Найти тему
ElectroNeek
641 подписчик

Безопасность использования RPA

9 минут
74 прочтения

«Безопасна ли автоматизация для моего бизнеса?»

Когда дело доходит до автоматизации бизнеса, и, в частности, роботизированной автоматизации процессов, вопросы кибербезопасности являются одной из самых горячих тем для владельцев бизнеса. И в этом есть смысл, так как в постоянно меняющемся мире инноваций становится практически невозможно справляться со всеми потенциальными последствиями и рисками технологий изо дня в день.

В этой статье мы рассмотрим этот деликатный вопрос, определим основные риски, связанные с RPA, оценим возможные риски для деятельности компании и предоставим вам чёткое представление о том, какие меры следует принять для их снижения.

Преимущества автоматизации

Никогда ещё роботизированная автоматизация процессов не была так близка к повседневной деятельности человека, как сейчас.

RPA открывает более широкие перспективы для улучшений, позволяя брать на себя повторяющиеся задачи и получать выгоду в различных аспектах бизнес-процессов:

  • Сокращение времени на трудоёмкую работу, выполняемую вручную
  • Снижение затрат и повышение окупаемости инвестиций
  • Возможность для людей быть вовлечёнными в важные задачи
  • Исключение сверхурочных, потраченных на рутинные задачи

Однако всем нам знакома поговорка: «Бесплатный сыр только в мышеловке».

Что это значит для программных роботов? Конечно, риски безопасности, которые всегда связаны с развёртыванием RPA.

Давайте подробнее рассмотрим риски кибербезопасности, которые RPA может принести вашей компании, и последствия этого.

Кибербезопасность в RPA: возможные риски

При внедрении RPA существует 4 ключевых области, в которых ваш бизнес может оказаться под угрозой. В целом они в основном коррелируют с традиционными рисками кибербезопасности.

Злоупотребление привилегированным доступом

Этот термин применим к внутренним системам и базам данных любой компании и всегда связан с привилегированными учётными записями, т. е. учётными записями с более высокими правами доступа к данным компании.

Привилегированные учётные записи могут быть проиллюстрированы либо учётными записями членов IT-группы, либо учётными записями сотрудников, которые ежедневно обрабатывают конфиденциальные данные компании (например, бухгалтеров, финансовых менеджеров и т. д.). Мрачная статистика показывает, что согласно исследованию Centrify, 74% утечки данных начинаются со злоупотребления привилегированным доступом.

Что касается автоматизации, риски, связанные со злоупотреблением привилегированным доступом роботами RPA, в основном такие же, как и риски, связанные со злоупотреблением привилегированным доступом со стороны людей, то есть:

Привилегированный доступ, предоставленный учётной записи робота, может быть использован злоумышленниками для взлома системы и кражи или неправомерного использования конфиденциальной информации вашего бизнеса.

Злоумышленники могут обучить робота нарушать важные бизнес-процессы, связанные с клиентами, заказами или транзакциями.

Уязвимости

Уязвимости — это слабые места в информационной системе, которые позволяют незаконно авторизоваться в системе и выполнять злонамеренные действия.

Наглядным примером того, как могут появиться уязвимости, могут быть случайные или непреднамеренные неправильные действия сотрудника, посетившего подозрительный или небезопасный веб-сайт. В этом случае небезопасный веб-сайт является источником угрозы, который вызывает появление уязвимости. Вот некоторые из наиболее распространённых примеров уязвимостей: отсутствие шифрования данных, отсутствие авторизации, межсайтовый скриптинг и подделка, слабые пароли, загрузка заражённого программного обеспечения.

Вот 2 сценария риска возникновения уязвимостей в RPA:

  • Уязвимости в бэкэнде системы RPA могут предоставить кибератакам доступ к корпоративной сети.
  • Несмотря на то что большинство современных систем RPA в настоящее время используют шифрование при передаче данных, все ещё существуют инструменты RPA с низким уровнем безопасности, где незашифрованная передача данных может вызвать утечку конфиденциальных данных.

Выход из строя системы

Отказ системы (или простой) относится к периоду времени, когда система / сеть не может выполнять свою основную функцию. Простои могут быть вызваны множеством причин и могут возникать в компаниях различного размера. К наиболее частым причинам относятся: человеческие ошибки, старое или нестабильное оборудование, ошибки в операционной системе сервера и проблемы интеграции / взаимодействия.

Например, в 2018 году, в день Amazon Prime, миллионы покупателей столкнулись с серьёзным отключением на странице Amazon из-за отсутствия серверов, способных обрабатывать такой огромный онлайн-трафик.

В RPA сценарии риска, связанные с отключением системы, могут быть представлены следующим образом:

  • Неожиданный сбой сети может нарушить работу управляющего программного робота, что приведёт к значительному снижению производительности.
  • Быстрая последовательность действий робота может вызвать сбой или отключение системы.

Раскрытие конфиденциальной информации

В деловых отношениях конфиденциальная информация — это любая информация, связанная с бизнесом и делами компании, которая не является общедоступной. Несанкционированное раскрытие финансовой информации компании, маркетинговых планов, предстоящих проектов и любых других материалов, помеченных как конфиденциальные, может иметь разрушительные последствия для предприятия.

Иногда даже такая стандартная человеческая ошибка, как звонок деловому партнёру по работе во время обеда или импульсивный акт отправки электронного письма из корпоративного почтового ящика любому третьему лицу, чтобы поделиться некоторыми неприятными новостями компании, может рассматриваться как разглашение конфиденциальной информации.

