Ấn Độ đang đề xuất gói 83 tiêu chuẩn an ninh cho smartphone, trong đó có yêu cầu tiết lộ mã nguồn để kiểm định tại các phòng thí nghiệm do chính phủ chỉ định, khiến Apple, Samsung và nhiều hãng công nghệ phản đối vì lo rò rỉ bí mật thương mại.
Động thái này diễn ra trong bối cảnh Ấn Độ đẩy mạnh bảo vệ dữ liệu người dùng trước gian lận trực tuyến và rủi ro an ninh mạng tại thị trường smartphone lớn thứ hai thế giới, đồng thời tạo ra tranh luận về cân bằng giữa an ninh quốc gia và quyền sở hữu công nghệ.
- Ấn Độ đề xuất “Indian Telecom Security Assurance Requirements” gồm 83 tiêu chuẩn cho smartphone nhằm tăng cường an toàn dữ liệu.
- Các yêu cầu nổi bật gồm rà soát/tiết lộ mã nguồn, siết quyền truy cập nền, lưu log 12 tháng, quét malware định kỳ và chống rollback.
- Nhóm đại diện ngành MAIT và các hãng lớn phản đối, cho rằng nhiều yêu cầu khó khả thi và thiếu tiền lệ quốc tế; phía chính phủ nói vẫn đang tham vấn.
Gói 83 tiêu chuẩn an ninh smartphone của Ấn Độ nhắm vào phòng chống gian lận và lỗ hổng hệ điều hành
Đề xuất mới đặt mục tiêu nâng mức bảo vệ dữ liệu người dùng bằng cách bổ sung hàng chục yêu cầu kỹ thuật, từ kiểm định bảo mật đến kiểm soát quyền ứng dụng và lưu vết hoạt động, trong bối cảnh gian lận và tấn công mạng gia tăng.
Chính phủ Ấn Độ đưa ra “Indian Telecom Security Assurance Requirements” như một cuộc “đại tu” đối với chuẩn bảo mật smartphone. Gói này gồm 83 tiêu chuẩn nhằm giảm rủi ro bị khai thác lỗ hổng trong hệ điều hành, hạn chế hành vi lạm dụng quyền truy cập từ ứng dụng, và tăng khả năng điều tra sự cố bằng nhật ký bảo mật.
Các hãng như Apple và Samsung được cho là phản đối vì cho rằng bộ yêu cầu không có tiền lệ toàn cầu và có thể buộc lộ chi tiết độc quyền, đặc biệt là mã nguồn. Ấn Độ lập luận đây là một phần định hướng tăng cường an ninh mạng rộng hơn của Thủ tướng Narendra Modi tại thị trường smartphone lớn thứ hai thế giới.
Các yêu cầu kỹ thuật nổi bật mà Ấn Độ đề xuất với nhà sản xuất smartphone
Danh sách yêu cầu tập trung vào kiểm định mã nguồn, hạn chế quyền truy cập nền, lưu trữ nhật ký dài hạn, quét malware, cơ chế chống can thiệp và chống rollback phiên bản hệ điều hành.
Dưới đây là một số mục tiêu chuẩn được nêu trong đề xuất, theo danh sách được công bố qua liên kết: xem danh sách yêu cầu bảo mật.
- Yêu cầu công bố mã nguồn: Nhà sản xuất không chỉ kiểm thử mà còn phải cung cấp mã nguồn độc quyền để phòng thí nghiệm do chính phủ chỉ định rà soát, nhằm phát hiện điểm yếu có thể bị khai thác.
- Hạn chế quyền truy cập nền: Ứng dụng bị hạn chế truy cập camera, micro hoặc vị trí khi chạy nền lúc điện thoại không hoạt động; nếu quyền đang bật, phải hiển thị thông báo liên tục trên thanh trạng thái.
- Cảnh báo rà soát quyền: Thiết bị phải định kỳ hiển thị nhắc nhở để người dùng xem lại toàn bộ quyền ứng dụng, kèm thông báo liên tục.
- Lưu log trong 12 tháng: Lưu nhật ký kiểm toán bảo mật (gồm cài ứng dụng và log hệ thống) tối đa 12 tháng trên thiết bị.
- Quét malware định kỳ: Điện thoại phải quét tìm phần mềm độc hại theo chu kỳ và nhận diện ứng dụng có khả năng gây hại.
- Cho phép xóa ứng dụng cài sẵn: Người dùng có thể xóa ứng dụng đi kèm hệ điều hành, trừ ứng dụng thiết yếu cho chức năng cơ bản.
- Thông báo trước khi phát hành cập nhật lớn: Phải thông tin cho một tổ chức của chính phủ trước khi tung bản cập nhật lớn hoặc bản vá bảo mật.
- Cảnh báo can thiệp (root/jailbreak): Phát hiện thiết bị bị root/jailbreak và hiển thị cảnh báo liên tục kèm khuyến nghị khắc phục.
- Chống rollback: Chặn vĩnh viễn việc cài phiên bản phần mềm cũ hơn, kể cả khi được nhà sản xuất ký chính thức, nhằm ngăn hạ cấp bảo mật.
