近年來，隨著全球經(jīng)濟進入數(shù)字化時代，各行各業(yè)對RPA（機器人流程自動化）的需求越發(fā)旺盛。尤其是在與AI技術(shù)（如NLP、ML、OCR）相結(jié)合之后，從私企到公共部門，智能RPA機器人受到了廣泛的關(guān)注，將其視為實現(xiàn)數(shù)字化轉(zhuǎn)型的重要工具。

據(jù)麥肯錫調(diào)查數(shù)據(jù)顯示，“世界500強”中超過70%的企業(yè)都在使用RPA，其中有很多我們熟知的企業(yè)包括：通用汽車、寶潔公司、花旗集團、安聯(lián)保險等，以提高工作效率和節(jié)省時間。但在RPA帶來巨大的好處時，同樣伴隨著諸多管理風(fēng)險。

RPA是什么，可以帶來哪些好處？

RPA是一種軟件機器人，通過屏幕抓取、動作模擬等方式輕松地將一些基于規(guī)則、重復(fù)、繁瑣的業(yè)務(wù)實現(xiàn)自動化，并提高整體工作效率降低人工錯誤并改善業(yè)務(wù)流程，從而實現(xiàn)24小時不間斷的業(yè)務(wù)操作。在不斷攀升的人力成本、強勁的企業(yè)數(shù)字化轉(zhuǎn)型需求、AI技術(shù)高速發(fā)展等背景下，人們將目光聚焦在RPA身上，期望其帶來工作方式上的改變。

據(jù)Futurum發(fā)布的調(diào)查數(shù)據(jù)顯示，在北美超過50%的組織已將RPA部署在日常辦公業(yè)務(wù)中，適用的行業(yè)包括：制造業(yè)、媒體與出版、金融行業(yè)、醫(yī)療保健、零售、公共部門等。其中應(yīng)用最多的行業(yè)是金融、零售、媒體與出版行業(yè)。目前美國聯(lián)邦政府已經(jīng)將RPA納入到整體IT改革計劃中，希望通過RPA機器人來彌補人力資源的不足，同時可以減少運營成本平衡收支。

總體來說，無論是中小型企業(yè)還是超大型上市公司，RPA機器人都可以完美的將其傳統(tǒng)業(yè)務(wù)實現(xiàn)數(shù)字化流程。

例如，美國科羅拉多州住房和金融管理局便通過RPA實現(xiàn)了業(yè)務(wù)數(shù)字化轉(zhuǎn)型：該組織每個月都會進行賬單，報告和其他來源的數(shù)據(jù)匯總，保證用戶的貸款信息與提供貸款公司的數(shù)據(jù)保持一致。

綜合記錄管理部門負責(zé)人Brian Mueller表示，“之前業(yè)務(wù)部門的4名成員需要花費三天時間將數(shù)據(jù)從一系列電子表格中，手動錄入到數(shù)據(jù)庫中；現(xiàn)在，通過使用RPA機器人之后，數(shù)據(jù)會自動提取并存放到SQL中，然后自動與數(shù)據(jù)庫中的信息進行比較。如有任何差異都將通過報告形式呈現(xiàn)給員工，員工可以在幾分鐘內(nèi)糾錯這些差異數(shù)據(jù)。75,000行的電子表格數(shù)據(jù)，通過RPA僅花費幾分鐘便可完成所有流程。   

在信息時代，數(shù)據(jù)已成為各行各業(yè)最重要的資產(chǎn)。毫不夸張的說，數(shù)據(jù)的安全性關(guān)系到一家企業(yè)的生死存亡。Facebook、谷歌、亞馬遜、微軟等著名企業(yè)均爆出嚴重的數(shù)據(jù)泄露問題，而其他企業(yè)在數(shù)據(jù)安全方面同樣問題不斷，導(dǎo)致企業(yè)對數(shù)據(jù)隱私擔(dān)憂持續(xù)加劇。一向監(jiān)管嚴格的歐盟率先出臺《一般數(shù)據(jù)保護條例》，將數(shù)據(jù)收集模式從“被動選擇退出”轉(zhuǎn)變?yōu)?ldquo;主動選擇加入”，甚至進一步將其延伸向多邊貿(mào)易協(xié)定中的隱私數(shù)據(jù)流動規(guī)范。據(jù)統(tǒng)計在2019年，國內(nèi)外就發(fā)生了十幾起重大數(shù)據(jù)泄露事件，這其中包括：

• Rubrik數(shù)據(jù)庫遭泄露：   因服務(wù)器出現(xiàn)安全漏洞，IT 安全和云數(shù)據(jù)管理巨頭 Rubrik 的數(shù)據(jù)庫遭到泄露，該數(shù)據(jù)庫存儲了近 10GB 的數(shù)據(jù)，包括每個客戶的姓名和聯(lián)系方式等。

• 領(lǐng)英1億5900萬用戶數(shù)據(jù)被叫賣：一位名為 Andrew 的黑客在 Pastebin 網(wǎng)站上叫賣領(lǐng)英網(wǎng)站 1 億 5900 萬用戶的敏感數(shù)據(jù)。為了表示數(shù)據(jù)的真實性，該黑客已放出 100 名用戶的登錄憑證，其中甚至包括知名 CEO 的登錄數(shù)據(jù)。

