Бизнес предложил убрать операционки на базе Android из госсектора и ТЭКа
В чем опасность таких системАссоциация разработчиков программных продуктов (АРПП) «Отечественный софт» предложила описать критерии доверенности мобильных операционных систем, разработанных на базе Android Open Source Project (AOSP; проект операционной системы с открытым исходным кодом, поддерживаемый Google) и предназначенных для объектов критической информационной инфраструктуры и госкорпораций. Письмо с таким предложением АРПП направила в Федеральную службу по техническому и экспортному контролю (ФСТЭК), рассказал РБК источник, знакомый с его содержанием, и подтвердил Олег Карпицкий, глава комитета АРПП по развитию экосистемы российских мобильных продуктов, гендиректор НТЦ ИТ «РОСА».
К критической информационной инфраструктуре относятся сети связи и информсистемы госорганов, энергетических, финансовых, транспортных и ряда других компаний. Причина обращения, по словам Карпицкого, выявленные в ходе анализа риски, связанные с использованием AOSP:
- отсутствие регулярных обновлений безопасности: устройства на базе AOSP могут оказаться уязвимыми перед внешними киберугрозами, так как такие ОС получают обновления безопасности нерегулярно, что создает дополнительные риски для критической инфраструктуры;
- сборка на зарубежных серверах: если операционная система компилируется на серверах за пределами России, это повышает вероятность наличия уязвимостей или вредоносного кода, что недопустимо в условиях работы с критически важной инфраструктурой;
- риски конфиденциальности и безопасности данных: встроенные сервисы Google или другие компоненты AOSP могут угрожать защите данных, особенно когда речь идет о государственных информсистемах и объектах критической инфраструктуры;
- лицензионные и репутационные риски: использование AOSP без согласования с Google может привести к нарушению лицензионных соглашений, что, в свою очередь, способно вызвать юридические и репутационные проблемы для организаций.
Перечисленные риски касаются исключительно мобильных операционных систем и не затрагивают десктопные решения, в том числе операционные системы на базе Linux, подчеркнул Карпицкий в разговоре с РБК. Он отметил, что AOSP имеет ограничения в своей модели разработки и распространения, что создает дополнительные сложности для безопасного использования в России. Окончательное решение о доверенности таких систем должен принимать специализированный орган, в частности ФСТЭК, который отвечает за безопасность критической информационной инфраструктуры. Карпицкий уверен, что внедрение новых критериев позволит минимизировать риски и создать более безопасные условия для работы критически важной инфраструктуры и госструктур.
РБК направил запрос во ФСТЭК.
Кого могут коснуться изменения
Разработкой операционных систем на базе AOSP в России занимаются компании Yadro (продукт — KvadraOS), «Ред софт» («РЕД ОС М») и «Атол» (ATOL OS). В феврале ГК «Аквариус» начала работу над своей операционной системой на AOSP.
По словам источника РБК, система «Ред софт» установлена в некоторых региональных госорганах и МЧС, но в небольших объемах. Он отметил, что владельцы объектов критической информационной инфраструктуры, включая операторов связи и банки, пока не проявляют интереса к российским решениям, их не заставляют переходить на отечественные разработки.
Сооснователь и замгендиректора Postgres Professional Иван Панченко говорит, что владельцы критической информационной инфраструктуры активно используют мобильные операционные системы. «Это может быть путевой обходчик с планшетом, инженер, обслуживающий трубопровод и реактор», — пояснил эксперт. Но используют ли они операционки, созданные на базе AOSP, ему неизвестно. Основной риск использования AOSP в России, по мнению Панченко, — критически низкий уровень компетенции в этой системе. Вредоносный код, по его словам, может быть успешно скомпилирован на российских серверах, если нет специалистов, способных отличить его от безопасного.
Как посчитала для РБК электронная площадка тендеров, торгов и госзакупок «Тендерплан», в 2024 году устройства с операционными системами «РЕД ОС М» и/или KvadraOS закупали Минцифры и Минсельхоз Красноярского края, Аналитический центр Пермского края, Центральная база измерительной техники МЧС, Главный научный инновационный вычислительный центр Налоговой службы, Центр по обеспечению деятельности Казначейства России, Республиканский исследовательский научно-консультационный центр экспертиз, челябинское судебно-экспертное учреждение Минюста, военное следственное управление Следственного комитета Ростовской области и др.
Источник РБК среди разработчиков операционных систем говорит, что в целом отрасль поддерживает введение критериев и требований по возможности применения операционных систем на базе Android в госинформсистемах и на объектах критической информационной инфраструктуры. По его словам, главный риск в том, что AOSP разрабатывает не сообщество, а Google — коммерческая компания, которая «в любой момент может прекратить выкладывать новые версии в open source (открытый исходный код. — РБК) в отличие от сообщества Linux».
«РЕД ОС М» полностью соответствует заявленным АРПП критериям, заявил РБК исполнительный директор «Ред софта» Михаил Толпышкин. Он подчеркнул, что вся разработка и сборка этой системы осуществляется в России в закрытом контуре. Он заверил, что «РЕД ОС М» создавалась на базе нескольких открытых проектов и не содержит сервисов, использующих зарубежные облака, а для защиты данных пользователей поддерживает работу российских средств защиты информации и средств криптографической защиты информации.
Операционная система ATOL OS полностью соответствует критериям, которые предлагает ввести АРПП, заявил РБК директор продукта ATOL OS Дмитрий Русаков. По его словам, продукт включает в себя базовые функции AOSP, также он дополнен необходимыми модификациями и доработками для обеспечения высокой эффективности, надежности и безопасности работы устройств на территории России. Сборки ATOL OS, по его словам, производятся на собственных серверах компании и проходят необходимый аудит угроз безопасности. Процесс контролируется командой российских разработчиков.
Также операционка предоставляет возможность полного отключения Google Mobile Services, что делает устройства менее уязвимыми к внешним воздействиям и дает возможность гибкой настройки пользователями политик безопасности с учетом их требований, в том числе и для критической инфраструктуры, говорит Русаков.
Представители Yadro, «Лаборатории Касперского», «Астры», «Открытой мобильной платформы» и Минцифры отказались от комментариев. РБК направил запрос в «Атол».
Читайте РБК в Telegram.