நிறுவனங்களிடமிருந்து மூலக் குறியீட்டுத் தரவை அரசாங்கம் கோருவதில் உள்ள சிக்கல் என்ன? மூலக்குறியீடு என்றால் என்ன, நிறுவனங்கள் ஏன் அதற்கான அணுகலை வழங்க விரும்பவில்லை? குறியீட்டை (Code) ஆய்வு செய்ய அனுமதிப்பது, பாதுகாப்பு மீறல்கள் மற்றும் இணைய தாக்குதல்களின் அபாயத்தை அதிகரிக்குமா? இந்த விவகாரத்தில் அரசாங்கத்தின் நிலைப்பாடு என்ன?
ராய்ட்டர்ஸ் (Reuters) செய்தி நிறுவனத்தின் தகவல்படி, திறன்பேசி தயாரிப்பாளர்கள் தங்கள் மூலக் குறியீடு (Source Code) ஆய்வுக்காக மூன்றாவது தரப்பு சோதனை நிறுவனங்களுடன் பகிர வேண்டும் என்ற புதிய விதிகளை இந்திய அரசு பரிசீலித்து வருகிறது. மேலும், பயனர்களுக்குப் பெரிய அளவிலான மென்பொருள் மேம்படுத்தல்களை (Software updates) வெளியிடுவதற்கு முன்பு, நிறுவனங்கள் அது குறித்து அரசுக்குத் தெரிவிக்க வேண்டும் என்றும் அந்தச் செய்தியில் கூறப்பட்டுள்ளது. இருப்பினும், ஒன்றிய அரசு இந்தத் தகவல்களை மறுத்துள்ளது. தாங்கள் மூலக் குறியீடு தகவல்களை கேட்கவில்லை என்றும், இது தொடர்பான விவாதங்கள் தவறாகச் சித்தரிக்கப்படுவதாகவும் அரசு விளக்கம் அளித்துள்ளது குறிப்பிடத்தக்கது.
மூலக் குறியீடு என்றால் என்ன?
மூலக் குறியீடு (Source code) என்பது ஒரு மென்பொருள் இயங்குவதற்குத் தேவையான கட்டளைகள் மற்றும் டிஜிட்டல் தகவல்களின் தொகுப்பாகும். ஆண்ட்ராய்டு போன்களுக்கான சில குறியீடுகள் ஆரம்பத்திலிருந்தே எல்லாருக்கும் கிடைக்கும் வகையில் (Open source) இருந்தாலும், போன் தயாரிக்கும் நிறுவனங்கள் அதில் பல மாற்றங்களையும் புதிய வசதிகளையும் சேர்க்கின்றன. ஒவ்வொரு நிறுவனமும் தாங்கள் செய்த அந்தத் தொழில்நுட்ப மாற்றங்களை மிகவும் ரகசியமாகப் பாதுகாக்கும். இந்தக் குறியீடுகள் வணிகரீதியான காரணங்களுக்காக மட்டுமல்லாமல், பாதுகாப்புக் காரணங்களுக்காகவும் ரகசியமாக வைக்கப்படுகின்றன. ஒரு மென்பொருள் உள்ளுக்குள் எப்படி வேலை செய்கிறது என்பதைத் தாக்குதல் நடத்துபவர்கள் முழுமையாகத் தெரிந்துகொண்டால், அதில் உள்ள பலவீனங்களைக் கண்டுபிடித்துத் திருட முயல்வார்கள் என்றும் இது தகவல்கள் திருடப்படுவதற்கும் பிற இணைய தாக்குதல்களுக்கும் வழிவகுக்கும் என்று தெரிவிக்கின்றனர்.
இப்படிப்பட்ட கோரிக்கை ஏன் சர்ச்சைக்குரியது?
ஒரு நிறுவனம் தனது ரகசிய மென்பொருள் குறியீட்டை (Source Code) வெளிநபர்களுடன் பகிர்ந்து கொள்வது என்பது மிகவும் அரிதான ஒன்று. பாதுகாப்புத் துறை போன்ற மிக முக்கியமான துறைகளில் மட்டுமே, அதுவும் ஒரு சில நாடுகளில் மட்டுமே இது நடக்கும். உதாரணமாக, ஆப்பிள் நிறுவனம் சீன அரசாங்கத்தின் சட்டப்பூர்வ கோரிக்கைகளுக்கு ஏற்ப, அங்குள்ள பயனர்களின் தரவுகளை எளிதாக அணுக அனுமதி அளித்துள்ளதே தவிர, தனது மென்பொருள் ரகசிய குறியீட்டை இதுவரை அவர்களுடன் பகிர்ந்து கொள்ளவில்லை.
