India overweegt nieuwe mobiele beveiligingsnormen die smartphonefabrikanten kunnen verplichten om de broncode van het besturingssysteem te delen met door de overheid aangewezen testlaboratoria. Het voorstel heeft zorgen gewekt bij grote apparaatfabrikanten, waaronder Apple en Samsung, over mogelijke risico’s voor beveiliging en intellectueel eigendom.
Het gerapporteerde plan maakt deel uit van een breder kader van voorgestelde regels die gericht zijn op het versterken van de smartphonebeveiliging en het verminderen van digitale fraude. Conceptvereisten zoals beschreven in het rapport omvatten verplichte beveiligingstesten, malwarescanning en beperkingen op hoe apps toegang krijgen tot gevoelige apparaatfuncties zoals camera’s en microfoons. Een van de meest omstreden elementen is de suggestie dat bedrijven gevraagd zouden kunnen worden broncode te leveren, wat een diepere inspectie mogelijk maakt van hoe besturingssystemen functioneren en hoe beveiligingsbeveiligingen worden geïmplementeerd.
Vertegenwoordigers uit de industrie zeiden dat het verplicht maken van broncode ongebruikelijk zou zijn in vergelijking met andere grote markten. Fabrikanten stellen dat dergelijke toegang propriëtaire technologie kan blootleggen en het risico kan vergroten dat beveiligingslekken worden ontdekt en misbruikt als de code niet onder strikte waarborgen wordt behandeld. Bedrijven uitten ook zorgen over hoe de toegang tot code zou worden beheerd, wie gemachtigd zou zijn om deze te beoordelen en welke beschermingen er zouden zijn om lekken of misbruik te voorkomen.
Het conceptkader bevat ook bepalingen die voorafgaande kennisgeving van grote software-updates en beveiligingswijzigingen kunnen vereisen. Sommige bedrijven waarschuwen dat dergelijke vereisten de uitrol van patches kunnen vertragen, die vaak snel worden uitgebracht om nieuw ontdekte kwetsbaarheden aan te pakken. Vertragingen in beveiligingsupdates kunnen de tijd verlengen waarin apparaten blootgesteld blijven aan bekende bedreigingen.
Indiase functionarissen hebben gezegd dat het land overlegt met fabrikanten en andere belanghebbenden en dat er nog steeds gesprekken gaande zijn. De overheid heeft het initiatief gepresenteerd als een poging om de apparaatbeveiliging te verbeteren en gebruikersgegevens te beschermen in een grote en groeiende mobiele markt. India heeft een van ‘s werelds grootste smartphonegebruikersgroepen, en telefoons worden veel gebruikt voor bankieren, betalingen, identiteitsdiensten en toegang tot overheidsprogramma’s.
Na publicatie van het rapport betwistte een verklaring van de Indiase overheid, geciteerd in lokale media, de beweringen dat er een formeel plan is om smartphonefabrikanten te dwingen broncode te verstrekken. In de verklaring stond dat consultaties deel uitmaken van het werk aan veiligheidsnormen en dat sommige rapportages over specifieke maatregelen misleidend waren. Er zijn nog geen definitieve regels aangekondigd.
Het debat weerspiegelt bredere spanningen tussen overheidsinspanningen om nationale cybersecurity te versterken en de zorgen van de industrie over het beschermen van intellectueel eigendom en het handhaven van veilige softwareontwikkelingspraktijken. Eventuele definitieve eisen zouden waarschijnlijk invloed hebben op hoe smartphonefabrikanten apparaten testen en certificeren voor verkoop in India en kunnen soortgelijke regelgevende discussies in andere landen beïnvloeden.