Ассоциация разработчиков софта предложила создать критерии доверенности для мобильных ОС на базе Android, используемых на критической инфраструктуре
Российская ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» предложила установить критерии доверенности для мобильных операционных систем, созданных на основе Android Open Source Project (AOSP), при использовании их в объектах критической информационной инфраструктуры и для госкорпораций. Основная цель этого предложения — минимизировать риски, связанные с безопасностью и конфиденциальностью данных на таких платформах.
Главные риски, связанные с AOSP, заключаются в отсутствии регулярных обновлений безопасности, возможном размещении сборок на зарубежных серверах, рисках утечек данных из-за встроенных сервисов Google и лицензионных рисках при использовании AOSP без согласования с американской корпорацией. Эти проблемы, по мнению АРПП, могут угрожать безопасности критической инфраструктуры, включая объекты энергетики, финансов, транспорта и связи, а также государственные информационные системы.
Согласно мнению экспертов, в том числе главы комитета АРПП по экосистемам российских мобильных продуктов Олега Карпицкого, эти риски особенно актуальны для систем, работающих в условиях повышенных требований безопасности. Карпицкий также подчеркнул, что риски возникают из-за особенностей модели разработки AOSP, где не предусмотрена система постоянных обновлений безопасности, а сам процесс разработки имеет ограничения. Для решения этих проблем АРПП предложила внести изменения в регулирование и создать новые критерии доверенности операционных систем, основанных на AOSP, для использования в таких сферах.
Представители компаний, разрабатывающих операционные системы на базе AOSP в России, таких как Yadro (KvadraOS), «Ред софт» («РЕД ОС М») и «Атол» (ATOL OS), поддерживают введение критериев для повышения безопасности. Например, «РЕД ОС М» уже полностью соответствует заявленным требованиям, так как разработка и сборка системы осуществляется в России, без использования иностранных сервисов, и она поддерживает российские средства защиты информации.
Некоторые эксперты отмечают, что основной риск заключается в недостаточной квалификации специалистов, которые могут не заметить вредоносный код в системе. В свою очередь, специалисты по разработке ATOL OS подчеркнули, что их система предлагает возможность полного отключения Google Mobile Services, что повышает безопасность устройств, а также позволяет гибко настраивать политики безопасности, что важно для объектов критической инфраструктуры.
Введение новых критериев доверенности для AOSP-систем может значительно повысить безопасность при их использовании в госинформсистемах и на объектах критической инфраструктуры, минимизируя возможные угрозы.
Читайте материалы по теме:
Российские госкомпании могут обязать полностью перейти на отечественное ПО
Замена Microsoft: российский РЕД СОФТ рассказал о планах на будущее