"Hoạt động bảo mật dữ liệu không nên quá phức tạp."

Thưa tiến sĩ Holfelder, Trung tâm kỹ thuật bảo đảm an toàn của Google (GSEC) mở cửa tại Munich năm 2019. Vậy có những gì diễn ra tại trung tâm này?

GSEC là trung tâm toàn cầu của Google về kỹ thuật bảo mật và quyền riêng tư. Đây là nơi chúng tôi phát triển các sản phẩm mới, xác định nhu cầu của người dùng, chia sẻ kiến thức và làm việc với đối tác để cải thiện mức độ bảo mật trên Internet.

Vấn đề bảo mật và quyền riêng tư đối với dữ liệu là vô cùng quan trọng ở Đức. Vậy yếu tố truyền thống địa phương đó đóng vai trò như thế nào trong việc thiết lập Trung tâm kỹ thuật bảo đảm an toàn của Google (GSEC) tại đây?

Mười hai năm trước, khi tôi thiết lập văn phòng Google ở Munich, tôi nhanh chóng nhận ra rằng việc bảo vệ dữ liệu là rất quan trọng đối với người dùng ở Đức. Khi bắt đầu quan tâm đến bảo vệ và bảo mật dữ liệu, việc đầu tiên chúng tôi làm là thành lập các nhóm phát triển đặc biệt. Sau mười năm phát triển đội ngũ này tại Munich, chúng tôi muốn mở rộng phạm vi và sẵn sàng đối thoại. Việc thành lập GSEC tại Munich càng trở nên hợp lý vì thành phố cũng chú trọng những vấn đề này. Chúng tôi nỗ lực đảm bảo rằng tất cả sản phẩm đều đáp ứng yêu cầu của Quy định chung về việc bảo vệ dữ liệu tại Châu Âu (GDPR). Kiến thức và nhận thức này cũng đang dần lan ra các nước khác. Trên thực tế, việc bảo mật dữ liệu và quyền riêng tư đối với dữ liệu đang dần nhận được nhiều sự quan tâm hơn trên khắp thế giới.

GSEC là một trung tâm quốc tế, quy tụ nhân sự từ hơn 40 quốc gia.

Khi làm việc với các sản phẩm quốc tế, chúng tôi cần phải có thật nhiều góc nhìn. Chúng tôi chỉ làm được như thế khi nhân viên của chúng tôi là đại diện cho sự đa dạng về thành phần người dùng. Tuy nhiên, hiện tại chúng tôi vẫn chưa đạt được mục tiêu mong muốn và sẽ tiếp tục cam kết xây dựng các đội ngũ đa dạng. Ví dụ: chúng tôi mong muốn có thêm nhiều phụ nữ gia nhập các nhóm phát triển của mình.

Một ngày bình thường ở GSEC diễn ra như thế nào?

Chúng tôi có hơn 200 kỹ sư về quyền riêng tư làm việc với các sản phẩm của Google như Tài khoản Google và trình duyệt Google Chrome mỗi ngày. Chúng tôi cũng tổ chức hội thảo dành cho những ai hứng thú, ví dụ như đào tạo về bảo mật cùng với các sự kiện như Lớp học lập trình về Sự riêng tư biệt lập. Điều này đặc biệt quan trọng đối với tôi bởi vì tình hình đang thay đổi nhanh chóng và chúng tôi muốn cung cấp thêm nhiều thông tin về chủ đề bảo mật trên Internet.

Tuyên ngôn sứ mệnh từ Munich khi thoáng nhìn bên trong Trung tâm kỹ thuật bảo đảm an toàn của Google

Người dùng Internet thường nhật có thể bắt gặp những sản phẩm nào do các ông phát triển?

Nếu sử dụng các sản phẩm của Google, có lẽ bạn từng thắc mắc loại dữ liệu nào được dùng để cá nhân hoá nhằm tạo ra kết quả tìm kiếm phù hợp nhất. Tài khoản Google cung cấp cho bạn thông tin tổng quan về dữ liệu hoạt động được sử dụng cho thông tin cá nhân như vậy. Bạn cũng có thể định cấu hình Tài khoản Google để chọn có muốn việc thu thập dữ liệu này được tiếp tục hay không. Vì mục đích này, chúng tôi đã phát triển tính năng Kiểm tra quyền riêng tư để bạn có thể nhanh chóng thiết lập các lựa chọn ưu tiên về quyền riêng tư trong Tài khoản Google của mình. Đối với Chrome và Android, chúng tôi đã phát triển Trình quản lý mật khẩu, giúp bạn tự động tạo và lưu một mật khẩu cho từng trang web và ứng dụng theo yêu cầu. Người dùng cũng có thể sử dụng tính năng Kiểm tra mật khẩu để phân tích mật khẩu nhằm phát hiện các vấn đề về bảo mật. Trong vài giây, họ có thể biết được mật khẩu của mình có bị lộ trong một vụ trộm cắp dữ liệu hay không, đồng thời được hướng dẫn cách thay đổi những mật khẩu đó. Tôi đặc biệt tự hào về những gì GSEC đã làm được trong việc phát triển các công cụ bảo vệ mật khẩu như vậy.

