ทำไมซอร์สโค้ดมือถือกลายเป็นประเด็นความปลอดภัยระดับชาติของอินเดีย

ทุกอย่างที่ทำในสมาร์ทโฟน ไม่ว่าจะเป็น แชท ถ่ายรูป เปิดแผนที่ หรือโอนเงิน ข้อมูลส่วนตัวและกิจกรรมทั้งหมด ล้วนถูกประมวลผลโดยซอฟต์แวร์ที่ซ่อนอยู่เบื้องหลังมือถือ ซึ่งระบบเหล่านี้ทำงานด้วยซอร์สโค้ด ชุดคำสั่งต้นฉบับที่นักพัฒนาสร้างขึ้น เพื่อให้ระบบและแอปฯ ทำงานได้ตามที่ออกแบบ เปรียบเสมือนโครงสร้างของระบบปฏิบัติการและซอฟต์แวร์ทั้งหมด นั่นหมายความว่าถ้าเข้าถึงได้ จะสามารถรู้ได้ว่าโปรแกรมทำงานอย่างไร เก็บข้อมูลอะไร และมีช่องโหว่ตรงไหน ทำให้ป้องกันการถูกโจมตีทางไซเบอร์ได้มากขึ้น

ตอนนี้รัฐบาลอินเดียกำลังพิจารณาแผนยกระดับความปลอดภัยสมาร์ทโฟนครั้งใหญ่ โดยเสนอร่างกฎหมายที่บังคับให้ผู้ผลิตสมาร์ทโฟนและบริษัทเจ้าของระบบปฏิบัติการอย่าง Apple, Samsung, Google, Xiaomi ส่งซอร์สโค้ดของระบบปฏิบัติการและซอฟต์แวร์ให้รัฐบาลตรวจสอบ

โดยร่างข้อเสนอดังกล่าวครอบคลุมหลายด้าน เช่น การแจ้งรัฐบาลก่อนปล่อยอัปเดตซอฟต์แวร์ครั้งใหญ่ ให้ผู้ใช้ลบแอปฯ ที่ติดมากับเครื่องได้ หรือแม้แต่การจำกัดสิทธิ์เข้าถึงกล้อง ไมโครโฟน หรือพิกัดตำแหน่งของผู้ใช้แม้แอปฯทำงานเบื้องหลัง เพราะระบบปฏิบัติการสามารถอนุญาตหรือปฏิเสธสิทธิ์เหล่านี้ได้โดยอัตโนมัติ แต่หากมีช่องโหว่ ก็อาจทำให้โปรแกรมเหล่านี้เข้าถึงผู้ใช้ได้โดยไม่รู้ตัว ทำให้รัฐมองว่าการเข้าไปดูซอร์สโค้ดจะทำให้สามารถค้นหาจุดอ่อนเหล่านี้ได้ลึกกว่าการตรวจสอบแค่ระดับแอปฯ

ทำไมอินเดียถึงต้องการคุมความปลอดภัยมือถือถึงระดับซอร์สโค้ด?

ที่ผ่านมาอินเดียโดนฉ้อโกงทางออนไลน์และการรั่วไหลของข้อมูลเพิ่มขึ้น รายงานภัยคุกคามทางไซเบอร์ของอินเดียปี 68 พบว่า อินเดียมีการตรวจจับมัลแวร์กว่า 369 ล้านครั้ง โดยอุปกรณ์ Android เป็นหนึ่งในแพลตฟอร์มที่ถูกโจมตีมากที่สุด ซึ่งภัยส่วนใหญ่ที่พบคือมัลแวร์ 42% โปรแกรมที่อาจไม่พึงประสงค์ (PUP) 32% แอดแวร์ (Adware) 26% 

ซึ่งนักวิจัยพบว่ามีแอปฯ อันตรายบน Google Play จำนวนมากกว่า 239 ตัว ที่ปลอมตัวเป็นเครื่องมือช่วยทำงานหรือแอปฯเพิ่มประสิทธิภาพ แต่จริงๆ แล้วมีมัลแวร์แฝง ที่สามารถขโมยข้อมูลสำคัญ เช่น รหัสผ่าน ข้อมูลธนาคาร ข้อมูลส่วนตัว เปิดทางให้มัลแวร์อื่นหรือผู้โจมตีเข้าควบคุมมือถือ แอบติดตามพฤติกรรมผู้ใช้ เพื่อนำไปใช้โจมตีหรือโฆษณาได้ และตั้งแต่ มิ.ย. 67 – พ.ค. 68 ซึ่งแอปฯเหล่านี้ถูกดาวน์โหลดรวมกว่า 42 ล้านครั้งทั่วโลก โดยอินเดียเป็นประเทศที่มีผู้ดาวน์โหลดมากที่สุด 

