Logo
Sök
Sök
Digitalisering

Experten: Tveksamt att ha Tiktok i jobbmobilen

Tänk dig för innan du laddar ner Tiktok i jobbmobilen. I värsta fall kan kinesiska staten spionera på dig.
– Det är bra att hålla isär sin jobb- och privatperson, säger Mattias Wåhlén, expert på säkerhetsföretaget Truesec.
Publicerad 13 april 2023, kl 06:00
Bild på mobiltelefon med appen TikTok.
Kollega har frågat några av Sveriges största företag om de tillåter anställda att ha Tiktok i sina jobbtelefoner. Av dem är det bara vapentillverkaren Saab som uttryckligen förbjuder appen. Foto: Janerik Henriksson/TT.

De senaste veckorna har videoappen Tiktok hamnat i strålkastarljuset. Flera svenska myndigheter och kommuner har förbjudit sina anställda att ladda ner appen i sina jobbmobiler. Orsaken är att appen samlar in mycket data om sina användare – och att den kan hamna i kinesiska regimens händer. Anledningen är de lagar som tvingar kinesiska företag att på uppmaning dela med sig av information till staten.

Saab tillåter inte Tiktok

Kollega har frågat några av Sveriges största företag om de tillåter anställda att ha Tiktok i sina jobbtelefoner. Av dem är det bara vapentillverkaren Saab som uttryckligen förbjuder appen. Gruvkoncernen LKAB svarar att de har en lista på tillåtna appar, men vill inte uppge om Tiktok är en av dem. Ett liknande svar ger läkemedelsföretaget Astra Zeneca.

Byggbolaget Skanska Sverige tillåter privata appar så länge de inte bryter mot företagets uppförandekod eller utgör ett hot mot säkerheten.

– I dagsläget bedömer vi inte att Tiktok bör blockeras, men följer utvecklingen och omprövar vår ställning löpande, säger säkerhetschefen Jacob Henricson.

Tydliga regler för jobbmobilen

På metallföretaget Boliden finns inte heller något förbud mot enskilda appar: ”Vi är dock tydliga med att Bolidens enheter ska användas som arbetsverktyg. Vi ger oss således inte in i diskussioner om enskildheter utan har en mer generell inställning som vi anser fungera för oss”, skriver bolaget i ett mejl.

Vattenfall har en liknande policy: ”Vi har tydliga regler när det gäller användning av företagsenheter för privata syften, fast för närvarande ingen koncerngemensam policy som explicit förbjuder användandet av just Tiktok.”.

Inte heller telekombolaget Ericsson har förbjudit Tiktok. Företaget begränsar i stället vilken information som mobila enheter kan komma åt eller innehålla och ser till att externa appar inte kan interagera med arbetsdata. ”Vi utbildar också användare om riskerna med att tillåta appar att komma åt en enhets resurser som kameran eller mikrofonen”, skriver företaget i ett mejl.

Tiktok samlar in information

Mattias Wåhlén är expert på it-säkerhet på Truesec. Han skulle själv aldrig ladda ner Tiktok i jobbmobilen, men tycker inte att det finns skäl för företag att införa ett generellt förbud mot appen.

– Man måste fråga sig om den kinesiska staten kan vara intresserad av mig och det jag jobbar med. Om jag till exempel är kassör på Coop är risken inte särskilt stor. Arbetar jag för ett multinationellt industriföretag är risken förstås större, säger han.

Enligt Tiktoks egen hemsida samlar företaget bland annat in information om vad användarna gillar, delar och söker efter. De samlar också in användarnas telefonnummer, födelsedag, betalningsinformation, historiken i appens webbläsare och var användarna befinner sig.

– Den typen av information kan användas av en underrättelsetjänst. Om det till exempel framkommer i surfhistoriken att någon har ett spelberoende finns det en sårbarhet som går att utnyttja.

Är Tiktok värre än andra, liknande appar?

