隨著全球數(shù)字化經(jīng)濟的飛速發(fā)展，越來越多的業(yè)務(wù)通過RPA實現(xiàn)自動化，工作效率得到了巨大提升。但同時伴隨著諸多安全風險，如網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄漏、缺少專業(yè)安全管理人才等問題。

作為世界“四大會計事務(wù)所”之一的安永，為大家系統(tǒng)的講解了，在RPA安全方面用戶應(yīng)該注意哪些問題及解決方案；同時，RPA作為效率極高的應(yīng)用工具，反過來可以為組織帶來哪些安全方面的提升。

什么是機器人自動化技術(shù)？

這里的機器人指的是軟件機器人，IT自動化（ITA）和業(yè)務(wù)流程自動化（BPA）已有數(shù)十年歷史，不過機器人流程自動化（RPA）與這兩項技術(shù)卻有著很大的區(qū)別：

首先，ITA / BPA通常是由專業(yè)技術(shù)團隊構(gòu)建和維護，而RPA則直接由用戶自己來掌控；其次，在部署方面ITA / BPA需要花費數(shù)月甚至數(shù)年才能完成，而RPA借助云端、底代碼等技術(shù)，可以在數(shù)周甚至幾天之內(nèi)完成所有部署。

RPA技術(shù)在許多行業(yè)和組織中受到了極大地關(guān)注，正通過機器人流程自動化來快速、輕松地自動執(zhí)行重復(fù)和耗時的業(yè)務(wù)流程。同時IT和網(wǎng)絡(luò)安全部門也利用自動化平臺的能力來編排工作流程并執(zhí)行各種任務(wù)。而在安永日常工作環(huán)境中，通常會看到以下三種形式的機器人：

RPA（機器人流程自動化）：一種提供可視化拖拽操作方式的軟件機器人，易于部署、擴展靈活、支持跨平臺。RPA可以自動執(zhí)行諸多工作任務(wù)，如數(shù)據(jù)輸入、跨多個系統(tǒng)遷移數(shù)據(jù)、數(shù)據(jù)提取、數(shù)據(jù)審核等。RPA最大好處是無需額外的幫助，只需通過短時間的學習用戶便可自行操作RPA機器人。

OR（網(wǎng)絡(luò)管理機器人）：這種機器人經(jīng)常用于IT服務(wù)管理和網(wǎng)絡(luò)安全操作，例如：添加和刪除用戶、權(quán)限管理和網(wǎng)絡(luò)安全故障分類等。這種形式的機器人側(cè)重于編碼自動化操作能應(yīng)用于多個系統(tǒng)，可簡化復(fù)雜和密集型的工作流任務(wù)。它遵循預(yù)先設(shè)定的規(guī)則，這些規(guī)則描述任務(wù)并根據(jù)預(yù)定義的標準做出決策。部署方面需要與應(yīng)用程序編程接口（API）、數(shù)據(jù)庫和后端服務(wù)器相結(jié)合，通常需要開發(fā)大量的代碼來設(shè)置所需要的模塊。

CL（認知機器人）： CL機器人通過使用先進的算法、智能分析、機器學習和人工智能等技術(shù)，可用于處理結(jié)構(gòu)化和非結(jié)構(gòu)化任務(wù)。認知機器人可以像人類一樣思考和行動，可以在無人值守情況下完成復(fù)雜的工作任務(wù)。

RPA有哪些網(wǎng)絡(luò)風險？

在當前商業(yè)環(huán)境中，RPA機器人是企業(yè)實現(xiàn)數(shù)字化轉(zhuǎn)型的重要組成部分。由于RPA機器人應(yīng)用于企業(yè)各項業(yè)務(wù)中，所以，機器人項目既應(yīng)通過保護機器人平臺來應(yīng)對網(wǎng)絡(luò)風險，也應(yīng)利用機器人技術(shù)來執(zhí)行更有效、更高效的網(wǎng)絡(luò)操作。在安永看來，組織必須建立對其RPA平臺的信任，以應(yīng)對多種形式的網(wǎng)絡(luò)風險。以下是一些常見的RPA網(wǎng)絡(luò)安全隱患:

• 權(quán)限攻擊：有時黑客會入侵RPA運行網(wǎng)絡(luò)，盜取擁有高級權(quán)限的RPA賬戶，然后去竊取一些敏感的數(shù)據(jù)，例如：客戶生成的訂單、金融數(shù)據(jù)和客戶詳細信息等。

• 敏感數(shù)據(jù)泄漏： 通常智能機器人具備自我學習能力，如果用戶設(shè)置不當機器人可能會自動將敏感信息上傳到網(wǎng)絡(luò)中，例如：用戶信用卡信息、金融賬戶信息等。還有個別員工通過創(chuàng)建新的RPA機器人，來竊取用戶的敏感信息。

• 安全漏洞：RPA機器人供應(yīng)商的代碼有漏洞；在云端處理或傳送數(shù)據(jù)時沒有進行加密保護。

• 沒有合理的計劃：將RPA機器人所有自動化任務(wù)，快速消耗掉系統(tǒng)資源，導(dǎo)致RPA意外或者系統(tǒng)原因中斷服務(wù)，從而造成意外的數(shù)據(jù)丟失。

如何保護RPA系統(tǒng)安全？

在RPA系統(tǒng)安全防護方面，組織必須從整個RPA機器人生態(tài)系統(tǒng)去考慮，如技術(shù)、流程和人為因素等。一個周全的“安全計劃”應(yīng)該包括：需求、選擇、架構(gòu)、實現(xiàn)到整個產(chǎn)品生命周期。為了幫助用戶快速建立安全防護體系，安永給出了以下幾條建議：

