В России запретили использование смартфонов на iOS и Android для КИИ: ИБ-вендоры останавливают их сертификацию

Компания «Код безопасности» не планирует сертификацию своего приложения для защищенного доступа в корпоративную сеть «Континент ZTN» для iOS, несмотря на продолжающуюся поддержку решений. Об этом заявил на сессии «вопрос-ответ» представитель компании во время межрегионального круглого стола по ИБ в Ростове-на-Дону, на котором побывал корреспондент SecPost. По словам экспертов, недавние поправки в регуляторике официально говорят нам о приближающемся окончании эпохи BYOD (Bring Your Own Device) в госсекторе и КИИ.

Отвечая на вопрос участника круглого стола из госсектора о том, планирует ли «Код безопасности» сертифицировать «Континент ZTN» для iOS, представитель компании отметил:

«Для iOS сертификацию не пройти, потому что это иностранная платформа. Само решение есть, но сертифицировано не будет. По нашему законодательству его не сертифицировать, потому что Apple не предоставит исходный код для проверки», — ответил сотрудник компании.

Отметим, что в 2023 году прошла целая волна запретов на использование продукции Apple в госструктурах. Как писал Cnews, среди тех, кто присоединился к ограничениям на использование смартфонов американского вендора, были Минцифры, Минпросвещения, Минобрнауки, Минфин, Минэнерго, Минпромторг, Минтранс, Федеральная таможенная служба и ряд других государственных структур. Запрет подхватили и госкорпорации, такие как РЖД и «Ростех». Обновленные требования, подразумеваемые приказом №117, вкладываются в логику закрепления этих запретов на все госструктуры.

«Модель активного надзора»: как приказ №117 ФСТЭК повлияет на работу ИБ

По словам собеседника SecPost из производителя электроники для корпоративного и государственного секторов, текущие формулировки регуляторов «явно прописаны в интересах одного игрока — ОС Аврора. Как полагает собеседник, это может быть продиктовано желанием вывести разработку на окупаемость.

«Однако приказ принят несвоевременно, так как де-факто на рынке практически нет предложения с аппаратной точки зрения. В итоге возникает патовая ситуация: можно купить устройства только на ОС Аврора или ОС РОСА, но их некуда устанавливать», — отмечает собеседник.

Источник обращает внимание на все составляющие процесса — устройства, ОС, приложения и прочие компоненты, которые нужно провести через процедуры ФСТЭК. А эти процессы занимают от года.

«Тем не менее, до появления разъяснений никто пока не предпринимает никаких действий. Сейчас, по факту, рынку доступен только смартфон Байтерга, поступивший в массовое производство, а также модели Fplus Мицар и Алькор, которые можно запустить при наличии финансирования.

По словам ведущего инженера-аналитика Аналитического центра кибербезопасности компании «Газинформсервис» Максима Федосенко, причина заключается в новых положениях приказа № 117. В части мобильных устройств регулятор официально заявляет о «приближающемся окончании эпохи BYOD (Bring Your Own Device) в госсекторе и КИИ», говорит Федосенко.

«Если мобильное устройство исполнителя или заказчика имеет доступ к ГИС, то оно должно автоматически стать частью инфраструктуры и, следовательно, соответствовать её классу защищенности», — поясняет Федосенко.

На практике это означает полный запрет на использование несертифицированных «гражданских» смартфонов на iOS и Android для доступа и обработки информации в ГИС, говорит Федосенко, поскольку выполнить требования по контролю целостности и изоляции среды на несертифицированной ОС практически невозможно технически и юридически.

Приказ не содержит прямого текста «запретить Android и iOS», отмечают в Fplus. Но жесткие требования фактически делают невозможным сертификацию решений на этих ОС для использования в защищённом контуре госсектора. При этом он распространяется на широкий список информационных систем. «Однако рынок пока не получил разъяснения о порядке применения этих мер», — отмечают в компании.

Рассуждая о перспективе дальнейшей сертификации зарубежных мобильных операционных систем, Федосенко, как и представитель «Кода безопасности», обращает внимание на проблему доступа к исходным кодам. «В рамках требований того же ГОСТ Р 56939-2024 по безопасной разработке сертификация для высоких уровней доверия требует обязательного проведения статического и динамического анализа кода», — говорит эксперт. Эти требования касаются как iOS, так и Android.

«Тотальное отсутствие доступа к ядру iOS и наличие множества закрытых GMS-модулей (Google Mobile Services) в Android делают невозможным поиск уязвимостей и подтверждение отсутствия недекларированных возможностей (тех же закладок) для отечественных регуляторов. Поэтому ФСТЭК решил окончательно перейти к парадигме тотальной верификации, при которой если ОС или среда исполнения представляет собой чёрный или серый ящик (как iOS или Android с интегрированными сервисами Google), то устройства на таких решениях больше не будут допущены к взаимодействию с КИИ и ГИС», — говорит эксперт.

Меры, вводимые регулятором, небезосновательны. Как отмечает Федосенко, использование зарубежных мобильных ОС в критическом контуре инфраструктуры представляет собой «серую зону», способную в итоге оказаться в качестве легализованного бэкдора для ГИС и некоего «карманного шпиона» для КИИ в лице мобильных устройств. Это, например, может обеспечить непрерывную эксфильтрацию телеметрии в двустороннем порядке.

«Но основная угроза тут кроется не только в наличии уязвимостей нулевого дня по типу zero-click и атак класса «триангуляции», но и в архитектурных возможностях зарубежных ИТ-гигантов дистанционно влиять на свои устройства и затем, допустим, блокировать их, когда им это захочется. Тот же 2022 год был показательным в этом плане», — подчеркивает Федосенко.

Федосенко перефразирует: «В части мобильных устройств положения приказа № 117 ФСТЭК изолируют госсектор от неконтролируемой потребительской экосистемы». Таким образом регулятор реализует принцип Zero Trust ещё на уровне среды исполнения.

Fplus в комментарии SecPost отмечают, что прямой статистики по продажам «до/после» приказа №117 в открытых источниках нет. Смартфоны с сертифицированными российскими ОС (в первую очередь «Аврора», ALT Mobile, «РОСА») продавались уже на устройствах российских производителей ещё до вступления приказа в силу — в рамках подготовки к новым требованиям.

«Основные игроки рынка такие как Fplus, Байтерг и другие уже портировали российские ОС на свои устройства, что говорит о полной готовности к выполнению данного приказа. Основная проблема пока остается в ограниченной экосистемы приложений.  Cчитаем, что основной поток замены устройств в госсекторе придётся на конец 2026 – 2027 годы», — полагают в компании.

При этом на текущий момент на потребительском рынке доля Android и iOS остаётся доминирующей. По итогам 2025 года в России продано 24,6 млн смартфонов, в основном брендов Xiaomi, Samsung, Realme, говорят в Fplus, подчеркивая — приказ ФСТЭК России №117 относится только к госсектору и не затрагивает потребительский сегмент.