”Datasikkerhed skal ikke være indviklet.”
På Google Safety Engineering Center (GSEC) i München har Google fokuseret på beskyttelse af personlige oplysninger og datasikkerhed på internettet siden 2019. Site Lead Wieland Holfelder diskuterer den nyeste udvikling på GSEC, hans teams arbejdsmetoder samt Münchens ledende position på det digitale område.
Dr. Holfelder, Google Safety Engineering Center (GSEC) åbnede i München i 2019. Hvad foregår der i centret?
GSEC er Googles globale udviklingscenter for beskyttelse af personlige oplysninger og internetsikkerhed. Det er her, at vi udvikler nye produkter, identificerer brugerbehov, deler vores viden og samarbejder med vores partnere om at forbedre internetsikkerheden.
Beskyttelse af personlige oplysninger og datasikkerhed er meget vigtigt i Tyskland. Hvor stor betydning havde den lokale holdning, da man etablerede Google Safety Engineering Center her?
For 12 år siden, da jeg etablerede Google-kontoret i München, blev det hurtigt tydeligt, at databeskyttelse var meget vigtigt for vores brugere i Tyskland. Det første, vi gjorde i forbindelse med beskyttelse af personlige oplysninger og datasikkerhed, var at oprette særlige udviklingsteams på området. Efter at have brugt 10 år på at udvikle disse teams i München, ønskede vi at udvide området og åbne for dialog. Det gav derfor god mening at etablere GSEC i München, da kontoret i forvejen havde fokus på disse områder. Vi har arbejdet på at sikre, at alle vores produkter overholder kravene i EU's databeskyttelsesforordning (GDPR). Denne viden og opmærksomhed spreder sig til andre lande. Faktisk får beskyttelse af personlige oplysninger og datasikkerhed mere og mere opmærksomhed over hele verden.
GSEC er et internationalt arbejdssted med medarbejdere fra over 40 forskellige lande.
Da vi arbejder med internationale produkter, er vi nødt til at have mange forskellige perspektiver. Det er muligt, fordi vores medarbejdere er et så repræsentativt udsnit af vores brugere, som overhovedet muligt. Men vi er stadig langt fra, hvor vi gerne vil være i øjeblikket, og vi har derfor stort fokus på diversitet i de teams, vi opbygger. Vi vil for eksempel meget gerne have flere kvinder med på vores udviklingsteams.
Hvordan ser en almindelig arbejdsdag ud i GSEC?
Vi har mere end 200 ingeniører, som hver dag arbejder med beskyttelse af personlige oplysninger på Google-produkter som Google-konto og Google Chrome-browser. Vi afholder også workshops for interesserede, inklusive sikkerhedskurser, samt events som Differential Privacy Codelabs. Det er især vigtigt for mig, fordi landskabet ændrer sig så hurtigt, og vi vil gerne tilbyde mere information om emnet internetsikkerhed.
Hvad beskæftiger du dig med, som internetbrugere kender fra deres hverdag?
Hvis du bruger Google-produkter, har du måske undret dig over de personlige oplysninger, der skal bruges for at give dig bedre søgeresultater. Google-kontoen giver dig et overblik over de aktivitetsdata, der bliver brugt til disse personlige oplysninger. Du kan også konfigurere din Google-konto, alt efter om du ønsker, at denne dataindsamling skal fortsætte eller ej. Til dette formål har vi udviklet Privatlivstjek, som giver dig mulighed for hurtigt at indstille dine præferencer for personlige oplysninger på din Google-konto. Til Chrome og Android har vi udviklet Adgangskodeadministrator, som automatisk kan oprette og gemme en adgangskode for de individuelle websites og apps, du bruger, hvis du ønsker det. Brugere kan også benytte Adgangskodetjek til at undersøge om deres adgangskoder er sikre. I løbet af få sekunder kan man se, om en eller flere af ens adgangskoder er blevet kompromitteret i et datatyveri, og man får at vide, hvordan man kan ændre disse adgangskoder. Jeg er især stolt af det arbejde, som GSEC har udført for at udvikle disse værktøjer til beskyttelse af adgangskoder.
Kan du forklare hvorfor?
Adgangskodeadministrator bliver ikke snydt af phishing-websites, og man kan oprette en ny, stærk adgangskode for hver enkelt website, uden selv at skulle huske koderne. Det betyder, at hackere ikke kan gætte adgangskoderne – og det afholder dig fra at bruge den samme adgangskode på flere forskellige websites.
Hvorfor kan det være et problem?