• 保證數(shù)據(jù)完整性：沒有極特殊情況下，盡量不要在RPA機器人進行數(shù)據(jù)處理時進行二次加工，避免數(shù)據(jù)泄漏或者丟失。

• 完整的日志追蹤：確保管理人員可以監(jiān)控和追蹤RPA機器人所有的活動，這樣可以時刻掌握其動態(tài)，防止數(shù)據(jù)誤操作或者有其他可疑人員介入到自動化流程中。

• 權(quán)限劃分：保證操作人員各司其職，可以為不同職責、需求的員工設(shè)置不同類型的操作權(quán)限，避免跨部門非法人員竊取敏感數(shù)據(jù)。

• 建立完善的維護計劃：建立具有角色和職責的維護計劃，以保護RPA機器人在執(zhí)行任務(wù)時符合策略和安全要求。

• 保證產(chǎn)品安全：對選用的RPA產(chǎn)品進行安全架構(gòu)風險分析，包括：bot的創(chuàng)建、控制、運行和識別跨各種系統(tǒng)連接產(chǎn)品時，安全體系結(jié)構(gòu)漏洞和虛擬化方法的使用和授權(quán)漏洞。同時進行安全設(shè)計審查，如數(shù)據(jù)流分析，以驗證安全控制集成到RPA中；集成安全掃描工具，作為RPA機器人創(chuàng)建過程的一部分，用于掃描后臺生成的安全漏洞代碼。

• 操作鏈接安全：在RPA機器人進行處理時，實施安全控制來保護鏈接安全，例如：使用單點登錄（SSO）和輕量級目錄訪問協(xié)議（LDAP）支持對RPA接口的安全登錄。在機器人會話中設(shè)置統(tǒng)一密碼，集中機器人身份和訪問流程管理；利用加密的憑證管理器，來防止數(shù)據(jù)的泄漏。

• 數(shù)據(jù)識別與保護：對RPA機器人處理的數(shù)據(jù)進行規(guī)范性評估；監(jiān)測RPA機器人在處理敏感數(shù)據(jù)時是否符合規(guī)范。

如何通過RPA提升組織的安全性？

當我們把RPA機器人處理過程中的安全問題解決之后，反過來，RPA機器人可以在一些安全項目中提升組織的數(shù)據(jù)安全性。許多首席信息官（CIO）、首席信息安全官（CISOs）、首席數(shù)字官（CDO）都面臨著數(shù)十種甚至數(shù)百種遺留系統(tǒng)和應(yīng)用程序之間的協(xié)同工作。這使得他們不得不手動從多個系統(tǒng)、應(yīng)用程序進行收集數(shù)據(jù)，將數(shù)據(jù)從一個系統(tǒng)復(fù)制到另一個系統(tǒng)，并在眾多應(yīng)用程序之間進行切換以完成工作任務(wù)。而RPA機器人恰好可以幫助用戶解決這些潛在的威脅，同時具有以下好處:

• 通過RPA機器人自動搜集密集型數(shù)據(jù)，幫助組織節(jié)省運營費用和彌補人才缺口；

• 通過讓員工專注于更有價值的工作，來減少由于缺乏挑戰(zhàn)或職業(yè)發(fā)展而導(dǎo)致的員工流失；

• 當發(fā)現(xiàn)漏洞或異常攻擊時，RPA將按照用戶設(shè)定自動部署安全設(shè)置；

• 為CIO提供可靠的數(shù)據(jù)報告，快速做出明智的決定；

RPA機器人在安全防護中的用例

通過以下幾個案例，幫助用戶更好的了解RPA如何幫助組織提升整體安全性：

項目安全管理：將RPA用于項目安全管理，可以提高安全報告的質(zhì)量和及時性，例如：RPA機器人可以按分鐘甚至秒來掃描系統(tǒng)的安全狀態(tài)，如發(fā)現(xiàn)任何數(shù)據(jù)異常將立刻通知用戶。安全控制跟蹤機器人，可以幫助用戶推動信息安全領(lǐng)域的自動化測試，例如：通過配置機器人可以更快、更有效地對服務(wù)器、防火墻、路由器和應(yīng)用程序上的安全設(shè)置策略進行測試，并自動生成高質(zhì)量的數(shù)據(jù)報告。

項目安全檢測：智能自動化機器人可用于軟件開發(fā)中的安全檢測。機器人可以從每個項目管理工具或通過自動化收集信息，確定代碼庫何時轉(zhuǎn)移到下一階段的SDLC系統(tǒng)。

項目安全驗證：RPA機器人可以用來測試軟件安全，收集有關(guān)url和代碼并進行自動測試，能夠有效地分析應(yīng)用程序的漏洞。RPA機器人的測試效率和準確率比人工高3倍以上。

關(guān)于安永：

安永會計師事務(wù)所是一家總部位于英國倫敦的跨國性專業(yè)服務(wù)公司，為四大會計師事務(wù)所之一。安永的前身是1903年成立于美國克利夫蘭的Ernst & Ernst(1979年后合并為Ernst & Whinney)會計公司和1894年成立于美國紐約的Arthur Young會計公司。

安永在全球擁有24萬員工，在150個國家與地區(qū)有超過700家辦事處。提供審計（包含財務(wù)審計）、稅務(wù)、交易、以及信息咨詢服務(wù)等業(yè)務(wù)。

注：原報告為英文版，需要報告的小伙伴可添加小編微信（15001140993）獲取。

繼續(xù)閱讀：流程自動化   RPA   安永

未經(jīng)允許不得轉(zhuǎn)載：RPA中國 | RPA全球生態(tài) | 數(shù)字化勞動力 | RPA新聞 | 推動中國RPA生態(tài)發(fā)展 | 流 > 安永報告：RPA存在的網(wǎng)絡(luò)風險及7個解決方案