SG.hu·
India forráskódot kérne az okostelefon-gyártóktól
India egy átfogó biztonsági reform részeként kötelezni szeretné az okostelefon-gyártókat a forráskódjaik átadására. Ez a terv és az előírt szoftvermódosítások globálisan is precedens nélkülinek számítanak, és komoly ellenállást váltott ki az Apple és a Samsung részéről.
India egy széles körű biztonsági intézkedéscsomag részeként azt fontolgatja, hogy előírja az okostelefon-gyártóknak a forráskód megosztását a kormánnyal, valamint több szoftveres módosítás végrehajtását kérte tőlük. A tervek a háttérben ellenállást váltottak ki olyan nagyvállalatok részéről, mint az Apple és a Samsung. A technológiai cégek azzal érveltek, hogy a 83 biztonsági szabványból álló csomag - amely azt is előírná, hogy a vállalatok értesítsék a kormányt a jelentősebb szoftverfrissítésekről - nem rendelkezik globális előzménnyel, és fennáll a veszélye annak, hogy üzleti titkok kerülnek nyilvánosságra.
Az új indiai Távközlési Biztonsági Megfelelési Követelmények (Indian Telecom Security Assurance Requirements) egyik legérzékenyebb eleme a forráskódhoz való hozzáférés. A kormányzati és iparági dokumentumok szerint az alapul szolgáló programozási utasításokat, amelyek a telefonok működését meghatározzák, kijelölt indiai laboratóriumokban elemeznék és esetleg tesztelnék. Az indiai javaslatok azt is előírnák, hogy a vállalatok olyan szoftvermódosításokat hajtsanak végre, amelyek lehetővé teszik az előre telepített alkalmazások eltávolítását, valamint megakadályozzák, hogy az alkalmazások a háttérben hozzáférjenek a kamerához és a mikrofonhoz a „rosszindulatú felhasználás elkerülése érdekében”.
A terv Narendra Modi miniszterelnök azon törekvéseinek része, amelyek célja a felhasználói adatok biztonságának megerősítése. Az online csalások és az adatlopások száma meredeken növekszik a világ második legnagyobb okostelefon-piacán, ahol közel 750 millió készülék van használatban. S. Krishnan informatikai államtitkár azt mondta, hogy „az iparág minden jogos aggályát nyitott szemlélettel fogjuk kezelni”, hozzátéve, hogy „korai lenne ennél többet belelátni” a helyzetbe. Az informatikai minisztérium vasárnap késő este közleményében azt írta, hogy a konzultációk célja „egy megfelelő és robusztus mobilbiztonsági szabályozási keretrendszer kialakítása”, és hogy a minisztérium „rendszeresen” egyeztet az iparággal annak érdekében, hogy „jobban megértse a technikai és megfelelési terheket”.
„Az iparág jelezte aggályait, miszerint globálisan egyetlen ország sem írt még elő ilyen biztonsági követelményeket” - áll egy decemberi informatikai minisztériumi dokumentumban, amely részletezi az Apple-lel, a Samsunggal, a Google-lel és a Xiaomival folytatott egyeztetéseket. A 2023-ban kidolgozott biztonsági szabványok azért kerültek most reflektorfénybe, mivel a kormány azt fontolgatja, hogy jogilag kötelezővé teszi őket. Az informatikai minisztérium és a technológiai vállalatok vezetői kedden újabb tárgyalásokat folytatnak.
Az okostelefon-gyártók szigorúan őrzik forráskódjukat. Az Apple 2014 és 2016 között elutasította Kína kérését a forráskód átadására, és az amerikai bűnüldöző szervek sem jártak sikerrel ilyen irányú próbálkozásaik során. India „sebezhetőségi elemzésre” és „forráskód-ellenőrzésre” vonatkozó javaslatai előírnák, hogy az okostelefon-gyártók „teljes körű biztonsági értékelést” végezzenek, amelyet követően az indiai tesztlaboratóriumok forráskód-ellenőrzéssel és elemzéssel vizsgálhatnák a vállalatok állításait. „Ez nem lehetséges a titoktartás és az adatvédelem miatt” - írta a MAIT (Manufacturers’ Association for Information Technology) iparági lobbiszervezet. „Az Európai Unió, Észak-Amerika, Ausztrália és Afrika jelentősebb országai nem írnak elő ilyen követelményeket.” A MAIT a múlt héten arra kérte a minisztériumot, hogy ejtse a javaslatot.
