對於RPA數字員工,有許多人其實是有顧慮的,有人擔心機器人會不會自動瘋跑;機器人偷偷做了一些事情不該做的任務 ;機器人會不會被黑客控制繼而威脅企業信息安全。今天我們探討的話題就是關於RPA數字員工在企業應用中對於企業本身信息安全的挑戰。
企業引入RPA軟件或平台後,一個間接可以獲得巨大權限,有各類Web服務,API,數據交換能力的全新且容易被攻擊的對象就產生了。
RPA數字員工
對於許多考慮嘗試RPA數字員工機器人的企業來説,對安全的擔憂是非常重要的因素。通常情況下,IT和合規部門會比較謹慎,擔心數十個機器人員工在內部系統中瘋狂運行的可能性。當涉及到RPA安全問題時,首先應該考慮哪些問題?RPA流程通過用户在圖形用户界面中執行活動列表,然後在GUI中執行這些活動來模仿人類員工的活動。這樣會導致一些安全問題。當向人員提供對系統的訪問權限時,該人員就具有內在的信任。為了使RPA順利工作,需要將這種信任轉移給RPA機器人。RPA數字員工是目前最受歡迎的服務推動者之一,但對於在企業系統上釋放機器人大軍的想法,仍然存在大量的不信任,有時甚至是恐懼。在許多情況下,主要的障礙是IT部門。RPA數字員工一個經常被吹捧的“好處”是業務本身可以實現機器人解決方案,而不需要IT輸入,但事實是,當出現問題時,如果需要IT在解決方案上合作,那麼將需要IT參與設計和部署。儘管存在這些擔憂,和大環境的不利因素,但RPA市場仍在增長。危險在於,在當前的趨勢中,公司很容易建立一個“快速而不可靠”的機器人能力,缺乏安全性、可擴展性和可持續性。雖然短期內可能會有成本效益,但從長遠來看,公司很可能會在風險和規模上為其付出代價。
Attended & Unattended Robot
Attended : 有人蔘與機器人,發生在前端辦公室員工的桌面上。應用類型更接近個人助手機器人 ,需要前端用户自己按需應用。Unattended: 無人蔘與機器人,發生在後台IDC或雲平台上。Unattended應用類型是更純粹的7*24小時數字員工模式 。 Attended Robot 與 Unattended Robot的安全性要求和區別是非常巨大的,幾乎就是兩種產品形態。
前台機器人 VS 後台機器人
RPA數字員工的安全挑戰
希望實現RPA的組織應該意識到與安全相關的挑戰。這些包括:
RPA數字員工面臨的安全挑戰
需要維護審計日誌:這些對於跟蹤機器人的運行狀況和有效性非常重要。例如,如果一個機器人停止工作,審計日誌將幫助識別潛在的原因,無論是僱員的不當使用還是惡意代碼。缺少機器人的密碼管理:機器人登陸第三方平台的賬號加密,密碼管理,需要有授權,獲取密碼等方法,密碼維護通道。需要持續的監控:機器人需要在不同的級別上被定期的監控,以確保它們不會行為不端,這會導致很高的錯誤率和潛在的損害。
數據濫用:在一些過程中,如工資管理和文件傳輸,機器人需要訪問私人信息,如密碼,地址,信用卡號碼等,員工,客户和供應商。這裏的挑戰是確保公司和個人數據保持機密,不被濫用。
開發後門與風險:RPA開發人員的不良企圖或者開發的代碼缺陷是可以導致後門或信息泄露風險的。 流程開發評估可以控制這個風險。
在惡意用户手中,可以開發RPA機器人來攻破組織的防禦並竊取機密數據。
RPA數字員工核心安全要素
某品牌提出的關於RPA的4個核心安全要素是這樣的:
隨着機器人過程自動化的廣泛採用,組織已經開始理解,數字勞動力需要監督、安全和治理保障,類似於他們的人類對手。有四個高層考慮事項,業務領導人必須解決,以確保其數字勞動力的安全性和依從性。
基礎設施安全
計劃實現RPA的公司應該創建一個不受干擾的環境,在這個環境中他們的機器人可以操作。
集中管理的用户訪問控制更寬鬆的訪問控制,比如團隊級別的訪問,是不夠的,確保安全性和依從性。每個機器人、流程甚至特定對象管理的訪問參數本質上更安全。
系統化的活動日誌
只有當每一個流程100%的交易內容都被實時記錄並安全存儲時,組織才能確保責任和責任。注意不只是説,流程成功跑完了就代表着業務成功了。
