Операционное вмешательство в критическую инфраструктуру
Операционное вмешательство в критическую инфраструктуру
Ассоциация «Отечественный софт» предложила ограничить использование продуктов на базе Android
Ассоциация разработчиков софта предложила ФСТЭК создать критерии доверенности для мобильных ОС на базе Android, используемых на критической инфраструктуре. Это связано с рисками безопасности, обновлений и лицензирования
Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» предложила описать критерии доверенности мобильных операционных систем, разработанных на базе Android Open Source Project (AOSP; проект операционной системы с открытым исходным кодом, поддерживаемый Google) и предназначенных для объектов критической информационной инфраструктуры и госкорпораций. Письмо с таким предложением АРПП направила в Федеральную службу по техническому и экспортному контролю (ФСТЭК), рассказал РБК источник, знакомый с его содержанием, и подтвердил Олег Карпицкий, глава комитета АРПП по развитию экосистемы российских мобильных продуктов, гендиректор НТЦ ИТ «РОСА».
К критической информационной инфраструктуре относятся сети связи и информсистемы госорганов, энергетических, финансовых, транспортных и ряда других компаний. Причина обращения, по словам Карпицкого, выявленные в ходе анализа риски, связанные с использованием AOSP:
- отсутствие регулярных обновлений безопасности: устройства на базе AOSP могут оказаться уязвимыми перед внешними киберугрозами, так как такие ОС получают обновления безопасности нерегулярно, что создает дополнительные риски для критической инфраструктуры;
- сборка на зарубежных серверах: если операционная система компилируется на серверах за пределами России, это повышает вероятность наличия уязвимостей или вредоносного кода, что недопустимо в условиях работы с критически важной инфраструктурой;
- риски конфиденциальности и безопасности данных: встроенные сервисы Google или другие компоненты AOSP могут угрожать защите данных, особенно когда речь идет о государственных информсистемах и объектах критической инфраструктуры;
- лицензионные и репутационные риски: использование AOSP без согласования с Google может привести к нарушению лицензионных соглашений, что, в свою очередь, способно вызвать юридические и репутационные проблемы для организаций.
Перечисленные риски касаются исключительно мобильных операционных систем и не затрагивают десктопные решения, в том числе операционные системы на базе Linux, подчеркнул Карпицкий в разговоре с РБК. Он отметил, что AOSP имеет ограничения в своей модели разработки и распространения, что создает дополнительные сложности для безопасного использования в России. Окончательное решение о доверенности таких систем должен принимать специализированный орган, в частности ФСТЭК, который отвечает за безопасность критической информационной инфраструктуры. Карпицкий уверен, что внедрение новых критериев позволит минимизировать риски и создать более безопасные условия для работы критически важной инфраструктуры и госструктур.
РБК направил запрос во ФСТЭК.
Кого могут коснуться изменения
Разработкой операционных систем на базе AOSP в России занимаются компании Yadro (продукт — KvadraOS), «Ред софт» («РЕД ОС М») и «Атол» (ATOL OS). В феврале ГК «Аквариус» начала работу над своей операционной системой на AOSP.
По словам источника РБК, система «Ред софт» установлена в некоторых региональных госорганах и МЧС, но в небольших объемах. Он отметил, что владельцы объектов критической информационной инфраструктуры, включая операторов связи и банки, пока не проявляют интереса к российским решениям, их не заставляют переходить на отечественные разработки.
Сооснователь и замгендиректора Postgres Professional Иван Панченко говорит, что владельцы критической информационной инфраструктуры активно используют мобильные операционные системы. «Это может быть путевой обходчик с планшетом, инженер, обслуживающий трубопровод и реактор», — пояснил эксперт. Но используют ли они операционки, созданные на базе AOSP, ему неизвестно. Основной риск использования AOSP в России, по мнению Панченко, — критически низкий уровень компетенции в этой системе. Вредоносный код, по его словам, может быть успешно скомпилирован на российских серверах, если нет специалистов, способных отличить его от безопасного.
Как посчитала для РБК электронная площадка тендеров, торгов и госзакупок «Тендерплан», в 2024 году устройства с операционными системами «РЕД ОС М» и/или KvadraOS закупали Минцифры и Минсельхоз Красноярского края, Аналитический центр Пермского края, Центральная база измерительной техники МЧС, Главный научный инновационный вычислительный центр Налоговой службы, Центр по обеспечению деятельности Казначейства России, Республиканский исследовательский научно-консультационный центр экспертиз, челябинское судебно-экспертное учреждение Минюста, военное следственное управление Следственного комитета Ростовской области и др.
Источник РБК среди разработчиков операционных систем говорит, что в целом отрасль поддерживает введение критериев и требований по возможности применения операционных систем на базе Android в госинформсистемах и на объектах критической информационной инфраструктуры. По его словам, главный риск в том, что AOSP разрабатывает не сообщество, а Google — коммерческая компания, которая «в любой момент может прекратить выкладывать новые версии в open source (открытый исходный код. — РБК) в отличие от сообщества Linux».
«РЕД ОС М» полностью соответствует заявленным АРПП критериям, заявил РБК исполнительный директор «Ред софта» Михаил Толпышкин. Он подчеркнул, что вся разработка и сборка этой системы осуществляется в России в закрытом контуре. Он заверил, что «РЕД ОС М» создавалась на базе нескольких открытых проектов и не содержит сервисов, использующих зарубежные облака, а для защиты данных пользователей поддерживает работу российских средств защиты информации и средств криптографической защиты информации.
Операционная система ATOL OS полностью соответствует критериям, которые предлагает ввести АРПП, заявил РБК директор продукта ATOL OS Дмитрий Русаков. По его словам, продукт включает в себя базовые функции AOSP, также он дополнен необходимыми модификациями и доработками для обеспечения высокой эффективности, надежности и безопасности работы устройств на территории России. Сборки ATOL OS, по его словам, производятся на собственных серверах компании и проходят необходимый аудит угроз безопасности. Процесс контролируется командой российских разработчиков.
Также операционка предоставляет возможность полного отключения Google Mobile Services, что делает устройства менее уязвимыми к внешним воздействиям и дает возможность гибкой настройки пользователями политик безопасности с учетом их требований, в том числе и для критической инфраструктуры, говорит Русаков.
Представители Yadro, «Лаборатории Касперского», «Астры», «Открытой мобильной платформы» и Минцифры отказались от комментариев. РБК направил запрос в «Атол».
Читайте РБК в Telegram.
