LittleR

流程自动化机器人(RPA)中的安全风险:如何预防它们

RPA的主要优点

使用机器人过程自动化可以帮助公司最大程度地减少人工工作中固有的错误,从而大大提高工作的准确性和质量。它还可以对业务流程进行细粒度的监视,因为可以记录,分析和优化实时机器人流程的所有动作。

也许最重要的好处是,RPA使企业减少了对流程工人的依赖,从而提高了效率。公司经常发现,随着RPA带来的工作满意度的提高,由争议性争端,时间和出勤问题和/或薪资问题等导致的劳动力问题减少了。

所有我ñ所有,自动化流程更易于管理,控制和预测。

3Gem Research对美国和英国的250名部门主管进行了调查,涉及部门包括商务服务,金融,银行和制造业。根据受访者的说法,“生产率和24/7可用性在收益方面分别排名第一和第二(分别为62%和61%),其次是58.4%的受访者认为“结束重复工作”是最大收益。 ”

RPA有多广泛?

根据同一项调查,“在所有美国/英国企业中,有94%的企业回答说他们要么拥抱机器人,要么认为机器人的未来将不可避免。几乎一半(49.2%)的受访者认为10%的业务(即30%的业务)可以立即实现自动化。” 此外,至少在美国,目前只有12%的企业不考虑任何形式的自动化。

有关企业领导者对RPA的看法的更多事实

❏超过一半的全球商业领袖拥护机器人,而94%的人对机器人的未来持开放态度。

❏三分之一的业务领导者预见到了自动化方面的快速变化,并做出了相应的计划。

❏大约一半的企业(在英国为47%,在美国为57%)接受人与机器协同工作的想法。

❏几乎一半的受访者(49.2%)认为他们多达三分之一的业务是可自动化的。

RPA最突出的安全风险是什么?如何预防?

图片发布

根据业务类型的不同,可以有效地自动化各种程序。一些适合自动化的通用流程是常规业务流程,例如文件传输,订单处理,工资核算等。所有这些都要求自动化平台有权访问机密信息(库存清单,信用卡号,地址,财务信息,密码等)。 。)关于公司的员工,客户和供应商。

因此,安全风险的管理是RPA发展的重中之重。最迫切的问题是要确保不会通过归因于软件机器人的特权或为机器人开发工作流的特权来滥用机密数据。

数据安全性问题可以分为两个高度相互联系的方面:

·数据安全性。目标是对数据完全保密,正确使用。隐私,例如受到良好保护的个人和公司数据,对于倾向于与计算机“携手并进”工作的企业领导者来说,是自然而然的问题。

·访问安全性。目的是消除未经授权的用户访问和操纵机器人处理的私人数据的可能性。这进一步防止了自动化平台功能的滥用。需要访问安全性,以保护RPA业务免受员工的意外错误和黑客攻击。

幸运的是,有几种减轻RPA安全风险的方法。有助于实现更高安全级别的因素直接涉及上述两点。因为正如安全技术专家Bruce Schneier所说,“安全不是产品而是过程”。

如何预防RPA安全风险

1.最突出的安全因素是基于在RPA团队中分配不同的角色来隔离对数据访问。每个成员的活动都受到分配的角色的约束,从而将欺诈活动保持在控制之下。例如,按照协议的要求,在获得双方同意之前,任何更改都不能进入实时环境。所有用户,流程或个人都必须使用登录凭证才能访问环境(所谓的凭证保险库)。因此,只有特定的授权用户才能访问系统中的敏感数据。

2. Active Directory集成用于通过集中团队凭据进行管理来分配角色。它提供了一个用于登录凭据的控制中心。与第三方平台相比,跟踪机器人流程执行的活动可以更好,更直接地控制潜在的麻烦动作。一个重要的结果是团队内部分工的配置和实施。通过活动目录集成严格定制的RPA环境可提高业务效率。这明确了为什么增强RPA的安全级别会映射到增强的自动化效率上,这是它的另一个主要优势。

3.加密是对活动目录集成的补充,是实现数据使用安全的一种手段。如果基于角色的访问减少了内部安全风险,则加密可以保护公司免受外部恶意攻击。高级加密协议可保护凭证保险库的管理详细信息。

