"Tietoturvan ei pitäisi olla vaikeaa."
Google on keskittynyt Internetin tietosuojaan ja tietoturvaan Google Safety Engineering Centerissä (GSEC) Münchenissä vuodesta 2019 alkaen. Paikan johtaja Wieland Holfelder kertoo uusimmista tuulista GSEC:ssä, hänen tiiminsä työskentelytavoista ja Münchenin asemasta digitaalisuuden huippukeskuksena.
Tri Holfelder, Google Safety Engineering Center eli GSEC avattiin Münchenissä vuonna 2019. Mitä keskuksessa tehdään?
GSEC on Googlen kansainvälinen tietosuojan ja tietoturvan kehityskeskus. Täällä kehitämme uusia tuotteita, tunnistamme käyttäjien vaatimuksia, jaamme tietoamme ja teemme yhteistyötä kumppaniemme kanssa Internetin turvallisuuden parantamiseksi.
Tietosuoja ja tietoturva ovat erittäin tärkeitä Saksassa. Miten tärkeitä paikalliset tavat olivat päätöksessä perustaa Google Safety Engineering Center juuri tänne?
Kun kaksitoista vuotta sitten perustin Googlen toimipisteen Müncheniin, selvisi nopeasti, että tietosuoja oli erittäin tärkeä asia saksalaisille käyttäjillemme. Mitä tulee tietosuojaan ja tietoturvaan, perustimme niille heti ensimmäiseksi erityiset kehitystiimit. Kehitettyämme näitä tiimejä kymmenen vuotta Münchenissä halusimme laajentaa ulottuvuutta ja luoda tilaa keskustelulle. Tästä syystä oli järkevää perustaa GSEC Müncheniin, jossa keskitytään näihin asioihin. Olemme pyrkineet varmistamaan, että kaikki tuotteemme täyttävät EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimukset. Tämä tieto ja tietoisuus leviää muihin maihin. Tietosuoja ja tietoturva ovat itse asiassa saamassa entistä enemmän huomiota eri puolilla maailmaa.
GSEC on kansainvälinen työpaikka, jossa on henkilökuntaa yli 40 eri maasta.
Työskentelemme kansainvälisten tuotteiden parissa, joten tarvitsemme erilaisia näkökulmia. Tämä on mahdollista, kun työntekijämme edustavat hyvin käyttäjiä. Emme kuitenkaan ole lähelläkään tavoitettamme ja olemme sitoutuneet luomaan monimuotoisia tiimejä. Haluaisimme esimerkiksi enemmän naisia kehitystiimeihimme.
Millainen on tavallinen päivä GSEC:ssä?
Meillä on yli 200 tietosuoja-asiantuntijaa, jotka työskentelevät joka päivä Googlen tuotteiden, kuten Google-tilin ja Google Chrome -selaimen, parissa. Järjestämme myös työpajoja kiinnostuneille, kuten tietoturvakoulutusta, ja tapahtumia, kuten Differential Privacy Codelabs. Tämä on erityisen tärkeää minulle, sillä maisema muuttuu nopeasti ja haluamme tarjota enemmän tietoa Internetin turvallisuudesta.
Millaisia asioita teette, joita Internetin käyttäjät voivat kohdata päivittäin?
Jos käyttää Googlen tuotteita, saattaa miettiä, millaista dataa personointiin käytetään esimerkiksi parempien hakutulosten tarjoamista varten. Google-tili tarjoaa yleiskuvan aktiivisuustiedoista, joita tällaisiin henkilökohtaisiin tuloksiin käytetään. Google-tilin voi myös määrittää sen mukaan, haluaako tämän tiedonkeruun jatkuvan vai ei. Tätä tarkoitusta varten olemme kehittäneet tietosuojatarkistuksen, jonka avulla Google-tilin tietosuoja-asetusten määrittäminen onnistuu nopeasti. Chromelle ja Androidille olemme kehittäneet salasanojen hallintaan Password Managerin, joka luo ja tallentaa pyydettäessä automaattisesti salasanan jokaiselle käytetylle verkkosivustolle ja sovellukselle. Käyttäjät voivat myös analysoida salasanojensa tietoturvaongelmat Password Checkupin avulla. Sen avulla näkee hetkessä, onko salasana paljastunut tietovarkaudessa, ja se antaa myös ohjeet tällaisten salasanojen vaihtamiseen. Olen erityisen ylpeä työstä, jota GSEC on tehnyt näiden salasanojen suojaustyökalujen parissa.
