Kronikk

KINESISK BAKDØR: Selv om TikTok i dag ikke nødvendigvis benyttes til spionasje, har man ingen garanti for at dette ikke kan skje i fremtiden, skriver Simen Bakke.

TikTok, mobilspionasje, datainnsamling og påvirkningsoperasjoner

Dersom stillingen din gjør deg interessant nok, vil en trusselaktør kunne gå langt for å innhente informasjon via deg og dine digitale enheter.

Publisert

Denne artikkelen er over ett år gammel og kan inneholde utdatert informasjon.

Dette er en kronikk. Meninger i teksten står for skribentens regning. Send inn kronikker og debattinnlegg til Forsvarets forum her.

Den amerikanske kongressen vedtok like før jul at den kinesiske appen TikTok skulle fjernes fra alle mobiltelefoner tilhørende amerikanske myndigheter. Hensikten er å redusere risiko knyttet til spionasje og den storstilte datainnsamlingen fra det kinesiske selskapet ByteDance, som står bak TikTok.

I tillegg har det blitt fremlagt et lovforslag som går enda lenger enn kun å forby TikTok på enheter tilhørende det amerikanske myndighetsapparatet, men et nasjonalt forbud i USA mot sosiale medier med tilknytning til Kina, Iran, Nord-Korea, Cuba og Venezuela. Sistnevnte har i tillegg til frykten for datainnsamling og spionasje, også til hensikt å beskytte det amerikanske samfunnet mot påvirkningsoperasjoner.

Selskapene som kontrollerer teknologiene kontrollerer også algoritmene som selekterer innhold, og dermed hvilke budskap flere millioner amerikanere blir eksponert for. For eksempel kan videoer på TikTok som viser kinesiske interesser i et mer fordelaktig lys, favoriseres. Eller budskap som virker splittende kan målrettes mot spesifikke deler av amerikansk befolkning.

Den kinesiske bakdøren

Den offentlige debatten om TikTok har ikke fått tilsvarende oppmerksomhet her hjemme i Norge som i USA, men også vi blir berørt av problemstillingene. I høst ble det kjent at justisminister Mehl benyttet TikTok. Det ble til og med stilt skriftlig spørsmål i Stortinget om statsrådens bruk av appen. Justisministeren beroliget med at hun «forholder seg til gjeldende råd for bruk av mobiltelefon i tjenesten».

BLE STILT SPØRSMÅL: Justis- og beredskapsminister Emilie Enger Mehl (Sp) har sagt at hun forholder seg til departementets retningslinjer. Bildet er fra et møte i november i fjor.

Like før jul ble det også klart at helseminister Kjerkol og fiskeriminister Skjæran hadde installert TikTok. Kjerkol opplyste om at hun følger sikkerhetsanbefalingene fra departementet og har oppdatert appen med siste versjon. Spissformulert og oversatt til et litt mer teknisk språk, så har statsråden dermed til enhver tid oppdatert appen med den nyeste kinesiske bakdøren. En bakdør er et sikkerhetshull som en «angriper» kan benytte til illegitime formål som for eksempel spionasje.

La meg først si at det er positivt at statsråder og andre sentrale beslutningstakere i Norge ønsker å være tilgjengelig i offentligheten og på sosiale medier, der den «nye» offentligheten befinner seg. Det er også positivt at de setter seg inn i, og ønsker å forstå bruken av ny teknologi.

For at demokratiet skal fungere også i vårt digitale samfunn er vi nødt til å ha folkevalgte og beslutningstakere som forstår teknologi og ikke minst, den betydelige risikoen som kan følge med å ta i bruk ny teknologi.

Det er ikke sikkert at den best egnede løsningen er å forby bruk av TikTok, apper fra fremmede stater eller bruk av sosiale medier, generelt. Vi bør heller ikke ukritisk importere amerikansk handels-, sikkerhetspolitikk og proteksjonisme. Her er det mange ulike hensyn som bør diskuteres og vektes.

Tilgang på «unødvendig» informasjon

For hva er egentlig problemet med bruk av apper generelt og TikTok spesielt? Dette handler om hvilke trussel-scenarier man legger til grunn og vurderer som aktuelle. For det første er appen for de aller fleste en «black-box». TikTok består, som andre apper, av enormt mange linjer med kode. De færreste har innsikt i hva denne koden faktisk utfører. Det australske cybersikkerhetsfirmaet Internet 2.0 analyserte imidlertid TikTok tidligere i sommer og skrev en rapport der de dokumenterte sine funn.

Kort fortalt får TikTok tilgang til informasjon på mobiltelefonen som den ikke har bruk for. Den rapporterer GPS-lokasjon hver time, ønsker tilgang til kontaktnettverk og kalenderfunksjonen. I tillegg ber den om tilgang til lagringsmediet og den samler inn store mengder teknisk informasjon om mobiltelefonen. Det er også interessant å merke seg at TikTok teknisk sett var satt opp på en måte som ofte samsvarer med såkalt «spionvare». Spionvare er apper som vanligvis brukes til spionasje.

I tillegg har sikkerhetsforsker Felix Krause dokumentert at TikTok monitorerer alle input fra brukeren dersom man åpner en lenke nettside i appen. I praksis er dette en keylogger som tar opp brukernavn, passord og annen sensitiv informasjon, selv om TikTok uttaler at den ikke brukes til dette formålet.

