Федеральная служба по техническому и экспортному контролю (ФСТЭК) фактически запретила использовать операционные системы на базе Android Open Source Project в государственных компаниях и на объектах критической информационной инфраструктуры. Риски объясняются уязвимостями таких ИТ-систем, отсутствием технической поддержки AOSP в России, недекларированными функциями, а также открытым исходным кодом проекта.
Ограничить использование
Сотрудники Федеральной службы по техническому и экспортному контролю (ФСТЭК) сочли, что выстроенные на Android Open Source Project (AOSP) мобильные операционные системы (ОС) несут риски, если применять их в российских государственных корпорациях и на объектах критической информационной инфраструктуры (КИИ). Это следует из ответа ФСТЭК на запрос Ассоциации разработчиков программных продуктов «Отечественный софт».
Риски сотрудниками ФСТЭК объясняются уязвимостями AOSP-систем. Существует и ряд других причин. К примеру, отсутствие технической поддержки AOSP в России, недекларированные функции, а также открытый исходный код проекта.
«Учитывая изложенное, использование ОС на базе AOSP на объектах КИИ и в государственных корпорациях считаем нецелесообразным», — сказала начальник восьмого управления ФСТЭК России Елена Торбенко.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) проводит процедуру сертификации при необходимости подтверждения соответствия разрабатываемого софта требованиям защиты персональных данных. Аттестация ФСТЭК регулирует работу не только разработчиков программного обеспечения, но и всех компаний, которые работают с конфиденциальной информацией.
AOSP представляет собой ОС с открытым исходным кодом, на ее основе создан ОС Android. Она может рассматриваться как «голая» версия ОС, без встроенных приложений и ИТ-сервисов Google, которые могут быть добавлены по лицензии. AOSP позволяет любому разрабатывать собственные версии Android, и на ее основе созданы популярные модификации, такие как HyperOS от Xiaomi и MIUI. Однако некоторые проекты, такие как новая ОС Huawei — HarmonyOS Next, больше не используют ИТ-компоненты от AOSP.
По информации ТАСС, развитие российских мобильных операционок надо ускорять - этот вывод в позиции ФСТЭК увидел глава комитета Ассоциации разработчиков программных продуктов (АРПП) по развитию экосистемы российских мобильных продуктов Олег Карпицкий. «Российским компаниям и государственным организациям важно не просто избегать уязвимых ИТ-решений, но и поддерживать развитие отечественных мобильных ИТ-платформ, способных обеспечить безопасность и соответствие регуляторным требованиям», — рассказал Карпицкий.
Ранее представители «Отечественного софта» предложили ФСТЭК описать критерии доверенности мобильных ОС на базе AOSP-систем и предназначенных для объектов КИИ и государственных корпораций, о чем писал РБК. ФСТЭК же в своем ответе сослалась на действующие требования по безопасности информации — использование ОС, согласно требованиям, должно соответствовать установленным уровням доверия.
Проблемы в безопасности
В 2024 г. эксперты по безопасности выявили уязвимость в каждом четвертом приложении на базе ОС Android, писали «Известия». Их нашли в библиотеке Android Jetpack, которая содержит ИТ-инструменты для создания программ от Google.