Lad os sige, at jeg skal bestille blomster til min hustru på et website. I farten kommer jeg til at bruge en adgangskode til kundekontoen, som jeg også bruger til et andet website. Hvis hackere får adgang til blomsterbutikkens server og fingrene i min adgangskode, kan de hurtigt finde ud af, om det er den samme kode, der giver adgang til min e-mailkonto eller Google-konto. Desuden kan de oprette nye adgangskoder til andre af de konti, som jeg bruger. Adgangskodeadministrator sørger for, at du er sikker online ved automatisk at generere stærke og unikke adgangskoder til hvert enkelt website.
“Da vi arbejder med internationale produkter, er vi nødt til at have mange forskellige perspektiver.”
Wieland Holfelder, Vice President of Engineering hos Google og Site Lead
Findes der endnu sikrere metoder?
Ja, du kan også benytte tofaktorgodkendelse, hvis du har en Google-konto. Det betyder, at hver gang du logger på din konto fra en ny enhed, skal du bruge en kode, som vi sender til dig på din mobiltelefon.
Hvordan foregår udviklingen af den type nye produkter på GSEC?
Vi inviterer for eksempel gæster til vores "User Experience Research Lab" eller til at deltage i onlineinterviews, så vi kan høre, hvordan de bruger internettet, og hvordan de søger online. Det hjælper os til at forstå, hvilke værktøjer og hvilken hjælp brugerne generelt har brug for til at foretage velfunderede beslutninger om deres indstillinger til beskyttelse af personlige oplysninger. Vi spørger for eksempel “Kan du fortælle os, hvordan I hver især bruger Chrome-browseren i familien?”, og vi beder dem om at interagere med vores produkter, så vi kan evaluere, hvordan de forholder sig til dem. Disse indsigter er meget vigtige, fordi de hjælper os til at forstå, om vores oplysninger er placeret de rette steder, og om brugergrænseflade og knapper er en hjælp eller ej. Det er med til at sikre, at vores produkter lever op til brugernes behov. Vores filosofi er, at du ikke skal være sikkerhedsekspert for at føle dig sikker online. Disse omstændigheder og det faktum, at behovene er meget forskellige i denne sammenhæng, vil også guide os i vores arbejde i fremtiden.
Du arbejder blandt andet med at udfase tredjepartscookies. Hvad er cookies?
Cookies har eksisteret lige så længe som internettet. Det er små filer, som websiteudbyderne bruger til at lagre oplysninger lokalt på en computer. Cookies spiller stadig en vigtig rolle på internettet. For eksempel bruges førstepartscookies til at holde dig logget på en onlinekonto eller til at styre indkøbskurve på e-handelswebsites. Nogle tredjepartscookies tillader visning af relevante annoncer. Tredjepartscookies kan også registrere, at du har søgt efter et specifikt produkt online. Det betyder, at en cookie kan registrere, at du har kigget på en rygsæk online, for derefter at vise dig reklamer for rygsække fra et andet website.
Hvordan kan det være?
Internettet er en åben og for det meste gratis platform. Websiteindhold bliver primært finansieret af reklamer, og jo mere relevante annoncerne er, desto bedre er det for brugerne og udbyderne.
Tredjepartscookies giver mulighed for at spore brugernes bevægelser online. Du arbejder netop nu med at finde måder til at udfase dette i fremtiden. Er det rigtigt?
Ja, vi arbejder i øjeblikket på at udvikle initiativet Privacy Sandbox, så annoncører i fremtiden ikke kan identificere brugerne via cookies. I webfællesskabet har der været bred enighed om, at tredjepartscookies ikke lever op til brugernes forventninger. Brugerne kræver større beskyttelse af deres personlige oplysninger – inklusive transparens, valg og kontrol over, hvordan deres oplysninger bliver brugt – og det er klart at webøkosystemet skal udvikle sig for at leve op til disse krav. For at stoppe sporing på tværs af websites skal man bevæge sig væk fra brugen af tredjepartscookies og andre skjulte teknikker, som for eksempel browser-fingeraftryk. Men gennem mere end 30 år har mange af nettets grundelementer været afhængige af netop disse teknikker. Vi ønsker ikke, at nettet skal miste kritiske funktioner – det skal stadig være muligt for udgiverne at vækste deres forretninger, nettet skal være tilgængeligt, så der er sikret universel adgang til indholdet, brugerne skal have de bedste oplevelser på deres forskellige enheder, vi skal kunne differentiere de rigtige brugere fra bots og onlinesvindlere og meget andet. Vores mål med open source-initiativet Privacy Sandbox er at gøre nettet mere privat og sikkert for brugerne, samtidig med at vi støtter udgiverne.
Hvordan vil Google løse problemet?