無可辯駁的審計跟蹤
審計跟蹤的質量和完整性對餒惡意活動會是巨大的威懾,不可抵賴性設置至關重要。
降低RPA的安全風險
RPA數字員工降低安全風險進行定期審計和定期風險評估,實施適當的控制來監控RPA活動,確保所有機器人都在規定的規則範圍內運行。應該定期查看RPA日誌。還需要定期進行風險評估,以跟蹤新風險的出現,檢查控制是否失效,並確定是否有機器人應該退役。控制RPA數字員工訪問權限:公司應該謹慎對待他們如何授予在RPA環境中工作的訪問權權限。如果可以在測試環境使用通用ID,在生產環境使用唯一的特定ID。遵循嚴格的治理:規則和控制必須明確定義,以確保RPA安全。治理框架應該包括詳細的標準、業務説明和開發標準。使用安全的密碼平台:密碼平台允許RPA團隊將所有第三方系統密碼存儲在一個安全的賬密庫,使用和授權都是受限和可控的。選擇合適的RPA潛在流程:公司應該利用基於最佳實踐的評估方法來確定正確的RPA潛在流程。例如,評估方法應該描述現有流程中的當前風險和複雜性。實施穩健的變更管理:一個結構化的變更管理流程對確保RPA實施的問責制和審核至關重要。這應該定義誰負責執行變更、評估風險、審查性能、提供批准、運行以前版本的備份,以及向用户發送通知。確保業務連續性:必須創建一個清晰的業務連續性計劃,概述執行每項任務所需的備份流程和信息源。內部審計團隊應該檢查業務連續性計劃文檔是否包含細節和Standby人員。除了上述步驟,公司應該確保機器人符合組織的標準和安全控制。RPA開發人員創建的代碼應該被徹底審查,以防止破壞或錯誤。最後,應該對所有bot活動和更改進行版本控制和驗證,以提供遵從性的審計跟蹤。
部分RPA產品漏洞
除了前面提到的安全風險,RPA產品本身也是存在許多潛在安全風險的,這些風險和缺陷來自對企業級使用的一些流行產品的分析。RPA產品中識別出的一些已知漏洞如下:
UiPath Orchestrator到2018.2.4允許任何經過身份驗證的用户更改任意用户的信息,從而導致特權升級和遠程執行代碼。
2018.3.4之前的UiPath Orchestrator允許CSV注入
可以利用訪問控制中的漏洞來提升Blue Prism中的特權
Pega Platform利用缺少的訪問控制,允許經過遠程身份驗證的用户訪問敏感的配置信息
PEGA Platform 7.2 ML0和更早版本中的多個跨站點腳本漏洞
以上發現的部分漏洞可以在 CVE Details 站點找到詳細內容:
CVE-2018–17305
RPAPlus: 為何Global TOP RPA 在產品技術層面會相對安全性更好一些,因為這些軟件已經存在很長時間了,在企業比較大規模得應用也有較長時間了,許多安全性和可靠性問題都曾經暴露並已經被修復。然而咱們國內的初創團隊RPA產品,甚至很少有開始考慮安全問題的團隊。所以,關於國產產品RPA數字員工安全性這個話題,估計有好幾年的路可以走。
總結
使用RPA來提高生產力的組織應該仔細規劃他們的實現,以保護自己不受安全破壞。RPA創建了易受風險影響的新應用層。此外,如果沒有持續的監督,機器人可能無法有效地工作,導致問題、錯誤和潛在的損害。由於機器人可能需要訪問私人信息,組織機構必須建立正確的安全措施。其中一些措施包括創建治理框架、審計日誌、密碼庫和版本控制。建立這些流程將允許RPA數字員工自己處理安全風險,從而確保最佳的機器人性能並降低業務風險。
► 中台 與 RPA,站在企業視角解讀兩個技術體系► 自我修復RPA機器人目前階段有產品實現了嗎?► 我居然將RPA機器人技術用在了自己P2P理財維權上► Business Process Modeling-數字流程建模簡介► RPA未來發展趨勢,Robot as a Service是一個不錯的方向嗎? ►RPA + BPM 互補帶來更優企業智能自動化方案► TOP5 Process Mining 流程挖掘軟件公司 2020► Low-Code能幫助克服RPA的缺陷嗎「RPAPlus」 / 專注RPA+AI 研究、評測、教育