"Datasikkerhet bør ikke være komplisert."

Google har fokusert på personvern og datasikkerhet på nett ved Google Safety Engineering Center (GSEC) i München siden 2019. Leder Wieland Holfelder diskuterer den siste utviklingen ved GSEC, teamets arbeidsmetoder og Münchens posisjon som et senter for digital ekspertise.

Dr. Holfelder, Google Safety Engineering Center, eller forkortet GSEC, ble åpnet i München i 2019. Hva skjer på senteret?

GSEC er Googles globale senter for personvern og sikkerhetsteknologi. Det er her vi utvikler nye produkter, identifiserer brukerkrav, deler vår kunnskap og samarbeider med våre partnere for å forbedre Internett-sikkerheten.

Datavern og sikkerhet er veldig viktig i Tyskland. Hvor viktig var den lokale tradisjonen for å etablere Google Safety Engineering Center her?

For tolv år siden, da jeg satte opp Google-kontoret i München, ble det raskt klart at databeskyttelse var svært viktig for våre brukere i Tyskland. Når det kom til databeskyttelse og datasikkerhet, var det første vi gjorde å sette opp unike utviklingsteam. Etter ti år med utvikling av disse teamene i München, ønsket vi å utvide omfanget, og åpne for dialog. Derfor føltes det naturlig å sette opp GSEC i München, som har stor fokus på disse temaene. Vi har jobbet med å passe på at alle produktene våre oppfyller kravene i European General Data Protection Regulation (GDPR). Denne kunnskapen og bevisstheten sprer seg til andre land. Faktisk får personvern og sikkerhet mer og mer oppmerksomhet rundt om i hele verden.

Hva gjør du som Internett-brukere kan støte på i hverdagen?

Hvis du bruker Google-produkter, har du kanskje lurt på hva slags data som brukes til personalisering for å produsere bedre søkeresultater, for eksempel. Google-kontoen gir deg en oversikt over aktivitetsdataene som brukes til denne typen personlig informasjon. Du kan også konfigurere Google-kontoen din i henhold til om du vil at denne datainnsamlingen skal fortsette eller ikke. Til dette formålet har vi utviklet Personvernsjekk, som gjør at du raskt kan angi personvernpreferansene dine i Google-kontoen din. For Chrome og Android har vi utviklet Password Manager, som automatisk oppretter og lagrer et passord for hver enkelt nettside og app du bruker, på forespørsel. Brukere kan også ta i bruk Password Checkup for å analysere passordene sine for sikkerhetsproblemer. I løpet av noen få sekunder kan de da se om noen av passordene har blitt kompromittert i et datatyveri, og får da instruksjoner om hvordan de kan endre dem. Jeg er spesielt stolt over arbeidet GSEC har gjort med disse passord beskyttelsesverktøyene.

Kan du forklare hvorfor?

Password Manager kan ikke lures av phishing-nettsteder, og du kan lage et nytt, sterkt passord for hvert eneste nettsted uten å måtte huske dem selv. Dette forhindrer hackere i å gjette passord – og det hindrer deg i å bruke det samme passordet på flere nettsteder.

Hvorfor er det et problem?

La oss si at jeg bestiller blomster til min kone på et nettsted og hastig skriver inn et passord for kundekontoen min på den siden, som jeg også bruker andre steder. Hvis hackere kan få tilgang til serveren til blomsterbutikken og få tak i dette passordet, kan de kjapt oppdage om e-postkontoen min eller Google-kontoen min kan nås med det samme passordet. I tillegg kan de lage nye passord for andre kontoer som jeg bruker. Password Manager sikrer at du forblir trygg på nettet ved å automatisk generere sterke og unike passord for hvert eneste nettsted.

Finnes det enda tryggere tiltak som kan brukes?

Ja, du kan også bruke 2-trinns bekreftelse dersom du har en Google-konto. Dette betyr at hver gang du logger på kontoen din på en ny enhet, må du bruke en kode som vi sender deg på telefon.

Hvordan utvikler du denne typen nye produkter hos GSEC?

