Федеральная служба по техническому и экспортному контролю (ФСТЭК) озвучила опасения по поводу применения мобильных операционных систем на базе Android Open Source Project (AOSP) в российских госкорпорациях и на объектах критической информационной инфраструктуры (КИИ). Как сообщает ТАСС со ссылкой на Ассоциацию разработчиков программных продуктов ‘Отечественный софт’, служба считает, что использование таких ОС создает реальные угрозы безопасности информации.
ФСТЭК указывает на несколько факторов, способствующих данным рискам. К ним относятся уязвимости в мобильных ОС, отсутствие техподдержки AOSP на территории России, а также недекларированные возможности открытого исходного кода. В официальном письме от начальника 8 управления ФСТЭК Елены Торбенко подчеркивается, что именно эти элементы делают применение AOSP нецелесообразным в критически важных инфраструктурах.
Эксперты отмечают, что настоятельная необходимость в обеспечении безопасности и надежности систем не может быть проигнорирована. Глава комитета АРПП по развитию экосистемы российских мобильных продуктов Олег Карпицкий добавил, что важно не только избегать уязвимых решений, но и ускорять развитие отечественных мобильных операционных систем, которые смогли бы соответствовать текущим регуляторным требованиям.
На фоне данной ситуации актуализируются вопросы о безопасности открытых платформ. AOSP, представляющая собой базовую версию Android без встроенных приложений Google, предоставляет возможность разработчикам создавать собственные модификации. Однако, как показывают недавние исследования, даже популярные версии ОС могут содержать серьезные уязвимости. Ранее было выявлено, что каждая четвертая разработка на базе Android имеет уязвимости, в том числе и в инструментах Android Jetpack от Google.
ФСТЭК подчеркивает, что такие уязвимости могут стать лакомым кусочком для злоумышленников, что делает необходимым пересмотр подходов к использованию открытых систем в чувствительных областях. Особенно актуально это в контексте растущего числа кибератак и попыток вмешательства в информационные системы страны. В результате, выводы ФСТЭК ставят под сомнение не только безопасность существующих решений, но и ставят перед российскими разработчиками задачу создания альтернатив, которые могли бы обеспечить необходимую защиту от потенциальных угроз.