Indie zaproponowały nałożenie na producentów smartfonów obowiązku udostępniania rządowi kodu źródłowego i wprowadzania kilku zmian w oprogramowaniu w ramach szeregu środków bezpieczeństwa, co wywołało zakulisowy sprzeciw gigantów takich jak Apple i Samsung.
Firmy technologiczne zaprzeczają, że pakiet 83 standardów bezpieczeństwa, który obejmowałby również wymóg powiadamiania rządu o ważnych aktualizacjach oprogramowania, nie ma precedensu na skalę światową i stwarza ryzyko ujawnienia zastrzeżonych szczegółów, twierdzą cztery osoby zaznajomione z dyskusjami i przeglądem poufnych dokumentów rządowych i branżowych agencji Reuters.
Plan wpisuje się w wysiłki premiera Indii Narendry Modiego mające na celu zwiększenie bezpieczeństwa danych użytkowników w obliczu wzrostu liczby oszustw internetowych i naruszeń bezpieczeństwa danych na drugim co do wielkości rynku smartfonów na świecie, obejmującym prawie 750 milionów telefonów.
Sekretarz IT S. Krishnan powiedział agencji Reuters, że „wszelkie uzasadnione obawy branży zostaną rozpatrzone z otwartym umysłem”, dodając, że „jest przedwczesne, aby dowiedzieć się więcej na ten temat”.
Rzecznik ministerstwa powiedział, że nie może udzielać dalszych komentarzy ze względu na trwające konsultacje z firmami technologicznymi na temat propozycji.
Ciągłe przeciąganie liny w związku z wymaganiami rządu
Apple, Samsung z Korei Południowej, Google, chińska Xiaomi i MAIT, indyjska grupa branżowa reprezentująca firmy, nie odpowiedziały na prośby o komentarz.
Wymagania indyjskiego rządu już wcześniej irytowały firmy technologiczne.
W zeszłym miesiącu uchyliła rozporządzenie nakazujące zainstalowanie na telefonach państwowej aplikacji zapewniającej bezpieczeństwo cybernetyczne w związku z obawami dotyczącymi inwigilacji. Jednak w zeszłym roku rząd odrzucił lobbing i zażądał rygorystycznych testów kamer bezpieczeństwa w związku z obawami przed chińskim szpiegostwem.
Xiaomi i Samsung – których telefony korzystają z systemu operacyjnego Android firmy Google – posiadają odpowiednio 19 i 15 procent udziału w rynku Indii, a Apple 5 sztuk, szacuje Counterpoint Research.
Do najbardziej wrażliwych wymagań nowych indyjskich wymagań dotyczących zapewnienia bezpieczeństwa telekomunikacyjnego należy dostęp do kodu źródłowego — podstawowych instrukcji programowania, dzięki którym telefony działają. Z dokumentów wynika, że zostanie to przeanalizowane i prawdopodobnie przetestowane w wyznaczonych indyjskich laboratoriach.
Indyjskie propozycje wymagają również od firm wprowadzenia zmian w oprogramowaniu, aby umożliwić odinstalowanie wstępnie zainstalowanych aplikacji i zablokowanie aplikacjom możliwości korzystania z kamer i mikrofonów w tle, aby „unikać złośliwego użycia”.
„Branża wyraziła obawy, że żaden kraj nie nałożył wymogów dotyczących globalnego bezpieczeństwa” – stwierdzono w grudniowym dokumencie ministerstwa IT szczegółowo opisującym spotkania urzędników z Apple, Samsungiem, Google i Xiaomi.
Standardy bezpieczeństwa opracowane w 2023 r. znajdują się w centrum uwagi teraz, gdy rząd rozważa ich prawne nałożenie. Źródła podają, że ministerstwo IT i dyrektorzy ds. technologii spotkają się we wtorek w celu omówienia dalszych kwestii.
Firmy twierdzą, że przegląd i analiza kodu źródłowego „nie jest możliwa”
Producenci smartfonów pilnie strzegą swojego kodu źródłowego. Apple odrzucił chińskie żądanie udostępnienia kodu źródłowego w latach 2014–2016, a amerykańskie organy ścigania również próbowały go uzyskać, ale bezskutecznie.
Indyjskie propozycje dotyczące „analizy podatności” i „przeglądu kodu źródłowego” wymagałyby od producentów smartfonów przeprowadzenia „pełnej oceny bezpieczeństwa”, po której laboratoria testowe w Indiach mogłyby sprawdzić swoje twierdzenia poprzez przegląd i analizę kodu źródłowego.
„Nie jest to możliwe… ze względu na tajemnicę i prywatność” – stwierdził MAIT w poufnym dokumencie sporządzonym w odpowiedzi na propozycję rządu i obejrzanym przez Reuters.
„Główne kraje w UE, Ameryce Północnej, Australii i Afryce nie nakładają tych wymagań”.
W zeszłym tygodniu MAIT zwrócił się do ministerstwa o wycofanie tej propozycji, podało źródło posiadające bezpośrednią wiedzę.
Indyjskie propozycje wymagałyby automatycznego i okresowego skanowania telefonów w poszukiwaniu złośliwego oprogramowania.
Producenci urządzeń musieliby także informować Krajowe Centrum Bezpieczeństwa Komunikacji o najważniejszych aktualizacjach oprogramowania i poprawkach bezpieczeństwa przed udostępnieniem ich użytkownikom, a ośrodek miałby prawo je testować.
Z dokumentu MAIT wynika, że regularne skanowanie pod kątem złośliwego oprogramowania znacznie wyczerpuje baterię telefonu, a uzyskiwanie zgody rządu na aktualizacje oprogramowania jest „niepraktyczne”, ponieważ muszą one być wydawane niezwłocznie.
Indie chcą również, aby logi telefonu – cyfrowe zapisy aktywności systemu – były przechowywane na urządzeniu przez co najmniej 12 miesięcy.
„Na urządzeniu nie ma wystarczającej ilości miejsca (sic!), aby przechowywać zdarzenia w dzienniku z jednego roku” – stwierdził MAIT w dokumencie.