அரசாங்கம் விமர்சனங்களைச் சந்தித்த உடனேயே இந்த அறிக்கைகள் வெளியாகியுள்ளன. சில வாரங்களுக்கு முன்பு, 'சஞ்சார் சாதி' (Sanchar Saathi) என்ற ஸ்பேம்-புகார் செயலியை (spam-reporting app) ஸ்மார்ட்போன்களில் முன்கூட்டியே நிறுவுமாறு (pre-install) ஸ்மார்ட்போன் தயாரிப்பாளர்களுக்கு தொலைத்தொடர்பு துறை (Department of Telecommunications (DoT)) உத்தரவிட்டது. இதற்கு அரசியல் ரீதியாகவும் பொதுமக்களிடமிருந்தும் கடும் எதிர்ப்பு கிளம்பியது. இந்தச் செயலி தங்களைக் கண்காணிக்க பயன்படுத்தப்படலாம் என்றும், அல்லது முடக்குநர்களால் (Hackers) பாதுகாப்பிற்கு அச்சுறுத்தல் ஏற்படலாம் என்றும் பலர் அஞ்சினர். மேலும், இது போன்ற கோரிக்கைகளை உலகளாவிய திறன்பேசி நிறுவனங்கள் பொதுவாக ஏற்றுக்கொள்வதில்லை.
நிறுவனங்கள் தங்களது மென்பொருள் குறியீட்டை (Source Code) வெளிப்படுத்த வேண்டும் என்று கட்டாயப்படுத்துவது இன்னும் கூடுதல் பாதிப்பை ஏற்படுத்தும். ஏனெனில், இது தங்களின் முழுமையான தொழில்நுட்ப ரகசியங்களை
ஒரு வெளி நபரிடம் ஒப்படைக்க அவர்களை வற்புறுத்துவது போல் அமையும் என்கின்றனர். இணைய தாக்குதல் நடத்துபவர்கள், பொதுவாக ஒரு கணினி அமைப்பில் வெளியில் இருந்து பார்க்கும்போதே தெரியக்கூடிய பலவீனங்களைத்தான் பயன்படுத்துவார்கள். அப்படி இருக்கும்போது, உள்முகக் குறியீடுகளுக்கே (Internal Code) அவர்களுக்கு அனுமதி கிடைத்தால், அந்தப் பலவீனங்களைக் கண்டறிவது அவர்களுக்கு இன்னும் எளிதாகிவிடும். குறிப்பாக, அந்தப் மென்பொருள் இயங்கும்விதம் குறித்த விரிவான தகவல்கள் அந்தக் குறியீட்டில் இருந்தால், ஆபத்து இன்னும் அதிகமாகும். இதன் காரணமாகத்தான், ஆண்ட்ராய்டு (Android) போன்ற திறந்தநிலை மென்பொருட்களை (Open-source) அடிப்படையாகக் கொண்ட மொபைல் இயங்குதளங்கள்கூட, அவற்றின் செயல்பாடுகள் குறித்த அனைத்து விவரங்களையும் பொதுவெளியில் வெளியிடுவதில்லை என்று கூறப்படுகிறது.
இந்திய அரசு, மென்பொருளின் குறியீடுகளை பொதுவெளியில் பகிரவேண்டும் என்று கட்டாயப்படுத்துகிறதா?
2023-ஆம் ஆண்டில், தொலைத்தொடர்புத் துறையின்கீழ் (DoT) இயங்கும் தேசிய தகவல் தொடர்பு பாதுகாப்பு மையம் (National Centre for Communication Security (NCSS)), நுகர்வோர் சாதனங்களுக்கான 'இந்தியத் தொலைத்தொடர்பு பாதுகாப்பு உறுதித் தேவை' (Indian Telecom Security Assurance Requirement (ITSAR)) என்ற ஆவணத்தை இறுதி செய்தது. இந்த 'இந்தியத் தொலைத்தொடர்பு பாதுகாப்பு உறுதித் தேவை' (Indian Telecom Security Assurance Requirement (ITSAR)) என்பது தொழில்நுட்பத் தரநிலைகளைக் குறிக்கும். இந்தியாவில் தொலைத்தொடர்பு சாதனங்களை இறக்குமதி செய்வதற்குத் தேவையான 'தொலைத்தொடர்பு உபகரணங்களின் கட்டாய சோதனை மற்றும் சான்றிதழ்' (Mandatory Testing and Certification of Telecommunication Equipment (MTCTE)) முறையின்கீழ் இந்தத் தரநிலைகள் பயன்படுத்தப்படுகின்றன.
