sábado, 2 de janeiro de 2016

Ainda a segurança na Internet - Google. “Não vendemos informação pessoal dos utilizadores”

Via Dinheiro Vivo 



Stephan Micklitz, diretor de engenharia na equipa de Identidade, Privacidade e Segurança da Google em Munique, é um dos responsáveis pela resposta a essas dúvidas com ferramentas de controlo fáceis de utilizar. - Veja mais em: 



O que é que a Google sabe sobre os utilizadores, e o que faz com essas informações? A questão é frequente – e legítima: trata-se de uma das empresas mais poderosas do mundo, cujos produtos e serviços são usados por milhões de pessoas todos os dias. Micklitz, que entrou na Google há sete anos, assistiu à evolução da explosão dos smartphones e das lojas de aplicações na empresa e acredita que a privacidade é um direito fundamental. Trabalha com uma equipa de 55 pessoas em Munique, Alemanha, e está envolvido num projeto ambicioso: acabar com a necessidade de passwords.

Como estão as coisas depois da polémica gerada quando consolidaram todas as políticas de privacidade e termos de utilização? 

Olhando para trás, é óbvio que não fizemos as coisas como devíamos. Cometemos erros e aprendemos muito com eles. Mas penso que ter apenas uma política de privacidade que cobre todos os serviços e produtos da Google é mais fácil de entender para os utilizadores, portanto o propósito da mudança estava certo, devia era ter sido feito de outra forma. O que temos agora, com o lançamento de “A Minha Conta”, é o resultado das lições aprendidas: um único sítio onde os utilizadores podem ver todas as definições de privacidade e segurança, o que está lá guardado, e responder à questão: o que é que o Google sabe sobre mim?

É o que muita gente pergunta na Europa, até mais do que nos Estados Unidos. 

Há uma diferença cultural na forma como o público fala sobre privacidade, mas temos feito estudos e percebemos que as perguntas que as pessoas fazem não são assim tão diferentes. Uma das mais importantes é: “a Google vende a minha informação pessoal?” Não, não vendemos. Queremos responder a estas dúvidas de forma clara. 

Na Europa também têm de lidar com o “Direito a ser Esquecido”, uma decisão do Tribunal de Justiça da União Europeia. Que tipo de desafios isso coloca? 

Antes dessa decisão já cumpríamos as leis locais em vigor. Agora tentamos cumprir a ordem do tribunal da melhor maneira que podemos, algo que coloca problemas tecnológicos. Recebemos muitos pedidos diariamente, temos de os processar e usar critérios eficientes na decisão de remover ou não. Como empresa, não estamos em boa posição para fazer esse julgamento. Por isso pedimos ajuda a especialistas locais, pessoas de fora da Google que nos ajudam nas linhas de conduta e numa abordagem neutra. Isso envolve muitas pessoas, tempo e tecnologia, mas pensamos ter um bom sistema neste momento.

Como encara a discussão que se tem gerado numa altura em que as ameaças terroristas podem desencadear maiores violações de privacidade em nome da segurança?

É uma troca difícil entre o direito dos utilizadores de manterem os seus dados privados e protegidos e os pedidos legítimos das autoridades para acederem aos mesmos. Tentamos conseguir um equilíbrio. Armazenamos os dados dos utilizadores com encriptação, mas quando as autoridades apresentam pedidos legítimos de acesso é algo que acreditamos que deva ser possível. Mas queremos que aconteça pela porta da frente, não pela dos fundos. Os pedidos legítimos são algo que analisamos, avaliamos e cumprimos se for o caso.

Qual é o nível de privacidade que podemos esperar hoje em dia, de forma realista? 

O mais importante para a minha equipa é que os utilizadores entendam que os dados estão a ser armazenados e usados. E eles têm de ponderar até onde estão dispostos a ir. Uma das coisas fundamentais em “A Minha Conta” é a área Controlos da Atividade, onde estão algumas das definições mais delicadas. Por exemplo, o Google Now só funciona se os dados de atividade estiverem ligados. Só aí irá ser avisado de que tem um voo amanhã, de que vai demorar um certo tempo a chegar à próxima reunião, etc. Mas a pessoa pode decidir que não quer este tipo de funcionalidades e desligar. 

Portanto, há agora mais controlo dos dados que partilhamos do que há uns anos, quando os smartphones explodiram no mercado? 

Penso que os controlos sempre existiram, o que veio mais tarde foram as permissões nas aplicações móveis. E o que mudou realmente agora é que todos estes controlos estão num único sítio e a forma consistente como funcionam. 