Som en del af initiativet Privacy Sandbox , arbejder vi med webfællesskabet om at udvikle nye teknologier, der holder brugeroplysninger private og undgår invasive sporingssporingsteknikker, som fingeraftryk, og samtidig giver webstederne mulighed for at vise relevante annoncer og finansiere deres forretning. Tidligere i år var der et indledende kig på Topics API, et nyt Privacy Sandbox-forslag til interessebaseret annoncering, der erstatter FloC, baseret på feedback-regulatorer, privatlivsforkæmpere og udviklere. Det giver annoncørerne mulighed for at vise relevante annoncer baseret på modtagernes interesser, som f.eks. “sport”, udledt fra de websteder, som de besøger – alt sammen på en måde, der sikrer brugernes privatliv. Tidligere har man brugt cookies til at identificere brugerne, men idéen bag Topics er, at din personlige browsinghistorie ikke forlader din browser, og den bliver ikke delt med nogen, heller ikke annoncører. Det betyder, at annoncører fortsat kan vise relevante annoncer og indhold uden at skulle spore på tværs af nettet.
Vi gør også store fremskridt med andre tiltag til Privacy Sandbox, inkl. FLEDGE og måle-API’er, og samarbejder fortsat med Storbritanniens Competition and Markets Authority (CMA) for at sikre, at vores forslag bliver udviklet på en måde, der fungerer for hele økosystemet.
I de senere år er München blevet en populær adresse for digitale start-ups og andre tech-virksomheder. Hvad er din holdning til det som Site Lead for Google München?
München er en by i rivende forandring. Både Apple, Amazon og Google investerer i og ekspanderer deres aktiviteter her sammen med andre fantastiske virksomheder som Celonis, der er en unicorn-virksomhed, der tilbyder dataanalysetjenester. Proportionelt er en højere andel af B2B-virksomheder blevet etableret her end andre steder, fordi der er så mange andre stærke tech-virksomheder i regionen. Vi har også nogle glimrende universiteter, blandt andre LMU og TUM, der driver lokale iværksættercentre. Derudover yder regeringen i Bayern uovertruffen støtte med sin handlingsplan “High-Tech Agenda”. Vi ser for eksempel store investeringer i kunstig intelligens og kvantecomputerteknologi – og det er fantastisk. Regionen har længe haft en tradition og ekspertise inden for ingeniørarbejde og teknologi og kombineret med en stærk økonomi, god politisk opbakning, glimrende uddannelsesinstitutioner og høj livskvalitet er det en vinderkombination, der gør München til et fantastisk sted.
De nye Google-kontorer er ved at blive opført i München. Er coronapandemien kommet på tværs af planerne?
Inden pandemien brugte vi det meste af tiden på kontoret, som har mange cafeer, mødelokaler og restauranter, hvor medarbejderne kan mødes og samarbejde fysisk. Selvfølgelig blev disse samarbejdsformer ændret markant under pandemien, og vi integrerer nu mange af vores erfaringer fra det seneste år i planlægningen af vores nye og spændende Arnulfpost-projekt.
Er det muligt at skabe den samme atmosfære ved fjernarbejde?
Vores virksomhed blev født i skyen, udviklet i skyen og vi befinder os alle sammen i skyen. Derfor opfordrer vi også medarbejderne til at interagere online ved at holde morgenmøder eller åbne videokonferencer. Men vi regner ikke med, at vi kan trække på den sociale kapital, som vi har opbygget over årene, for altid. Vi har ansat mange medarbejdere, som endnu ikke har været på vores fysiske kontorer. Det er en udfordring for alle ledere at få alle samlet.
Hvad betyder det specifikt i fremtiden for måden at arbejde på hos GSEC i München?
Vi tror fuldt og fast på vigtigheden af at bringe folk sammen på arbejdet for at skabe den nødvendige energi til at udvikle nye innovative idéer, så vi bliver aldrig en 100 procent virtuel virksomhed. Men vi har spurgt os selv, om det er nødvendigt, at alle har en fast arbejdsplads. Vores salgsteam arbejder allerede fleksibelt. Mange af vores ingeniørers udviklingsværktøjer flytter til skyen. I fremtiden vil hvert team selv kunne bestemme, hvor mange fleksible og hvor mange faste arbejdsstationer, de vil have. I stedet for faste arbejdsstationer får vi måske brug for flere kreative områder til brainstorming, som vil være udstyret med kameraer, projektorer og elektroniske whiteboards.
Fotos: Sima Dehgani
Fremskridt inden for cybersikkerhed
Få flere oplysninger om, hvordan vi beskytter flere brugere på nettet end nogen anden i verden.
Få flere oplysninger