Az indiai tervek kötelezővé tennék az automatikus és rendszeres vizsgálatot a telefonokon kártékony programok után. A készülékgyártóknak emellett a kiadás előtt tájékoztatniuk kellene a Nemzeti Kommunikációbiztonsági Központot a jelentős szoftverfrissítésekről és biztonsági javításokról, és a központ jogosult lenne ezek tesztelésére. A MAIT szerint viszont a rendszeres kártevőellenőrzés jelentősen meríti az akkumulátort, a szoftverfrissítések kormányzati jóváhagyásának kérése pedig „nem praktikus”, mivel ezeket gyorsan kell kiadni. India azt is szeretné, ha a telefonok naplófájljait, vagyis a rendszertevékenységről vezetett digitális feljegyzéseket legalább 12 hónapig tárolnák a készülékeken. „Nincs elegendő tárhely a készüléken egy évnyi naplóadat tárolására” - áll a MAIT dokumentumában.
Az indiai kormány követelményei korábban is bosszúságot okoztak a technológiai cégeknek. A múlt hónapban a hatóságok felügyeleti aggályok miatt visszavonták azt az előírást, amely kötelezővé tette volna egy állami üzemeltetésű kiberbiztonsági alkalmazás telepítését a telefonokra. Tavaly ugyanakkor a kormány figyelmen kívül hagyta a lobbitevékenységet, és szigorú tesztelést írt elő a biztonsági kamerák esetében a kínai kémkedéstől való félelmek miatt. A Counterpoint Research becslése szerint a Xiaomi és a Samsung, amelyek készülékei a Google Android operációs rendszerét használják, rendre 19 és 15 százalékos piaci részesedéssel bírnak Indiában, míg az Apple részesedése 5 százalék.
India egy széles körű biztonsági intézkedéscsomag részeként azt fontolgatja, hogy előírja az okostelefon-gyártóknak a forráskód megosztását a kormánnyal, valamint több szoftveres módosítás végrehajtását kérte tőlük. A tervek a háttérben ellenállást váltottak ki olyan nagyvállalatok részéről, mint az Apple és a Samsung. A technológiai cégek azzal érveltek, hogy a 83 biztonsági szabványból álló csomag - amely azt is előírná, hogy a vállalatok értesítsék a kormányt a jelentősebb szoftverfrissítésekről - nem rendelkezik globális előzménnyel, és fennáll a veszélye annak, hogy üzleti titkok kerülnek nyilvánosságra.
Az új indiai Távközlési Biztonsági Megfelelési Követelmények (Indian Telecom Security Assurance Requirements) egyik legérzékenyebb eleme a forráskódhoz való hozzáférés. A kormányzati és iparági dokumentumok szerint az alapul szolgáló programozási utasításokat, amelyek a telefonok működését meghatározzák, kijelölt indiai laboratóriumokban elemeznék és esetleg tesztelnék. Az indiai javaslatok azt is előírnák, hogy a vállalatok olyan szoftvermódosításokat hajtsanak végre, amelyek lehetővé teszik az előre telepített alkalmazások eltávolítását, valamint megakadályozzák, hogy az alkalmazások a háttérben hozzáférjenek a kamerához és a mikrofonhoz a „rosszindulatú felhasználás elkerülése érdekében”.