4.有助于增强RPA安全性的其他因素包括:完成计划的任务,制定明确的桌面策略或确保免受恶意软件和木马的侵害。

RPA如何降低业务运营中先前存在的风险

通过实施基于角色的访问或加密将RPA安全风险降至最低后,机器人流程自动化将使业务运营的整体风险降低。

总体而言,RPA实际上减少了与培训员工和向他们传授安全实践(例如密码管理,隐私设置的应用)相关的安全相关工作,因为它确保了零接触环境。通过消除手工工作,自动化可以从宏观上最大程度地降低安全风险。

除了安全风险,RPA的零接触环境还有助于减轻业务运营中其他与人有关的风险。自动化环境没有偏见,偏见或变异性,所有这些都会使人为工作带来错误风险。因此,RPA确保使用可信赖的数据降低风险和一致性。

自动化过程中缺乏随机性和可变性,进一步确保了对RPA平台内置的公司要求的统一合规性的提高

另一方面,灵活性和对RPA平台变更的内在适应性确保了自动化流程的可扩展性,或它们适应变更和增加复杂性的能力。因此,RPA能够更好地应对动态业务环境中固有的风险。

结论

在公司中使用流程自动化机器人一个全部原因是其减少人工工作固有错误风险的能力。但是,RPA本身必须应对安全风险。这就是说,在快速发展的全球环境中,对数据和访问安全风险的担忧是合理的。但是,风险是可以控制的。

为此,应明智地执行RPA。“明智的实施”基本上等于选择稳定的RPA产品或提供商,并辅以适当,持续的安全措施监控。提供基于角色的机密数据访问和数据加密是应对安全风险的最重要手段。

安全风险大概是RPA帮助缓解的最重要风险。但是正如我们所看到的,自动化可以通过提高对业务规范的一致性,自适应性和确保可靠的数据来显着降低其他风险。

LittleR

RPA和安全性:被劫持机器人的风险

 

机器人流程自动化(RPA)是使用软件执行的重复业务流程的简化,该软件可以执行图像识别并与遗留应用程序进行交互,通常以比人类更快的速度和准确性来执行任务。RPA通常基于面向规则的软件,但开始也包括用于自动化简单决策流程的AI工具。

RPA有什么优势? 根据3Gem Research的调查,其好处包括:

  • 生产率
  • 24/7可用
  • 消除重复工作

但是RPA的挑战之一是管理安全性。RPA软件通常与敏感的客户数据进行交互。内部人员或远程黑客可能能够访问或控制RPA脚本并以执行欺诈性行为的方式对其进行更改。

EY一份报告发现, “在保护RPA实施时,组织必须考虑整个机器人生态系统的技术,流程和人为因素。一个安全的设计应该包括需求,选择,架构,实施和持续运营的整个产品生命周期。”

FortressIQ的自动化和流程卓越负责人Jon Knisley告诉DarkReading.com: “尽管RPA可以在提高生产率和提高合规性方面带来巨大价值,但该技术的确为网络攻击引入了新的载体。RPA机器人需要与人类相同的系统访问权限,因为它们在表示层运行。由于凭证不断访问不同的应用程序以剪切,复制,粘贴和移动数据,因此凭证经常被硬编码到脚本中或从不安全的位置提取。

BlueCat信息安全和合规总监Cuneyt Karul告诉DarkReading.com, “作为关键系统的一部分,RPA可能构成单点故障,并导致难以恢复的中断。僵尸程序可以很好地扩展,但是它们构成的安全风险也可以,因此使其成为DDoS攻击的理想工具。RPA还容易受到零日漏洞的影响,这些零日漏洞是它们所运行的平台和操作系统所固有的。为了减轻RPA的风险,应将其视为IT基础架构中的任何其他系统。这意味着应该对其进行严格的设计,开发,测试和监视。”

LittleR

RPA数字员工的安全挑战

对于RPA数字员工,有许多人其实是有顾虑的,有人担心机器人会不会自动疯跑;机器人偷偷做了一些事情不该做的任务 ;机器人会不会被黑客控制继而威胁企业信息安全。今天我们探讨的话题就是关于RPA数字员工在企业应用中对于企业本身信息安全的挑战。

企业引入RPA软件或平台后,一个间接可以获得巨大权限,有各类Web服务,API,数据交换能力的全新且容易被攻击的对象就产生了。

 

