA skal ikke TikTok brukes av ansatte og politikere ved føderale kontorer og institusjoner, og president Joe Biden ønsker å forby appen for alle.
Både EU-parlamentet, EU-kommisjonen og EU-rådet forbyr TikTok på ansattes telefoner.
Er TikTok farligere enn andre apper vi har på telefonen?
– Kan misbruke menneskelig sårbarhet
Fagdirektør i NSM, Roar Thon, sier at anbefalingen som de har kommet med blant annet handler om den totale mengden informasjon appene kan samle inn. Og hva for eksempel kinesiske myndigheter kan gjøre med informasjonen.
– Det handler om at den massive informasjonen som hentes inn potensielt kan overleveres til kinesiske myndigheter og misbrukes. Den rent tekniske informasjonen som ligger på mobilen om ulike systemer, enheter og slike ting, kan for eksempel bidra til å avsløre sårbarheter som igjen kan utnyttes i et dataangrep, sier han.
Ifølge Thon bygger også anbefalingen på en frykt for at kinesiske myndigheter kan få tilgang på det man kan anse som en menneskelig sårbarhet.
– La oss si at jeg som en høyt betrodd medarbeider i Nasjonal sikkerhetsmyndighet har et skjult forhold til en annen person, og at det er min store hemmelighet her i livet. Det kan være en potensiell sårbarhet som kan brukes av andre til å presse meg for informasjon som jeg har tilgang på, sier han.
Det kan også være snakk om helt andre hemmeligheter som kan brukes mot en, som for eksempel seksuell legning, personlige preferanser om hva man liker, eller hva man bruker penger på, sier Thon.
Frykter påvirkning av holdninger
Videodelings-appen TikTok er eid av det kinesiske selskapet ByteDance. 60 prosent av ByteDance-aksjene eies av globale investorer, 20 prosent eies av ansatte og 20 prosent eies av grunnleggerne.
President Biden ønsker at de kinesiske eierne selger sin andel, og truer med å forby appen i USA.
Amerikanske myndigheter frykter også at Kina kan benytte de avanserte algoritmene i appen til å vise en bestemt type innhold, og på den måten kunne påvirke unges holdninger og meninger.
Appen er ikke tilgjengelig i Kina. ByteDance har laget en identisk app, Douyin, som har andre retningslinjer som er tilpasset regler i Kina.
TikToks konsernsjef Shou Zi Chew stilte nylig i en fem timer lang kongresshøring. Der avviste han at myndighetene i Kina driver med manipulasjon eller påvirkning. Han viste også til et prosjekt de planlegger, der amerikansk brukerdata skal overføres til dataservere i USA.
Godtar å gi fra seg masse informasjon
Per Thorsheim er sikkerhetsekspert og grunnlegger av PasswordsCon. Han har jobbet med IT og informasjonssikkerhet siden 1995. I 2012 avslørte han at LinkedIn var blitt hacket. Til vanlig er han sikkerhetssjef i BankID BankAxept, men han understreker at i denne sammenhengen er det som privatperson han uttaler seg.
Sikkerhetseksperten sier at bare ved å lage en konto på appen TikTok, godtar man å gi fra seg en haug med opplysninger. Du må blant annet oppgi navn, e-postadresse, bruker-ID, mobilnummeret ditt og hjemmeadressen din.
TikTok ber også om tilgang til din nøyaktige posisjon, eller omtrentlige posisjon.
– Men hvor omtrentlig er omtrentlig? Det er ikke lett å vite om de da mener innenfor ti meter, eller hundre meter, sier Thorsheim.
At TikTok spør om telefonnummeret ditt, kan være fordi de skal sende deg en to-faktor-kode, eller varslinger på meldinger.
– De ber om å få tilgang til meldinger du har i andre apper. Det er ikke definert hva det betyr, eller hvorfor de ber om dette. Det kan være så enkelt som at de vil sende deg en kode på SMS, og at denne koden automatisk blir fanget opp av TikTok. På den måten slipper du manuelt å taste inn koden selv, sier han.
Men når du først har godtatt at TikTok får tilgang på meldinger, kan det i teorien bety at de kan fange opp alt du har liggende i SMS-meldingene dine, sier sikkerhetseksperten.
TikTok ber også om tilgang til alle bilder og videoer. Og tilgang på mikrofonen på telefonen slik at du kan gjøre lydopptak.
Men det stopper ikke der. TikTok ber om tilgang på enda mer informasjon som ifølge Thorsheim er problematisk av flere grunner:
- Tilgang til kontaktlisten din.
– Normalt er jo det for å finne ut hvilke av dine venner som også er på TikTok. Men når de først har fått tilgang på kontaktlisten, kan de i teorien gi denne til kinesisk etterretning. Da har du plutselig blåst hele kildelisten din, uten at du vet om det selv, sier han.
- Oversikt over aktivitet i nettleseren din.
– At de ber om dette, er jo litt «shady» egentlig. Det er vanskelig å forklare hvorfor, det kan være fordi de vil se hva du er interessert i. Surfer du på Pornhub, eller surfer du på VG og Dagbladet? At TikTok får en komplett nettleserhistorikk fra deg, det avslører jo mye, sier sikkerhetseksperten.
