อินเดียเสนอบังคับให้ผู้ผลิตสมาร์ทโฟนส่งมอบซอร์สโค้ดในการปฏิรูปความปลอดภัย

นิวเดลี อินเดีย – อินเดียเสนอให้ผู้ผลิตสมาร์ทโฟนต้องแบ่งปันซอร์สโค้ดกับรัฐบาลและทำการเปลี่ยนแปลงซอฟต์แวร์หลายประการ ซึ่งเป็นส่วนหนึ่งของมาตรการรักษาความปลอดภัยชุดหนึ่ง ทำให้เกิดการคัดค้านเบื้องหลังจากบริษัทยักษ์ใหญ่อย่าง Apple และ Samsung

บริษัทเทคโนโลยีต่างโต้แย้งว่าชุดมาตรฐานความปลอดภัย 83 ข้อ ซึ่งยังรวมถึงข้อกำหนดให้แจ้งเตือนรัฐบาลเกี่ยวกับการอัปเดตซอฟต์แวร์สำคัญ ขาดแบบอย่างระดับโลกและมีความเสี่ยงที่จะเปิดเผยรายละเอียดที่เป็นกรรมสิทธิ์ ตามที่แหล่งข่าว 4 รายที่รู้เห็นการหารือและจากการตรวจสอบเอกสารลับของรัฐบาลและอุตสาหกรรมโดย Reuters

แผนนี้เป็นส่วนหนึ่งของความพยายามของนายกรัฐมนตรี Narendra Modi ในการเพิ่มความปลอดภัยของข้อมูลผู้ใช้ ขณะที่การฉ้อโกงออนไลน์และการละเมิดข้อมูลเพิ่มขึ้นในตลาดสมาร์ทโฟนที่ใหญ่เป็นอันดับสองของโลก ซึ่งมีโทรศัพท์เกือบ 750 ล้านเครื่อง

เลขาธิการกระทรวง IT S. Krishnan กล่าวกับ Reuters เมื่อวันเสารที่ 10 มกราคมว่า "ข้อกังวลที่ถูกต้องตามกฎหมายใดๆ ของอุตสาหกรรมจะได้รับการพิจารณาด้วยใจเปิดกว้าง" และเสริมว่ามันยัง "เร็วเกินไปที่จะตีความเพิ่มเติม"

โฆษกกระทรวงกล่าวในแถลงการณ์ทางอีเมลเมื่อวันเสารว่า ไม่สามารถให้ความเห็นเพิ่มเติมได้เนื่องจากยังมีการหารือกับบริษัทเทคโนโลยีเกี่ยวกับข้อเสนอดังกล่าวอยู่

หลังจากเรื่องราวถูกเผยแพร่ แถลงการณ์ของกระทรวง IT เมื่อช่วงปลายวันอาทิทย์ระบุว่า การหารือมีจุดมุ่งหมายเพื่อพัฒนา "กรอบการกำกับดูแลที่เหมาะสมและแข็งแกร่งสำหรับความปลอดภัยโทรศัพท์มือถือ" และได้ "ปรึกษาหารืออย่างสม่ำเสมอ" กับอุตสาหกรรม "เพื่อเข้าใจภาระด้านเทคนิคและการปฏิบัติตามกฎระเบียบได้ดีขึ้น"

กระทรวง IT เสริมว่า "ปฏิเสธแถลงการณ์" ที่ว่ากำลังพิจารณาขอซอร์สโค้ดจากผู้ผลิตสมาร์ทโฟน โดยไม่ได้ให้รายละเอียดหรือแสดงความเห็นเกี่ยวกับเอกสารรัฐบาลหรืออุตสาหกรรมที่ Reuters อ้างถึง

การดึงชักกันอย่างต่อเนื่องเกี่ยวกับข้อกำหนดของรัฐบาล

Apple, Samsung ของเกาหลีใต้, Google, Xiaomi ของจีน และ MAIT กลุ่มอุตสาหกรรมอินเดียที่เป็นตัวแทนของบริษัทเหล่านี้ ไม่ได้ตอบกลับคำขอให้แสดงความเห็น

ข้อกำหนดของรัฐบาลอินเดียเคยทำให้บริษัทเทคโนโลยีรำคาญมาก่อน เมื่อเดือนที่แล้วมีการเพิกถอนคำสั่งที่บังคับให้มีแอปความปลอดภัยไซเบอร์ที่ดำเนินการโดยรัฐบนโทรศัพท์ ท่ามกลางความกังวลเรื่องการเฝ้าระวัง แต่รัฐบาลได้เพิกเฉยต่อการล็อบบี้เมื่อปีที่แล้วและกำหนดให้มีการทดสอบอย่างเข้มงวดสำหรับกล้องรักษาความปลอดภัย เนื่องจากความกลัวการสอดแนมของจีน

Xiaomi และ Samsung ซึ่งโทรศัพท์ใช้ระบบปฏิบัติการ Android ของ Google ครองส่วนแบ่งตลาดในอินเดีย 19% และ 15% ตามลำดับ และ Apple 5% ตามการประมาณการของ Counterpoint Research