Voitko kertoa, miksi?
Tietoja kalastelevat verkkosivustot eivät voi huijata Password Manageria, ja käyttäjä voi luoda jokaiselle verkkosivustolle uuden vahvan salasanan, jota hänen ei tarvitse muistaa itse. Tämä estää hakkereita arvaamasta salasanoja – ja estää käyttäjää käyttämästä samaa salasanaa useissa sivustoissa.
Miksi se olisi ongelma?
Sanotaan, että tilaan vaikkapa kukkia vaimolleni verkkosivustosta ja annan sivustossa hätäisesti salasanan, jota käytän myös muualla. Jos hakkerit pääsevät kukkakaupan palvelimelle ja saavat salasanani käsiinsä, he voivat nopeasti määrittää, voiko sähköpostitiliäni tai Google-tiliäni käyttää tällä samalla salasanalla. Kaiken lisäksi hakkerit voivat luoda uusia salasanoja muille käyttämilleni tileille. Password Manager varmistaa, että käyttäjä on verkossa turvassa, luomalla jokaiselle sivustolle automaattisesti vahvan ja ainutlaatuisen salasanan.
"Työskentely kansainvälisten tuotteiden parissa tarkoittaa sitä, että tarvitsemme erilaisia näkökulmia."
Wieland Holfelder, suunnittelun varapääjohtaja Googlella ja toimipisteen johtaja
Onko saatavilla vieläkin turvallisempia menetelmiä?
Kyllä, myös kaksivaiheista todentamista voi käyttää, jos käytössä on Google-tili. Tämä tarkoittaa sitä, että joka kerta, kun käyttäjä kirjautuu tiliinsä uudella laitteella, hänen täytyy antaa puhelimeen lähetetty koodi.
Miten tällaisia uudenlaisia tuotteita kehitetään GSEC:ssä?
Esimerkiksi kutsumme ihmisiä "käyttökokemuksen tutkimuslaboratorioomme" tai osallistumaan verkossa haastatteluihin, jotta saamme tietoa siitä, miten he käyttävät Internetiä tai miten he tekevät hakuja. Tämä auttaa meitä ymmärtämään, mitä työkaluja ja millaisia ohjeita he yleisesti ottaen tarvitsevat voidakseen tehdä tietoisia päätöksiä tietoturvansa suhteen. Pyydämme ihmisiä esimerkiksi kertomaan, miten eri perheenjäsenet käyttävät Chrome-selainta ja pyydämme heitä käyttämään tuotteitamme, jotta voimme arvioida, miten he reagoivat niihin. Tällaiset havainnot ovat erittäin tärkeitä, sillä niiden avulla ymmärrämme paremmin, olemmeko sijoittaneet tiedot oikeaan paikkaan tai ovatko käyttöliittymä ja painikkeet hyödyllisiä vai eivät. Näin voimme varmistaa, että tuotteet vastaavat käyttäjiemme tarpeita. Filosofiamme on, että Internetin turvallisen käytön edellytyksenä ei pitäisi olla, että käyttäjä on tietoturva-asiantuntija. Nämä ehdot ja se, että tarpeet ovat hyvin erilaisia tässä kontekstissa, ohjaavat työtämme myös tulevaisuudessa.
Yksi tämän hetken tavoitteistanne on tehdä kolmannen osapuolen evästeistä vanhanaikaisia. Mitä evästeet ovat?
Evästeillä on yhtä pitkä historia kuin Internetilläkin. Ne ovat pieniä tiedostoja, joita verkkosivustojen tarjoajat käyttävät tallentaakseen tietoja paikallisesti tietokoneeseen. Evästeillä on edelleen tärkeä rooli Internetissä. Kolmannen osapuolen evästeitä käytetään esimerkiksi pitämään käyttäjä kirjautuneena online-tilille tai ostoskorin käyttämiseksi verkkokaupassa. On myös sellaisia kolmannen osapuolen evästeitä, jotka mahdollistavat sopivien mainosten näyttämisen. Kolmannen osapuolen evästeet voivat myös kirjata, että käyttäjä on etsinyt jotain tiettyä tuotetta verkosta. Eväste voi siis rekisteröidä, että käyttäjä etsii reppua joltain sivustolta, ja näyttää hänelle sitten toisen sivuston vastaavan repun mainoksen.