இந்திய தந்தி (திருத்தப்பட்ட) விதிகள், 2017-ன்கீழ் தொலைத்தொடர்பு சாதனங்களுக்கான கட்டாய சோதனை மற்றும் சான்றிதழ் (MTCTE) முறை அறிமுகப்படுத்தப்பட்டது. இருப்பினும், தொலைத்தொடர்பு சட்டம் 2023 நிறைவேற்றப்பட்டபிறகு, ஸ்மார்ட்போன்களுக்கு இந்த தொலைத்தொடர்பு சாதனங்களுக்கான கட்டாய சோதனை மற்றும் சான்றிதழ் சோதனையிலிருந்து விலக்கு அளிக்க தொலைத்தொடர்புத் துறையும் (DoT), மின்னணு மற்றும் தகவல் தொழில்நுட்ப அமைச்சகமும் (Ministry of Electronics and Information Technology (MeitY)) முடிவு செய்துள்ளன. ஏனெனில், ஸ்மார்ட்போன்கள் ஏற்கனவே இந்திய தர நிர்ணய அமைப்பால் சான்றளிக்கப்படுகின்றன. பொறுப்பு மாற்றம்: இது தொடர்பான பொறுப்பு தற்போது தகவல் தொழில்நுட்ப அமைச்சகத்திடம் ஒப்படைக்கப்பட்டுள்ளதாகவும், தொலைத்தொடர்புத் துறை நிறுத்திய இடத்திலிருந்து ஆலோசனைகள் தொடர்வதாகவும் மின்னணு மற்றும் தகவல் தொழில்நுட்ப அமைச்சகத்தின் (MeitY) உயரதிகாரி ஒருவர் தெரிவித்தார். இந்த விவகாரத்தில் அரசு திறந்த மனதுடன் இருப்பதாகவும், நாடு மற்றும் நுகர்வோரின் நலனைக் கருத்தில் கொண்டு உரிய முடிவு எடுக்கப்படும் என்றும் மின்னணு மற்றும் தகவல் தொழில்நுட்ப அமைச்சகம் (MeitY) கூறியுள்ளது. ஸ்மார்ட்போன் நிறுவனங்களைப் பிரதிநிதித்துவப்படுத்தும் இந்திய செல்லுலார் மற்றும் மின்னணுவியல் சங்கம் (India Cellular and Electronics Association (ICEA)), இந்தப் பேச்சுவார்த்தைகள் ஒரு பெரிய விஷயம் அல்ல என்றும் கூறியுள்ளது.
இணைய உரிமைகளுக்காகச் செயல்படும் இணைய சுதந்திர அறக்கட்டளை (Internet Freedom Foundation (IFF)) என்ற அமைப்பு இந்தக் கருத்தை ஏற்கவில்லை. அரசின் கூட்டங்கள் வெளிப்படைத்தன்மையுடன் நடைபெறவில்லை என்றும், இந்தியத் தொலைத்தொடர்பு பாதுகாப்பு உறுதித் தேவை (ITSAR) ஆவணங்கள் இன்னும் பொதுவெளியில் (இணையத்தில்) கிடைக்கின்றன என்றும் அந்த அமைப்பு சுட்டிக்காட்டியுள்ளது.
இந்த முன்மொழிவுகள் எதுவும் இல்லை என்று அரசாங்கம் கூறினால், அது தொடர்பான ஆவணங்கள் இன்னும் ஏன் அதன் இணையதளத்தில் உள்ளன என்பதை விளக்க வேண்டும் மற்றும் அந்த ஆலோசனைக் கூட்டங்களின் குறிப்புகளையும் வெளியிட வேண்டும் என்று இணைய சுதந்திர அறக்கட்டளை (IFF) அமைப்பானது தெரிவித்துள்ளது.
பெரிய தொழில்நுட்ப நிறுவனங்களுடன் மூடிய அறைக்குள் நடத்தப்படும் ஆலோசனைகளோடு மட்டும் இந்த விவகாரம் நின்றுவிடக் கூடாது என்று இணைய சுதந்திர அறக்கட்டளை (Internet Freedom Foundation) கூறியுள்ளது. இறுதி விதிகள் இன்னும் உருவாக்கப்படவில்லை என்றால், அரசு உடனடியாக இந்தியத் தொலைத்தொடர்பு பாதுகாப்பு உறுதித் தேவை (Indian Telecom Security Assurance
Requirement (ITSAR) வரைவு அறிக்கையை பொதுமக்களின் பார்வைக்கு வெளியிட வேண்டும் என்றும், வெளிப்படையான பொது ஆலோசனைகள் மூலம் இதில் நம்பகத்தன்மையை உறுதி செய்ய வேண்டும் என்றும் வலியுறுத்தியுள்ளது.
Original Article : Is the government seeking phones’ source code? -Aroon Deep