For eksempel inviterer vi folk til å komme til "User Experience Research Lab" eller delta på nett-intervjuer, så vi kan lære om hvordan de bruker Internett eller hvordan de går fram for å søke etter ting. Dette hjelper oss til å forstå hvilke verktøy og hjelp de trenger generelt for å ta veloverveide avgjørelser angående personvern-preferansene deres. Vi stiller spørsmål som "kan du fortelle oss hvordan du bruker Chrome-nettleseren med forskjellige familiemedlemmer?" og vi ber dem om å interagere med produktene våre slik at vi kan evaluere hvordan de reagerer på dem. Denne innsikten er svært viktig, fordi den hjelper oss til å forstå om informasjonen vår er plassert på riktig sted, eller om grensesnittet og knappene er nyttige eller ikke. Dette lar oss sikre at produktene våre matcher brukernes behov. Filosofien vår er at du skal ikke behøve å være en sikkerhetsekspert for å føle deg trygg på nett. Disse forholdene, samt det faktum at behovene er svært ulike i denne sammenheng, vil fortsette å styre arbeidet vårt i fremtiden.

Blant andre ting, så jobber du nå med å gjøre tredjeparts informasjonskapsler unødvendige. Hva er informasjonskapsler?

Informasjonskapsler har eksistert like lenge som Internett. De er små filer som nettsted-leverandører bruker til å lagre informasjon lokalt på en datamaskin. Informasjonskapsler spiller fortsatt en viktig rolle på Internett. For eksempel brukes førsteparts informasjonskapsler til å holde deg logget på en nettkonto eller betjene handlekurver på nettsteder for e-handel. Det finnes også tredjeparts informasjonskapsler som gjør at relevant reklame kan vises. Tredjeparts informasjonskapsler kan også registrere om du har søkt etter et bestemt produkt på nettet. Det betyr at en informasjonskapsel kan registrere at du leter etter en ryggsekk på ett nettsted og deretter vise deg en lignende ryggsekk-annonse fra et annet nettsted.

Hvorfor er det sånn?

Internett er en åpen og stort sett gratis plattform. Nettsidetilbud er primært finansiert av annonsering, og jo mer relevant annonseringen er, jo bedre er den for brukere og tilbydere.

Tredjeparts informasjonskapsler lar brukernes bevegelser spores på nettet. Dere jobber nå med måter å forhindre dette på i fremtiden. Stemmer det?

Ja, vi utvikler for øyeblikket "Privacy Sandbox" slik at annonsører i fremtiden ikke lenger vil kunne identifisere meg gjennom informasjonskapslene mine. Det har vært en bred erkjennelse gjennom nettsamfunnet at tredjeparts informasjonskapsler ikke samsvarte med brukernes forventninger. Brukere krever strengere personvern – inkludert åpenhet, valg og kontroll over hvordan dataene deres brukes – og det er klart at nett-økosystemet må utvikles for å møte disse kravene. For å stanse sporing på tvers av nettsteder, må nettet fjerne tredjeparts informasjonskapsler og andre skjulte teknikker som nettleser fingeravtrykk. Men i løpet av de siste 30 årene har mange kjernenettfunksjoner også blitt avhengige av de samme teknikkene. Vi vil ikke at nettet skal miste kritiske funksjoner, ved for eksempel å gjøre det mulig for utgivere å la virksomheten sin fortsette å vokse og holde nettet bærekraftig, sikre universell tilgang til innhold, gi de beste opplevelsene for folk på deres individuelle enheter, skille ekte brukere fra roboter og svindlere og mer. Vårt mål for Privacy Sandbox åpen kilde-initiativet er å gjøre nettet mer privat og sikkert for brukere, samtidig som vi støtter tilbyderne.

Hvordan løser Google problemet?