Miksi näin?
Internet on avoin ja pääosin vapaa alusta. Verkkosivustojen tarjonta rahoitetaan pääasiassa mainoksilla, ja mitä osuvampaa mainonta on, sitä parempaa se on käyttäjille ja sivustojen tarjoajille.
Kolmannen osapuolen evästeiden avulla käyttäjien liikkeitä voidaan seurata verkossa. Yritätte parhaillaan keksiä keinoja tämän lopettamiseen tulevaisuudessa. Pitääkö tämä paikkansa?
Kyllä. Kehitämme parhaillaan "Privacy Sandboxia", jotta tulevaisuudessa mainostajat eivät voi enää tunnistaa käyttäjää evästeiden avulla. Verkkoyhteisössä on todettu laajalti, että kolmannen osapuolen evästeet eivät ole täyttäneet käyttäjien odotuksia. Käyttäjät vaativat parempaa yksityisyyttä – mukaan lukien läpinäkyvyyttä sekä mahdollisuutta tehdä valintoja ja hallita, miten heidän tietojaan käytetään – ja on selvää, että verkkoekosysteemin on kehityttävä täyttämään nämä vaatimukset. Sivustojen välisen seurannan lopettaminen edellyttää, että verkossa siirrytään pois kolmannen osapuolen evästeistä ja muista piilotetuista tekniikoista, kuten selainten sormenjäljistä. Viimeisen reilun 30 vuoden aikana myös monet verkon ydinominaisuuksista ovat nojanneet näihin samoihin tekniikoihin. Emme halua menettää verkon kriittisiä ominaisuuksia, kuten sitä, että julkaisijat voivat jatkaa liiketoimintansa kasvattamista ja pitää verkon kestävänä, mahdollisuutta varmistaa universaali pääsy sisältöön, tarjota ihmisille parhaita kokemuksia heidän omilla laitteillaan, erottaa aidot henkilöt roboteista ja huijareista ja niin edelleen. Avoimen lähdekoodin Privacy Sandbox -aloitteen tavoitteemme on tehdä verkosta yksityisempi ja turvallisempi käyttäjille ja tukea samaan aikaan myös julkaisijoita.
Miten Google ratkaisee ongelman?
Osana Privacy Sandbox -aloitetta olemme kehittäneet yhteistyössä verkkoyhteisön kanssa uutta tekniikkaa, joka suojelee käyttäjätietoja ja jossa ei käytetä invasiivisia seurantatekniikoita, kuten sormenjälkitekniikkaa, mutta joka tarjoaa sivustoille kuitenkin keinon näyttää hyödyllisiä mainoksia toimintansa rahoittamiseksi. Aikaisemmin tänä vuonna esikatselimme Topics API -palvelurajapintaa, uutta Privacy Sandbox -ehdotusta kiinnostukseen perustuvalle mainonnalle. Se korvaa FloC:n valvojien, yksityisyyden puolestapuhujien ja kehittäjien antamaan palautteen perusteella. Topics API:n avulla mainostajat voivat näyttää ihmisille relevantteja mainoksia näiden mielenkiinnon, kuten urheilun, mukaan. Perusteena käytetään sitä, missä sivustoissa käyttäjät käyvät, ja kaikki tapahtuu käyttäjien kannalta mahdollisimman tietosuojaturvallisesti. Aiemmin käyttäjien tunnistamiseen on käytetty evästeitä, mutta Topicsin taustalla on ajatus, että henkilökohtainen selaushistoria pysyy omassa selaimessa tai laitteessa eikä sitä jaeta ulkopuolisille, mainostajat mukaan lukien. Tämä mahdollistaa sen, että mainostajat voivat jatkaa relevanttien mainosten ja sisältöjen näyttämistä ilman verkossa tehtävää seurantaa.
