При внедрении программных роботов, компании думают о своем будущем, о развитии в эпоху цифровой трансформации бизнеса. Однако у клиентов, переходящих на RPA, зачастую возникают вопросы, связанные с информационной безопасностью этой новой для них технологии. Это вполне понятно, ведь постоянно возникают новые киберугрозы и риски. ЦТР Мы имеем опыт внедрения большого количества RPA-решений в бизнес различных направлений и точно знаем, что роботы не более опасны, чем люди.
На самом деле программные роботы за счет минимизации участия человека позволяют повысить защищенность данных, а не наоборот. При этом необходимо помнить, что люди в работе с ними все же задействованы, и безопасность во многом зависит от сотрудников, как непосредственно работающих с системой, так и принимающих решения в масштабах всей компании и ее подразделений. Цель RPA – повысить эффективность и уровень автоматизации бизнес-процессов, но при внедрении роботов нужно поработать, в том числе в плане обеспечения защищенности данных.
Особенность программного робота в том, что эта система способна без участия человека принимать решение о выборе варианта исполнения процесса. Более того, практика показывает, что чем меньше человек вовлечен в текущий процесс обработки, тем выше эффективность. То есть робот избавляет человека от рутинных дел. Однако правила, по которым выполняются эти действия, задают люди, они должны быть прописаны четко. Робот будет действовать строго в их рамках. А человеку, в свою очередь, важно не просто поставить задачи, но и принять надежные меры по обеспечению информационной безопасности.
Робот – это программный код, а значит, он может быть модифицирован. Поэтому компания, принимающая решение о внедрении RPA, должна быть уверена в том, что сможет обеспечить защищенность этой системы. Заказчику необходимо определить, готова ли его служба информационной безопасности к роботизации. Обычно принятые на предприятиях внутренние регламенты предотвращения информационных угроз вообще не учитывают возможность работы с программными роботами. А роботы нередко обрабатывают персональные данные и другую информацию конфиденциального характера. Следует пересматривать политику и концепцию безопасности, составлять рабочие инструкции, в которых будет прописано, как нужно обращаться с этими системами. Не лишним будет проведение аудита состояния информационной безопасности, как до, так и на регулярной основе после внедрения RPA.
Риски при работе с RPA в целом ничем не отличаются от традиционных рисков кибербезопасности, возникающих при внедрении любых IT-проектов.
Уязвимости — недоработки в информационной системе, которые дают возможность злоумышленникам получить доступ к системе для выполнения неправомерных действий. Причиной появления и использования сторонними лицами уязвимостей часто является человеческий фактор — посещение сотрудниками небезопасных сайтов, слабые пароли, загрузка вредоносных программ. В большинстве систем RPA сегодня используется шифрование данных, что снижает риски возникновения уязвимостей, однако они все же встречаются в некоторых относительно слабо защищенных решениях.
Злоупотребление привилегированным доступом — использование тем или иным сотрудником своих полномочий для нарушения информационной безопасности компании. По статистике более 70% утечек данных возникают из-за того, что лица, имеющие учетные записи с повышенным доступом, «сливают» их кому-то в корыстных целях. Если привилегии есть у робота, злоумышленники могут использовать его для взлома системы и неправомерного использования информации.
Выход системы из строя. Из-за аппаратной или программной неисправности система может перестать функционировать. Простой чаще всего связан с человеческим фактором (ошибки сотрудников), состоянием оборудования, ошибками на сервере, проблемами взаимодействия программных решений. Сбой сети может нарушить работу робота, как и любого другого программного решения, и привести к снижению производительности. Перебои в системе или даже ее отключение может вызвать перегрузка, вызванная чрезмерно быстрой последовательностью действий робота, к которым система окажется не готовой.
Раскрытие конфиденциальной информации — еще одна проблема, полностью связанная с неосторожностью сотрудников. Применительно к RPA этот риск заключается в возможности умышленного или случайного неправильного обучения робота, результате которого данные утекут в интернет или сторонним пользователям.
Информационная безопасность в компании — во многом вопрос организационной культуры. Если компания уже успела наладить работу так, чтобы обеспечить на разных уровнях ответственное отношение сотрудников к защите данных, ей будет значительно легче избежать проблем при роботизации бизнес-процессов. Если есть сомнения в собственных силах, вопросы безопасности RPA можно передать на аутсорсинг, однако нужно быть уверенным в надежности и компетентности партнера.
Если все сделать правильно и обеспечить защищенность программного робота от информационных угроз, вы получите надежный инструмент повышения рентабельности. Выбор эффективного RPA-решения вкупе с наличием четкой стратегии минимизации рисков позволит повысить производительность труда и вывести бизнес на новый уровень.
