Proč se TikTok stal bezpečnostním problémem
TikTok patří mezi nejpoužívanější sociální sítě na světě, ale zároveň i mezi nejvíce sledované z hlediska kyberbezpečnosti. Evropské vlády začaly aplikaci omezovat hlavně proto, že jde o produkt čínské společnosti ByteDance a úřady se obávají, zda data uživatelů nemohou být nepřímo dostupná mimo EU. Nejde přitom jen o videa nebo kontakty, ale také o metadata, informace o zařízení, poloze, síti a chování uživatele v aplikaci.
Pro státní správy je problém i to, že služební telefon není běžný soukromý mobil. Často obsahuje e-maily, kalendáře, interní komunikaci, přístup do vládních systémů nebo autentizační aplikace. Pokud by se do zařízení dostala škodlivá aktualizace, sledovací kód nebo by aplikace získala příliš široká oprávnění, dopad může být výrazně větší než u běžného uživatele.
Bezpečnostní experti upozorňují i na další aspekt: riziko není jen v tom, co aplikace dělá dnes, ale také v tom, co může umožnit do budoucna. U vládních zařízení se proto často uplatňuje princip předběžné opatrnosti. Jinými slovy: i když neexistuje veřejně prokázaný masový únik dat, už samotná možnost zneužití stačí k omezení přístupu.
Které státy zákaz zavedly a v jaké podobě
První vlnu omezení v Evropě spustily především instituce Evropské unie. Evropská komise, Rada EU i Evropský parlament omezily TikTok na služebních telefonech zaměstnanců a často doporučily jeho odstranění i z osobních zařízení používaných pro pracovní účely. Podobné kroky následovaly i jednotlivé státy, například Belgie, Nizozemsko, Dánsko, Francie, Spojené království nebo Německo v různých podobách a na různých úrovních správy.
Rozsah zákazu se liší. Někde je TikTok zakázán pouze na telefonech a tabletech státních zaměstnanců, jinde se omezení vztahuje i na zařízení používaná politiky, asistenty nebo bezpečnostními složkami. Některé země šly dál a vyzvaly veřejný sektor k revizi všech aplikací s vysokými oprávněními. V praxi tedy nejde o jednotný evropský zákaz, ale o souběh národních a institucionálních opatření.
- Instituce EU zavedly plošné omezení na pracovních telefonech.
- Belgie a Nizozemsko přistoupily k zákazu na zařízeních státních zaměstnanců.
- Francie omezila instalaci aplikace na služebních telefonech některých úředníků.
- Británie zakázala TikTok na vládních zařízeních kvůli bezpečnosti dat.
Společným jmenovatelem je tedy ochrana citlivých informací, ne boj proti sociální síti jako takové. Pro státy je důležité, aby pracovní zařízení sloužila výhradně ke kontrolovaným účelům a nebyla vystavena aplikacím, u nichž panují pochybnosti o správě dat.
Jaká rizika vlády skutečně řeší
Nejčastěji se mluví o sběru dat. TikTok podle svých podmínek shromažďuje široké spektrum informací: identifikátory zařízení, IP adresy, údaje o poloze, obsah interakcí, dobu používání nebo seznam kontaktů, pokud k nim má přístup. Z bezpečnostního pohledu je ale důležité i to, že data mohou být kombinována a profilována, což umožňuje velmi přesné mapování chování uživatele.
Další riziko souvisí s oprávněními aplikace a s ekosystémem mobilních zařízení. Pokud má zaměstnanec na služebním telefonu přístup do e-mailu, cloudových úložišť, interních chatů nebo do firemní VPN, stává se telefon branou k širší infrastruktuře. Bezpečnostní zásady proto často zakazují i aplikace, které samy o sobě nemusí být škodlivé, ale mohou zvyšovat útokovou plochu zařízení.