– Det finns alldeles för många appar som är väldigt invasiva. Om en app är gratis är den det för att du betalar med din personliga integritet. Det gäller de flesta appar vi använder. Företagen bakom använder den information de samlar in om dig för att kunna rikta annonser till dig. Men skillnaden mellan Kina och USA är att den amerikanska staten inte kan kräva att ett företag lämnar ifrån sig data om användarna utan skälig misstanke om brott och först efter ett rättsligt förfarande, säger Mattias Wåhlén.

"Lämnar inte ut information"

Företrädare för Bytedance, företaget bakom Tiktok, har upprepade gånger sagt att de aldrig fått frågan från den kinesiska regimen om att lämna ut uppgifter – och att en sådan förfrågan aldrig skulle godkännas. Men den förklaringen ger Mattias Wåhlén inte mycket för.

– Enligt kinesisk lag har den kinesiska staten rätt att ta del av den information som kinesiska företag har. Att Tiktok hävdar motsatsen är inte trovärdigt för fem öre. Att vägra är olagligt och något man kan hamna i fängelse för, säger Mattias Wåhlén.

Tycker du att svenska arbetsgivare och anställda borde vara mer restriktiva med att ha Tiktok i jobbmobilen?

– Det beror helt på vilken arbetsplats det handlar om och vilken tjänst man har. Men om du har en mobil som bekostas av arbetsgivaren är det inte så konstigt att arbetsgivaren har åsikter om vad du kan ha på den. Som anställd tycker jag att man ska hålla isär sin jobb- och privatperson. Då får man mycket större frihet att surfa på vad man vill på sin fritid.

Digitalisering

Det största cyberhotet på jobbet är du själv

Det absolut största cyberhotet mot din arbetsplats är du. För trots att du troligtvis vet hur du ska skydda dig mot angrepp från cyberbrottslingar, låter du bli. Men ansvaret att hålla databuset ute faller inte enbart på dig.
Johanna Rovira Publicerad 4 april 2024, kl 08:37
Till vänster en man som jobbar med en internetrouter, till höger en cyberbrottsling med mask för ansiktet och en bärbar dator framför sig.
AI är ett av cyberbrottslingarnas nya vapen. Men det största hotet mot IT-säkerheten på jobbet är du, din lathet och din snällhet. Foto: Colourbox.

De är listiga, kreativa och ligger hela tiden steget före IT-experterna. Cyberbrottslingarna är dessutom extremt intresserade av just dig, eftersom du som anställd är deras väg in på företaget där de presumtivt kan tjäna storkovan på att stjäla, spionera, blockera och hota med att förstöra. 

– Alla stora företag har någon form av grundskydd, som brandväggar och krypteringar. Så brottslingarna letar efter olika sätt att ta sig in och kan hitta dig exempelvis via Linkedin, förklarar Måns Jonasson, internetexpert på Internetstiftelsen. 

Så kallad spearphishing, riktade attacker via mejl, handlar om att bedragare vill förmå dig att öppna en länk eller att installera något på datorn. Och en hel del lyckas i sitt uppsåt. 

–Många är lata och trötta och gör saker av slentrian, det är då det blir farligt, säger Måns Jonasson. 

Snällhet kan straffa sig

Måns Jonasson, Internetstiftelsen.
Måns Jonasson. Foto: Internetstiftelsen.

Farligt kan det också bli när vi är för snälla. Nätskurkarna tvekar inte att utnyttja vår hjälpsamhet. 

– Generellt är vi hjälpsamma och blir man kontaktad av någon som utger sig för att jobba på en annan avdelning och ber om hjälp, brukar vi ställa upp. Det är tråkig att behöva vara skeptisk hela tiden, men fråga gärna en extra gång i stället för att göra ett dyrt misstag, säger Måns Jonasson.  

Men vi är inte bara lata, trötta och alltför snälla, vi är också dessvärre högst oemottagliga för information om hur vi ska hålla cyberbuset borta. Informationskampanjer som brottsförebyggande metod är ineffektiv, konstaterar Karin Svanberg, enhetschef på Brottsförebyggande rådet, BRÅ. 