Ông có thể giải thích lý do không?

Các trang web lừa đảo khó có thể qua mặt được Trình quản lý mật khẩu. Bạn cũng có thể tạo một mật khẩu mạnh cho từng trang web mà không cần phải tự nhớ toàn bộ. Tính năng này giúp làm giảm khả năng tin tặc đoán được mật khẩu của bạn và cũng tránh việc bạn sử dụng cùng một mật khẩu cho nhiều trang web.

Tại sao đây lại là một vấn đề?

Ví dụ: tôi đặt mua hoa cho vợ trên một trang web và nhanh chóng điền một mật khẩu mà mình từng dùng ở nơi khác làm mật khẩu tài khoản khách hàng. Nếu tin tặc truy cập được vào máy chủ của cửa hàng hoa và có được mật khẩu đó, chúng có thể nhanh chóng xác định xem liệu có thể truy cập tài khoản email hay Tài khoản Google của tôi bằng chính mật khẩu đó hay không. Hơn thế nữa, chúng còn có thể tạo mật khẩu mới cho các tài khoản khác mà tôi đang dùng. Trình quản lý mật khẩu giúp đảm bảo rằng bạn luôn an toàn trên mạng bằng cách tự động tạo một mật khẩu mạnh và duy nhất cho mỗi trang web.

"Khi làm việc với các sản phẩm quốc tế, chúng tôi cần có nhiều góc nhìn."

Wieland Holfelder

Phó Chủ tịch Kỹ thuật kiêm người phụ trách cơ sở của Google

Có phương pháp nào an toàn hơn nữa không?

Có, bạn còn có thể sử dụng tính năng xác thực hai yếu tố nếu có Tài khoản Google. Tức là mỗi lần đăng nhập vào tài khoản trên một thiết bị mới, bạn sẽ phải sử dụng mã mà chúng tôi gửi cho bạn qua điện thoại.

Chính xác thì các ông làm thế nào để phát triển những sản phẩm mới như thế này tại GSEC?

Ví dụ: chúng tôi mời mọi người đến với "Phòng thí nghiệm Trải nghiệm người dùng" hoặc tham gia các buổi phỏng vấn trực tuyến để có thể hiểu thêm về cách mọi người sử dụng Internet cũng như cách họ tra cứu thông tin. Từ đây, chúng tôi có thể hiểu được mọi người nhìn chung cần công cụ và hỗ trợ gì để đưa ra được quyết định sáng suốt hơn khi lựa chọn chế độ cho quyền riêng tư. Chúng tôi đặt những câu hỏi như: “Bạn có thể cho chúng tôi biết cách bạn dùng Trình duyệt Chrome với nhiều thành viên trong gia đình không?”. Chúng tôi cũng nhờ họ tương tác với sản phẩm để đánh giá phản ứng khi sử dụng. Thông tin chi tiết như vậy đóng vai trò vô cùng quan trọng vì nó giúp chúng tôi biết được liệu thông tin mình cung cấp có được đặt đúng chỗ hay giao diện và các nút có hữu ích hay không. Thông tin này cũng giúp chúng tôi chắc chắn rằng các sản phẩm phù hợp với nhu cầu của người dùng. Phương châm của chúng tôi là bạn không cần phải là một chuyên gia về bảo mật để được cảm thấy an toàn trên mạng. Những yếu tố này, cùng với sự khác biệt rõ rệt về nhu cầu, sẽ tiếp tục định hướng công việc của chúng tôi trong tương lai.

Một trong số sản phẩm hiện giờ các ông đang tập trung phát triển là loại bỏ cookie của bên thứ ba. Vậy cookie là gì?

Cookie tồn tại song hành với mạng Internet. Chúng là những tệp nhỏ mà nhà cung cấp trang web dùng để lưu thông tin cục bộ trên máy tính. Cookie vẫn đóng một vai trò quan trọng trên Internet. Ví dụ: cookie của bên thứ nhất được dùng để duy trì tình trạng đăng nhập vào một tài khoản trực tuyến hay vận hành giỏ hàng trên trang web thương mại điện tử. Còn cookie của bên thứ ba thì cho phép hiển thị quảng cáo có liên quan. Cookie của bên thứ ba cũng có thể ghi nhận việc bạn từng tìm kiếm một sản phẩm cụ thể trên mạng. Cookie có thể ghi nhận rằng bạn đang tìm kiếm ba lô trên một trang web rồi sau đó hiện quảng cáo về một chiếc ba lô tương tự ở trang web khác.

