АРПП предложила ФСТЭК создать критерии доверенности для мобильных ОС на базе Android

27.11.2024

АРПП «Отечественный софт» направила ФСТЭК письмо с предложением создать критерии доверенности для мобильных операционных систем на базе Android, используемых на объектах КИИ и в госкорпорациях.

Основная причина обращения — выявленные в ходе анализа риски, связанные с использованием в КИИ и госсекторе операционных систем, разработанных на базе Android Open Source Project (AOSP; проект операционной системы с открытым исходным кодом, поддерживаемый Google).

Среди основных рисков эксперты Комитета АРПП по развитию экосистемы российских мобильных продуктов выделяют:

  • Отсутствие регулярных обновлений безопасности

Устройства на базе AOSP могут оказаться уязвимыми перед внешними киберугрозами, так как такие ОС получают обновления безопасности нерегулярно, что создает дополнительные риски для критической инфраструктуры.

  • Сборка на зарубежных серверах

Если операционная система компилируется на серверах за пределами России, это повышает вероятность наличия уязвимостей или вредоносного кода, что недопустимо в условиях работы с критически важной инфраструктурой.

  • Риски конфиденциальности и безопасности данных

Встроенные сервисы Google или другие компоненты AOSP могут угрожать защите данных, особенно когда речь идет о государственных информационных системах и объектах КИИ.

  • Лицензионные и репутационные риски

Использование AOSP без согласования с Google может привести к нарушению лицензионных соглашений, что, в свою очередь, способно вызвать юридические и репутационные проблемы для организаций.

Как отметил Олег Карпицкий, глава комитета по развитию экосистемы российских мобильных продуктов АРПП «Отечественный софт», генеральный директор «НТЦ ИТ РОСА», перечисленные риски касаются исключительно мобильных ОС и не затрагивают десктопные решения, в том числе, операционные системы на базе Linux.

Проблемы AOSP обусловлены их моделью разработки и распространения: они не являются полностью open-source и выпускаются корпорацией Google лишь раз в год, что ограничивает возможности для их безопасного и легитимного использования в России.

В Ассоциации считают, что окончательное решение о доверенности таких систем должен принимать специализированный орган, в частности, ФСТЭК. Введение новых критериев позволит минимизировать риски и создать более безопасные условия для работы КИИ и государственных структур.



Компании, упомянутые в новости:  НТЦ ИТ РОСА
Ссылка:  Письмо В.В. Селину
Ссылка на PDF:  Загрузить