– Vi förändrar dessvärre sällan vårt beteende bara för att någon talar om att vi gör fel eller riskerar något. Jämför med hur vi till exempel förhåller oss till rökning, fet mat och droger, säger hon. 

Det finns alltså en förklaring till att världens vanligaste lösenord är 123456, trots att alla vid det här laget vet att knepiga, unika lösenord är A och O när det gäller att hålla hackarna på behörigt avstånd. 

AI förändrar spelplanen för cyberbrottslingar

Men bedragarna blir alltmer förslagna och tar dessutom hjälp av ny teknik. Tidigare kunde man identifiera bedrägeriförsöken på lockbetenas usla stavning och grammatiska klumpighet, men tack vare AI har lurendrejeriförsöken blivit mer sofistikerade.  

Klonade röstsamtal har redan förekommit i cyberbrottsammanhang och säkerhetsexperter förutspår att inom en mycket snar framtid kommer bedragare med hjälp av generativ AI även kunna förfalska videosamtal. 

– Det gäller absolut att vara på sin vakt. Teoretiskt finns redan möjligheten att skapa en avatar och den tekniken kommer att bli bättre, även om det i dagsläget är ganska dyrt och komplicerat, säger Måns Jonasson. 

Framöver behöver du alltså vara än mer observant och varken tro dina öron eller ögon om chefen eller kollegan ringer upp dig via teams och ber dig utföra någon tjänst som i förlängningen kan leda till att företagets konton töms. 

– Det gäller att inta ett skeptiskt förhållningssätt och ha känselspröten ute, säger Måns Jonasson.  

– Men det är taskigt att lägga hela ansvaret på de anställda, internetsäkerhet är en utmaning som kräver jobb på flera fronter. IT-systemen måste också bli smartare och enklare att använda så att det blir svårare att göra fel. 

Ordlista

Social engineering/social ingenjörskonst: Social manipulation som omfattar flera olika tekniker för att lura åt sig uppgifter. 

Spoofing: Bedragaren använder falsk avsändare i mejl, sms eller via telefon. 

Phishing - nätfiske: Falska länkar infekterade med virus

Spearphishing: Nätfiske riktade mot specifika personer

Astroturfing/konstgräsrötter :- Fejkade kampanjer eller budskap som ser ut som det kommer från vanligt folk

Ransomewere: utpressningsvirus

DDOS: Hör till de cyberattacker som ökar mest. Attacker mot webbplatser för att överbelasta system med följden att dessa går dåligt eller kraschar helt. 

Deepfake/djupfejk: Förfalskade videor, bilder, ljud som genom avancerad AI  låter avatarer tala och agera. 

Så skyddar du dig – en liten påminnelse

  1. Öppna ej bifogade dokument/länkar från okända – de kan infektera med skadlig kod i syfte att norpa värdefull information/utpressa. Öppna heller inte bifogade dokument eller länkar från kända avsändare som verkar atypiska eller konstiga. Avsändaradressen kan vara förfalskad eller fått kontot kapat.  För att kolla att avsändaren av ett mejl är ok: För musen över adressen utan att klicka och jämför adressen som dyker upp i rutan.
  2. Ett långt lösenord är bättre än ett kort komplicerat. Använd inte samma lösenord överallt. Det går nämligen att köpa avlagda lösenord på Darknet.
  3. Logga inte in på olika ställen via Facebook – du lämnar spår som kan användas mot dig.
  4. Uppdatera mobilen och datorn omgående när det kommer propåer  – säkerhetsuppdateringar beror ofta på att man hittat luckor som behöver täppas till. 
  5. Undvik att koppla in dig på gratis nätverk. Genom att använda en vpn-anslutning skyddas din dator.
  6. Sätt inte in ett upphittat usb-minne eller laddsladd i datorn för att stilla din nyfikenhet. De kan innehålla skadligt virus eller spionsystemvara.
  7. Lämna aldrig jobbdatorn obevakad och låt ingen annan använda den. Det förekommer att barn duperats att göra förälderns dator mottaglig för hackerattacker.

 

Johanna Rovira

[email protected]

Läs även

Mest läst just nu