ByteDance og kinesiske myndigheter

For det andre vet vi at TikTok leveres av den kinesiske produsenten ByteDance. Kina er en stor nasjon når det kommer til å utføre etterretningsoperasjoner og spionasje. Våre egne sikkerhets- og etterretningstjenester trekker frem spionasje fra Kina hvert eneste år i de åpne trusselvurderingene. Vi trenger ikke gå lengre tilbake enn til februar og mars 2021 da Microsoft Exchange e-post serverne til Stortinget ble kompromittert av det som regjeringen i ettertid har attribuert til kinesiske aktører.

I tillegg ble det like før jul dokumentert at ansatte i selskapet ByteDance benyttet data fra TikTok til å hente ut GPS-lokasjoner til flere amerikanske journalister i magasinet Forbes som har skrevet kritiske artikler om TikTok. Selv om det i dag ikke er dokumentert noen knytning mellom ByteDance og kinesiske myndigheter, finnes det likevel lovgivning i Kina som kan pålegge borgere av staten å samarbeide med myndighetene.

Det er med andre ord strukturer til stede i det kinesiske samfunnet som muliggjør utstrakt etterretningsvirksomhet, også ved utøvelse av press eller andre former for pålegg ovenfor privatpersoner og virksomheter. Om et slikt samarbeid har funnet sted allerede i dag eller om det vil kunne finne sted i fremtiden, blir spekulasjoner. Likevel er muligheten for det til stede. Da kan det være lurt å innta en føre-var tilnærming. Det betyr at vi ikke bør ta unødvendig stor risiko.

Mobilen som angrepsvektor

Selv om TikTok i dag ikke nødvendigvis benyttes til spionasje, har man ingen garanti for at dette ikke kan skje i fremtiden. Uansett vil appen samle inn store mengder brukerdata, uavhengig om appen brukes eller ikke. Problemene oppstår allerede når den er installert. Dersom appen i fremtiden benyttes som en bakdør for å hente ut informasjon om eller fra personer som er sentrale for norsk statsforvaltning, kan det være svært vanskelig å avdekke at dette har blitt utført.

I tillegg vil appen kontinuerlig oppdateres med de nyeste og siste funksjonene fra leverandøren, slik at statsråden til enhver tid vil ha de siste sikkerhetshullene installert ved å følge departementets råd. Dette er en gavepakke for en motivert angriper.

Det betyr ikke at man skal unngå å oppdatere sine apper, men det betyr at man strengt bør vurdere hvilke apper man skal installere – og spesielt dersom man har en viktig samfunnsposisjon. Sentrale beslutningstakere som forvalter stor makt vil være av interesse for en fremmed statlig aktør med et etterretningsoppdrag. Da kan mobilen være en angrepsvektor.

Tre råd for risikoredusering

Dersom en statsråd eller en viktig beslutningstaker likevel insisterer på å bruke TikTok eller for den saks skyld andre apper, er det noen nyttige råd å følge for å redusere risikoen knyttet til spionasje.

Det første er at man installerer appen på en mobiltelefon der man har et minimum av personlig eller sensitiv informasjon, kontaktnettverk og påloggingsdetaljer, med mer. Dersom man er statsråd eller har stilling som sentral beslutningstaker, så unngå å installere appen på tjenestetelefonen eller din primære mobiltelefon. Bruk gjerne en «burner-telefon» som kan destrueres uten konsekvenser og du trenger heller ikke bringe den med deg til enhver tid. Vurder om du må logge deg på viktige tjenester som bank og e-post fra denne telefonen, slik at du skaper separasjon til viktigere kontoer.

For det andre bør appen kun gis det minimum av tillatelser som den trenger for å fungere, og ikke alle tillatelser den ønsker eller ber om. Den trenger ikke vite hvor du er, hvem du har kontakt med, hvilke avtaler du har i kalenderen din og tilgang til dine lagringsmedier. Det siste kan muligens gjøres på en mobiltelefon som er helt blank, uten innhold. Dette er funksjoner som bør deaktiveres på mobiltelefonen med mindre man har bruk for dem der og da.

For det tredje bør mobiltelefonen holdes på utsiden av alle rom dersom du skal omtale sensitive forhold eller dele sensitiv informasjon i. Dette kan også i høyeste grad gjelde informasjon som ikke er gradert etter sikkerhetsloven. Kontaktnettverk, meldinger og kalenderinformasjon til sentrale personer kan i sum, og satt i sammenheng med hvilke politiske saker som pågår bak lukkede dører, være nokså politisk sensitivt.

TikTok er kun et symptom

I tillegg er mobiltelefon er et ideelt redskap for etterretningsvirksomhet og spionasje ettersom man gjennom mikrofonen kan lytte på samtaler, uten at brukeren er klar over at «angriperen» sitter på andre siden av røret.

Alt dette, og mer, kan gjøres for å redusere risiko. Dersom stillingen din gjør deg interessant nok, slik som for eksempel en statsråd, stortingsrepresentant eller en virksomhetsleder, vil en trusselaktør kunne gå langt for å innhente informasjon via deg og dine digitale enheter.

Departementene kan gjerne oppdatere sine råd til å samsvare med praksisen beskrevet her. I tillegg kan de gjerne starte på en utredning om hvordan vi i Norge skal forholde oss til mobilspionasje, storstilt datainnsamling og påvirkningsoperasjoner, mer generelt. TikTok er bare et symptom på en større problemstilling.

Powered by Labrador CMS