В RPA сценарий риска, связанный с раскрытием конфиденциальной информации, может возникнуть, когда:

  • Умышленное или небрежное неправильное обучение робота привело к утечке конфиденциальных данных (таких, как платежи, данные кредитной карты) в интернет.
-2

Управление рисками: как решать проблемы безопасности, связанные с RPA

Приведённые выше примеры и сценарии свидетельствуют о том, что риски кибербезопасности при реализации RPA мало чем отличаются от традиционных рисков кибербезопасности, с которыми обычно приходится сталкиваться любой компании в своей повседневной жизни. Более того, роботы на удивление не более опасны, чем люди.

Хорошая новость заключается в том, что, хотя возможные последствия киберугроз могут создать в вашем сознании довольно драматическую картину, принятие чётких и надёжных мер по обеспечению информационной безопасности позволит вашему бизнесу работать без проблем.

Шаг 1. Безопасность программного обеспечения

Обеспечение безопасности программного обеспечения — один из важных шагов, лежащих на поверхности безопасности бизнеса. По сути, безопасность программного обеспечения подразумевает принятие 4 важных мер:

  • Анализ рисков: проводите постоянные проверки безопасности процессов RPA на каждом этапе внедрения от создания роботов до их запуска.
  • Анализ недостатков: анализ текущих недостатков архитектуры безопасности в областях аутентификации, методов виртуализации и соединений различных сред.
  • Сканирование: обеспечить сканирование внутреннего кода в процессе создания робота для предотвращения уязвимостей.
  • Схема развёртывания: проверьте правильность и безопасность процесса развёртывания робота.

Шаг 2. Управление доступом

  • Разделение привилегий и действий роботов: реализовать набор мер для управления привилегиями доступа пользователей и разделения действий в зависимости от уровней риска. Вы можете построить определенную структуру безопасности, которая позволит программным роботам выполнять только те задачи, которые им назначены.
  • SSO и LDAP: использование единого входа с облегчённым протоколом доступа к каталогам обеспечит безопасность процесса входа в систему RPA
  • Шифрование: не игнорируйте использование зашифрованных инструментов управления паролями и принудительное использование паролей в сеансах активности роботов.

Шаг 3. Безопасность данных

  • Мониторинг данных: постоянный мониторинг данных, обрабатываемых роботами, для защиты от возможных злонамеренных манипуляций с данными

Что ещё более важно, хорошо зарекомендовавшая себя система RPA имеет Orchestrator — инструмент, который отслеживает журналы действий, обеспечивая безопасность и соответствие как действиям роботов, так и вовлечённым людям.

Подробнее об ElectroNeek Orchestrator

  • Операционная безопасность: сканирование роботов на уязвимости и моделирование угроз для выявления системных недостатков.

Шаг 4. Структура управления

  • Управление: вам необходимо создать и внедрить систему с чёткими ролями и обязанностями внутри отдела / команды, ответственных за процесс автоматизации.
  • Стратегия и правила: компания должна разработать набор требований и правил в рамках действующих норм безопасности и обеспечить надлежащий надзор за этим.
  • Осведомлённость: топ-менеджеры должны повышать осведомлённость о рисках, связанных с RPA, и потенциальных воздействиях внутри (среди ответственных команд) и за пределами (среди создателей роботов).

Заключение

Нельзя отрицать, что внедрение RPA подразумевает кропотливую работу для любого владельца бизнеса, состоящую из переоценки текущих бизнес-процессов и правил, создания новой системы безопасности или изменения старой, выявления слабых мест и определения критических контрольных точек.

Возникает резонный вопрос: «Зачем мне вся эта суета?»

Здесь пригодится холодная статистика:

  • Согласно исследованию Deloitte, интеллектуальная автоматизация доказала, что снижает затраты на бизнес-процессы в среднем с 25% до 40%.
  • Исследование Gartner показало, что в среднем количество доработок, которых можно избежать в бухгалтерских отделах, может занять до 30% от общего времени штатного сотрудника.
  • Исследование, проведённое провайдером ABBYY Digital IQ, показало, что большинство приверженцев RPA отметили повышение эффективности (55%), опережение конкурентов / увеличение своей доли рынка (52%) и рост доходов (52%), а также повышение производительности (44%) и трансформация бизнеса (40%).

Это означает, что, внедряя RPA, вы инвестируете в процветание бизнеса с точки зрения рентабельности инвестиций, производительности труда и удовлетворённости клиентов. Усилия хорошо вознаграждаются, не так ли?

Мы обсудили основные риски кибербезопасности, связанные с роботизированной автоматизацией процессов, и рассмотрели тактику их снижения.

Всё сводится к тому, что злоупотребление привилегированным доступом, уязвимости, сбой системы и раскрытие конфиденциальной информации не являются чем-то новым, хотя эти термины использовались в несколько ином контексте.

Когда дело доходит до вопросов безопасности, ключом к успеху любого директора по информационной безопасности является наличие чёткой стратегии по предотвращению любых возможных угроз. И мы надеемся, что эта статья упростила вам процесс построения такой стратегии.

Следующим шагом будет выбор надёжной системы RPA, которая поможет вам в реализации вашей стратегии. И здесь у нас есть решение для вас. Всё просто — попробуйте Electroneek!

С подпиской рекламы не будет

Подключите Дзен Про за 159 ₽ в месяц

Взгляните на эти темы
Дзен Календарь
Бизнес и финансы
Найти тему
Экономика
Недвижимость
Энергетика и электросети
Инвестиции
Банковские услуги
Бизнес и предпринимательство
Рынок труда
Цифровая экономика
Товары и цены
Налоги и вычеты
Льготы и пособия
Центральный банк
Предприниматели
Инвестиции для начинающих
Валюты: курсы и прогнозы
Инфляция
Марк Цукерберг
Юридические аспекты недвижимости
Энцо Феррари
Бизнес и финансы
1,13 млн интересуются