A Google-nél nagyon szeretnék bebizonyítani, hogy méltók a cég híres eredeti szlogenjéhez, azaz továbbra sem gonoszak, sőt sehol máshol nincsenek olyan biztonságban a felhasználók adatai, mint náluk. Nemrég felavattak egy biztonsági központot az adatvédelmi fellegvárnak tartott Németországban, ahol a Google több száz mérnöke dolgozik azon, hogy az emberek elhiggyék: nemcsak a külső fenyegetésektől nem kell tartaniuk, de magától a cégtől sem. Most pedig egy prágai rendezvényen meséltek arról, hogy milyen új fejlesztésekkel adnak még több kontrollt a kezünkbe a saját adataink felett. Kérdés, hogy a valóban ígéretes lépések képesek-e ellensúlyozni a rendszeresen előkerülő visszás ügyeket. Közben hamarosan még a jogosítványunk és az útlevelünk is Androidon futhat majd.
A Google-ről általában két dolog valamelyike jut először az ember eszébe, de talán leginkább mindkettő egyszerre: hogy milyen nehéz lenne elképzelni az életet a mindennapjainkat kényelmesebbé tevő szolgáltatásai nélkül, illetve hogy milyen félelmetesen sokat tud rólunk. Abba már ritkábban gondolunk bele, hogy a kettő szorosan összefügg, sőt nehezen képzelhető el egymás nélkül.
Pedig ezt maga a Google is előszeretettel hangsúlyozza, mert kézenfekvő, hogy ezzel igazolja a gyakran kritizált üzleti modelljét, azaz azt, hogy a szolgáltatásai névleges ingyenességét az adataink alapján célzott hirdetések értékesítéséből finanszírozza.
A cégre azonban az utóbbi időben egyre nagyobb nyomás nehezedik az adatkezelési gyakorlata miatt, és ettől feltehetően nem függetlenül egyre nagyobb hangsúlyt fordítanak arra, hogy megmutassák: igenis igyekeznek figyelni az adatvédelemre is. Nincsenek könnyű helyzetben, mert egyrészt tényleg látszik a fejlődés, másrészt viszont újra és újra kiderül, hogy van is még teendőjük bőven. Pedig – bár ez jellemzően kevésbé köztudott – a külső fenyegetésekkel szemben már régóta példásan erős védelmet nyújtanak az adatainknak. Most mindkettőről: a magánszférát és a biztonságot érintő fejlesztéseikről is első kézből hallhattunk a Google prágai rendezvényén.
A Google irodájában kezembe nyomott brosúrát felcsapva rögtön a cég adatvédelmi és biztonsági irányelveinek listájába botlottam:
Már az is jelzésértékű, hogy a cég a vonatkozó fejlesztéseinek új központját, a Google Safety Engineering Centert (GSEC) is Európába hozta, hiszen köztudott, hogy errefelé az amerikainál jóval szigorúbban veszik az adatok védelmét – elég csak a híres-hírhedt uniós adatvédelmi rendeletre, a GDPR-ra gondolni, amelyet sokan forradalmi lépésként üdvözöltek, szinte ugyanannyian félresikerült elképzelésnek tartják, de az biztos, hogy a legtöbb amerikai adatvédelmi aktivista a két kezét összetenné egy hasonló erejű szabályozásért. A GSEC-et májusban nyitották meg Münchenben, ahol már 2009 óta folytak adatvédelemmel kapcsolatos fejlesztések, de a bővítéssel megduplázták az erre szakosodott mérnökök számát, akik év végére már 200-an lesznek, és
a müncheni részleg a Google internetbiztonsági fejlesztéseinek globális központjává lépett elő.
Stephan Micklitz, a GSEC vezetője sorolta is a legfrissebb újításokat. Októbertől már a Google Térképben is megtalálható a Chrome-ban emberemlékezet, a Youtube-on meg év eleje óta elérhető inkognitó mód, amellyel anélkül vehetjük igénybe a szolgáltatást, hogy a cég begyűjtené közben az adatainkat. A Youtube pedig megkapta a más szolgáltatásokban már májusban bevezetett automatikus törlési funkciót, amellyel már nemcsak manuálisan törölgethetjük a rólunk összegyűjtött adatokat a Google adatbázisából, amikor épp eszünkbe jut, hanem ha szeretnénk, általunk megadott időközönként a rendszer magától is elvégzi ezt. A Google ezzel a lehetőséggel szeretné elérni, hogy a kecske (az adataikért aggódó felhasználó) is jóllakjon, de a káposzta (a szolgáltatások személyre szabott funkcionalitása) is megmaradjon. A hangvezérlésű Google Asszisztens is kapott egyszerű hangparancsokat a korábbi parancsok töröltetéséhez. Szintén októbertől éles a Jelszóellenőrzés, amely februárban még külön telepíthető böngészőkiterjesztésként mutatkozott be, de mostanra a Google saját jelszókezelő szolgáltatásába is beépült, hogy értékelje a megadott jelszavak erősségét, jelezze, ha valamelyik egy ismert adatszivárgásban volt érintett, és javaslatokat tegyen jobb jelszavak megalkotásához.
A cégünk a bizalomra épül és fog épülni
– mondta Micklitz, aki szerint a bizalom elvesztése előbb-utóbb a felhasználók elvesztésével is járna.
A Google-nek persze nem nagyon van komoly izgulnivalója, hiszen az elképesztő népszerűségű szolgáltatásaival az életünk minden apró sarkába alaposan bevackolta már magát. Mégis a nagy techcégek iránti bizalom mostanában mintha a szokottnál erősebben megrendülni látszana az elmúlt években egyre nagyobb gyakorisággal napvilágra került adatkezelési visszásságok és etikailag megkérdőjelezhető gyakorlatok miatt. A legnagyobb hullámokat a Facebook ügyei, és azokon belül is elsősorban a Cambridge Analytica-botrány verte, de a felhasználói gyanakvás – ha nem is járványként, de amolyan félszeg bacilusként – a big tech más cégeire is átterjedt. Friss példa, hogy miután a Google felvásárolta a Fitbitet, a fitneszkütyüket gyártó cég több felhasználója inkább elkezdett más alternatíva után nézni.
Persze a Google-nek nem kell a szomszédba mennie az ilyen bizalmat kikezdő ügyekért.
A cég átláthatósági és adatvédelmi erőfeszítéseit árnyalja, ha megnézzük, csak a közelmúltban milyen témába vágó esetekkel kerültek a hírekbe:
Ha játékos kedvében van, görgessen vissza egy kis bingózáshoz: kezdje el ikszelgetni, hogy egy-egy ilyen ügy melyik pontot kezdi ki a Google adatvédelmi irányelveinek fenti listájából.
Mindebből talán világos, hogy a Google-nek a belső indíttatás mellett pr-szempontból is elemi érdeke a felhasználói bizalom erősítése, illetve visszaszerzése, és láthatóan igyekeznek is újabb és újabb magánszférabarát funkcióval megnyugtatni az aggódókat. Azt azonban maga Stephan Micklitz is belátta, hogy az emberek ritkán ébrednek azzal a felkiáltással, hogy ma bizony újragondolják az adataik védelmét, ezért ahhoz, hogy éljenek is a bevezetett lehetőségekkel, azokat egyszerűen elérhető és könnyen érthető formában kell nekik prezentálni.
Az elmúlt években a Google valóban törekszik is a biztonsággal és adatvédelemmel kapcsolatos beállítások központosítására és egyszerűbben átláthatóvá tételére, bár még mindig elég könnyű elveszni a sokféle lehetőség, különböző felület és épp csak egy kicsit eltérő elnevezésű funkció között. Ezt egyébként jól illusztrálja, hogy hiába foglalkoztam már egy átlagos felhasználónál jóval többet ezekkel a beállításokkal, ráadásul Prágában is végighallgattam a kapcsolódó előadást, mégis időbe telt, amíg átrágtam magam minden opción ehhez a cikkhez. Egyrészt elérhető több általános információs oldal olyasmikről, hogy mikor, milyen típusú adatokat gyűjt rólunk a Google, milyen lehetőségek vannak az adatok gyűjtésének és felhasználásának szabályozására, illetve hogy mindez hogy viszonyul a hirdetésekhez. Másrészt különféle beállításgyűjtemények egész sorába áshatjuk bele magunkat:
Ezek egy része elérhető külön-külön és egymásból is. Vannak az egyes appokba épített, illetve központosított felületek is. Egyes eszközök között pedig van funkcionalitásbeli átfedés – bizonyára ízlés dolga is, de talán a kevesebb ebben az esetben is több lenne. Volt olyan funkció, amit egy bizonyos felületről átkattintva találtam meg egy másik felületen, de ha csak ezen a másik felületen próbálkoztam, akárhogy kerestem, nem bukkantam rá.
Aki ezen kapásból kiigazodik, az már tényleg meg is dolgozott azért, hogy képben legyen a saját adataival.
A Google szerint napi 20 millió felhasználó látogatja meg a Google Fiókot, és 70 millió a Saját tevékenységeket. Ez valóban tekintélyes szám, de azért árnyalja, ha mellé tesszük azt, hogy a Google-nek már kilenc szolgáltatása jár 1 milliárd havi felhasználó felett, az Android például 2,5 milliárdnál tart, aminek a 70 millió mindössze 3 százaléka (még ha ezeket a különféleképpen mért számokat nem is nagyon lehet egy az egyben összevetni).
Jóval kevésbé ellentmondásos a másik nagy terület, amellyel a GSEC fejlesztői foglalkoznak, azaz a biztonság kérdése. Nem nagyon akad olyan szakember, aki ne ismerné el, hogy a Google milyen nagy erőfeszítéseket tesz az online támadások elleni védelem terén, akár a saját infrastruktúrája digitális és fizikai védelmét, akár a felhasználóknak kínált lehetőségeket tekintve. Elég az Android egyre szélesebb körű titkosítására, a két tényezős hitelesítés korai támogatására, a támadásoknak különösen kitett személyeknek kínált Speciális védelem programra, a titkosított https oldalra mutató keresési találatok előnyben részesítésére, a biztonsági résektől mára ementálivá lyuggatott Flash kikoptatására vagy éppen a más cégek szolgáltatásaiban is korábban ismeretlen sebezhetőségeket kereső Project Zero programra gondolni.
Prágában az Android biztonságáért felelős csapatot vezető René Mayrhofer beszélt arról, hogy a Google mobil operációs rendszere az egyes kiadásokkal hogyan vált egyre biztonságosabbá, és milyen új megoldásokat építettek be a szeptembertől elérhető új verzióba, az Android 10-be. Azzal kezdte, hogy 2018-ban összesen 0 darab kritikus sebezhetőség került javítatlanul nyilvánosságra, azaz tavaly nem volt olyan új androidos biztonsági hiba, amit kihasználhattak volna a hekkerek, mármint azt leszámítva, ha a felhasználók nem telepítették időben a kiadott javításokat. De ezen a téren is volt előrelépés tavaly: az utolsó negyedévben 84 százalékkal több androidos eszköz kapott biztonsági frissítést, mint egy évvel korábban. Veszélyes app pedig éves összehasonlításban 20 százalékkal kevesebb eszközre települt 2018-ban.
Mayrhofer részletesen mesélt a hardveres és szoftveres biztonsági fejlesztéseikről, itt most csak azt emelném ki, hogy az Android 10-be bekerült egy Adiantum nevű új titkosítási algoritmus, amelyet kifejezetten arra dolgoztak ki, hogy a régebbi, gyengébb telefonok is alkalmasak legyenek a futtatására, mert nem hagyatkozik hardveres gyorsításra. Ennek köszönhetően az új rendszerverzióval már az eszközök 100 százaléka titkosítható, azok sem maradnak védtelenül, akiknek alsóbb kategóriájú mobilra futja.
Egy izgalmas kezdeményezésről is beszámolt Mayrhofer, amely most még előkészület alatt áll, de ha megvalósul, jelentős hatással lehet a mindennapjainkra:
olyan digitális igazolványt költöztetnének a telefonunkra, amely kiválthatja a hagyományos útlevelet, személyit és jogosítványt.
Vagy akármilyen másik igazolványt, hiszen egy sztenderd keretrendszeren dolgoznak, amely a komolyabb iratoktól az egyszerű klubkártyákig bármilyen igazolványt helyettesíthetne.
Az adatvédelmet segítenék olyan megoldások, mint hogy a digitális azonosító esetében nem kellene mindig a teljes igazolványt bemutatni, csak mindig azt az adatot, amire épp szükség van róla, hiszen ha például a korunkat kell igazolnunk, miért köteleznének minket, hogy a lakcímünket is mutogatnunk kelljen. Attól se nagyon kell majd tartani, hogy mi van, ha akkor igazoltat a rendőr, amikor lemerült a telefon, mert Mayrhofer szerint a rendszer úgy van kitalálva, hogy ha az akkutól a teljes eszköz működtetésére már nem futja, NFC kapcsolaton keresztül a digitális igazolványokat még akkor is el lehessen érni.
A technológia már nagyjából készen is áll, és akár jövőre menetkész is lenne. Az Android 10-be csak azért nem került még be, mert ahhoz, hogy az ilyen digitális igazolványokat használni is lehessen, az kell, hogy a hatóságok el is fogadják ezeket, amihez pedig minden érintett által elfogadott szabványokra és a megfelelő engedélyek megszerzésére van szükség. Mayrhofer szerint azonban már javában folyik az egyeztetés ezekről a nemzetközi sztenderdekről, és bár erről kevés konkrétumot mondhatott, annyi azért kiderült, hogy legalább négy amerikai állam és több európai ország is érdeklődik a megoldás iránt, például Finnország, Észtország, Hollandia, Ausztria, illetve néhány ázsiai ország, köztük Japán is. Ha maga a funkció még nem is, de a támogatása már bekerült a legújabb Androidra, hogy ha egyszer élesedhet a megoldás, visszafelé is minél több eszközzel kompatibilis legyen. Az megint másik kérdés, hogy hányan merik majd a Google-re bízni a személyi igazolványukat.