ในบรรดาข้อกำหนดที่มีความละเอียดอ่อนที่สุดใน Indian Telecom Security Assurance Requirements ฉบับใหม่คือการเข้าถึงซอร์สโค้ด ซึ่งเป็นคำสั่งการเขียนโปรแกรมพื้นฐานที่ทำให้โทรศัพท์ทำงานได้ ซึ่งจะถูกวิเคราะห์และอาจทดสอบในห้องปฏิบัติการที่กำหนดในอินเดีย ตามที่เอกสารแสดง

ข้อเสนออินเดียยังกำหนดให้บริษัทต้องทำการเปลี่ยนแปลงซอฟต์แวร์เพื่ออนุญาตให้ถอนการติดตั้งแอปที่ติดตั้งไว้ล่วงหน้า และบล็อกแอปไม่ให้ใช้กล้องและไมโครโฟนในพื้นหลังเพื่อ "หลีกเลี่ยงการใช้งานที่เป็นอันตราย"

"อุตสาหกรรมแสดงความกังวลว่าข้อกำหนดความปลอดภัยในระดับโลกยังไม่มีประเทศใดบังคับใช้" เอกสารกระทรวง IT เดือนธันวาคมที่ระบุรายละเอียดการประชุมที่เจ้าหน้าที่จัดขึ้นกับ Apple, Samsung, Google และ Xiaomi กล่าว

มาตรฐานความปลอดภัยที่ร่างขึ้นในปี 2023 กำลังเป็นที่จับตามองในขณะนี้ เนื่องจากรัฐบาลกำลังพิจารณาบังคับใช้ตามกฎหมาย เจ้าหน้าที่กระทรวง IT และผู้บริหารบริษัทเทคโนโลยีกำหนดพบกันในวันอังคารเพื่อหารือเพิ่มเติม แหล่งข่าวกล่าว

บริษัทกล่าวว่าการตรวจสอบและวิเคราะห์ซอร์สโค้ด 'เป็นไปไม่ได้'

ผู้ผลิตสมาร์ทโฟนรักษาความลับซอร์สโค้ดของตนอย่างเข้มงวด Apple ปฏิเสธคำขอของจีนสำหรับซอร์สโค้ดระหว่างปี 2014 ถึง 2016 และหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ ก็เคยพยายามและล้มเหลวในการได้มันมาเช่นกัน

ข้อเสนออินเดียสำหรับ "การวิเคราะห์ช่องโหว่" และ "การตรวจสอบซอร์สโค้ด" จะกำหนดให้ผู้ผลิตสมาร์ทโฟนต้องทำ "การประเมินความปลอดภัยที่สมบูรณ์" หลังจากนั้นห้องปฏิบัติการทดสอบในอินเดียสามารถตรวจสอบข้อกล่าวอ้างของพวกเขาผ่านการตรวจสอบและวิเคราะห์ซอร์สโค้ด

"สิ่งนี้เป็นไปไม่ได้... เนื่องจากความลับและความเป็นส่วนตัว" MAIT กล่าวในเอกสารลับที่ร่างขึ้นเพื่อตอบสนองต่อข้อเสนอของรัฐบาลและที่ Reuters เห็น "ประเทศสำคัญใน EU, อเมริกาเหนือ, ออสเตรเลีย และแอฟริกาไม่ได้บังคับให้มีข้อกำหนดเหล่านี้"

MAIT ขอให้กระทรวงยกเลิกข้อเสนอเมื่อสัปดาห์ที่แล้ว แหล่งข่าวที่มีความรู้โดยตรงกล่าว

ข้อเสนออินเดียจะบังคับให้มีการสแกนมัลแวร์อัตโนมัติและเป็นระยะบนโทรศัพท์ ผู้ผลิตอุปกรณ์จะต้องแจ้ง National Centre for Communication Security เกี่ยวกับการอัปเดตซอฟต์แวร์สำคัญและแพตช์ความปลอดภัยก่อนเผยแพร่ให้กับผู้ใช้ และศูนย์จะมีสิทธิ์ทดสอบ

เอกสารของ MAIT ระบุว่าการสแกนมัลแวร์เป็นประจำทำให้แบตเตอรี่โทรศัพท์หมดอย่างมาก และการขออนุมัติรัฐบาลสำหรับการอัปเดตซอฟต์แวร์เป็น "สิ่งที่ไม่สามารถทำได้" เนื่องจากต้องออกทันที

อินเดียยังต้องการให้บันทึกของโทรศัพท์ ซึ่งเป็นบันทึกดิจิทัลของกิจกรรมระบบ ถูกจัดเก็บไว้อย่างน้อย 12 เดือนบนอุปกรณ์

"ไม่มีพื้นที่เพียงพอบนอุปกรณ์ในการจัดเก็บเหตุการณ์บันทึก 1 ปี" MAIT กล่าวในเอกสาร –Rappler.com