TikTok-forbud på UiO
Ansatte forbys å ha TikTok på telefoner eid av universitetet. Forslaget møter støtte hos professor.
– Det er helt klart paradoksalt at UiO på den ene siden benytter TikTok som kommunikasjonskanal, og på den andre siden forbyr TikTok på tjenestetelefoner. Så lenge UiO vil nå unge, veier kanskje gevinsten tyngre enn risikoen.
Det sier professor og leder for forskningsgruppen for digital datasikkerhet ved UiO, Audun Jøsang, på telefon til Universitas.
Mandag bestemte Universitetet i Oslo (UiO) at ansatte ikke lenger kan laste ned eller bruke verken TikTok eller Telegram på enheter eid av UiO. Forbudet kommer i kjølvannet av Justis- og beredskapsdepartementets anbefaling etter en sikkerhetsvurdering gjort av Nasjonal Sikkerhets Myndighet (NSM).
Setter sosiale medier på vent
UiO er allerede på flere sosiale plattformer, deriblant TikTok, som i all hovedsak retter seg mot potensielle søkere og studenter. Brukeren har over 1700 følgere, og det produseres innhold jevnlig.
Ansatte som jobber med å produsere innhold til sosiale medier på telefoner eid av UiO, har nå fått beskjed om å slette appen fra telefonen, opplyser kommunikasjonsdirektør Berit Kolberg Rossiné.
Det er allikevel ikke sånn at man må bruke en tjenestetelefon for å lage og produsere innhold, da dette også kan gjøres på privateide telefoner. UiO jobber nå med å finne ut av hvordan de skal benytte seg av TikTok fremover.
«Det er flere muligheter her, for eksempel med egne dedikerte telefoner til dette arbeidet», skriver Rossiné på e-post til Universitas.
Fraråder TikTok på privat telefon
På spørsmål om hvordan de har tenkt å følge opp forbudet, og hvilke eventuelle konsekvenser det vil ha dersom ansatte ikke føyer seg, svarer IT-direktør ved UiO Lars Oftedal:
«Som ansatt ved UiO skal man følge UiOs IT-reglement. Der går det frem at UiO skal gi retningslinjer for hva som er forsvarlig bruk av våre IT-ressurser, noe vi har gjort nå om TikTok og Telegram. Brudd på dette reglementet kan medføre sanksjoner. Hva som er relevante sanksjoner vil variere».
Frykten for fremmede etterretningstjenesters potensielle mulighet til å manipulere og utpresse personer som sitter på verdifull informasjon, ligger til grunn for vurderingen gjort av justis- og beredskapsdepartementet.
TikTok-forbudet på UiO er likevel begrenset til å gjelde mobiltelefoner og digitale enheter som er eid av UiO.
«Vil det utgjøre en reell sikkerhetsmessig forskjell å forby TikTok på tjenesteenheter, når private enheter tilknyttet UiO fremdeles vil kunne inneha appene?»
«NSMs råd er at applikasjonene TikTok eller Telegram heller ikke bør installeres på private enheter som får tilgang til virksomhetens interne digitale infrastruktur eller tjenester. Dette står også i våre råd til ansatte».
Oppfordrer til konservativ bruk
Det vil heller ikke være noen sikkerhetsmessig forskjell mellom å bruke TikTok på en telefon eid av UiO versus en som er privateid, mener Audun Jøsang. Han er leder for forskningsgruppen for digital datasikkerhet ved UiO.
Selv den mest sikkerhetsbevisste vil la seg lure av en slik phishing-e-post
Audun Jøsang
– Men for UiO er det en større risiko hvis TikTok brukes på tjenestetelefoner enn på privattelefoner. Det er fordi tjenestetelefoner i større grad eksponerer informasjon som for UiO er sensitiv, enn privattelefoner, sier Jøsang på telefon til Universitas.
Han mener problemet med TikTok, er at det er eid av Kina, og viser til en lov i Kina som sier at virksomheter er forpliktet til å gi fra seg all type informasjon når myndighetene ber om det. All slags informasjon fra UiO-ansatte kan være av interesse for Kina, ifølge ham.
Han viser til såkalt spyd phishing-angrep, eller målrettet nettfisking, mot en ansatt på UiO.
– TikTok-appen kan for eksempel brukes til å samle informasjon om et møte som offeret nettopp har deltatt i. Da kan angriperen lage en phishing e-post med en lenke til det som skal være møtereferatet, men som i virkeligheten er en lenke til en skadelig nettside.
– Selv den mest sikkerhetsbevisste vil la seg lure av en slik phishing-e-post som tilsynelatende inneholder relevant og spesifikk informasjon for offeret, mener Jøsang.
Jøsang vektlegger at dette også gjelder andre apper og nettsider for øvrig, som er gjenstand for en stor overvåkningsindustri med informasjonskapsler som samler inn store mengder informasjon til videresalg.
Han mener det er feil å utelukkende tenke på TikTok og Telegram, men at man burde forholde seg skeptisk til flere apper.
– Det universitetet kunne gjort er å oppfordre ansatte til å forholde seg konservativ i bruken av sosiale medier og apper.