 

 

 

RPA数字员工

对于许多考虑尝试RPA数字员工机器人的企业来说,对安全的担忧是非常重要的因素。通常情况下,IT和合规部门会比较谨慎,担心数十个机器人员工在内部系统中疯狂运行的可能性。当涉及到RPA安全问题时,首先应该考虑哪些问题?
RPA流程通过用户在图形用户界面中执行活动列表,然后在GUI中执行这些活动来模仿人类员工的活动。这样会导致一些安全问题。当向人员提供对系统的访问权限时,该人员就具有内在的信任。为了使RPA顺利工作,需要将这种信任转移给RPA机器人。
RPA数字员工是目前最受欢迎的服务推动者之一,但对于在企业系统上释放机器人大军的想法,仍然存在大量的不信任,有时甚至是恐惧。在许多情况下,主要的障碍是IT部门。RPA数字员工一个经常被吹捧的“好处”是业务本身可以实现机器人解决方案,而不需要IT输入,但事实是,当出现问题时,如果需要IT在解决方案上合作,那么将需要IT参与设计和部署。
尽管存在这些担忧,和大环境的不利因素,但RPA市场仍在增长。危险在于,在当前的趋势中,公司很容易建立一个“快速而不可靠”的机器人能力,缺乏安全性、可扩展性和可持续性。虽然短期内可能会有成本效益,但从长远来看,公司很可能会在风险和规模上为其付出代价。

Attended & Unattended Robot

Attended : 有人参与机器人,发生在前端办公室员工的桌面上。应用类型更接近个人助手机器人 ,需要前端用户自己按需应用。
Unattended: 无人参与机器人,发生在后台IDC或云平台上。Unattended应用类型是更纯粹的7*24小时数字员工模式 。 
Attended Robot 与 Unattended Robot的安全性要求和区别是非常巨大的,几乎就是两种产品形态。

 

前台机器人 VS 后台机器人

前台机器人 VS 后台机器人

 

RPA数字员工的安全挑战

希望实现RPA的组织应该意识到与安全相关的挑战。这些包括:

 

RPA数字员工面临的安全挑战

RPA数字员工面临的安全挑战

 

需要维护审计日志:这些对于跟踪机器人的运行状况和有效性非常重要。例如,如果一个机器人停止工作,审计日志将帮助识别潜在的原因,无论是雇员的不当使用还是恶意代码。缺少机器人的密码管理:机器人登陆第三方平台的账号加密,密码管理,需要有授权,获取密码等方法,密码维护通道。需要持续的监控:机器人需要在不同的级别上被定期的监控,以确保它们不会行为不端,这会导致很高的错误率和潜在的损害。

数据滥用:在一些过程中,如工资管理和文件传输,机器人需要访问私人信息,如密码,地址,信用卡号码等,员工,客户和供应商。这里的挑战是确保公司和个人数据保持机密,不被滥用。

开发后门与风险:RPA开发人员的不良企图或者开发的代码缺陷是可以导致后门或信息泄露风险的。 流程开发评估可以控制这个风险。

在恶意用户手中,可以开发RPA机器人来攻破组织的防御并窃取机密数据。

RPA数字员工核心安全要素

某品牌提出的关于RPA的4个核心安全要素是这样的:

随着机器人过程自动化(RPA)的广泛采用,组织已经开始理解,数字劳动力需要监督、安全和治理保障,类似于他们的人类对手。有四个高层考虑事项,业务领导人必须解决,以确保其数字劳动力的安全性和依从性。

基础设施安全

计划实现RPA的公司应该创建一个不受干扰的环境,在这个环境中他们的机器人可以操作(以及配置和分配)。

集中管理的用户访问控制
更宽松的访问控制,比如团队级别的访问,是不够的,确保安全性和依从性。每个机器人、流程甚至特定对象管理的访问参数本质上更安全。

系统化的活动日志

只有当每一个流程100%的交易内容都被实时记录并安全存储时,组织才能确保责任和责任。注意不只是说,流程成功跑完了就代表着业务成功了。

无可辩驳的审计跟踪

审计跟踪的质量和完整性对馁恶意活动会是巨大的威慑,不可抵赖性设置至关重要。

 

