La Asociación Rusa de Desarrolladores de Productos de Software (АРПП) «Software Nacional» propuso establecer criterios de confianza para los sistemas operativos móviles, creados sobre la base de Android Open Source Project (AOSP), al utilizarlos en objetos de infraestructura crítica de información y para corporaciones estatales. El objetivo principal de esta propuesta es minimizar los riesgos relacionados con la seguridad y la confidencialidad de los datos en dichas plataformas.
Los principales riesgos relacionados con AOSP radican en la falta de actualizaciones de seguridad regulares, la posible ubicación de compilaciones en servidores extranjeros, los riesgos de fuga de datos debido a los servicios integrados de Google y los riesgos de licencia al utilizar AOSP sin la aprobación de la corporación estadounidense. Estos problemas, según АРПП, pueden amenazar la seguridad de la infraestructura crítica, incluidos los objetos de energía, finanzas, transporte y comunicaciones, así como los sistemas de información estatales.
Según la opinión de los expertos, incluido el jefe del comité de АРПП sobre ecosistemas de productos móviles rusos, Oleg Karpitsky, estos riesgos son especialmente relevantes para los sistemas que operan en condiciones de altos requisitos de seguridad. Karpitsky también destacó que los riesgos surgen debido a las características del modelo de desarrollo de AOSP, donde no se prevé un sistema de actualizaciones de seguridad constantes, y el proceso de desarrollo en sí tiene limitaciones. Para solucionar estos problemas, АРПП propuso realizar cambios en la regulación y crear nuevos criterios de confianza para los sistemas operativos basados en AOSP, para su uso en tales áreas.
Representantes de empresas que desarrollan sistemas operativos basados en AOSP en Rusia, como Yadro (KvadraOS), «Ред софт» («РЕД ОС М») y «Атол» (ATOL OS), apoyan la introducción de criterios para mejorar la seguridad. Por ejemplo, «РЕД ОС М» ya cumple totalmente con los requisitos declarados, ya que el desarrollo y la compilación del sistema se llevan a cabo en Rusia, sin utilizar servicios extranjeros, y es compatible con los medios rusos de protección de la información.
Algunos expertos señalan que el principal riesgo radica en la insuficiente cualificación de los especialistas, que pueden no notar código malicioso en el sistema. A su vez, los especialistas en el desarrollo de ATOL OS destacaron que su sistema ofrece la posibilidad de desactivar completamente Google Mobile Services, lo que aumenta la seguridad de los dispositivos, y también permite configurar de forma flexible las políticas de seguridad, lo cual es importante para los objetos de infraestructura crítica.
La introducción de nuevos criterios de confianza para los sistemas AOSP puede aumentar significativamente la seguridad al utilizarlos en sistemas de información estatales y en objetos de infraestructura crítica, minimizando las posibles amenazas.
Lea materiales sobre el tema:
Las empresas estatales rusas pueden estar obligadas a cambiar por completo al software nacional
Reemplazo de Microsoft: la empresa rusa РЕД СОФТ habló sobre sus planes para el futuro
