Применение ОС на базе AOSP в объектах КИИ и госкорпорациях несёт риски кибербезопасности – ФСТЭК

Федеральная служба по техническому и экспортному контролю (ФСТЭК) сочла, что выстроенные на Android Open Source Project (AOSP) мобильные операционные системы несут риски, если применять их в российских госкорпорациях и на критической инфраструктуре: это следует из ответа ФСТЭК на запрос Ассоциации разработчиков программных продуктов «Отечественный софт».

ФСТЭК полагает, что применение операционок на базе AOSP в объектах КИИ и госкорпорациях «создаёт предпосылки к реализации угроз безопасности информации». Служба отмечает, что риски для безопасной работы инфраструктуры вызваны следующими факторами: уязвимостями в мобильных ОС на базе Android, отсутствием техподдержки AOSP на территории РФ, ее недекларированными возможностями, а также тем фактом, что проект имеет открытый исходный код.

«Учитывая изложенное, использование операционных систем на базе Android Open [Source] Project (AOSP) на объектах критической информационной инфраструктуры и в государственных корпорациях считаем нецелесообразным», – следует из письма.

Ранее «Отечественный софт» предложил ФСТЭК описать критерии доверенности мобильных ОС на базе AOSP и предназначенных для объектов критической инфраструктуры и госкорпораций. ФСТЭК же в своем ответе сослалась на действующие требования по безопасности информации – использование операционных систем, согласно требованиям, должно соответствовать установленным уровням доверия.

AOSP – операционная система с открытым исходным кодом, на базе которой разработан и сам Android. AOSP можно назвать «голым» вариантом ОС, без привычных приложений, а также без сервисов Google, которые могут быть установлены по лицензии. Любой может использовать AOSP и создать с ее помощью свой вариант Android.

Источник: ТАСС

Image for demonstration only. Source: Wikimedia Commons. License: CC BY 3.0