- Logg fra telefonen din, og diagnostikk dersom appen krasjer.
– Den informasjonen som de får tilsendt, kan da også inneholde informasjon som passord og brukernavn og annen informasjon som ligger i telefonen din når den krasjer.
- Og sist, men kanskje ikke minst, ber TikTok også om device ID.
– Det er en unik identifikator for din fysiske telefon. Det brukes gjerne for å binde appen til din spesifikke telefon. Men det kan også bety at selskapet kan spore dine fysiske telefoner, slik at de vet hvor du befinner deg.
Både Etterretningstjenesten og PST har advart
I februar kom Etterretningstjenesten med sin årlige trusselvurdering «Fokus 2023». Som de også tidligere har kommet frem til, anser de Russland og Kina som de fremste trusselaktørene mot norske sikkerhetsinteresser.
I rapporten skriver de blant annet at «Kina vil fortsette å bruke cyberoperasjoner og rommet som foretrukne innhentningsmetoder. Spesielt utsatte mål for kinesisk etterretning er myndighetsnettverk, forsvar, forsvarsindustri, romforskning, helsesektoren, telekommunikasjon og media, i tillegg til mål som forvalter informasjon av betydning for Ukraina-Krigen og vestlig respons».
Politiets sikkerhetstjenester (PST) la på samme tid frem sine trusselvurderinger. I rapporten deres skriver de blant annet at Kina vil være interessert i informasjon om norsk politikkutforming, særlig knyttet til internasjonalt samarbeid og nordområdene.
Den kinesiske stat opererer ikke med klare skillelinjer mellom statlig og privat sektor, skriver PST. Ifølge den kinesiske etterretningsloven er det en plikt for alle kinesiske borgere, virksomheter og organisasjoner å bistå etterretningstjenestene om de blir spurt om det. Det kan innebære at kinesiske selskaper som i utgangspunktet har gode hensikter, kan beordres til å spionere på vegne av myndighetene.
– Holder ikke å avinstallere appen
Thorsheim følger nøye med på hvem som nå får beskjed om å slette TikTok. Han frykter at folk har gjort nettopp det, altså kun avinstallert appen.
– Mange har fått beskjed om å avinstallere og slette appen. Men det holder jo ikke. Folk må slette hele kontoen sin fra TikTok, forklarer han.
Hvis ikke selve brukerkontoen slettes, har man fortsatt en aktiv bruker som fortsatt kan benyttes til å spore folk. Dataene som fra før er samlet inn, vil også være lagret.
– Jeg frykter at titusenvis av ansatte nå bare har slettet appen. Men det har jo null betydning, sier han.
For å slette TikTok-kontoen i appen trykker man først på «profil» nederst til høyre. Deretter trykker man på menyen med de tre vannrette strekene øverst til høyre. Da velger man «innstillinger og personvern». Så trykker man på «konto». Nederst på menyen som dukker opp da, står det «deaktiver eller slett konto». Tilslutt velger man «delete account permanently».
– Ikke et problem for folk flest
Thorsheim poengterer at for folk flest er det ingen fare for å bli utsatt for spionasje ved bruk av TikTok. Men dersom man er opptatt av eget personvern, bør man generelt være forsiktig med alle sosiale medier.
– Det er ikke ønskelig at kinesiske myndigheter får tilgang til kontaktlistene til for eksempel journalister, advokater, politifolk, politikere eller folk som er nær kongehuset.
Det kan for eksempel være at kontaktinfoen til mennesker som har flyktet fra Kina havner hos kinesiske myndigheter.
– Hvis journalister intervjuer uigurer som har kommet til Norge på flukt fra myndighetene i Kina, er jo det interessant for etterretningstjenesten der. De kan bruke informasjonen de får tilgang på til å skremme folk, eller forfølge dem, sier han.
Det er heller ikke bra om kinesiske myndigheter får tilgang til kontaktlistene til for eksempel statsråder eller PSTs livvakter, sier Thorsheim.
Sikkerhetseksperten sier at han selv bruker appen Signal til å sende meldinger. Både via jobb, men også privat.
– Signal lages i USA, men drives av en non-profit-stiftelse. De har åpen kildekode, så alle kan se hvordan programmet brukes. Dette er i motsetning til for eksempel Facebook eller Snapchat som er avhengige av reklame.
Det betyr blant annet at meldinger du sender privat til andre, kan bli lest.
– De leser ikke nødvendigvis meldingene dine, men henter ut stikkord for å finne ut hva du interesserer deg for. På den måten får du målrettet reklame, sier han.
– All teknologi kommer med en risiko
Fagdirektøren i NSM, Roar Thon, sier at det denne gangen handlet om to konkrete apper, men at de også er opptatt av totalbildet.
– Statsråder og ansatte i forvaltningen har rutiner på at de noen ganger må la telefonen ligge igjen på kontoret før møter for å minimalisere risikoen. De har også reisetelefoner som brukes i utlandet, sier han.
Poenget hans er at det er ikke farlig for folk flest, bedrifter og organisasjoner å bruke TikTok.
– Det er heller viktig at folk flest blir mer bevisste på hvilken informasjon de godtar å gi fra seg. Det er lurt å gi alle appene så lite tilgang som mulig. Men all bruk av teknologi kommer med en risiko, sier han.