India propune obligarea producătorilor de smartphone-uri să furnizeze codul sursă în cadrul reformei de securitate

NEW DELHI, India – India propune ca producătorii de smartphone-uri să partajeze codul sursă cu guvernul și să efectueze mai multe modificări software ca parte a unui set de măsuri de securitate, provocând opoziție din culise din partea giganților precum Apple și Samsung.

Companiile de tehnologie au replicat că pachetul de 83 de standarde de securitate, care ar include și o cerință de a alerta guvernul cu privire la actualizările software majore, nu are niciun precedent global și riscă să dezvăluie detalii proprietare, potrivit a patru persoane familiarizate cu discuțiile și unei analize Reuters a documentelor confidențiale guvernamentale și industriale.

Planul face parte din eforturile prim-ministrului Narendra Modi de a spori securitatea datelor utilizatorilor pe măsură ce fraudele online și încălcările de date cresc pe a doua cea mai mare piață de smartphone-uri din lume, cu aproape 750 de milioane de telefoane.

Secretarul IT S. Krishnan a declarat pentru Reuters sâmbătă, 10 ianuarie, „orice preocupări legitime ale industriei vor fi abordate cu minte deschisă", adăugând că este „prematur să citim mai mult în asta".

Un purtător de cuvânt al ministerului a declarat într-o declarație trimisă prin email sâmbătă că nu poate comenta mai mult din cauza consultării în curs cu companiile de tehnologie privind propunerile.

După ce articolul a fost publicat, o declarație a ministerului IT a spus duminică seara că consultările vizează dezvoltarea „unui cadru de reglementare adecvat și robust pentru securitatea mobilă", și că „în mod obișnuit" se angajează cu industria „pentru a înțelege mai bine povara tehnică și de conformitate".

Ministerul IT a adăugat că „infirmă declarația" că ia în considerare solicitarea codului sursă de la producătorii de smartphone-uri, fără a detalia sau a comenta documentele guvernamentale sau industriale citate de Reuters.

Luptă continuă privind cerințele guvernamentale

Apple, Samsung din Coreea de Sud, Google, Xiaomi din China și MAIT, grupul industrial indian care reprezintă firmele, nu au răspuns la solicitările de comentarii.

Cerințele guvernului indian au iritat companiile de tehnologie și înainte. Luna trecută a revocat un ordin care impunea o aplicație de siguranță cibernetică de stat pe telefoane în contextul îngrijorărilor privind supravegherea. Dar guvernul a ignorat lobby-ul anul trecut și a impus testare riguroasă pentru camerele de securitate din cauza temerilor de spionaj chinezesc.

Xiaomi și Samsung — ale căror telefoane folosesc sistemul de operare Android al Google — dețin 19% și, respectiv, 15% din cota de piață a Indiei, iar Apple 5%, estimează Counterpoint Research.

Printre cele mai sensibile cerințe din noile Cerințe de Asigurare a Securității Telecomunicațiilor Indiene se numără accesul la codul sursă — instrucțiunile de programare subiacente care fac telefoanele să funcționeze. Acestea ar fi analizate și posibil testate în laboratoare indiene desemnate, arată documentele.

Propunerile indiene solicită, de asemenea, companiilor să efectueze modificări software pentru a permite dezinstalarea aplicațiilor preinstalate și pentru a bloca aplicațiile de la utilizarea camerelor și microfoanelor în fundal pentru a „evita utilizarea malițioasă".

„Industria a ridicat îngrijorări că cerințele de securitate la nivel global nu au fost impuse de nicio țară", a declarat un document al ministerului IT din decembrie care detaliază întâlnirile pe care oficialii le-au avut cu Apple, Samsung, Google și Xiaomi.

Standardele de securitate, elaborate în 2023, sunt acum în centrul atenției, deoarece guvernul ia în considerare impunerea lor legal. Ministerul IT și directorii de tehnologie urmează să se întâlnească marți pentru mai multe discuții, au declarat surse.

Companiile spun că revizuirea, analiza codului sursă „nu este posibilă"

Producătorii de smartphone-uri își păzesc cu strictețe codul sursă. Apple a refuzat cererea Chinei pentru cod sursă între 2014 și 2016, iar forțele de ordine americane au încercat, de asemenea, și au eșuat să îl obțină.

Propunerile Indiei pentru „analiza vulnerabilității" și „revizuirea codului sursă" ar impune producătorilor de smartphone-uri să efectueze o „evaluare completă a securității", după care laboratoarele de testare din India ar putea verifica pretențiile lor prin revizuirea și analiza codului sursă.

„Acest lucru nu este posibil... din cauza secretului și confidențialității", a declarat MAIT într-un document confidențial redactat ca răspuns la propunerea guvernului și văzut de Reuters. „Țările majore din UE, America de Nord, Australia și Africa nu impun aceste cerințe."

MAIT a cerut ministerului săptămâna trecută să abandoneze propunerea, a declarat o sursă cu cunoștințe directe.

Propunerile indiene ar impune scanarea automată și periodică pentru malware pe telefoane. Producătorii de dispozitive ar trebui, de asemenea, să informeze Centrul Național pentru Securitatea Comunicațiilor despre actualizările software majore și patch-urile de securitate înainte de a le lansa utilizatorilor, iar centrul ar avea dreptul să le testeze.

Documentul MAIT spune că scanarea regulată pentru malware descarcă semnificativ bateria unui telefon și că solicitarea aprobării guvernamentale pentru actualizările software este „nepractică", deoarece acestea trebuie emise prompt.

India dorește, de asemenea, ca jurnalele telefonului – înregistrări digitale ale activității sistemului său – să fie stocate timp de cel puțin 12 luni pe dispozitiv.

„Nu există suficient spațiu pe dispozitiv pentru a stoca evenimente din jurnal de 1 an", a declarat MAIT în document. –Rappler.com