นอกจากนี้ อินเดียยังเป็นเป้าหมายอันดับหนึ่งของการโจมตีมือถือทั่วโลก คิดเป็น 26% ของเหตุการณ์โจมตีทั่วโลก ขณะที่สหรัฐอเมริกา 15% และแคนาดา 14% สะท้อนให้เห็นว่าระบบความปลอดภัยของมือถือยังมีช่องโหว่หลายจุด เลยเป็นเหตุผลที่ทำให้เกิดการเสนอร่างกฎหมายดังกล่าวขึ้น

เปิดมุมมองฝ่ายอุตสาหกรรมเทคโนโลยีต่อร่างกฎหมายนี้

Apple, Samsung, Google และ Xiaomi รวมถึงกลุ่มอุตสาหกรรม MAIT ได้ออกมาแย้งแนวคิดของรัฐบาลอินเดียหลายประเด็น เช่น การบังคับให้แจ้งรัฐบาลก่อนปล่อยอัปเดตซอฟต์แวร์ใหญ่ๆนั้นทำได้ยาก เพราะการแก้ไขช่องโหว่ต้องทำเร็วเพื่อปกป้องผู้ใช้ ความล่าช้าจากขั้นตอนรัฐบาลอาจเพิ่มความเสี่ยงให้ผู้ใช้

ส่วนการที่ให้ผู้ใช้สามารถลบแอปฯ ที่ติดมากับเครื่องได้ บริษัทต่างๆก็อ้างว่าแอปพลิเคชันจำนวนมากเป็นส่วนประกอบสำคัญของระบบที่ไม่สามารถลบออกได้ และการจำกัดสิทธิ์เข้าถึงกล้อง ไมโครโฟน หรือพิกัดของผู้ใช้ แม้แอปฯ ทำงานเบื้องหลังนั้น ผู้ผลิตมองว่าอาจทำให้แอปฯบางตัวใช้งานไม่ได้ ทำให้การใช้งานยุ่งยาก จนผู้ใช้เกิดความไม่พอใจ และนักพัฒนาต้องแก้ระบบเยอะมาก พร้อมบอกว่ามาตรการนี้เป็นแนวคิดใหม่ ที่ไม่มีประเทศไหนเคยทำมาก่อน จึงยังไม่มีแบบแผนหรือแนวทางชัดเจนให้ผู้ผลิตและนักพัฒนาปฏิบัติตาม

รวมถึงยังมีประเด็นสำคัญที่บริษัทมองว่า การบังคับให้ส่งซอร์สโค้ดให้รัฐ นั่นหมายถึงการเปิดเผยโครงสร้างของระบบทั้งหมด ซึ่งหากเกิดการรั่วไหลออกไป จะไม่ใช่แค่ความลับทางธุรกิจที่เสียหาย แต่ยังเสี่ยงไปถึงข้อมูลผู้ใช้ และลดความเชื่อมั่นในระบบอีกด้วย ซึ่งขณะนี้ ร่างกฎหมายยังอยู่ระหว่างการหารือและรับฟังความคิดเห็นจากบริษัทเทคโนโลยี โดยยังไม่มีการบังคับใช้หรือกำหนดข้อบังคับใดๆ อย่างเป็นทางการ 

แต่หากมีการบังคับใช้สำเร็จ กระบวนการนี้จะเป็นการสร้างกรอบมาตรฐานความปลอดภัยด้านมือถือ เพื่อปกป้องผู้ใช้และข้อมูลส่วนตัวในยุคที่ภัยคุกคามไซเบอร์สูงขึ้น แต่ก็ต้องทำอย่างระมัดระวังเพื่อไม่ให้กระทบต่อนวัตกรรม ความลับทางธุรกิจ และความเชื่อมั่นของผู้ใช้