Tại sao lại như vậy?

Internet là một nền tảng mở và gần như là miễn phí. Nội dung trên các trang web chủ yếu có được là nhờ nguồn thu từ quảng cáo. Quảng cáo càng liên quan thì càng hiệu quả đối với người dùng và nhà cung cấp.

Cookie của bên thứ ba cho phép theo dõi hoạt động trên mạng của người dùng. Các ông đang nghiên cứu cách để loại bỏ tình trạng này trong tương lai. Có đúng vậy không?

Đúng vậy, hiện chúng tôi đang phát triển "Hộp cát về quyền riêng tư" để sau này các nhà quảng cáo không còn dùng cookie để nhận dạng được người dùng. Cookie của bên thứ ba không còn phù hợp với kỳ vọng của người dùng, đây là quan điểm đang ngày càng phổ biến trên khắp cộng đồng web. Người dùng đang đòi hỏi mức độ riêng tư cao hơn (chẳng hạn như tính minh bạch, quyền lựa chọn và kiểm soát đối với cách dữ liệu của họ được sử dụng) và rõ ràng là hệ sinh thái web cần phát triển để đáp ứng những nhu cầu như vậy. Để xoá bỏ việc theo dõi trên nhiều trang web, web cần phải loại bỏ dần cookie của bên thứ ba và các kỹ thuật bí mật như tạo vân tay số trên trình duyệt. Tuy nhiên, hơn 30 năm qua, rất nhiều tính năng cốt lõi của web cũng dần phải phụ thuộc vào chính các kỹ thuật này. Chúng tôi không muốn làm mất đi các tính năng cốt lõi của môi trường web, chẳng hạn như cho phép nhà xuất bản tiếp tục phát triển hoạt động kinh doanh và duy trì sự bền vững của môi trường web, đảm bảo quyền tiếp cận nội dung ở khắp nơi trên thế giới, cung cấp trải nghiệm tốt nhất cho người dùng trên thiết bị cá nhân của họ, phân biệt người dùng thực với bot và kẻ lừa đảo, v.v. Mục đích chúng tôi muốn đạt được qua sáng kiến nguồn mở Hộp cát về quyền riêng tư là khiến cho môi trường web trở nên riêng tư và bảo mật hơn dành cho người dùng trong khi vẫn hỗ trợ được các nhà xuất bản.

Google giải quyết vấn đề này như thế nào?

Là một phần của sáng kiến Hộp cát về quyền riêng tư, chúng tôi đang hợp tác với cộng đồng web để phát triển công nghệ mới giúp giữ bí mật thông tin người dùng và tránh các kỹ thuật theo dõi xâm phạm quyền riêng tư (ví dụ như tạo vân tay số), đồng thời cung cấp cho các trang web cách thức phân phối quảng cáo hữu ích nhằm tạo nguồn tài chính cho hoạt động kinh doanh của họ. Năm nay, chúng tôi đã thử nghiệm Topics API (API Chủ đề), một đề xuất mới trong sáng kiến Hộp cát về quyền riêng tư dành cho quảng cáo dựa trên mối quan tâm – thay thế cho FLoC (Học liên kết theo nhóm cùng sở thích), sau khi nhận được ý kiến phản hồi của các cơ quan quản lý, người ủng hộ quyền riêng tư và nhà phát triển. API này cho phép các nhà quảng cáo cung cấp cho người dùng quảng cáo phù hợp dựa trên mối quan tâm của họ, ví dụ như “Thể thao”. Thông tin này được suy ra từ các trang web người dùng từng truy cập và được thu thập theo cách giúp đảm bảo quyền riêng tư ở mức cao nhất có thể. Trước đây, cookie được dùng để xác định người dùng, nhưng ý tưởng đằng sau API Chủ đề là nhật ký duyệt web cá nhân của bạn không rời khỏi trình duyệt hoặc thiết bị của bạn, nó không được chia sẻ với bất kỳ ai, kể cả nhà quảng cáo. Tức là nhà quảng cáo có thể tiếp tục phân phát quảng cáo và nội dung có liên quan mà không cần theo dõi trên web.

Chúng tôi cũng đạt được những bước tiến đáng kể qua một số đề xuất khác cho Hộp cát về quyền riêng tư, trong đó có FLEDGE và các API đo lường. Chúng tôi sẽ tiếp tục hợp tác với Cơ quan quản lý Cạnh tranh và Thị trường của Vương quốc Anh (CMA) để đảm bảo các đề xuất của chúng tôi được phát triển theo hướng phù hợp với toàn bộ hệ sinh thái.

