Российская ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» предложила установить критерии доверенности для мобильных операционных систем, созданных на основе Android Open Source Project (AOSP), при использовании их в объектах критической информационной инфраструктуры и для госкорпораций. Основная цель этого предложения — минимизировать риски, связанные с безопасностью и конфиденциальностью данных на таких платформах.
Главные риски, связанные с AOSP, заключаются в отсутствии регулярных обновлений безопасности, возможном размещении сборок на зарубежных серверах, рисках утечек данных из-за встроенных сервисов Google и лицензионных рисках при использовании AOSP без согласования с американской корпорацией. Эти проблемы, по мнению АРПП, могут угрожать безопасности критической инфраструктуры, включая объекты энергетики, финансов, транспорта и связи, а также государственные информационные системы.
Согласно мнению экспертов, в том числе главы комитета АРПП по экосистемам российских мобильных продуктов Олега Карпицкого, эти риски особенно актуальны для систем, работающих в условиях повышенных требований безопасности. Карпицкий также подчеркнул, что риски возникают из-за особенностей модели разработки AOSP, где не предусмотрена система постоянных обновлений безопасности, а сам процесс разработки имеет ограничения. Для решения этих проблем АРПП предложила внести изменения в регулирование и создать новые критерии доверенности операционных систем, основанных на AOSP, для использования в таких сферах.
Представители компаний, разрабатывающих операционные системы на базе AOSP в России, таких как Yadro (KvadraOS), «Ред софт» («РЕД ОС М») и «Атол» (ATOL OS), поддерживают введение критериев для повышения безопасности. Например, «РЕД ОС М» уже полностью соответствует заявленным требованиям, так как разработка и сборка системы осуществляется в России, без использования иностранных сервисов, и она поддерживает российские средства защиты информации.
Некоторые эксперты отмечают, что основной риск заключается в недостаточной квалификации специалистов, которые могут не заметить вредоносный код в системе. В свою очередь, специалисты по разработке ATOL OS подчеркнули, что их система предлагает возможность полного отключения Google Mobile Services, что повышает безопасность устройств, а также позволяет гибко настраивать политики безопасности, что важно для объектов критической инфраструктуры.
Введение новых критериев доверенности для AOSP-систем может значительно повысить безопасность при их использовании в госинформсистемах и на объектах критической инфраструктуры, минимизируя возможные угрозы.
Читайте материалы по теме:
Российские госкомпании могут обязать полностью перейти на отечественное ПО
Замена Microsoft: российский РЕД СОФТ рассказал о планах на будущее