Indie proponuje zmuszenie producentów smartfonów do udostępnienia kodu źródłowego w ramach reform bezpieczeństwa

NOWE DELHI, Indie – Indie proponują wymóg od producentów smartfonów udostępnienia kodów źródłowych rządowi oraz wprowadzenia kilku zmian w oprogramowaniu w ramach pakietu środków bezpieczeństwa, co wywołało zakulisowy sprzeciw gigantów takich jak Apple i Samsung.

Firmy technologiczne odpowiedziały, że pakiet 83 standardów bezpieczeństwa, który obejmowałby również wymóg powiadamiania rządu o istotnych aktualizacjach oprogramowania, nie ma żadnego globalnego precedensu i grozi ujawnieniem szczegółów zastrzeżonych, zgodnie z informacjami czterech osób znających dyskusje oraz przeglądem poufnych dokumentów rządowych i branżowych przeprowadzonym przez Reuters.

Plan jest częścią wysiłków premiera Narendry Modiego na rzecz zwiększenia bezpieczeństwa danych użytkowników, ponieważ oszustwa internetowe i naruszenia danych rosną na drugim co do wielkości rynku smartfonów na świecie, liczącym prawie 750 milionów telefonów.

Sekretarz IT S. Krishnan powiedział Reutersowi w sobotę 10 stycznia, że "wszelkie uzasadnione obawy branży zostaną rozpatrzone z otwartym umysłem", dodając, że "przedwczesne jest wczytywanie się w to bardziej".

Rzecznik ministerstwa powiedział w sobotę w oświadczeniu mailowym, że nie może dalej komentować ze względu na trwające konsultacje z firmami technologicznymi w sprawie propozycji.

Po opublikowaniu artykułu, oświadczenie ministerstwa IT wydane w niedzielę wieczorem stwierdziło, że konsultacje mają na celu opracowanie "odpowiednich i solidnych ram regulacyjnych dla bezpieczeństwa mobilnego" i że "rutynowo" angażuje się w kontakty z branżą, "aby lepiej zrozumieć obciążenia techniczne i związane ze zgodnością".

Ministerstwo IT dodało, że "odrzuca stwierdzenie", że rozważa żądanie kodów źródłowych od producentów smartfonów, nie rozwijając ani nie komentując dokumentów rządowych lub branżowych cytowanych przez Reuters.

Trwająca przeciąganie liny w sprawie wymagań rządowych

Apple, południowokoreański Samsung, Google, chiński Xiaomi oraz MAIT, indyjska grupa branżowa reprezentująca te firmy, nie odpowiedziały na prośby o komentarz.

Wymagania indyjskiego rządu irytowały firmy technologiczne wcześniej. W zeszłym miesiącu cofnął zarządzenie nakazujące instalację państwowej aplikacji cyberbezpieczeństwa na telefonach w związku z obawami dotyczącymi inwigilacji. Jednak rząd zignorował lobbing w zeszłym roku i wymagał rygorystycznych testów kamer bezpieczeństwa z obawy przed chińskim szpiegostwem.

Xiaomi i Samsung — których telefony używają systemu operacyjnego Android Google — posiadają odpowiednio 19% i 15% udziału w indyjskim rynku, a Apple 5%, szacuje Counterpoint Research.

Wśród najbardziej wrażliwych wymagań w nowych Indyjskich Wymaganiach Zapewnienia Bezpieczeństwa Telekomunikacyjnego jest dostęp do kodu źródłowego — podstawowych instrukcji programowania, które sprawiają, że telefony działają. Zostałby on przeanalizowany i ewentualnie przetestowany w wyznaczonych indyjskich laboratoriach, pokazują dokumenty.

Indyjskie propozycje wymagają również od firm wprowadzenia zmian w oprogramowaniu, aby umożliwić odinstalowanie wstępnie zainstalowanych aplikacji oraz blokowanie aplikacji przed używaniem kamer i mikrofonów w tle, aby "uniknąć złośliwego użycia".

"Branża wyraziła obawy, że globalne wymagania bezpieczeństwa nie zostały narzucone przez żaden kraj" — stwierdzono w grudniowym dokumencie ministerstwa IT szczegółowo opisującym spotkania, które urzędnicy odbyli z Apple, Samsungiem, Google i Xiaomi.

Standardy bezpieczeństwa, opracowane w 2023 roku, są teraz w centrum uwagi, ponieważ rząd rozważa ich prawne narzucenie. Ministerstwo IT i dyrektorzy firm technologicznych mają spotkać się we wtorek na kolejne dyskusje, poinformowały źródła.

Firmy twierdzą, że przegląd i analiza kodu źródłowego "nie są możliwe"

Producenci smartfonów pilnie strzegą swojego kodu źródłowego. Apple odrzucił żądanie Chin dotyczące kodu źródłowego w latach 2014-2016, a amerykańskie organy ścigania również próbowały i nie zdołały go uzyskać.

Propozycje Indii dotyczące "analizy podatności" i "przeglądu kodu źródłowego" wymagałyby od producentów smartfonów przeprowadzenia "kompletnej oceny bezpieczeństwa", po czym laboratoria testowe w Indiach mogłyby sprawdzić ich twierdzenia poprzez przegląd i analizę kodu źródłowego.

"To nie jest możliwe... ze względu na tajemnicę i prywatność" — powiedział MAIT w poufnym dokumencie przygotowanym w odpowiedzi na propozycję rządu, do którego dotarł Reuters. "Główne kraje w UE, Ameryce Północnej, Australii i Afryce nie narzucają tych wymagań".

MAIT poprosił ministerstwo w zeszłym tygodniu o wycofanie propozycji, powiedziało źródło posiadające bezpośrednią wiedzę.

Indyjskie propozycje nakazywałyby automatyczne i okresowe skanowanie złośliwego oprogramowania na telefonach. Producenci urządzeń musieliby również informować Narodowe Centrum Bezpieczeństwa Komunikacji o głównych aktualizacjach oprogramowania i łatach bezpieczeństwa przed ich wydaniem użytkownikom, a centrum miałoby prawo je testować.

Dokument MAIT stwierdza, że regularne skanowanie złośliwego oprogramowania znacznie wyczerpuje baterię telefonu, a ubieganie się o zgodę rządu na aktualizacje oprogramowania jest "niepraktyczne", ponieważ muszą być wydawane niezwłocznie.

Indie chcą również, aby logi telefonu — cyfrowe zapisy aktywności systemu — były przechowywane przez co najmniej 12 miesięcy na urządzeniu.

"Nie ma wystarczająco dużo miejsca na urządzeniu, aby przechowywać roczne zdarzenia z logów" — stwierdził MAIT w dokumencie. –Rappler.com