Il loro obiettivo: proteggere gli utenti

I nostri dati digitali devono rimanere privati in ogni caso – tanto più importante è la gestione consapevole e sicura di questi dati. La responsabilità dei dati non può ricadere soltanto sugli utenti. Per questo motivo, presso Google, una grande squadra si occupa della protezione dei dati e della privacy.

5 minuti di tempo di lettura

“La protezione dei dati non deve essere complicata”, ecco il credo del lavoro del Google Safety Engineering Center (GSEC), con sede centrale a Monaco. Qui, dal 2019, Google concentra una parte importante del suo impegno per una maggiore protezione e sicurezza dei dati su Internet. È (tuttora) in sviluppo, ad esempio, l’importante protezione contro lo spam e il phishing per gli account di Gmail. Dopo tutto, il 95% di tutti gli attacchi informatici inizia proprio con questi tentativi. Anche l’evoluzione dei cosiddetti strumenti di Safe Browsing rientra tra i compiti del centro. Grazie a questi strumenti, i browser Internet possono riconoscere i siti web non sicuri. Il grande obiettivo: proteggere i dati e la privacy degli utenti.

Le squadre nazionali lavorano a stretto contatto con il Google Safety Engineering Center (GSEC) centrale. In Svizzera, Tadek Pietraszek e la sua squadra sono responsabili della protezione degli utenti di Google dagli abusi e dal cosiddetto hijacking, cioè il furto di un’identità digitale esterna. “Il nostro lavoro ha priorità diverse”, spiega l’ingegnere software con dottorato Pietraszek. “Da un lato, tentiamo di tenere lontani gli attacchi informatici dagli account degli utenti. Dall’altro, vorremmo supportare gli utenti nel rendere i loro account il più possibile sicuri – grazie alle istruzioni e agli strumenti.”

“È consigliabile non usare le password più volte. E inoltre raccomandiamo di effettuare il controllo di sicurezza online di Google due volte all’anno, parallelamente alla pulizia di primavera e autunno.”

Jeroen Kemperman, esperto per l’hijacking presso Google Svizzera

Una parte non trascurabile del loro lavoro si svolge dietro le quinte, al di fuori della percezione quotidiana. Ogni giorno, ad esempio, vengono evitati 100 milioni di attacchi di phishing sugli account e-mail di Google, e vengono bloccati più di 15 miliardi di messaggi spam.

Inoltre, Pietraszek riscontra anche una responsabilità sociale: “Soprattutto in questi tempi, con i nostri servizi vogliamo supportare e proteggere il lavoro di giornalisti, collaboratori delle ONG e politici. Oltre agli interessi commerciali legati ai dati privati sensibili, essi sono presi particolarmente di mira dagli attacchi informatici”, dice lui. A tal fine, per loro, Google ha sviluppato un programma di sicurezza esteso. Le sue funzioni di sicurezza sono ancora più elevate rispetto a quelle previste per gli utenti normali, e vengono continuamente sviluppate per poter reagire a nuove minacce. Ora, ad esempio, l’ autentificazione a due livelli è possibile soltanto con una chiave – sullo smartphone o fisicamente. Anche la scansione dei download sui computer e sugli smartphone diventa ancora più rigorosa.

Il centro per la sicurezza: gli uffici di Google sull’Europaallee di Zurigo.

Al centro: una vista dagli uffici di Google su Zurigo.

“Vogliamo garantire i nostri elevati standard di sicurezza anche per altre applicazioni del nostro sistema”, spiega Pietraszek.

“La protezione dei dati non deve essere complicata.”

Il credo del lavoro del Google Safety Engineering Center

Lavora per una migliore protezione degli utenti: Jeroen Kemperman.

Insieme per più sicurezza

Con i dati, nella rete oscura, si possono fare molti soldi. Dal punto di vista dei criminali, gli account di posta elettronica, con i loro riferimenti ad informazioni bancarie, a documenti di identità inviati o a informazioni sensibili su parenti o amici, offrono diverse opportunità per le attività illecite. “I metodi di phishing dei criminali informatici diventano sempre migliori. Anche per gli esperti non è possibile riconoscere a prima vista ogni e-mail pericolosa”, conferma l’esperto per l’hijacking Jeroen Kemperman della squadra svizzera. In effetti, il 95% degli attacchi informatici inizia con un tentativo di phishing. Per chi vuole ottenere una piccola, ma sicura visione sui perfidi trucchi del phishing, è consigliabile dare un’occhiata al phishing quiz di Google Nel quiz, gli utenti possono verificare quanto sappiano riconoscere le e-mail falsificate. Per rimanere sempre aggiornati sui metodi di phishing, la squadra di Google è in regolare contatto con gli esperti di tutto il mondo – sia nel proprio gruppo, sia con partner delle industrie e delle università. Questo scambio è importante anche per definire degli standard di sicurezza affidabili oltre i confini dei gestori. “Come parte dell’alleanza FIDO, ad esempio, insieme a più di 250 altre imprese dell’industria tecnologica sviluppiamo degli standard di autenticazione sicuri senza l’uso di password”, dice Kemperman.

Dopo tutto, la maggior parte della gente usa applicazioni digitali diversissime, con interfacce a sistemi molto diversi. Google ha trovato la sua propria strategia al riguardo. “Vogliamo garantire i nostri elevati standard di sicurezza anche per altre applicazioni del nostro sistema”, spiega Pietraszek. La tecnologia di Safe Browsing, ad esempio, protegge circa quattro miliardi di dispositivi a livello mondiale. Per rendere Internet più sicuro per tutti, Google mette gratuitamente a disposizione la tecnologia anche ad altre imprese, nei loro browser. Tra l’altro, tale tecnologia viene utilizzata su Safari di Apple e su Mozilla Firefox Browser. Inoltre, tutte le applicazioni e tutti i plugin per Google Chrome o per il sistema operativo Android devono affrontare un audit di sicurezza rigoroso. Anche molti partner di cooperazione offrono ai loro utenti il login tramite un account di Google. Questo offre il seguente vantaggio: la responsabilità della sicurezza dei dati rimane a Google, con la sua grande squadra di cybersecurity. Questo è allettante soprattutto per i piccoli fornitori.

Una password sola non basta

Ma naturalmente le misure di sicurezza sono solo una parte della soluzione. “Vogliamo anche informare gli utenti sulla sicurezza individuale dei dati e mettere a loro disposizione degli strumenti di sicurezza facili da usare”, dice Kemperman. Ad esempio, l’esperto per l’hijacking consiglia di non usare mai la stessa password su siti web diversi. L’ideale sarebbe creare e salvare delle password forti con l’aiuto del cosiddetto password manager. Inoltre, è consigliabile verificare le impostazioni dell’account, incluse tutte le password salvate, con l’aiuto del controllo di sicurezza online di Google – ad esempio parallelamente alla pulizia di primavera e autunno.

“Il nostro lavoro ha priorità diverse”, spiega l’ingegnere software con dottorato Pietraszek. “Da un lato, tentiamo di tenere lontani gli attacchi informatici dagli account degli utenti. Dall’altro, vorremmo supportare gli utenti nel rendere i loro account il più possibile sicuri – grazie alle istruzioni e agli strumenti.”

Tuttavia: secondo Kemperman, ormai, una password sola non è più sufficiente. Oltre alle misure di protezione create per tutti gli account, nel 2021 Google ha attivato automaticamente l’autenticazione a due fattori nell’account di Google per circa 150 milioni di utenti. Essa funziona, ad esempio, con un numero di telefonino. Secondo la stima di Google, in questo modo, il rischio di essere hackerati viene dimezzato. In caso di emergenza, c’è anche un canale di comunicazione tra il servizio di sicurezza di Google e gli utenti. Una componente importante della protezione degli account di Google è il monitoraggio preciso delle attività insolite su un account, come il login da un nuovo dispositivo o la modifica della password. “Mandiamo un breve messaggio, chiedendo se con questa attività è tutto in ordine. Se si verifica un problema, basta un semplice clic per avviare delle contromisure”, spiega Pietraszek, descrivendo la strategia.

Anche in questo contesto, la squadra di Google a Zurigo è un partner importante per gli utenti. Essa aiuta, ad esempio, a ripristinare un account o a modificare tutte le password. Allo stesso tempo, Google fa riferimento al supporto delle autorità. “Essere vittima dell’hijacking di un account non è una cosa di cui vergognarsi. Perciò la gestione dovrebbe essere più aperta”, dice l’esperto della sicurezza. E nel peggiore dei casi, questo prevede anche di coinvolgere il reparto IT del datore di lavoro, la famiglia, ma anche la banca e la polizia, in modo da prendere le necessarie precauzioni contro un abuso peggiore dei dati sensibili.

Foto: Marvin Zilm