Som en del av Privacy Sandbox-initiativet, vi jobber med nettsamfunnet for å utvikle ny teknologi som holder brukerinformasjon privat og unngår invaderende sporingsteknikker, som fingeravtrykk, samtidig som det gir nettsteder en måte å tilby nyttige annonser og finansiere virksomheten deres. Tidligere i år forhåndsviste vi Topics API, et nytt Privacy Sandbox-forslag for interessebasert annonsering som skal erstatte FloC, basert på tilbakemeldingsregulatorer, personvernforkjempere og utviklere. Den lar annonsører vise relevante annonser til folk basert på interesse, for eksempel sport, samlet fra nettsidene de besøker, alt strengt personvernsikret for brukeren. Informasjonskapsler har blitt brukt til å identifisere brukere tidligere, men ideen bak Topics er at din personlige nettleserhistorikk ikke blir borte fra nettleseren eller enheten din, og den deles ikke med noen, inkludert annonsører. Dette betyr at annonsører kan fortsette å vise relevante annonser og innhold uten å måtte spore på nettet.

Vi gjør også store fremskritt med andre ideer for Privacy Sandbox, inkludert FLEDGE og måle-APIer, samt fortsetter å samarbeide med Storbritannias Competition and Markets Authority (CMA) for å sikre at forslagene våre utvikles på en måte som fungerer for hele økosystem.

De siste årene har München blitt et populært sted for digitale oppstartsbedrifter og andre teknologiselskaper. Hva har din erfaring med dette vært som Google Münchens nettstedsleder?

München gjennomgår oppsiktsvekkende endringer. Apple, Amazon og Google investerer og utvider alle sine operasjoner her, så vel som andre fantastiske selskaper som Celonis, et enhjørningsselskap som tilbyr dataanalyse-tjenester. En større andel B2B-bedrifter er etablert her enn noe annet sted fordi det er så mange andre sterke teknologibedrifter i denne regionen. Vi har også noen fantastiske universiteter, som LMU og TUM, som driver lokale entreprenørskaps-sentre. I tillegg tilbyr den bayerske delstatsregjeringen uovertruffent nivå av støtte med sin "High-Tech Agenda" handlingsplan. For eksempel ser vi enorme investeringer i kunstig intelligens og kvantedata-behandling – som er fantastisk. I tillegg til en langvarig regional tradisjon og ekspertise innen ingeniørvitenskap og teknologi, er dens sterke økonomiske posisjon, gode politiske støtte, fantastiske utdanningsinstitusjoner og høye livskvalitet en vinnende kombinasjon som gjør München til et så bra sted.

Det jobbes for tiden med nye Google-kontorer i München. Har koronaviruspandemien endret disse planene?

Før pandemien brukte vi mesteparten av tiden vår på kontoret med mange kafeer, møterom og restauranter hvor de ansatte kunne møtes og personlig være med på å skape. Denne måten å jobbe på har åpenbart endret seg ganske betydelig under pandemien, og vi inkorporerer nå mye av det vi har lært fra det siste året i planleggingen av vårt nye og spennende Arnulfpost-prosjekt.

Er det mulig å skape den samme atmosfæren med hjemmekontor?

Selskapet vårt er født i skyen, utviklet i skyen og vi lever alle i skyen. Derfor prøver vi å oppmuntre ansatte til å samhandle på nettet i frokostmøter eller i åpne videokonferanser. Men vi tror ikke at vi kan trekke på den sosiale kapitalen vi har bygget opp gjennom årene i evighet. Vi har ansatt mange mennesker som faktisk ikke har satt sin fot i kontorene våre ennå. Det er en utfordring for alle ledere å få hver enkelt med seg.

Hva betyr dette spesifikt for måten arbeidet i fremtiden vil utføres ved GSEC i München?

Vi tror på viktigheten av å få folk sammen på jobben for å skape den serendipiteten som er nødvendig for å skape nye innovative ideer, så vi vil ikke være 100 prosent virtuelle. Men vi har spurt oss selv om alle trenger å ha en fast arbeidsplass. Salgsteamet vårt jobber allerede fleksibelt. Mange av våre ingeniørers utviklingsverktøy er flyttet til skyen. I fremtiden vil hvert team selv kunne bestemme hvor mange fleksible og hvor mange faste arbeidsstasjoner de ønsker å beholde. Og kanskje i stedet for faste arbeidsstasjoner trenger vi flere kreative rom for idédugnad, med kameraer, projektorer og elektroniske tavler.

Bilder: Sima Dehgani