Безопасность превыше всего: ТЭК и госсектор могут отказаться от Android

АРПП предлагает критерии доверенности для AOSP в российских госструктурах.

Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» предложила описать критерии доверенности мобильных операционных систем, разработанных на базе Android Open Source Project (AOSP) и предназначенных для объектов критической информационной инфраструктуры и госкорпораций. Проект AOSP представляет собой операционную систему с открытым исходным кодом, поддерживаемую Google. Письмо с таким предложением направлено в Федеральную службу по техническому и экспортному контролю (ФСТЭК), сообщил источник РБК, знакомый с содержанием письма. Информацию подтвердил Олег Карпицкий, глава комитета АРПП по развитию экосистемы российских мобильных продуктов и гендиректор НТЦ ИТ «РОСА».

К критической информационной инфраструктуре (КИИ) относятся сети связи и информационные системы государственных органов, а также предприятий энергетической, финансовой, транспортной и других отраслей. По словам Карпицкого, анализ показал несколько ключевых рисков при использовании AOSP, что стало причиной обращения:

• Отсутствие регулярных обновлений безопасности. Устройства на базе AOSP могут быть уязвимы перед киберугрозами, так как обновления безопасности для таких операционных систем выпускаются нерегулярно. Это создает дополнительные угрозы для КИИ.
• Сборка на зарубежных серверах. Компиляция системы за пределами России увеличивает вероятность наличия уязвимостей или вредоносного кода, что недопустимо при работе с критической инфраструктурой.
• Риски конфиденциальности и безопасности данных. Встроенные сервисы Google или другие компоненты AOSP могут угрожать защите данных, особенно в случае государственных информационных систем и объектов критической инфраструктуры.
• Лицензионные и репутационные риски. Использование AOSP без согласования с Google может привести к нарушению лицензионных соглашений, что повлечет юридические и репутационные проблемы.

Карпицкий отметил, что указанные риски касаются только мобильных операционных систем и не затрагивают десктопные решения, в том числе операционные системы на базе Linux. По его словам, AOSP имеет ограничения в своей модели разработки и распространения, что создает дополнительные сложности для безопасного использования в России. Окончательное решение о доверенности таких систем должен принимать ФСТЭК. Он уверен, что внедрение новых критериев позволит минимизировать риски и создать более безопасные условия для работы критически важной инфраструктуры и госструктур.

В России операционные системы на базе AOSP разрабатывают несколько компаний, включая Yadro (KvadraOS), «Ред софт» («РЕД ОС М») и «Атол» (ATOL OS). В феврале 2024 года группа компаний «Аквариус» начала работу над собственной ОС на базе AOSP.

По данным РБК, система «Ред софт» применяются в ограниченных объемах в региональных госорганах и МЧС. В то же время владельцы объектов КИИ, включая операторов связи и банки, пока не проявляют интереса к российским решениям. Их не заставляют переходить на отечественные разработки.

Эксперты рассказали, что владельцы критической информационной инфраструктуры активно используют мобильные устройства, такие как планшеты для инженерных работ. Однако неизвестно, применяются ли при этом системы, созданные на базе AOSP. Основной риск использования AOSP в России, по их мнению, — критически низкий уровень компетенции в этой системе. Вредоносный код может быть успешно скомпилирован на российских серверах, если нет специалистов, способных отличить его от безопасного.

По словам источника РБК среди разработчиков операционных систем, в целом отрасль поддерживает введение критериев и требований по возможности применения операционных систем на базе Android в госинформсистемах и на объектах критической информационной инфраструктуры. Главным риском он назвал зависимость от Google, который может прекратить выкладывать новые версии AOSP в открытый доступ, в отличие от сообщества Linux.

Согласно платформе «Тендерплан», устройства с «РЕД ОС М» и KvadraOS закупали в 2024 году Минцифры, Минсельхоз Красноярского края, Центральная база измерительной техники МЧС, Налоговая служба и другие госучреждения. Представители Yadro, «Лаборатории Касперского», «Астры», «Открытой мобильной платформы» и Минцифры отказались от комментариев.