Федеральная служба по техническому и экспортному контролю (ФСТЭК) отказалась считать безопасными любые операционные системы на базе Android Open Source Project (AOSP) для использования в государственных учреждениях, компаниях и на объектах критической информационной инфраструктуры. В ведомстве отметили наличие в AOSP недекларированных возможностей, позволяющих в числе прочего получать несанционированный доступ к различной информации. Кроме того, негативно на безопасность влияет отсутствие технической поддержки в России и сам открытый исходный код проекта.
ФСТЭК обозначила свою позицию относительно использования мобильных операционных систем на базе AOSP в государственных учреждениях и госкомпаниях. «Использование операционных систем на базе AOSP на объектах критической информационной инфраструктуры и в государственных корпорациях считаем нецелесообразным», — отметила начальник восьмого управления ФСТЭК России Елена Торбенко.
В ведомстве сочли, что такие операционные системы несут высокие риски, если применять их в российских государственных корпорациях и на объектах критической информационной инфраструктуры (КИИ). Риски вытекают из многочисленных уязвимостей AOSP-систем. При этом благодаря открытому коду уязвимости крайне быстро становятся достоянием общественности. Существует и ряд других причин. К примеру, отсутствие технической поддержки AOSP в России, недекларированные функции и т.п.
Ранее Ассоциация разработчиков программных продуктов «Отечественный софт» обратилась к ведомству с запросом - описать детальные критерии доверенности мобильных ОС на базе AOSP-систем для использования в госорганах, компаниях и на КИИ и государственных корпораций. ФСТЭК же в своем ответе сослалась на действующие требования по безопасности информации — использование ОС, согласно требованиям, должно соответствовать установленным уровням доверия.
Отметим, что ФСТЭК проводит процедуру сертификации при необходимости подтверждения соответствия разрабатываемого программного обеспечения требованиям защиты персональных данных. Аттестация ФСТЭК регулирует работу не только разработчиков программного обеспечения, но и всех компаний, которые работают с конфиденциальной информацией.
AOSP представляет собой ОС с открытым исходным кодом. На её основе создан ОС Android. AOSP часто путают со стандартным Android, хотя на самом деле AOSP является лишь его основой. Проще всего платформу рассматривать в качестве «голой» ОС без встроенных приложений и ИТ-сервисов Google, которые могут быть добавлены по лицензии. AOSP позволяет любому разрабатывать собственные версии Android. К примеру, свои доработки ведет компания Xiaomi, выпуская прошивки HyperOS и MIUI или Huawei в HarmonyOS версий 1-4.
Разработкой операционных систем на базе AOSP в России занимаются компании Yadro (продукт - KvadraOS), «Ред софт» («РЕД ОС М»), «Атол» (ATOL OS) и другие.