Google Docs, Google Sheets и Google Drive были чрезвычайно популярны в последние годы, бросая вызов статус-кво в использовании бизнес-программного обеспечения, сталкиваясь с подобными Microsoft Office и занимая авторитетное место в списке наиболее часто используемых и злоупотребляемых программ для бизнеса.
В то время как большинство личного использования, скорее всего, будет охватывать фотографии и заметки, для бизнеса Google Docs часто означает хранение конфиденциальной деловой информации, интеллектуальной собственности, клиентских данных и других важных файлов. Если безопасность Google Диска или Документов будет каким-либо образом скомпрометирована, это может привести к серьезному ущербу для любого бизнеса, малого или крупного.
Сервисы Google бесплатны, поэтому нетрудно выбрать документы или листы по сравнению с более традиционными ежегодными подписками Office. Но стоит ли потенциальная головная боль надвигающихся рисков безопасности? За первые шесть месяцев 2019 года мы увидели более 3800 публично раскрытых нарушений безопасности , причем более 4,1 миллиарда записей были скомпрометированы. Учитывая эти цифры, наряду с соблюдением GDPR и других законов о данных, сейчас самое время сделать информацию и файлы вашего бизнеса максимально безопасными. Итак, насколько безопасно использовать Google Docs?
Как это работает
Давайте сначала рассмотрим, как работает флагманское офисное программное обеспечение Google. Вкратце, чтобы получить доступ к любым файлам в учетной записи пользователя, нужно быть пользователем Google и, следовательно, иметь свою собственную учетную запись. Любые файлы доступны только в том случае, если они загружены и созданы пользователем или переданы другому пользователю. Существует возможность выбрать анонимный общий доступ, при котором любой, у кого есть ссылка, может найти файл, в противном случае общие файлы доступны только после того, как пользователь дал строгое разрешение Google делиться файлами с другим пользователем; указанный пользователь должен быть указан учетной записью/адресом электронной почты.
С точки зрения безопасности, для доступа к учетным записям пользователей, участвующих в процессе, исходного пользователя-создателя и пользователя, с которым делятся файлами, требуются пароли. Поисковые системы не могут найти или получить доступ к файлам, если файлы не опубликованы отдельно. При совместном использовании файлов может быть полезно указать Google re параметры безопасности для общих папок, вложенных папок или файлов.
Что говорит общественность
Согласно публичному форуму на Quora, один из способов обеспечить дополнительную безопасность ваших документов в системе хранения Google-использовать двухфакторную аутентификацию и предотвратить фишинг для вашего пароля. Это означает, что кто-то должен будет получить доступ как к вашему паролю, так и к вашему телефону или альтернативному адресу электронной почты, чтобы получить доступ к вашей учетной записи Google.
Один пользователь говорит, что приложения GSuite, предоставляемые Google, соответствуют требованиям HIPAA, что означает, что государственные службы могут их использовать, и что вся информация, загруженная и загруженная через Google, зашифрована и недоступна третьим лицам. По мнению этого пользователя, пока ваш пароль надежен и применяется двухфакторная аутентификация, ваши файлы являются супер безопасными.
Что говорит Google
Часто задаваемые вопросы Google о безопасности Google Диска побуждают пользователей принять несколько мер предосторожности, чтобы сохранить свои файлы в безопасности.
Когда вы загружаете файлы на Google Диск, они хранятся в защищенных центрах обработки данных.
- Если ваш компьютер, телефон или планшет потеряны или сломаны, вы все равно можете получить доступ к файлам с других устройств.
- Ваши файлы являются частными, если вы не поделитесь ими.
Чтобы обеспечить конфиденциальность файлов Google Диска:
- Если вы используете общий компьютер, выйдите из своей учетной записи Google, когда закончите.
- Мы рекомендуем вам не устанавливать Backup & Sync или Drive File Stream на общий или общедоступный компьютер. Любой, кто использует компьютер, может получить доступ к вашим файлам.
Ваши файлы являются частными, если вы не решите поделиться ими. Вы можете обмениваться файлами с:
- Один человек или несколько человек используют ссылку.
- Все, сделав файлы общедоступными.
Первые дни
Когда Google Docs впервые появился (2007), было много недостатков безопасности. Они были быстро исправлены, и дальнейшие риски безопасности были предотвращены с обновлением систем Google, включая добавление SSL к URL-адресам Google Docs.
Недавно выяснилось, что в течение 14 лет Google хранил все пароли учетных записей в нешешированной форме (между 2005 и 2019 годами). Что это значит?
Когда вы устанавливаете пароль, вместо того, чтобы запоминать точные символы пароля, Google скремблирует его с помощью “хэш-функции”, поэтому он становится чем-то вроде “232hf12obertax3422”, и это то, что Google хранит рядом с вашим именем пользователя. Оба затем шифруются перед сохранением. Когда вы входите в систему, пароль расшифровывается таким же образом; если он соответствует сохраненным цифрам, то все в порядке.
Эта новость была шоком для многих пользователей GSuite, но она была быстро исправлена, как только Google понял и объявил об ошибке: “Чтобы было ясно, эти пароли остались в нашей защищенной зашифрованной инфраструктуре. Эта проблема была исправлена, и мы не видели никаких доказательств неправильного доступа или неправильного использования затронутых паролей”, — сказал Google.
В 2010 году блог компании Upwork заявил, что: “по-настоящему важные документы, вероятно, не следует хранить, просматривать, общий или отредактированы в программе Google Docs или на любом стороннем сервере.” Он также предположил, что “если вам нужно больше безопасности, рассмотрим более безопасным управление проектами платформы, защищенного VPN -, FTP с SSL, или FTP через SSH.”
Это все еще так? Все изменилось с 2010 года или Google Docs так же безопасен, как и тогда? Конечно, в наши дни существует больше кибер-рисков, но были ли расширены функции безопасности Google в соответствии с этим? И следует ли использовать Google Docs для конфиденциальных бизнес-файлов?
Безопасность Google Docs
Согласно Ts&Cs, Google обещает сохранить ваши данные и файлы в безопасности. Тем не менее, Google может сделать только так много, чтобы сохранить ваши файлы в безопасности, и в конечном итоге может возникнуть элемент риска. Правда в том, что мы люди и совершаем ошибки. Просто оставив свою учетную запись в системе на работе или на общедоступном устройстве, вы подвергаете риску свою учетную запись и файлы Google Docs, и это не вина Google, это будет ваша собственная работа.
Аналогично, недавняя фишинговая атака привела к тому, что пользователи обманули свои данные для входа, что является распространенной фишинговой тактикой. В электронном письме респондентам предлагалось получить доступ к файлу через Google Drive, за исключением того, что для доступа к документам Google Drive вам придется войти в свою учетную запись Google – это на самом деле вышеупомянутая мера безопасности, которую Google использует, когда вы «делитесь» файлами. Поскольку документ был размещен на Google Диске, URL-адрес не казался подозрительным и обслуживался через SSL; казалось бы, законный URL-адрес, связанный с самим Google. Кроме того, это не так. Это была точная копия страницы входа в систему Google, и мошенникам удалось получить доступ к многочисленным учетным записям Google через введенные данные для входа жертв.
Эта атака была умной, но она не отражает никакого реального риска или слабости в Google Drive или Google Docs. Слабостью здесь была человеческая наивность.
Конфиденциальные файлы
Стоит ли хранить конфиденциальные файлы в Google Doc или на Google Диске? Если у вас есть вариант, который, как вы знаете, намного безопаснее, тогда идите с этим. Мы установили, что использование Google Docs безопасно, но есть некоторые риски для безопасности ваших файлов.
Если вы собираетесь использовать Google для хранения конфиденциальных файлов, следует отметить, что Ts&Cs гиганта Alphabet утверждают: “Наши автоматизированные системы анализируют ваш контент (включая электронные письма), чтобы предоставить вам лично релевантные функции продукта, такие как индивидуальные результаты поиска, индивидуальная реклама, а также обнаружение спама и вредоносных программ. Этот анализ происходит по мере отправки, получения и хранения контента.”
Это фактически означает, что если вы храните персональные данные, относящиеся к вашим клиентам, которые в вашем собственном качестве вы обещали хранить в безопасности и недоступны для третьих лиц, то вы просто разрешили Google получить доступ к этим файлам и использовать содержащуюся в них информацию.
Это немного серая зона, но с юридической точки зрения вы нарушите свое соглашение о конфиденциальности. Опять же, если вы используете учетную запись Gmail для передачи такой информации, то же самое относится и ко всем файлам и данным, хранящимся и передаваемым через любой из его сервисов.
