Для критической инфраструктуры могут создать доверенные ОС. Ассоциация разработчиков софта предложила ФСТЭК разработать критерии доверенности для мобильных ОС, работающих на Android, и используемых на объектах КИИ. В Ассоциации считают, что это позволит снизить риски информационной безопасности.
Инициатива разработчиков
Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» предложила разработать критерии доверенности мобильных операционных систем (ОС), разработанных на базе Android, для продукции, использующейся на объектах критической информационной инфраструктуры (КИИ). Об этом пишет РБК.
Как рассказал глава комитета АРПП по развитию экосистемы российских мобильных продуктов, гендиректор НТЦ ИТ «РОСА» Олег Карпицкий, предложение Ассоциации – следствие выявленных рисков использования продуктов, работающих по принципу opensource, к которым относится Android.
Актуальность рисков
В ассоциации считают, что устройства на базе открытого кода получают нерегулярные обновления безопасности, что создает дополнительные риски для критической инфраструктуры. Кроме того, продукты собираются на иностранных серверах, что недопустимо на объектах КИИ. Также встроенные сервисы Google или другие компоненты системы могут угрожать защите данных. Наконец, использование технологий без согласования с Google может привести к нарушению лицензионных соглашений и повлечь как юридические претензии, так и репутационные последствия.
При этом указанные риски актуальны только для мобильных операционных систем и не затрагивают десктопные решения, в частности, операционные системы на базе Linux, подчеркнул Карпицкий. Представитель Ассоциации отметил, что модель ОС на Android имеет ограничения в разработке и распространении. Это, в свою очередь, создает дополнительные сложности для безопасного использования в России.
По словам депутата Госдумы, члена комитета по информполитике Антона Немкина, риск использования аффилированных с ОС Android решений в том, что систему можно рассматривать как opensourсe продукт только формально: «Разработкой ОС, по сути, занимается Google. Риск того, что со временем компания решит сделать свой продукт закрытым, конечно, есть всегда. Особенно при учете текущего санкционного давления на Россию. Например, компания может перестать выкладывать новые версии ОС в открытый доступ».
Способы нивелировать риски
Создание доверенных систем может нивелировать риски использования ОС. «Единых критериев доверенных систем нет. Но, как правило, речь идет о 100% локализации решений, в том числе в части серверов, возможности обеспечения автономной от основной ветки работы, а также сертификации регулирующими органами», – пояснил депутат.
Разработкой операционных систем на базе Android сейчас занимаются компании Yadro (KvadraOS), «Ред софт» («РЕД ОС М») и «Атол» (ATOL OS). «Лидером по внедрению, конечно, является «РЕД ОС М». Если говорить про рынок в целом, то, по прогнозам разработчиков, количество потенциальных клиентов ОС может достигать 50 млн за счёт пользователей в России и в странах СНГ. На данный момент система активно внедряется в органах госвласти и в госкорпорациях», – рассказал депутат.
Немкин считает, что к созданию доверенных ОС на Android необходимо стремиться: «Любые технологии, использующиеся на объектах КИИ, должны быть доверенными. Это, наверное, ключевая цель в части инфобеза, к которой мы все должны стремиться. Но в условиях импортозамещения как никогда важно поддерживать разработчиков, в том числе через снижение регуляторного давления. Все отечественные ОС, работающие на Android, демонстрируют высокие стандарты информзащиты и соответствуют критериям доверенности. Если речь идет об использовании на объектах КИИ, то также проводится дополнительная сертификация регулирующими органами. Поэтому целесообразность предложения в текущих условиях, конечно, должна обсуждаться отраслью».
