АРПП «Отечественный софт» направила ФСТЭК письмо с предложением создать критерии доверенности для мобильных операционных систем на базе Android, используемых на объектах КИИ и в госкорпорациях.
Основная причина обращения — выявленные в ходе анализа риски, связанные с использованием в КИИ и госсекторе операционных систем, разработанных на базе Android Open Source Project (AOSP; проект операционной системы с открытым исходным кодом, поддерживаемый Google).
Среди основных рисков эксперты Комитета АРПП по развитию экосистемы российских мобильных продуктов выделяют:
- Отсутствие регулярных обновлений безопасности
Устройства на базе AOSP могут оказаться уязвимыми перед внешними киберугрозами, так как такие ОС получают обновления безопасности нерегулярно, что создает дополнительные риски для критической инфраструктуры.
- Сборка на зарубежных серверах
Если операционная система компилируется на серверах за пределами России, это повышает вероятность наличия уязвимостей или вредоносного кода, что недопустимо в условиях работы с критически важной инфраструктурой.
- Риски конфиденциальности и безопасности данных
Встроенные сервисы Google или другие компоненты AOSP могут угрожать защите данных, особенно когда речь идет о государственных информационных системах и объектах КИИ.
- Лицензионные и репутационные риски
Использование AOSP без согласования с Google может привести к нарушению лицензионных соглашений, что, в свою очередь, способно вызвать юридические и репутационные проблемы для организаций.
Как отметил Олег Карпицкий, глава комитета по развитию экосистемы российских мобильных продуктов АРПП «Отечественный софт», генеральный директор «НТЦ ИТ РОСА», перечисленные риски касаются исключительно мобильных ОС и не затрагивают десктопные решения, в том числе, операционные системы на базе Linux.
Проблемы AOSP обусловлены их моделью разработки и распространения: они не являются полностью open-source и выпускаются корпорацией Google лишь раз в год, что ограничивает возможности для их безопасного и легитимного использования в России.
В Ассоциации считают, что окончательное решение о доверенности таких систем должен принимать специализированный орган, в частности, ФСТЭК. Введение новых критериев позволит минимизировать риски и создать более безопасные условия для работы КИИ и государственных структур.