Edistymme hienosti myös muissa Privacy Sandbox -ehdotuksissa, joita ovat esimerkiksi FLEDGE ja mittausrajapinnat. Jatkamme myös yhteistyötä Ison-Britannian kilpailuviranomaisen (CMA) kanssa varmistaaksemme, että ehdotuksiamme kehitetään koko ekosysteemiin sopivalla tavalla.
Viime vuosina Münchenistä on tullut suosittu paikka digitaalisille start-up-yrityksille ja muille teknologiayrityksille. Millainen sinun kokemuksesi tästä on ollut Googlen Münchenin toimipisteen johtajana?
Münchenissä tapahtuu merkittäviä muutoksia. Apple, Amazon ja Google investoivat ja laajentavat toimintaansa täällä, samoin muut upeat yritykset, kuten Celonis, yksisarvinen, joka tarjoaa data-analyysipalveluita. Tänne on keskittynyt suurempi osuus B2B-yrityksistä kuin muualle, sillä tällä alueella on niin paljon muita vahvoja teknologiayrityksiä. Täällä on myös hyviä yliopistoja, kuten LMU ja TUM, joissa on paikallisia yritystoimintakeskuksia. Lisäksi Baijerin osavaltion hallitus tarjoaa verratonta tukea "High-Tech Agenda" -toimintasuunnitelmallaan. Olemme todistamassa esimerkiksi valtavia investointeja tekoälyyn ja kvanttilaskentaan – ja se on mahtavaa. Pitkäaikaisen alueellisen perinteen, suunnittelun ja teknologisen osaamisen lisäksi Münchenin vahva taloudellinen asema, hyvä poliittinen tuki, loistavat koululaitokset ja korkea elämänlaatu ovat voittoisa yhdistelmä, joka tekee alueesta niin loistavan.
Googlen uusia toimitiloja rakennetaan parhaillaan Müncheniin. Onko koronaviruspandemia muuttanut suunnitelmianne?
Ennen pandemiaa vietimme suurimman osan ajastamme toimistolla, missä on useita kahviloita, kokoushuoneita ja ravintoloita työntekijöiden henkilökohtaisia tapaamisia ja yhteisiä ideointihetkiä varten. Työtavat ovat selvästikin muuttuneet merkittävästi pandemian aikana, ja nyt sovellamme monia edellisvuoden aikana saamiamme oppeja, kun suunnittelemme uutta ja jännittävää Arnulfpost-projektiamme.
Onnistuuko samanlaisen ilmapiirin luominen etänä?
Yrityksemme syntyi pilvessä, kehittyi pilvessä ja me kaikki elämme pilvessä. Tästä syystä yritämme kannustaa työntekijöitä olemaan yhteydessä toisiinsa verkossa aamiaistapaamisilla tai avoimissa videokonferensseissa. Uskomme kuitenkin, ettemme voi hyödyntää kehittämäämme sosiaalista pääomaa loputtomiin. Olemme palkanneet paljon ihmisiä, jotka eivät ole vielä koskaan astuneet jalallaankaan toimistoomme. Kaikille johtajille on haaste huomioida kaikki yksilöt.
Miten tämä vaikuttaa tapaan, jolla töitä tehdään, erityisesti GSEC:ssä Münchenissä?
Uskomme vahvasti siihen, että on tärkeää koota ihmiset töissä yhteen. Siten syntyy onnekkaita sattumia, joita tarvitaan uusien innovatiivisten ideoiden keksimiseen, joten emme tule olemaan täysin virtuaalisia. Olemme kuitenkin kysyneet itseltämme, täytyykö kaikkien työskennellä jossain tietyssä paikassa. Myyntitiimimme voivat jo työskennellä joustavasti. Monet suunnittelijoidemme kehitystyökaluista ovat siirtymässä pilveen. Tulevaisuudessa jokainen tiimi voi päättää itse, miten monta joustavaa ja miten monta kiinteää työpistettä se haluaa säilyttää. Ehkäpä kiinteiden työpisteiden sijaan tarvitsemme ideointia varten enemmän luovia tiloja kameroineen, projektoreineen ja digitaalisine valkotauluineen.
Kuvat: Sima Dehgani