A terv Narendra Modi miniszterelnök azon törekvéseinek része, amelyek célja a felhasználói adatok biztonságának megerősítése. Az online csalások és az adatlopások száma meredeken növekszik a világ második legnagyobb okostelefon-piacán, ahol közel 750 millió készülék van használatban. S. Krishnan informatikai államtitkár azt mondta, hogy „az iparág minden jogos aggályát nyitott szemlélettel fogjuk kezelni”, hozzátéve, hogy „korai lenne ennél többet belelátni” a helyzetbe. Az informatikai minisztérium vasárnap késő este közleményében azt írta, hogy a konzultációk célja „egy megfelelő és robusztus mobilbiztonsági szabályozási keretrendszer kialakítása”, és hogy a minisztérium „rendszeresen” egyeztet az iparággal annak érdekében, hogy „jobban megértse a technikai és megfelelési terheket”.
„Az iparág jelezte aggályait, miszerint globálisan egyetlen ország sem írt még elő ilyen biztonsági követelményeket” - áll egy decemberi informatikai minisztériumi dokumentumban, amely részletezi az Apple-lel, a Samsunggal, a Google-lel és a Xiaomival folytatott egyeztetéseket. A 2023-ban kidolgozott biztonsági szabványok azért kerültek most reflektorfénybe, mivel a kormány azt fontolgatja, hogy jogilag kötelezővé teszi őket. Az informatikai minisztérium és a technológiai vállalatok vezetői kedden újabb tárgyalásokat folytatnak.
Az okostelefon-gyártók szigorúan őrzik forráskódjukat. Az Apple 2014 és 2016 között elutasította Kína kérését a forráskód átadására, és az amerikai bűnüldöző szervek sem jártak sikerrel ilyen irányú próbálkozásaik során. India „sebezhetőségi elemzésre” és „forráskód-ellenőrzésre” vonatkozó javaslatai előírnák, hogy az okostelefon-gyártók „teljes körű biztonsági értékelést” végezzenek, amelyet követően az indiai tesztlaboratóriumok forráskód-ellenőrzéssel és elemzéssel vizsgálhatnák a vállalatok állításait. „Ez nem lehetséges a titoktartás és az adatvédelem miatt” - írta a MAIT (Manufacturers’ Association for Information Technology) iparági lobbiszervezet. „Az Európai Unió, Észak-Amerika, Ausztrália és Afrika jelentősebb országai nem írnak elő ilyen követelményeket.” A MAIT a múlt héten arra kérte a minisztériumot, hogy ejtse a javaslatot.
Az indiai tervek kötelezővé tennék az automatikus és rendszeres vizsgálatot a telefonokon kártékony programok után. A készülékgyártóknak emellett a kiadás előtt tájékoztatniuk kellene a Nemzeti Kommunikációbiztonsági Központot a jelentős szoftverfrissítésekről és biztonsági javításokról, és a központ jogosult lenne ezek tesztelésére. A MAIT szerint viszont a rendszeres kártevőellenőrzés jelentősen meríti az akkumulátort, a szoftverfrissítések kormányzati jóváhagyásának kérése pedig „nem praktikus”, mivel ezeket gyorsan kell kiadni. India azt is szeretné, ha a telefonok naplófájljait, vagyis a rendszertevékenységről vezetett digitális feljegyzéseket legalább 12 hónapig tárolnák a készülékeken. „Nincs elegendő tárhely a készüléken egy évnyi naplóadat tárolására” - áll a MAIT dokumentumában.
Az indiai kormány követelményei korábban is bosszúságot okoztak a technológiai cégeknek. A múlt hónapban a hatóságok felügyeleti aggályok miatt visszavonták azt az előírást, amely kötelezővé tette volna egy állami üzemeltetésű kiberbiztonsági alkalmazás telepítését a telefonokra. Tavaly ugyanakkor a kormány figyelmen kívül hagyta a lobbitevékenységet, és szigorú tesztelést írt elő a biztonsági kamerák esetében a kínai kémkedéstől való félelmek miatt. A Counterpoint Research becslése szerint a Xiaomi és a Samsung, amelyek készülékei a Google Android operációs rendszerét használják, rendre 19 és 15 százalékos piaci részesedéssel bírnak Indiában, míg az Apple részesedése 5 százalék.