AOSP и ныне там
С какими рисками связано использование ОС на базе Android
Использование системы Android в госсекторе предлагают ограничить. Речь о разработках, созданных на базе открытого кода от Google — Android Open Source Project. В Ассоциации разработчиков программных продуктов считают, что применение таких операционных систем на критической инфраструктуре может быть небезопасным. Кроме госорганов, речь идет об операторах связи, банках, объектах энергетики и транспортных компаниях. Ассоциация предлагает разработать специальные критерии доверенности, которым должны соответствовать системы на базе Android.
Фото: Dado Ruvic / Illustration / Reuters
Фото: Dado Ruvic / Illustration / Reuters
Глава комитета АРПП по развитию экосистемы российских мобильных продуктов Олег Карпицкий объясняет, с чем связаны опасения: «Вопрос сборки самого AOSP и его компонентов находится за пределами контроля нашей страны. Если завтра Android решает прекратить поддержку проекта либо вносит какие-то компоненты, которые для нас не являются открытыми, мы оказываемся в зависимой ситуации и не можем самостоятельно продолжить развитие проекта. Или это будет настолько дорого, что будет сопоставимо с разработкой полноценной операционной системы, и в таком случае вся прелесть использования AOSP снижается. И внутри этой системы все равно существуют закрытые компоненты, мы не знаем, есть ли в них какие-то уязвимости, могут ли они намеренно внести вредоносные компоненты, а все это сопряжено со значительным риском.
Нужно отказаться от использования AOSP на объектах КИИ. На сегодняшний день у нас достаточное количество российских ОС, не использующих эту систему, и многие наши ОС построены на Linux. Если вы разработали операционную систему на базе Android, это не означает автоматический запуск любого приложения Android на вашей ОС без дополнительных усилий. А российские разработчики дают возможность, при этом контролируемую при помощи операционных систем, запускать Android-приложение в изолированных контейнерах».
Решения на базе Android создают несколько российских компаний. Их продукцию закупают региональные госорганы и подразделения федеральных, в том числе силовых. Как можно обезопасить разработки Google? На этот вопрос “Ъ FM” ответил консультант по интернет-безопасности компании Positive Technologies Алексей Лукацкий:
«У нас есть "Аврора", Sailfish, свои наработки, которые не базируются на Android полностью либо задействуют совсем небольшую его часть. Да, Android — открытая операционная система. При наличии доступа к ядру, как и в случае с Linux, российские разработчики вполне способны заниматься обновлением этой операционной системы или созданием разработок на ее основе. И их вполне можно сделать безопасными, если развивать свою собственную ветку операционной системы, как это делается с Astra Linux, где мы взяли свое ядро.
Но учитывая, что международное сообщество не очень хорошо относится к нашим мейнтенерам, выбрасывает их из проектов, все может закончиться тем, что мы будем создавать свою обособленную ветку Linux, не связанную ни с чем другим. То же самое может произойти и с Android без каких-либо серьезных изменений».
Как отмечают источники РБК, банки и операторы пока не интересуются российскими операционными системами. Сейчас их не заставляют переходить на альтернативные мобильные решения.
С нами все ясно — Telegram-канал "Ъ FM".