降低RPA的安全风险

RPA数字员工降低安全风险
进行定期审计和定期风险评估,实施适当的控制来监控RPA活动,确保所有机器人都在规定的规则范围内运行。应该定期查看RPA日志。还需要定期进行风险评估,以跟踪新风险的出现,检查控制是否失效,并确定是否有机器人应该退役。
控制RPA数字员工访问权限:公司应该谨慎对待他们如何授予在RPA环境中工作的访问权权限。如果可以在测试环境使用通用ID,在生产环境使用唯一的特定ID。
遵循严格的治理:规则和控制必须明确定义,以确保RPA安全。治理框架应该包括详细的标准、业务说明和开发标准。
使用安全的密码平台:密码平台允许RPA团队将所有第三方系统密码存储在一个安全的账密库,使用和授权都是受限和可控的。
选择合适的RPA潜在流程:公司应该利用基于最佳实践的评估方法来确定正确的RPA潜在流程。例如,评估方法应该描述现有流程中的当前风险和复杂性。
实施稳健的变更管理:一个结构化的变更管理流程对确保RPA实施的问责制和审核至关重要。这应该定义谁负责执行变更、评估风险、审查性能、提供批准、运行以前版本的备份,以及向用户发送通知。
确保业务连续性:必须创建一个清晰的业务连续性计划,概述执行每项任务所需的备份流程和信息源。内部审计团队应该检查业务连续性计划文档是否包含细节和Standby人员。
除了上述步骤,公司应该确保机器人符合组织的标准和安全控制。
RPA开发人员创建的代码应该被彻底审查,以防止破坏或错误。
最后,应该对所有bot活动和更改进行版本控制和验证,以提供遵从性的审计跟踪。

部分RPA产品漏洞

除了前面提到的安全风险,RPA产品本身也是存在许多潜在安全风险的,这些风险和缺陷来自对企业级使用的一些流行产品的分析。RPA产品中识别出的一些已知漏洞如下:

  • UiPath Orchestrator到2018.2.4允许任何经过身份验证的用户更改任意用户(甚至管理员)的信息,从而导致特权升级和远程执行代码。(CVE-2018–17305

  • 2018.3.4之前的UiPath Orchestrator允许CSV注入(CVE-2018–19855

  • 可以利用访问控制中的漏洞来提升Blue Prism中的特权(CVE-2019–11875

  • Pega Platform利用缺少的访问控制(CVE-2017–11356),允许经过远程身份验证的用户访问敏感的配置信息

  • PEGA Platform 7.2 ML0和更早版本中的多个跨站点脚本(XSS)漏洞(CVE-2017–11355

以上发现的部分漏洞可以在  CVE Details 站点找到详细内容:
CVE-2018–17305

CVE-2018–17305

RPAPlus: 为何Global TOP RPA 在产品技术层面(政治层面情况刚好相反)会相对安全性更好一些,因为这些软件已经存在很长时间了,在企业比较大规模得应用也有较长时间了,许多安全性和可靠性问题都曾经暴露并已经被修复。然而咱们国内的初创团队RPA产品,甚至很少有开始考虑安全问题的团队。所以,关于国产产品RPA数字员工安全性这个话题,估计有好几年的路可以走。

总结

使用RPA来提高生产力的组织应该仔细规划他们的实现,以保护自己不受安全破坏。RPA创建了易受风险影响的新应用层。此外,如果没有持续的监督,机器人可能无法有效地工作,导致问题、错误和潜在的损害。由于机器人可能需要访问私人信息,组织机构必须建立正确的安全措施。其中一些措施包括创建治理框架、审计日志、密码库和版本控制。建立这些流程将允许RPA数字员工自己处理安全风险,从而确保最佳的机器人性能并降低业务风险。

► 中台 与 RPA,站在企业视角解读两个技术体系
► 自我修复RPA机器人目前阶段有产品实现了吗?
► 我居然将RPA机器人技术用在了自己P2P理财维权上
► Business Process Modeling-数字流程建模简介
► RPA未来发展趋势,Robot as a Service是一个不错的方向吗? 
►RPA + BPM 互补带来更优企业智能自动化方案
► TOP5 Process Mining 流程挖掘软件公司 2020
► Low-Code能帮助克服RPA的缺陷吗
「RPAPlus」 | 专注RPA+AI 研究、评测、教育
https://www.rpaplus.com

首页