Объекты КИИ и госкорпорации могут спасти как минимум три отечественных мобильных ОС
В октябре 2024 г. комитет по развитию экосистемы российских мобильных продуктов Ассоциации разработчиков программных продуктов (АРПП) "Отечественный софт" направил в Федеральную службу по техническому и экспортному контролю (ФСТЭК) запрос дать оценку безопасности использования Android Open Source Project (AOSP) в критически важных системах.
ФСТЭК на запрос АРПП "Отечественный софт" ответила, что основными угрозами являются наличие уязвимостей в коде AOSP, отсутствие регулярных обновлений безопасности, риски внедрения недекларированных возможностей, а также отсутствие технической поддержки разработчиком на территории России. "Кроме того, служба ссылается на действующие требования по безопасности информации, согласно которым использование операционных систем должно соответствовать установленным уровням доверия", - сказано в сообщении АРПП.
Глава комитета по развитию экосистемы российских мобильных продуктов АРПП "Отечественный софт" Олег Карпицкий отметил, что позиция ФСТЭК подтверждает необходимость ускоренного развития российских мобильных решений. "Ответ ФСТЭК показывает, что российским компаниям и государственным организациям важно не просто избегать уязвимых решений, но и поддерживать развитие отечественных мобильных платформ, способных обеспечить безопасность и соответствие регуляторным требованиям", - сообщил он.
Председатель совета директоров ООО "Базальт СПО" Алексей Смирнов подтвердил, что с использованием AOSP есть проблемы: "Дело в том, что зачастую для разработки под Android используют Android SDK. А лицензия на него такова, что легально использовать разработанные при помощи этого инструмента приложения можно только при работе на Google Android, а не на свободной версии Android Open Source Project. Соответственно, перенос приложений для Google Android и запуск их под AOSP в ряде случаев является нелегальным".
Алексей Смирнов обратил внимание, что новые требования реестра программного обеспечения включают совместимость только с операционными системами (ОС) общего назначения, но не с мобильными ОС: "Дело в том, что во время подготовки постановления возникли определенные споры в отношении операционных систем для мобильных устройств, в частности, вопрос, что считать операционкой для мобильных устройств, должна ли она работать на смартфонах или достаточно поддержки планшета. В результате требования по совместимости с операционками для мобильных устройств пока нет, но, надеюсь, что со временем оно появится. Структура постановления также позволяет это сделать".
Алексей Смирнов подчеркнул, что "Базальт СПО" не использовала AOSP, поскольку у компании есть собственные наработки в области Linux: "Мобильная операционная система ALT Mobile построена на разработках "Базальт СПО" - это просто еще одна сборка ОС семейства "Альт". Также мы использовали разработки международных проектов в области мобильных операционных систем. Наши разработчики тоже принимают участие в этих проектах".
Глава отдела исследований в области искусственного интеллекта Университета 2035 Ярослав Селиверстов считает, что для ускоренного перехода на российские ОС необходима финансовая поддержка в виде субсидий и налоговых льгот для разработчиков и поставщиков решений отечественных ОС: "Важно сформировать партнерства между разработчиками ОС, интеграторами и вендорами для обеспечения совместимости решений. Необходимо запустить образовательные программы для ИТ-специалистов и ужесточить требования к закупкам ПО для КИИ и госструктур с приоритетом отечественных сертифицированных ОС".
Член совета директоров компании "РОСА" и АО "Рутек" Сергей Кравцов считает, что рекомендация ФСТЭК России отказаться от использования мобильных ОС на базе AOSP на объектах критической информационной инфраструктуры и в госструктурах — это важный шаг для повышения уровня информационной безопасности: "Мы в АО "НТЦ ИТ Роса" поддерживаем этот вектор и считаем, что в таких сферах должны использоваться решения, соответствующие строгим требованиям регуляторов".
Сергей Кравцов отметил, что "РОСА Мобайл" — одна из немногих мобильных операционных систем, не основанных на AOSP: "Она уже прошла сертификацию ФСТЭК России по 4-му уровню доверия, а российский смартфон "Р-ФОН", работающий под ее управлением, включен в реестр программно-аппаратных комплексов Минцифры России. Это подтверждает ее готовность к эксплуатации в критически важных инфраструктурах и госорганизациях".
Ведущий аналитик Mobile Research Group Эльдар Муртазин отметил, что ОС "Аврора" - система, созданная без использования AOSP, которая доступна на российском рынке. "В разработке находятся еще несколько систем, например KasperskyOS for Mobile, но до их внедрения на коммерческой основе еще далеко. В связи с чем для использования на объектах критической инфраструктуры остается только ОС "Аврора". Наша страна не настолько богата, чтобы развивать другие альтернативные решения", - рассказал он.
