Le aziende tecnologiche hanno replicato che il pacchetto di 83 standard di sicurezza, che includerebbe anche l'obbligo di segnalare al governo gli aggiornamenti software maggiori, non ha alcun precedente a livello globale e rischia di rivelare dettagli proprietari, secondo quanto riferito da quattro persone a conoscenza delle discussioni e da una revisione di documenti riservati di governo e industria effettuata da Reuters.
Il piano fa parte degli sforzi del Primo Ministro Narendra Modi per rafforzare la sicurezza dei dati degli utenti, mentre aumentano le frodi online e le violazioni dei dati nel secondo mercato mondiale degli smartphone, con quasi 750 milioni di telefoni.
Il Segretario IT S. Krishnan ha dichiarato a Reuters sabato che "qualsiasi preoccupazione legittima dell'industria sarà affrontata con mente aperta", aggiungendo che è "prematuro trarre ulteriori conclusioni".
Un portavoce del ministero ha affermato in una dichiarazione via email sabato che non poteva commentare ulteriormente a causa delle consultazioni in corso con le aziende tecnologiche sulle proposte.
Dopo la pubblicazione della notizia, una dichiarazione del ministero IT ha affermato domenica sera che le consultazioni mirano a sviluppare "un quadro normativo adeguato e robusto per la sicurezza mobile", e che "regolarmente" si confronta con l'industria "per comprendere meglio gli oneri tecnici e di conformità".
Il ministero IT ha inoltre aggiunto di "smentire l'affermazione" secondo cui starebbe valutando di richiedere il codice sorgente ai produttori di smartphone, senza fornire ulteriori dettagli o commentare i documenti governativi o industriali citati da Reuters.
BRACCIO DI FERRO IN CORSO SULLE RICHIESTE DEL GOVERNO
Apple, la sudcoreana Samsung, Google, la cinese Xiaomi e MAIT, il gruppo industriale indiano che rappresenta le aziende, non hanno risposto alle richieste di commento.
Le richieste del governo indiano hanno già irritato in passato le aziende tecnologiche. Il mese scorso ha revocato un ordine che imponeva un'app di sicurezza informatica gestita dallo Stato sui telefoni, a causa delle preoccupazioni per la sorveglianza. Tuttavia, il governo ha ignorato le pressioni dell'anno scorso e ha imposto rigorosi test per le telecamere di sicurezza per timore di spionaggio cinese.
Xiaomi e Samsung - i cui telefoni utilizzano il sistema operativo Android di Google - detengono rispettivamente il 19% e il 15% della quota di mercato in India, mentre Apple si attesta al 5%, secondo le stime di Counterpoint Research.
Tra le richieste più delicate delle nuove Indian Telecom Security Assurance Requirements vi è l'accesso al codice sorgente - le istruzioni di programmazione di base che fanno funzionare i telefoni. Secondo i documenti, questo verrebbe analizzato e possibilmente testato in laboratori designati in India.
Le proposte indiane richiedono inoltre alle aziende di apportare modifiche software per consentire la disinstallazione delle app preinstallate e per bloccare le app dall'utilizzare fotocamera e microfono in background, al fine di "evitare usi dannosi".
"L'industria ha sollevato preoccupazioni sul fatto che a livello globale nessun paese ha imposto requisiti di sicurezza simili", si legge in un documento del ministero IT di dicembre che dettaglia gli incontri tenuti con Apple, Samsung, Google e Xiaomi.
Gli standard di sicurezza, redatti nel 2023, sono ora al centro dell'attenzione poiché il governo sta valutando di renderli obbligatori per legge. Fonti riferiscono che il ministero IT e i dirigenti tecnologici si incontreranno martedì per ulteriori discussioni.
LE AZIENDE DICONO CHE LA REVISIONE DEL CODICE SORGENTE È "IMPOSSIBILE"
I produttori di smartphone proteggono gelosamente il loro codice sorgente. Apple ha rifiutato la richiesta della Cina di fornire il codice sorgente tra il 2014 e il 2016, e anche le forze dell'ordine statunitensi hanno tentato senza successo di ottenerlo.
Le proposte indiane per "analisi delle vulnerabilità" e "revisione del codice sorgente" richiederebbero ai produttori di smartphone di effettuare una "valutazione completa della sicurezza", dopo la quale i laboratori di prova in India potrebbero verificare le loro affermazioni tramite revisione e analisi del codice sorgente.
"Questo non è possibile ... a causa della segretezza e della privacy", ha dichiarato MAIT in un documento riservato redatto in risposta alla proposta governativa e visionato da Reuters. "I principali paesi dell'UE, Nord America, Australia e Africa non impongono tali requisiti."
MAIT ha chiesto al ministero la scorsa settimana di ritirare la proposta, secondo una fonte a conoscenza diretta dei fatti.
Le proposte indiane imporrebbero anche la scansione automatica e periodica dei malware sui telefoni. I produttori di dispositivi dovrebbero inoltre informare il National Centre for Communication Security sugli aggiornamenti software maggiori e sulle patch di sicurezza prima di rilasciarli agli utenti, e il centro avrebbe il diritto di testarli.
Il documento di MAIT afferma che la scansione regolare dei malware consuma notevolmente la batteria del telefono e che richiedere l'approvazione del governo per gli aggiornamenti software è "impraticabile" poiché devono essere rilasciati tempestivamente.
L'India vuole anche che i log del telefono - i registri digitali dell'attività di sistema - siano conservati per almeno 12 mesi sul dispositivo.
"Non c'è abbastanza spazio sul dispositivo per conservare i log degli eventi di un anno", ha dichiarato MAIT nel documento.
