În ședința Consiliului Operativ de Securitate Cibernetică (COSC), din data de 17 mai 2023, s-au luat în discuție riscurile asociate descărcării, instalării și utilizării aplicației TikTok pe sistemele informatice de serviciu din cadrul autorităților și instituțiilor publice din România.

În acest context, Directoratul Național de Securitate Cibernetică (DNSC), în virtutea competențelor sale definite prin OUG 104/2021 art. 5 lit. b) pct. 4), a emis următoarele recomandări către conducătorii autorităților și instituțiilor publice din România, cu privire la aplicația software TikTok, serviciul de rețele de socializare sociale TikTok sau orice aplicație sau serviciu succesor al TikTok, dezvoltat sau furnizat de ByteDance Limited sau de o entitate deținută de ByteDance Limited:

  • Identificarea descărcării, instalării și utilizării TikTok pe sistemele informatice de serviciu ale instituției.
  • Eliminarea aplicației TikTok deja instalate pe sistemele informatice de serviciu ale instituției.
  • Interzicerea descărcării, instalării și utilizării TikTok pe sistemele informatice de serviciu ale instituției.
  • Excluderea oricăror proceduri, politici, clauze sau instrucțiuni interne ce prevăd sau permit descărcarea, instalarea sau utilizarea TikTok pe sistemele informatice de serviciu.

DNSC recomandă tuturor autorităților și instituțiilor publice din România implementarea imediată a tuturor măsurilor de mai sus, în vederea limitării riscurilor de securitate cibernetică cauzate de aplicația software TikTok.

România se alătură astfel unui trend tot mai mare de țări care au interzis folosirea TikTok pe telefoanele de serviciu ale autorităților publice.

Măsura nu se aplică celor din mediul privat. Nu se aplică, de asemenea, nici telefoanelor personale ale bugetarilor, însă se recomandă ca această aplicație să fie să nu mai fie descărcată pe telefoanele de lucru.

Toată inițiativa a pornit de la Ministerul Cercetării și Digitalizării, care a spus că nu este o aplicație sigură. Printre motivele care au dus la această interzicere sunt cele legate de semnele de întrebare cu privire la confidențialitatea cu care sunt păstrate datele pe care această aplicație le le colectează. 

Recomandări în vederea interzicerii descărcării, instalării și utilizării aplicației software TikTok pe sistemele informatice de serviciu ale autorităților și instituțiilor publice din România

TikTok este o aplicație software deținută și operată de ByteDance Limited ("ByteDance"), companie privată cu sediul în Beijing, China. 

ByteDance este o entitate privată cu sediul în Beijing, China care se supune legislației naționale a Republicii Populare Chineze care controlează strict activitățile online, mandatează stocarea locală (în China) a datelor utilizatorilor și înregistrarea anumitor active ale rețelelor sau sistemelor informatice, permițând autorităților chineze să efectueze inspecții la fața locului sau de la distanță asupra rețelelor și sistemelor informatice. 

De asemenea, actele normative menționate obligă companiile chineze să coopereze cu serviciile de informații, dacă acest lucru este solicitat și permite autorităților chineze accesul la datele utilizatorilor colectate de orice companie care desfășoară activități comerciale în China.

