Steven Bailey, NCC Group: Dane użytkowników będą przeniesione do Europy

Dlaczego cyberbezpieczeństwo i ochrona danych to dziś dla serwisów społecznościowych temat kluczowy?

Steven bailey: Faktycznie tak jest, a wynika to z tego, że są one wyraźnym celem. Z jednej strony stanowią one dobrą platformę do wykorzystywania ich użytkowników, zaś z drugiej są atrakcyjną platformą do dystrybuowania wiadomości, stanowiących np. element dezinformacji lub szerszej operacji wpływu.

Jak zatem ocenia pan ogólne cyberbezpieczeństwo TikToka?

Biorąc pod uwagę kwestie cyberbezpieczeństwa, jak w przypadku każdej platformy społecznościowej, mamy do czynienia z szeroką gamą zagrożeń, począwszy od ataków socjotechnicznych, po dezinformację, która – w zależności od jej charakteru – może być również uznawana za problem cyberbezpieczeństwa.

Pracujemy przy projekcie Clover. Naszą rolą w nim jest zapewnienie bezpieczeństwa i monitorowanie wszystkich działań związanych z projektem, co m.in. obejmuje przeglądy kodu dla tzw. bram bezpieczeństwa, które są swoistymi cyfrowymi barierami, oddzielającymi dane użytkowników w europejskiej enklawie od reszty systemu. Przeprowadziliśmy przegląd kodu tych bram, ocenę podstawowych ich parametrów, prowadzimy stałe kontrole, gdy są one aktualizowane. Dokładnie wiemy więc, co się z nimi dzieje. Zrobiliśmy walidację obciążenia, aby upewnić się, że kod, który zapewniamy, jest tym, który ostatecznie trafia do środowiska produkcyjnego. Ponadto przeprowadziliśmy kontrolę środowisk chmurowych, w których te bramy się znajdują, i teraz możemy monitorować wprowadzane tam zmiany. Widzimy wszelkie zmiany w tych środowiskach. Walidujemy przepływające dane, niezależnie od tego, czy inżynierowie logują się, aby wykonać pracę, czy systemy przesyłają publiczne informacje na cały świat. Przeprowadziliśmy także całościową ocenę aplikacji, aby zobaczyć, jakie dane aplikacje zbierają i dokąd je wysyłają. Wnioski są pozytywne.

No a jakie dane zbiera TikTok?

Wszystko jest wymienione w polityce prywatności, z pamięci nie mogę wymienić wszystkich elementów.

To które z tych danych, pana zdaniem, powinny być najbardziej chronione?

TikTok ma koncepcję danych zastrzeżonych i dozwolonych. Wszystkie dane użytkowników są domyślnie ograniczone, chyba że należą do jednej z dozwolonych kategorii. Dane ograniczone to np. imię i nazwisko, adres e-mail czy numer telefonu, jeśli je podałeś. Dane dozwolone są podzielone z kolei na trzy podkategorie. Pierwsza z nich to dane interoperacyjne, niezbędne do działania aplikacji. Chodzi np. o nazwę użytkownika, która musi być przesyłana między systemami, w tym m.in. weryfikowana z listą zablokowanych użytkowników. Jeśli zablokujesz jakichś użytkowników, ta informacja musi być przenoszona. Podobnie jak ustawienia prywatności, bo jeśli np. opublikujesz film, który ma być widoczny tylko dla ciebie lub znajomych, to ustawienie musi „podróżować” z tym filmem. Druga z kategorii to dane publiczne, a więc takie, które użytkownicy sami udostępniają, jak komentarze i filmy, które opublikowali. Z kolei ostatnią grupę stanowią dane zagregowane, używane do celów analitycznych. W tym wypadku chodzi np. o to, aby przy kampaniach reklamowych zobaczyć, ile osób obejrzało reklamę. Te dane nie zawierają żadnych informacji pozwalających na identyfikację osób.

Gdzie dane są przechowywane?

TikTok ma koncepcję Europejskiej Enklawy. Część tej enklawy znajduje się w USA, a część w nowo uruchomionym centrum danych w Irlandii. Kolejne wkrótce ma zostać uruchomione w Norwegii.

A w której lokalizacji gromadzone są dane użytkowników z Polski?

Nie jestem pewien, ale to nie ma znaczenia, czy w USA, czy w Irlandii. Europejska Enklawa została utworzona wirtualnie w USA, by nie czekać na uruchomienie europejskich centrów danych. Gdy te w Irlandii i Norwegii będą w pełni funkcjonalne, dane przechowywane w USA zostaną przeniesione.

Kiedy nastąpi przeniesienie do centrów w Irlandii i Norwegii?

Ten proces tworzenia nowych centrów danych trwa. Pierwsze centrum w Irlandii jest już online, w dalszej kolejności powstanie tam drugie. To perspektywa przyszłego roku. Z kolei centrum w Norwegii jest właśnie uruchamiane.