Индия предлагает обязать производителей смартфонов предоставлять исходный код в рамках реформы безопасности

НЬЮ-ДЕЛИ, Индия – Индия предлагает обязать производителей смартфонов предоставлять правительству исходный код и внести ряд изменений в программное обеспечение в рамках пакета мер безопасности, что вызвало закулисное противодействие со стороны гигантов, таких как Apple и Samsung.

Технологические компании возразили, что пакет из 83 стандартов безопасности, который также включает требование уведомлять правительство о крупных обновлениях программного обеспечения, не имеет глобальных прецедентов и рискует раскрыть конфиденциальные детали, согласно четырем людям, знакомым с обсуждениями, и обзору Reuters конфиденциальных правительственных и отраслевых документов.

План является частью усилий премьер-министра Нарендры Моди по повышению безопасности пользовательских данных в условиях роста онлайн-мошенничества и утечек данных на втором по величине рынке смартфонов в мире с почти 750 миллионами телефонов.

Секретарь по ИТ С. Кришнан сообщил Reuters в субботу, 10 января, что "любые законные опасения отрасли будут рассмотрены с открытым умом", добавив, что "преждевременно делать выводы".

Представитель министерства заявил в электронном письме в субботу, что не может далее комментировать из-за продолжающихся консультаций с технологическими компаниями по предложениям.

После публикации статьи министерство ИТ в заявлении в конце воскресенья сообщило, что консультации направлены на разработку "соответствующей и надежной нормативной базы для мобильной безопасности", и оно "регулярно" взаимодействует с отраслью "для лучшего понимания технических и нормативных нагрузок".

Министерство ИТ добавило, что "опровергает заявление" о том, что оно рассматривает возможность запроса исходного кода у производителей смартфонов, не уточняя и не комментируя правительственные или отраслевые документы, цитируемые Reuters.

Продолжающееся противостояние по поводу правительственных требований

Apple, южнокорейская Samsung, Google, китайская Xiaomi и MAIT, индийская отраслевая группа, представляющая эти компании, не ответили на запросы о комментариях.

Требования индийского правительства раздражали технологические компании и ранее. В прошлом месяце оно отменило приказ, предписывающий установку государственного приложения кибербезопасности на телефоны, на фоне опасений по поводу слежки. Но правительство проигнорировало лоббирование в прошлом году и потребовало тщательного тестирования камер видеонаблюдения из-за опасений китайского шпионажа.

Xiaomi и Samsung — чьи телефоны используют операционную систему Android от Google — занимают 19% и 15% соответственно индийской доли рынка, а Apple 5%, по оценкам Counterpoint Research.

Среди наиболее чувствительных требований в новых Индийских требованиях по обеспечению безопасности телекоммуникаций является доступ к исходному коду — базовым программным инструкциям, которые заставляют телефоны работать. Это будет проанализировано и, возможно, протестировано в назначенных индийских лабораториях, показывают документы.

Индийские предложения также требуют от компаний внести изменения в программное обеспечение, чтобы разрешить удаление предустановленных приложений и блокировать использование приложениями камер и микрофонов в фоновом режиме, чтобы "избежать вредоносного использования".

"Отрасль выразила обеспокоенность тем, что глобальные требования безопасности не были установлены ни одной страной", говорится в декабрьском документе министерства ИТ, детализирующем встречи, которые чиновники провели с Apple, Samsung, Google и Xiaomi.

Стандарты безопасности, разработанные в 2023 году, сейчас находятся в центре внимания, поскольку правительство рассматривает возможность их юридического введения. Министерство ИТ и руководители технологических компаний должны встретиться во вторник для дальнейших обсуждений, сообщили источники.

Компании утверждают, что проверка и анализ исходного кода "невозможны"

Производители смартфонов тщательно охраняют свой исходный код. Apple отклонила запрос Китая на исходный код в период с 2014 по 2016 год, а правоохранительные органы США также пытались и не смогли его получить.

Индийские предложения по "анализу уязвимостей" и "проверке исходного кода" потребуют от производителей смартфонов провести "полную оценку безопасности", после чего тестовые лаборатории в Индии смогут проверить их заявления путем проверки и анализа исходного кода.

"Это невозможно... из-за секретности и конфиденциальности", заявила MAIT в конфиденциальном документе, составленном в ответ на правительственное предложение и просмотренном Reuters. "Крупные страны ЕС, Северной Америки, Австралии и Африки не устанавливают эти требования".

MAIT попросила министерство на прошлой неделе отказаться от предложения, сообщил источник, непосредственно знакомый с ситуацией.

Индийские предложения сделают обязательным автоматическое и периодическое сканирование на вредоносное ПО на телефонах. Производителям устройств также придется информировать Национальный центр коммуникационной безопасности о крупных обновлениях программного обеспечения и патчах безопасности перед их выпуском для пользователей, и центр будет иметь право их тестировать.

Документ MAIT утверждает, что регулярное сканирование на вредоносное ПО значительно разряжает батарею телефона, а получение государственного одобрения обновлений программного обеспечения "непрактично", поскольку их необходимо выпускать незамедлительно.

Индия также хочет, чтобы журналы телефона — цифровые записи его системной активности — хранились не менее 12 месяцев на устройстве.

"На устройстве недостаточно места для хранения событий журнала за 1 год", заявила MAIT в документе. –Rappler.com