DNSC a identificat o serie de riscuri de securitate cibernetică inacceptabile cauzate de descărcarea, instalarea sau utilizarea aplicației software TikTok și a serviciului de rețele de socializare TikTok pe sistemele informatice de serviciu ale autorităților și instituțiilor publice din România, astfel:
Colectează o cantitate excesivă de date care pot servi la direcționarea precisă a atacurilor cibernetice asupra utilizatorilor (de exemplu, prin spearphishing) crescând astfel semnificativ riscul de succes al acestor acțiuni. Datele colectate de TikTok se încadrează în trei categorii:
o informațiile pe care utilizatorul alege să le furnizeze:
informații de profil: data nașterii, numele de utilizator, adresa de e-mail și/sau numărul de telefon si parola, date completate în biografie, fotografie de profil
conținut creat sau publicat prin TikTok: fotografii, videoclipuri, înregistrări audio, fluxuri live și comentarii, precum și metadatele asociate
conținutul mesajelor și metadatele asociate
contactele din telefon si contactele media
date privind calendarul (ca urmare a accesului persistent la calendar, inclusiv la modificarea acestuia) 
informații privind cardurile bancare și plățile realizate, tranzacții și istoric plăți
date din clipboard-ul dispozitivului, inclusiv text, imagini, video
folosirea (opțională) de către utilizator a unui browser nativ TikTok care permite urmărirea unor acțiuni ale utilizatorului ce implica tastatura
o informații pe care TikTok le colectează din alte surse:
identificatori pentru publicitate, adrese de e-mail 
informații despre acțiuni întreprinse în afara platformei TikTok
informații colectate de pe site-uri ale partenerilor TikTok
Informații din postările realizate de alți utilizatori, în care utilizatorul este inclus sau menționat
o informații pe care TikTok le accesează și poate să le colecteze automat:
modelul dispozitivului, sistemul de operare, adresa IP
tiparul sau ritmurile de apăsare a tastelor
date privind conexiunea la Internet
rapoarte / loguri de performanță sau de eroare
locația aproximativă a dispozitivului pe baza indicatorilor oferiți de cartela SIM și adresa IP
conținut urmărit/vizionat/accesat de utilizator, durata și frecvența utilizării
relația cu ceilalți utilizatori, istoric căutare
cookies și informații de tracking
Conform termenilor de utilizare (EULA/Terms of Use), ByteDance își rezervă dreptul de a folosi informațiile despre utilizator colectate de aplicația TikTok pentru a opera, furniza, dezvolta și îmbunătăți platforma și își rezervă dreptul de a partaja informațiile respective cu platforme și servicii terțe, spre exemplu:
o Autoritățile chineze
o Furnizori de servicii și alți parteneri ai ByteDance (e.g. data analytics, corporate transactions, copyright holders, advertisement, measureament and data etc.)
o Alți utilizatori și publicul larg
Aplicația TikTok poate favoriza diseminarea în masă de conținut malițios (malware) prin alimentarea sistematică a utilizatorilor cu un anumit tip de conținut.
TikTok are capabilitatea de a efectua depanare de la distanță asupra aplicației, inclusiv executarea de noi procese, oprirea de procese, jurnalizarea de activități pe dispozitiv.
În prezent, conform informațiilor furnizate de ByteDance, datele utilizatorilor TikTok din Uniunea Europeană nu sunt stocate în UE. 

Pe baza faptelor stabilite în exercitarea competențelor sale, DNSC a concluzionat că descărcarea, instalarea și utilizarea aplicației software TikTok pe sistemele informatice de serviciu ale autorităților și instituțiilor publice din România constituie o amenințare cibernetică de nivel ridicat și cu o probabilitate de materializare ridicată.

Prin urmare, în virtutea competențelor sale definite prin OUG 104/2021 art. 5 lit. b) pct. 4), DNSC emite următoarele recomandări către conducătorii autorităților și instituțiilor publice din România, cu privire la aplicația software TikTok, serviciul de rețele de socializare sociale TikTok sau orice aplicație sau serviciu succesor al TikTok, dezvoltat sau furnizat de ByteDance Limited sau de o entitate deținută de ByteDance Limited:
Identificarea descărcării, instalării și utilizării TikTok pe sistemele informatice de serviciu ale instituției.
Eliminarea aplicației TikTok deja instalate pe sistemele informatice de serviciu ale instituției.
Interzicerea descărcării, instalării și utilizării TikTok pe sistemele informatice de serviciu ale instituției.
Excluderea oricăror proceduri, politici, clauze sau instrucțiuni interne ce prevăd sau permit descărcarea, instalarea sau utilizarea TikTok pe sistemele informatice de serviciu.

DNSC recomandă tuturor autorităților și instituțiilor publice din România implementarea imediată a tuturor măsurilor de mai sus, în vederea limitării riscurilor de securitate cibernetică cauzate de aplicația software TikTok. 

Până una alta de menționat este că ​​Ministrul Digitalizării, Sebastian Burduja, nu are de gând să-și închidă momentan contul de TikTok, care e administrat de un coleg din echipă, de pe telefonul personal, deși susține că SRI a identificat riscuri serioase de securitate și s-a emis o recomandare oficială de interzicere a utilizării aplicației pe dispozitivele instituțiilor publice.

Întrebat de HotNews dacă nu este o ipocrizie să recomande românilor să nu mai folosească această aplicație în condițiile în care și el are cont oficial de TikTok, ministrul a spus că se ocupă altcineva de acest cont.