Ассоциация разработчиков предлагает ФСТЭК установить критерии доверенности для Android в госсекторе

Ассоциация разработчиков софта предложила ФСТЭК сделать критерии доверенности для мобильных операционных систем, созданных на базе Android и используемых на сетях связи и в информационных системах госструктур, энергетических, финансовых, транспортных и ряда других компаний. Это нужно, чтобы минимизировать потенциальные уязвимости и обеспечить безопасность. Проведенный ассоциацией анализ показал, что отсутствие регулярных обновлений, сборка на зарубежных серверах и риски конфиденциальности ставят под угрозу защиту критической информационной инфраструктуры. Читать РБК в Telegram

Бизнес предлагает убрать ОС на базе Android из госсектора и ТЭКа Ассоциация разработчиков программных продуктов АРПП «Отечественный софт» уже направила письмо с таким предложением в Федеральную службу по техническому и экспортному контролю ФСТЭК . Ассоциация предлагает в частности подробно описать критерии доверенности операционных систем ОС на базе Android Open Source Project. Особенный акцент АРПП делает на тех видах систем, которые предназначены для объектов отечественной информационной инфраструктуры и государственных компаний. К такой инфраструктуре относят сети связи и информационные системы госорганов, принадлежащих энергетическим, финансовым, транспортным и другим компаниям. Как рассказал глава АРПП Олег Карпицкий, риски, связанные с использованием AOSP в государственных органах, связаны со следующими пунктами: нет регулярных обновлений безопасности, сборка информации осуществляется зарубежными серверами, есть серьезные риски конфиденциальности. #россия #общество #политика

ФСТЭК рассмотрит вопрос безопасности Android-систем в критической инфраструктуре АРПП «Отечественный софт» обратилась в ФСТЭК с предложением разработать критерии доверенности для мобильных ОС на базе Android Open Source Project. Инициатива касается систем, которые планируется использовать на объектах критической информационной инфраструктуры и в госкорпорациях. Анализ показал серьезные риски при использовании AOSP, включая нерегулярные обновления безопасности и сборку на зарубежных серверах. Эксперты также отмечают критически низкий уровень компетенции в работе с этой системой в России. Главным риском эксперты называют зависимость от компании Google, которая контролирует выпуск новых версий AOSP. В отличие от сообщества Linux, Google может в любой момент прекратить выкладывать обновления в открытый доступ. #кибербезопасность #госструктуры #AOSP #российский_софт

Ассоциация разработчиков программных продуктов АРПП «Отечественный софт» предложила разработать критерии доверенности мобильных операционных систем ОС , разработанных на базе Android, для продукции, использующейся на объектах критической информационной инфраструктуры КИИ . Как рассказал глава комитета АРПП по развитию экосистемы российских мобильных продуктов, гендиректор НТЦ ИТ «РОСА» Олег Карпицкий, предложение Ассоциации – следствие выявленных рисков использования продуктов, работающих по принципу opensource, к которым относится Android. В ассоциации считают, что устройства на базе открытого кода получают нерегулярные обновления безопасности, что создает дополнительные риски для критической инфраструктуры. Кроме того, продукты собираются на иностранных серверах, что недопустимо на объектах КИИ. Также встроенные сервисы Google или другие компоненты системы могут угрожать защите данных. Наконец, использование технологий без согласования с Google может привести к нарушению лицензионных соглашений и повлечь как юридические претензии, так и репутационные последствия. При этом указанные риски актуальны только для мобильных операционных систем и не затрагивают десктопные решения, в частности,операционные системы на базе Linux, подчеркнул Карпицкий. Представитель Ассоциации отметил, что модель ОС на Android имеет ограничения вразработке и распространении. Это, в свою очередь, создает дополнительные сложности для безопасного использования в России.

Что сейчас происходит в мире криптовалюты. Узнать

ФСТЭК предложили создать критерии доверенности для мобильных ОС на базе Android, используемых на объектах КИИ и в госкорпорациях. Эксперты отмечают ряд рисков, связанных с использованием в КИИ и госсекторе операционных систем, разработанных на базе Android Open Source Project: отсутствие регулярных обновлений безопасности; сборка на зарубежных серверах; риски конфиденциальности и безопасности данных; лицензионные и репутационные риски; отсутствие регулярных обновлений безопасности.

Операционкам указали на риски Использование системы Android в госсекторе предлагают ограничить. Речь о разработках, созданных на базе открытого кода от Google — Android Open Source Project AOSP . В Ассоциации разработчиков программных продуктов считают, что применение таких операционных систем на критической инфраструктуре может быть небезопасным. Кроме госорганов, это операторы связи, банки, объекты энергетики и транспортные компании. В организации предложили разработать специальные критерии доверенности, которым должны соответствовать системы на базе Android. Олег Карпицкий, глава комитета АРПП по развитию экосистемы российских мобильных продуктов: Вопрос сборки самого AOSP, а также его компонентов находится за пределами контроля нашей страны. В случае, если завтра Android решит прекратить поддержку проекта, мы не сможем самостоятельно продолжить его развитие. Либо это будет настолько дорого, что окажется сопоставимым с разработкой полноценной операционной системы. Внутри AOSP все равно существуют закрытые компоненты, и есть риск, связанный с наличием там уязвимостей или намеренным внесением вредоносных компонентов в такие сервисы. Алексей Лукацкий, консультант по интернет-безопасности в Positive Technologies: У нас есть "Аврора", у нас есть решение на базе Sailfish, есть свои наработки, которые не базируются на Android полностью, а задействуют совсем небольшую его часть. Плюс не нужно забывать, что Android — все-таки открытая операционная система. При наличии доступа к ядру, как и в случае с Linux, российские разработчики вполне способны заниматься обновлением ОС или разработок на ее основе, и их вполне реально сделать безопасными. Другой вопрос, что международное сообщество не очень хорошо относится к нашим мейнтейнерам. Все может закончиться тем, что мы будем создавать полностью свою ветку, не связанную ни с чем другим.

#ос Использование системы Android в госсекторе предлагают ограничить Речь о разработках, созданных на базе открытого кода от Google — Android Open Source Project В Ассоциации разработчиков программных продуктов считают, что применение таких операционных систем на критической инфраструктуре может быть небезопасным Кроме госорганов, речь идет об операторах связи, банках, объектах энергетики и транспортных компаниях Ассоциация предлагает разработать специальные критерии доверенности, которым должны соответствовать системы на базе Android Подписаться