U vládních mobilů se řeší také:
- exfiltrace metadat – tedy informací o tom, kdo, kdy a odkud komunikoval,
- riziko sledování – například přes lokalizační údaje nebo chování v aplikaci,
- dodavatelský řetězec – aktualizace, knihovny a přístup třetích stran,
- legislativní tlak – rozdílné právní režimy mimo EU,
- reputační riziko – i podezření na slabinu může poškodit důvěru veřejnosti.
Pro státní správu je navíc důležitý princip auditovatelnosti. U citlivých systémů musí být jasné, kdo má k čemu přístup a jak jsou data chráněna. U spotřebitelské aplikace, která je postavená na masivním sběru dat a algoritmickém doporučování obsahu, je tato kontrola výrazně obtížnější.
Co z toho plyne pro firmy, weby a marketingové týmy
Zakazování TikToku na vládních mobilech není jen politické téma. Pro firmy je to signál, že i běžně používané aplikace mohou představovat riziko, pokud jsou nasazeny na zařízeních s citlivými daty. To platí zejména pro agentury, e-commerce týmy, redakce, HR oddělení a obchodníky, kteří pracují s přístupy do reklamních systémů, administrací webu nebo zákaznickými databázemi.
Praktický postup by měl začít inventarizací zařízení a aplikací. Každá organizace by měla vědět, kdo používá jaký telefon, jaké má oprávnění a zda je zařízení spravované přes MDM systém. V praxi se často využívají nástroje jako Microsoft Intune, Jamf, VMware Workspace ONE nebo Google Endpoint Management, které umožňují aplikace blokovat, omezovat nebo vzdáleně mazat.
Pro menší firmy stačí i jednodušší režim:
- oddělit soukromá a pracovní zařízení,
- povolit pouze schválené aplikace,
- vynutit PIN, biometriku a šifrování úložiště,
- zapnout automatické aktualizace OS i aplikací,
- zakázat přístup k firemním datům z neřízených mobilů.
Pokud marketingový tým používá TikTok pro organický obsah nebo reklamu, bezpečnostní riziko lze snížit tím, že se aplikace bude provozovat na samostatném zařízení bez přístupu do interních systémů. To je běžná praxe i u jiných platforem, například při správě reklamních účtů na Meta nebo Google Ads.
Jak nastavit bezpečnostní pravidla bez zbytečných komplikací
Nejlepší výsledky přináší kombinace technických pravidel a školení zaměstnanců. Zákaz jedné aplikace bez širší politiky často nic neřeší, protože uživatelé si najdou alternativní cestu. Smysluplnější je vytvořit jednoduchá pravidla pro mobilní bezpečnost, která budou srozumitelná i pro netechnické týmy.
V praxi se osvědčuje tento postup:
- Určit citlivost dat – kdo pracuje s interními, klientskými nebo osobními údaji.
- Rozdělit zařízení – osobní, pracovní a vysoce citlivá zařízení.
- Nastavit politiku aplikací – whitelist schválených aplikací a blacklist rizikových.
- Zapnout správu mobilů – MDM, vzdálené mazání, podmíněný přístup.
- Kontrolovat oprávnění – kamera, mikrofon, poloha, kontakty, soubory.
- Pravidelně auditovat – alespoň jednou za kvartál.
U webových a marketingových týmů je navíc vhodné sledovat i chování na úrovni účtů. Pokud se z mobilu přihlašuje více lidí do sociálních sítí, reklamních nástrojů nebo CMS, roste riziko kompromitace přístupu. Dvoufaktorové ověření, bezpečnostní klíče FIDO2 a oddělené role v administraci webu jsou dnes standard, nikoli nadstandard.
Evropské zákazy TikToku na vládních mobilech tak nejsou jen reakcí na jednu aplikaci. Jde o širší trend, ve kterém státy zpřísňují pravidla pro práci s daty, mobilními zařízeními a třetími stranami. Pro veřejný sektor je to otázka důvěry a ochrany informací, pro firmy zase připomínka, že mobilní bezpečnost a správa aplikací patří mezi základní součást moderní digitální hygieny.