Những năm gần đây, Munich trở thành một điểm đến hấp dẫn cho các công ty khởi nghiệp kỹ thuật số và nhiều công ty công nghệ khác. Với tư cách là người đứng đầu cơ sở ở Munich, ông có trải nghiệm gì về hiện tượng này?

Munich đang trải qua nhiều thay đổi đáng kể. Apple, Amazon và Google đều đang đầu tư và mở rộng hoạt động tại đây. Ngoài ra còn có nhiều công ty thú vị khác, chẳng hạn như Celonis, một công ty kỳ lân cung cấp dịch vụ phân tích dữ liệu. Tỷ lệ công ty B2B được thành lập ở đây cao hơn ở những nơi khác vì có rất nhiều doanh nghiệp công nghệ mạnh trong khu vực. Munich cũng có một số trường đại học xuất sắc như LMU và TUM. Họ vận hành một số trung tâm khởi nghiệp tại địa phương. Ngoài ra, chính quyền bang Bavaria cũng đang đưa ra mức hỗ trợ chưa từng có trong khuôn khổ kế hoạch hành động “Chương trình nghị sự công nghệ cao”. Ví dụ: chúng tôi nhận thấy hiện có những khoản đầu tư khổng lồ dành cho trí tuệ nhân tạo và điện toán lượng tử – quá tuyệt vời. Ngoài truyền thống địa phương lâu đời và chuyên môn về kỹ thuật và công nghệ, các yếu tố như vị trí kinh tế hấp dẫn, hỗ trợ tốt từ phía chính quyền, các cơ sở giáo dục xuất sắc và chất lượng cuộc sống cao đã tạo nên một sự kết hợp hoàn hảo khiến Munich trở thành một địa điểm tuyệt vời đến vậy.

GSEC đi vào hoạt động từ 2 năm trước tại thủ phủ bang Bavaria.

Các văn phòng mới của Google tại Munich đang được xây dựng. Đại dịch COVID có ảnh hưởng đến kế hoạch của mọi người không?

Trước đại dịch, chúng tôi dành phần lớn thời gian ở văn phòng, ở đó có nhiều quán cà phê, phòng họp và nhà hàng để nhân viên có thể gặp gỡ và cùng nhau sáng tạo. Rõ ràng là chúng tôi phải thay đổi gần như hoàn toàn cách làm việc này trong giai đoạn đại dịch. Hiện tại, chúng tôi đang đưa những bài học của năm qua vào quá trình lập kế hoạch cho một dự án mới và thú vị ở Arnulfpost.

Liệu có thể tạo ra một môi trường tương tự khi phải làm việc từ xa không?

Công ty của chúng tôi được gây dựng trên đám mây, phát triển trên đám mây và chúng tôi đều sống trên đám mây. Vì vậy chúng tôi luôn cố gắng khuyến khích nhân viên giao tiếp trực tuyến trong các buổi họp ăn sáng hay hội nghị truyền hình mở. Dù vậy, chúng tôi tin rằng mình không thể dựa mãi vào những mối quan hệ xã hội đã được tạo dựng từ nhiều năm trước đó. Có rất nhiều nhân viên mới của chúng tôi còn chưa thực sự đặt chân vào văn phòng. Đây là một thách thức dành cho mọi nhà quản lý trong việc tiếp nhận và đồng hành với từng cá nhân mới.

Điều này ảnh hưởng thế nào tới việc vận hành công việc sau này, đặc biệt là tại GSEC Munich?

Chúng tôi tin vào tầm quan trọng của việc kết nối mọi người khi làm việc, nhằm tạo ra những khoảnh khắc ngẫu nhiên cần thiết cho những ý tưởng có tính đột phá, vậy nên chúng tôi sẽ không vận hành trực tuyến 100%. Nhưng chúng tôi cũng tự hỏi liệu có cần một chỗ làm việc cố định cho tất cả mọi người hay không. Đội ngũ bán hàng hiện có thể làm việc một cách linh hoạt. Rất nhiều công cụ phát triển của đội ngũ kỹ sư cũng đang được chuyển lên đám mây. Trong tương lai, mỗi nhóm sẽ tự quyết định được xem mình cần bao nhiêu nhân viên làm việc cố định và bao nhiêu nhân viên làm việc linh hoạt. Và có lẽ, thay cho các bàn làm việc truyền thống, chúng tôi sẽ cần thêm những không gian sáng tạo để lên ý tưởng, với đầy đủ camera, máy chiếu và bảng trắng điện tử.

.

Ảnh: Sima Dehgani