Срочно. В Google Workspace обнаружили риски защиты данных

В Google Workspace обнаружили риски защиты данных. Фото: Pixabay

Две оценки, проведённые голландской компанией Privacy Company в партнёрстве с правительством Нидерландов, выявили восемь высоко оценённых рисков защиты данных  в Google Workspace, а также три проблемы с низким уровнем риска. 

К уязвимым местам относятся отсутствие целевых ограничений для сбора контента и диагностических данных, отсутствие прозрачности для одних и тех же типов данных и отсутствие средств контроля конфиденциальности для администраторов и пользователей, а также другие проблемы, которые исследователи назвали «вопиющими».

«Многие из выявленных рисков конфиденциальности связаны с позицией Google, согласно которой он может обрабатывать полученную информацию о поведении сотрудников для своих собственных целей», — сообщила старший советник по вопросам конфиденциальности Сьора Нас. — «Фактически, Google считает себя независимым контролёром персональных данных об индивидуальном использовании онлайн-сервисов, диагностических данных. То же самое относится к содержанию (и информации) о запросах на поддержку, которые сотрудники отправляют в Google, и к комментариям, которые пользователи отправляют через форму обратной связи».

В Google отвергают эти утверждения, настаивая на том, что компания никогда не использует данные клиентов для целевой рекламы, позволяет клиентам контролировать свои данные и что стремится к прозрачности и соблюдению правил GDPR .

Компания Privacy Company провела техническое и юридическое исследование данных, которые Google обрабатывает в Google Workspace в период с декабря 2019 года по июнь 2020 года, первоначально обнаружив десять проблем с защитой данных с высоким риском, а также три проблемы с низким риском. 

После начала переговоров с правительством Нидерландов, которое заказало эти DPIA, Google реализовала ряд мер по снижению этих рисков. Например, в ноябре 2020 года компания опубликовала новое уведомление о конфиденциальности при обработке служебных данных. В Privacy Company утверждает, что эти меры устранили только два недостатка с высоким риском. В подтверждение выводов компания опубликовала полные результаты DIPA.

Privacy Company исследовала Google Workspace , ранее известную как G Suite, используемую на смартфонах под управлением iOS и Android, на Chromebook, на MacBook и на ноутбуках с Windows 10. Сотрудники компании также проанализировали, что происходит, когда вы используете Workspace через браузер или офлайн, а также как микросервисы, такие как проверка орфографии, обрабатывают данные.

Исследователи отмечают недостаточный уровень информации о точных типах данных, которые Google собирает с помощью телеметрии, используя свой веб-сайт и свои облачные серверы журналов. Google в ответ пообещал опубликовать информацию о содержании данных телеметрии к концу 2021 года.