A questão das permissões é importante, visto que uma das críticas feitas ao Android é que partilha demasiado com as aplicações móveis. O problema está resolvido com a nova versão, Marshmallow?

É um passo extremamente importante na direção certa. Porque agora os utilizadores podem instalar uma aplicação sem lhe dar permissões de rajada. Têm a opção de dar essa permissão ou não apenas no momento em que ela é mesmo necessária. Se eu instalar uma app de navegação, entendo porque é que pede acesso à minha localização. Mas se quiser aceder aos meus contactos, isso já não faz tanto sentido. Os programadores de aplicações precisam de lidar com isto, é uma mudança drástica em relação ao modelo anterior. 

Sente que tem controlo sobre os dados do seu telefone? 

Sim, porque sei onde ir para ver que dados estão a ser partilhados e como. É o que queremos que os nossos utilizadores sintam, que estamos a dar–lhes controlo para tomarem decisões. 

No entanto, os telefones estão ligado à “nuvem”, o que já gerou vários incidentes no passado. 

Um dos pontos fundamentais da privacidade é a segurança. Como é que protegemos os dados de acesso não autorizados? Assim que um terceiro acede aos dados, acabou-se. É assustador, e eu diria que tenho a melhor equipa de segurança do mundo para assegurar que isso não acontece. Temos recursos bons para o utilizador, como o Blogue de Segurança e outros produtos. 

Refere-se à confirmação em dois passos? 

Sim, e não só. A tarefa da nossa equipa de segurança é dar-lhe várias opções para proteger a conta, como a confirmação em dois passos, em que tem de inserir um código numérico, e introduzimos também um token de hardware, que pode ser comprado na Amazon [Security Key]. Estamos a oferecer opções, mas sabemos que os utilizadores querem ter segurança por defeito, sem terem de fazer nada. É algo em que estamos a trabalhar, e também o motivo pelo qual pedimos o número de telefone: não só permite recuperar o controlo de uma conta como verificar atividade que pareça suspeita. Estamos a trabalhar para que isso esteja embebido por defeito no sistema. 

Quantos utilizadores usam as definições mais seguras? 

No caso da segurança, não é, de todo, a maioria dos utilizadores. A minha mãe não saberia usar a confirmação em dois passos, por isso é importante ter um alto nível de segurança por defeito. No caso da privacidade, é diferente: é uma decisão muito pessoal, se queremos ou não ligar a recolha de dados quando entramos na conta, e não existe uma opção que seja certa ou errada. 

Que recomendação faz aos utilizadores para garantirem que estão protegidos? 

Os utilizadores devem entrar na área “A Minha Conta” e usar as ferramentas Verificação de Segurança e Verificação de Privacidade que estão disponíveis. São apenas quatro ou cinco passos, que demoram cerca de cinco minutos a percorrer, e durante os quais os utilizadores são guiados para garantirem que as definições estão atualizadas. Podem ver, por exemplo, que aplicações têm acesso aos seus dados, e, se houver alguma que já não usam, revogar essa permissão. Depois há mais definições, mas estas verificações são as principais. 

No passado afirmou que a Google quer acabar com as passwords. A ideia é usar só autenticação biométrica? 

Não. Claro que é um fator importante, mas não a única coisa que podemos usar. Estamos a trabalhar com o smartphone, por ser um dispositivo muito pessoal, que normalmente não se partilha, e por isso pode ser usado para autenticar os utilizadores e eliminar a necessidade de utilizar passwords. Se pudermos confiar que o telefone está sempre consigo e mais ninguém consegue desbloqueá-lo, então há muito que se pode fazer com isso. Na questão de assegurar que só o dono acede ao smartphone, a biometria tem um papel fundamental, mas há outras coisas. Estamos a tentar encontrar uma maneira de não precisarmos mais de passwords. 

O surgimento da Internet das Coisas e a massificação dos “wearables” preocupa-vos? 

Temos de nos assegurar que estes aparelhos são seguros. O que estamos a ver nas primeiras versões é que o conceito de atualização para corrigir falhas de segurança não é tão generalizado quanto gostaríamos que fosse. Ou seja, quando há um problema com o mecanismo de segurança do dispositivo, tem de haver uma maneira de o atualizar. Esta será uma discussão longa. Por outro lado, algo como a nossa área Controlos de Atividade irá tornar-se mais importante: há todas estas informações sobre mim por aí. Como posso ver o que são? Como posso saber onde estão? Posso apagá-las, consigo impedir a sua recolha? É aqui que vamos ver muitos desenvolvimentos, na área do controlo de dados pelo utilizador.

Sem comentários: