Så skyddar han Googles moln – ”säkerheten finns bakom kulisserna”

Säkerhet måste vara enkelt för användarna. Något som bara finns där utan att man tänker på det. Det säger Google Clouds it-säkerhetschef Phil Venables.

– Vi talar om osynlig säkerhet. Om du jobbar i Google Workspace ska du bara kunna gå in i webbläsaren och göra vad du ska. Men bakom kulisserna finns säkerheten i form av validerade maskiner, validerad mjukvara och enheter som autentiserar hela tiden, inte bara vid inloggning. Det där ska inte vara ett hinder för dig i ditt arbete, utan det ska bara finnas där.

Vi träffar Phil Venables, som har titeln CISO (chief information security officer) under ett Stockholmsbesök, där han möter upp kunder, partner och myndighetspersoner. De senaste åren har varit dramatiska ur ett cyberperspektiv med omfattande ransomware-angrepp, pandemin och distansarbetet som följde på denna, och sedan Rysslands invasion av Ukraina.

Google befinner sig på många sätt i centrum av händelseutvecklingen. De profilerar sina Chromebooks som enheter som aldrig drabbats av ransomware, de tillhandahåller många av de mest använda tjänsterna för distansarbete och Phil Venables säger att de lagt mycket tid och resurser på att stödja Ukraina med tjänster.

Spenderar enorma summor på säkerhet 

Övergången till distansarbetet har inneburit att många organisationer snabbt fick göra en resa som Google redan gjort, säger han.

– För oss var det där en fortsättning på en väg vi redan slagit in på. Alla våra verksamheter var molnbaserade och vi använde ju Googles funktioner som Video, Meet och så vidare. Men för de flesta organisationer gällde det att investera snabbt och se till att deras system stödde det.

– Det samma gäller att börja använda zero trust-teknik (nolltillit). Det handlar om att säkerställa att de som arbetar på distans är tillräckligt starkt autentiserade och att det är strikt kontrollerat vad de har tillgång till. Sådant hade vi redan på plats, nu är det många organisationer som går mot det, säger han och visar upp en nätfiske-resistent säkerhetsnyckel som han har inpluggad i datorn.

Vad kan mindre företag utan samma resurser lära sig av Googles sätt att arbeta med säkerhet?

– Många saker gäller alla typer av företag: Att ha en god cyberhygien, hålla sina system uppdaterade, tekniken modern och att autentisera sina användare starkt med till exempel säkerhetsnycklar.

– De flesta attacker kommer ur nätfiske, där de kriminella stjäl autentiseringsuppgifter. Om man har nätfiske-resistent autentiseringsteknik så skär man bort en stor del av attackerna.

En annan sak som Phil Venables förordar är, kanske inte oväntat, att använda sig av molntjänster.

– Inte ens stora företag kan investera så mycket att de kan göra allting själva. Vi investerar 10 miljarder dollar i säkerhet över de närmaste tre åren, det kan andra företag ta del av om de använder sig av molntjänster.

Sverige får vänta på europeiskt moln

Inom EU rasar diskussionen om hur man kan använda sig av amerikanska molntjänster och hur det rimmar med dataskyddslagstiftning. Ett av Google Clouds svar på detta har varit vad de kallar ”moln på Europas villkor” vilket ska ge självständig kontroll. De har lanserat det i en del av Europas största länder, bland annat tillsammans med T-Systems i Tyskland och Thales i Frankrike.

Kommer detta till Sverige också?

– Vi har planer på fler EU-länder, men vi utgår från de stora marknaderna eftersom det krävs så mycket infrastruktur. Det måste finnas en lokal it-leverantör som passar och som kan hantera den, vi kan ju per definition inte göra det. Samtidigt är det vår lösning, så det måste vara väldigt kapabla leverantörer.

Att använda sig av molnet är också ett sätt att komma förbi den allvarliga bristen på cybersäkerhetsproffs som råder på marknaden, säger han. Dels investerar de själva mycket i utbildning och dels vill de göra behovet av kompetens mindre genom att bygga in säkerheten i sina plattformar.

– Stora organisationer som har komplexa miljöer behöver mer säkerhetsfolk, men ju mer de konsoliderar till en bra administrerad molntjänster desto mindre säkerhetspersonal behöver de. Och det säkerhetsfolk de har kan fokusera på svårare problem.

Fortsatt jakt efter bra teknik

Google har också gjort flera förvärv på säkerhetsområdet, bland annat den uppmärksammade Mandiant-affären och här i Sverige har de köpt Foreseeti. Det lär komma fler affärer framöver. De letar brett, säger Phil Venables.

– Vi har en global plattform så vi tänker inte ur ett regionalt perspektiv när vi letar efter förvärv. Foreseeti var ett fantastiskt förvärv av ett lokalt bolag som kunde integreras i våra produkter och fick global påverkan. Vi kommer att fortsätta att växa det här, och vi letar där den bästa tekniken finns.

Avslutningsvis, det diskuteras mycket hur de nya AI-baserade programmen som Chat GPT kan komma att förändra cybersäkerheten och det finns en oro för att cyberkriminella kommer att börja använda sig av de här verktygen. Hur ser du på de riskerna?

– Det finns ju en uppenbar möjlighet att använda de verktygen för att sprida desinformation och felaktig information. Men AI kan användas både för att skydda och för kriminella aktiviteter. Vi lägger mycket tid på det i skyddet.

– AI är ju inte något nytt, utan vi har haft det inbyggt i våra produkter under lång tid. Vi skyddar nästan två miljarder gmail-användare med hjälp av AI, där vi filtrerar bort malware, spam och nätfiske från e-posten, för att ta ett exempel.