Ngành công nghệ phản đối vì rủi ro lộ bí mật và tính khả thi khi triển khai trên diện rộng
Các hãng và hiệp hội ngành cho rằng yêu cầu mã nguồn, chống can thiệp, chống rollback, lưu log 12 tháng và quy trình báo trước cập nhật có thể xung đột với bí mật thương mại, tiêu chuẩn kỹ thuật và khả năng vận hành thực tế của thiết bị.
Chính phủ Ấn Độ bảo vệ đề xuất với lập luận bảo vệ công dân và phù hợp định hướng tăng cường an toàn dữ liệu. Tuy nhiên, các doanh nghiệp lớn như Samsung, Apple, Xiaomi và Google (thông qua MAIT, hiệp hội ngành tại Ấn Độ) được cho là phản đối mạnh, đặc biệt ở điểm chia sẻ mã nguồn.
“Điều này là không thể… do tính bí mật và quyền riêng tư… Các nước lớn ở EU, Bắc Mỹ, Australia và châu Phi không bắt buộc những yêu cầu này.”
– MAIT, tài liệu phản hồi đề xuất của chính phủ
MAIT cũng lập luận rằng không có cách đáng tin cậy để phát hiện điện thoại bị jailbreak hoặc ngăn can thiệp; chống rollback “thiếu tiêu chuẩn”; nhiều ứng dụng cài sẵn là thành phần hệ thống quan trọng nên không thể gỡ. Nhóm này còn cho rằng quét malware định kỳ sẽ làm hao pin đáng kể và việc phải xin/phê duyệt hoặc thông báo trước cho cập nhật phần mềm đi ngược tính “kịp thời” của bản vá.
Với yêu cầu lưu log tối thiểu 12 tháng trên thiết bị, MAIT cho rằng nhiều máy không đủ dung lượng để chứa các log này, khiến yêu cầu khó đáp ứng. Theo tường thuật, MAIT đã đề nghị bộ liên quan loại bỏ đề xuất; chi tiết được nhắc tới trong tài liệu và nguồn am hiểu trực tiếp.
Chính phủ nói vẫn đang tham vấn và “còn sớm để diễn giải”
Phía chính phủ khẳng định sẽ xem xét các lo ngại chính đáng của doanh nghiệp, đồng thời cho rằng còn quá sớm để kết luận ý nghĩa cuối cùng của đề xuất khi quá trình trao đổi vẫn diễn ra.
S. Krishnan, Thư ký CNTT, cho biết các quan ngại hợp lệ của ngành sẽ được tiếp nhận “với tinh thần cởi mở” và nhận định “còn quá sớm để đọc thêm vào việc này”. Một phát ngôn viên bộ liên quan từ chối bình luận thêm, nói rằng tham vấn với các công ty công nghệ về các đề xuất vẫn đang tiếp diễn.
Thông tin tham chiếu bổ sung về hồ sơ đề xuất và phản hồi ngành: xem bài liên quan.
Những câu hỏi thường gặp
“Indian Telecom Security Assurance Requirements” là gì?
Đây là bộ yêu cầu an ninh viễn thông do Ấn Độ đề xuất cho smartphone, gồm 83 tiêu chuẩn nhằm tăng bảo vệ dữ liệu người dùng và giảm rủi ro lỗ hổng bị khai thác trong bối cảnh gian lận, tấn công mạng gia tăng.
Vì sao yêu cầu tiết lộ mã nguồn gây tranh cãi?
Các hãng lo ngại việc cung cấp mã nguồn độc quyền cho phòng thí nghiệm do chính phủ chỉ định có thể làm lộ bí mật thương mại và chi tiết kỹ thuật nhạy cảm, trong khi họ cho rằng nhiều thị trường lớn không áp dụng yêu cầu tương tự.
Những thay đổi nào ảnh hưởng trực tiếp đến người dùng điện thoại?
Đề xuất có thể tác động đến quyền truy cập camera/micro/vị trí khi ứng dụng chạy nền, tăng cảnh báo nhắc rà soát quyền, yêu cầu quét malware định kỳ, hiển thị cảnh báo khi thiết bị bị root/jailbreak, và cho phép xóa một số ứng dụng cài sẵn (trừ ứng dụng thiết yếu).
Tại sao việc lưu log bảo mật 12 tháng bị cho là khó thực hiện?
MAIT cho rằng nhiều thiết bị không đủ dung lượng để lưu nhật ký kiểm toán bảo mật (cài đặt ứng dụng và log hệ thống) trên máy trong thời gian dài như vậy, nên yêu cầu này có thể không khả thi ở quy mô lớn.
Chính phủ Ấn Độ phản hồi thế nào trước phản đối của doanh nghiệp?
Thư ký CNTT S. Krishnan nói các lo ngại hợp lệ sẽ được xem xét với tinh thần cởi mở và cho rằng còn sớm để diễn giải sâu. Phía bộ liên quan cho biết quá trình tham vấn với các công ty công nghệ vẫn đang tiếp diễn.