Корпоративные файлы
Как и в случае с личными, клиентскими или другими конфиденциальными файлами, то же самое относится к корпоративным или корпоративным данным и файлам. Лучше всего в этой ситуации посмотреть, есть ли в вашей компании какие-либо политики в отношении хранения данных и файлов или использования облачных вычислений, и выяснить, разрешает ли ваша компания услуги Google. Возможно, ваша компания использует свои собственные надежные серверы и/или выбранную стороннюю службу облачных хранилищ.
Когда дело доходит до GDPR и других строгих правил хранения и использования данных, в недавнем отчете говорится, что Google фактически соблюдает не только правила, установленные GDPR, но и Privacy Shield, соглашение, подписанное между государствами-членами ЕС и Соединенными Штатами.
Использование дополнений
Возможно, вы заметили, что при использовании Google Docs вы можете добавлять дополнения, которые по сути являются сторонними плагинами или программами, повышающими производительность в базовых службах Google. Их можно просматривать и устанавливать непосредственно во время редактирования или использования документа, над которым вы работаете. Однако простота и удобство этого процесса заставляют пользователей думать, что эти сторонние приложения столь же безопасны, как и сам Google Docs, и официально одобрены или одобрены Google.
При установке этих дополнений вам в большинстве случаев придется разрешить доступ и привилегии к приложению, которые часто включают постоянное разрешение на изменение или удаление ваших файлов и данных в службах Google. Мы часто нажимаем «да/разрешить» и позволяем этому случиться, но если вы хотите быть более безопасным, подумайте об этом и подумайте, кому вы предоставляете доступ, к чему обращается третья сторона и что ей разрешено делать с вашими файлами и данными.
IP-адрес контента в Google Docs
Как и все платформы хранения, сервисы Google указывают, что интеллектуальная собственность файлов и хранящихся данных принадлежит исключительно первоначальному владельцу, однако чтение Ts&Cs:
Раздел 11.1 Гугла условия обслуживания говорит: “Вы предоставляете Google во всем мире, безвозмездную и неисключительную лицензию на воспроизведение, адаптацию, изменение, перевод, публикацию, публичное исполнение, публичный показ и распространять какие-либо содержание, которое вы передаете, публикуете и размещаете с помощью сервиса исключительно с целью предоставить Google возможность предоставить вам услуги в соответствии с его политикой конфиденциальности.”
На первый взгляд, это звучит так, как будто Google присваивает весь ваш IP-адрес и сможет делать с ним что угодно, не подвергаясь искам об авторском праве или интеллектуальной собственности, однако Ts&Cs продолжаются:
“Права, которые вы предоставляете в этой лицензии, предназначены для ограниченной цели эксплуатации, продвижения и улучшения наших Услуг, а также для разработки новых. Эта лицензия действует, даже если вы прекратите пользоваться нашими Услугами (например, для бизнес-листинга, добавленного в Google Maps).”
Это уточняет, что вы фактически не предоставляете Google полный IP-доступ и права делать то, что он хочет с вашими файлами, а просто лицензируете файлы, чтобы Google мог помочь вам перевести их или связать с другими службами Google.
Кроме того, неясно, но, похоже, Google будет разрешено использовать ваши изображения или видео для продвижения сервисов Google, потенциально в рекламе или тому подобном. Тем не менее, он указывает:
“Некоторые из наших сервисов позволяют отправлять контент. Вы сохраняете за собой право собственности на любые права интеллектуальной собственности, которыми вы владеете в этом контенте. Короче говоря, то, что принадлежит вам, остается вашим”.
Это заявление подтверждает, что ваши права на интеллектуальную собственность остаются вашими, и любые фотографии, видео или другие файлы на основе IP, загруженные, сохраненные или переданные, остаются вашими.
Google Docs и Google Drive имеют основную цель, когда речь идет о своих пользователях: повысить производительность и сотрудничество между пользователями. Поэтому это его основные проблемы. Безопасность имеет второстепенное значение, поскольку она позволяет вам обмениваться файлами и информацией.
Это не значит, что он небезопасен, и, как объяснялось в нескольких моих предыдущих пунктах, Google Drive безопасен, если пользователь хранит свой пароль в секрете, не оставляет устройство без присмотра и не входит в систему, а также использует двухфакторную аутентификацию.