Ochrana citlivých dát je dnes horúca téma. Ako sa internet rozpína, pribúda aj množstvo únikov citlivých informácií vo svete. Zrak verejnosti sa však upiera na tie najväčšie spoločnosti, akou iste je aj Google. Ten sa neustále stretáva s kritikou kvôli uchovávaniu citlivých dát a nedávno aj kvôli spôsobu ochrany užívateľských prístupov.

Ako som včera spomínal v článku “Podvod s názvom G-Archiver“, Google bude dotlačený k odpovedi na hromadiace sa otázky. Je možné, že včerajší článok publikovaný na oficiálnom blogu Googlu je určitou formou odpovedi. Článok je voľným prepisom toho oficiálneho.

Ako mnoho z vás vie, trávime množstvo času vymýšľaním nových produktov, ktoré by vám pomáhali žiť váš život efektívnejšie, či už sa jedná o organizovanie emailov, zdieľanie obrázkov s priateľmi, alebo online spolupracovanie na dokumentoch. Čo však asi neviete je, že trávime množstvo času uvažovaním nad otázkou bezpečnosti našich produktov, najmä nad tým ako ochránime vaše osobné údaje.

Bezpečnosť berieme veľmi seriózne, zamestnávame tých najlepších bezpečnostných expertov sveta, väčšina ich práce je prísne tajná, ale chceme sa s vami podeliť o niektoré z ciest a praktík, ktorými ochraňujeme vaše dáta.

Filozofia
Podľa našej filozofie je bezpečnosť trvácny proces. Robíme oveľa viac ako testovanie aplikácie pred jej spustením. Na bezpečnosť myslíme skôr, ako je produkt vytvorený a samozrejme po celý čas vývoja. Veľmi dôležitým pojmom pre nás je vrstvová bezpečnosť. Proces zabezpečovania aplikácie je veľmi podobný procesu zabezpečovania domu. Vložíte informácie do trezora. Trezor je uložený na bezpečnom mieste vo vašom dome, ktoré je chránené zámkami a alarmom. K tomu máte program susedskej hliadky, alebo políciu, ktorá dáva na váš dom pozor. U Google je to veľmi podobné. Najcitlivejšie dáta sa ťažko hľadajú a je k ním zložitý prístup (trezor). Naše siete a data-centrá (dom) sú chránené na vysokých (fyzická ochrana data-centier) aj nízkych technologických úrovniach (šifrovaním a alarmom). A nakoniec, naučili sme sa, že na bezpečnosť sa dohliada lepšie komunite ako jednotlivcovi (susedia, polícia), preto vyzývame každého aby nám pomohol identifikovať potencionálne chyby. Výskumníci, ktorí pracujú pre bezpečnostné firmy po celom svete neustále hľadajú bezpečnostné chyby na internete, a my s nimi úzko spolupracujeme.

Technológia
Tieto vrstvy ochrany sú založené na najlepších bezpečnostných technológiách na svete. Používame vlastné technologické riešenia, ale aj technologické riešenia iných spoločností, či jednotlivcov z bezpečnostnej komunity. Niektoré z najviac inovujúcich technológii sa zameriavajú na automatizáciu. Tieto sú pre nás veľmi dôležité, pretože denne spracovávame obrovské množstvo dát a rôzne aktivity miliónov užívateľov. Aby sme boli vždy krok pred konkurenciou, automatizujeme naše bezpečnostné procesy, automatizujeme aj spôsob vyhľadávania chýb a prakticky všetky úkony, ktoré nám pomôžu zvýšiť vašu bezpečnosť. Taktiež neustále hľadáme nové spôsoby využitia šifrovania a ďalších technických prostriedkov, ktorými sa nám podarí ešte viac chrániť vaše dáta bez toho, aby sme tým narušili vaše pohodlie.

Postupy/Pravidlá
Máme vypracovaný zoznam pravidiel a postupov, ktoré nám určujú, ako zabezpečiť citlivé informácie a komu udeliť prístup k nim. Zodpovedných pracovníkov, ktorí dostanú prístup k vašim osobným dátam, si dôkladne vyberáme. Dnes ich je len niekoľko a všetky prístupy k citlivým informáciám sú monitorované. Väčšina procesov je plne automatizovaná, a preto naši zamestnanci nepotrebujú prístup k týmto dátam. Každý, kto takýto prístup má, ho dostal na základe špeciálneho povolenia. Všetky postupy sa snažíme dopĺňať o priemyselné štandardy (PCI, SAS70, Sarbanes-Oxley) . Vďaka spolupráci s externými bezpečnostnými pracovníkmi sme rozšírili postupy aj o ich nápady, čím sa nám podarilo opäť zvýšiť vašu bezpečnosť.

Ľudia
Najdôležitejším článkom našej bezpečnosti sú ľudia. Google zamestnáva tých najlepších bezpečnostných expertov sveta. Mnoho z našich expertov prišlo z iných spoločností, ako napríklad z bánk, alebo spoločností, ktoré pracujú s platobnými kartami (vyžadovaná najvyššia miera bezpečnosti (PCI)). Väčšina z týchto pracovníkov je vysokoškolsky vzdelaná a majú PhD, či vlastné patenty v oblasti bezpečnosti. Mnoho z nich publikovalo, alebo dodnes publikuje v akademických bulletinoch, či časopisoch. Každý programátor sa musí pod svoj kód podpísať, čo napomáha k spätnej analýze, ak na projekte pracuje viac ľudí. Výsledný kód je vždy preverovaný tímom bezpečnostných expertov.

V našej firme väčšinou používame naše produkty. To znamená, že ochrana aj našich a aj vašich citlivých informácií je na rovnakej úrovni. A pokým budeme tvoriť, dopĺňať, alebo inovovať naše projekty, budeme inovovať aj ich bezpečnosť.