• 中國250萬人臉識別數(shù)據(jù)泄露：荷蘭非盈利機構(gòu)GDI基金會研究人員發(fā)現(xiàn)，位于深圳的人臉識別公司發(fā)生大規(guī)模數(shù)據(jù)泄露事件，超過250萬用戶的680多萬條信息記錄被泄露，泄露數(shù)據(jù)包括身份證信息、人臉識別圖像、24小時內(nèi)的位置記錄等敏感信息。據(jù)悉，這家公司主營業(yè)務(wù)為面部識別技術(shù)和人群分析服務(wù)，此次泄露源為其面部識別數(shù)據(jù)庫。

• 優(yōu)衣庫逾46萬顧客信息泄露：優(yōu)衣庫母公司日本迅銷發(fā)布聲明，旗下品牌優(yōu)衣庫、GU銷售網(wǎng)站逾46萬名客戶個人信息遭未授權(quán)訪問。這些賬戶包含信息包括客戶姓名、地址、電話號碼、電子郵件、生日、收件地址以及部分信用卡信息。

像上述這樣的數(shù)據(jù)泄露事件還有很多，每時每刻都在上演。實際上，與其他業(yè)務(wù)服務(wù)一樣，RPA在處理數(shù)據(jù)時同樣面臨泄露風(fēng)險和安全挑戰(zhàn)。

RPA處理業(yè)務(wù)時，

潛在的安全隱患和解決方法

在機器人自動化領(lǐng)域，由于RPA是根據(jù)屏幕抓取、動作模擬等行為進行自動化服務(wù)，所以在處理日常自動化業(yè)務(wù)流程時，如傳輸文件、處理訂單、提取數(shù)據(jù)和錄入數(shù)據(jù)時，會接觸到來自公司各個數(shù)據(jù)庫的敏感信息，并使用提供的密碼登錄到不同的賬戶。

通過這種方式，RPA自動化平臺可以訪問員工、客戶和供應(yīng)商的各種信息，例如：庫存清單、信用卡號、地址、財務(wù)信息、密碼和各種數(shù)據(jù)記錄等。所以，需要時刻防范未經(jīng)授權(quán)的用戶獲取由RPA機器人處理的數(shù)據(jù)。簡而言之，維護數(shù)據(jù)安全性的目標是保護個人隱私或公司核心業(yè)務(wù)數(shù)據(jù)。

訪問安全性與數(shù)據(jù)安全性緊密相關(guān)：訪問安全性，用于防止未經(jīng)授權(quán)的用戶訪問RPA的數(shù)據(jù)處理服務(wù)（或其中一部分）和連接的數(shù)據(jù)源。防止這種未經(jīng)授權(quán)的訪問非常重要，因為可以將其用于訪問機密數(shù)據(jù)，并操縱RPA機器人進行非法自動化任務(wù)。更壞的情況下，黑客可能會從公司數(shù)據(jù)庫、網(wǎng)絡(luò)服務(wù)器和員工計算機中檢索所需數(shù)據(jù)，并破壞自動化平臺。所以，為了提高數(shù)據(jù)安全性和訪問安全性，組織必須保證RPA平臺，從內(nèi)到外每一個環(huán)節(jié)都免受威脅確保萬無一失。因此，組織在使用RPA時應(yīng)注意以下幾點：

• 保證RPA供應(yīng)商代碼安全性：   目前主流的RPA廠商的開發(fā)代碼都會做定期的檢測，以防止黑客利用代碼漏洞來進行攻擊竊取數(shù)據(jù)。用戶也可以通過使用Style checkers這樣的檢測工具來進行定期檢查。

• 定期查看操作日志：   RPA平臺會提供完整的操作日志，以跟蹤、記錄機器人和用戶在自動化系統(tǒng)中執(zhí)行的每一步操作。平臺可以按照用戶的要求生成日、周、月形式的操作日志報告。這些日志除了有助于優(yōu)化自動化流程效率之外，還可以幫助用戶直觀地看到RPA有哪些異常操作。

• 集成數(shù)據(jù)保護：   在金融服務(wù)、能源、零售和醫(yī)療保健等行業(yè)，用于保護數(shù)據(jù)的技術(shù)已被整合到RPA技術(shù)中。例如，CyberArk是一個多層安全解決方案，它為管理員帳戶提供了額外的保護措施，如特權(quán)密碼管理、會話記錄、低權(quán)限執(zhí)行和特殊數(shù)據(jù)分析。選擇最新標準傳輸層安全性（TSL）1.2協(xié)議的RPA產(chǎn)品也很重要，該協(xié)議旨在通過保護Internet傳輸?shù)男畔⒌碾[私。將此類技術(shù)集成到RPA中，可使組織最好地保護自己免受高級內(nèi)部和外部IT威脅的侵害。

• 基于數(shù)據(jù)和角色的訪問控制：   基于角色的訪問控制是一個內(nèi)置的身份驗證系統(tǒng)，該系統(tǒng)允許公司將RPA機器人訪問權(quán)限設(shè)置為授權(quán)用戶，并將員工之間與自動化相關(guān)的職責(zé)分開?；谶@種類型的控制，可以在查看、創(chuàng)建或修改模式下為RPA系統(tǒng)的各個用戶提供不同級別的訪問權(quán)限；這些部門通?；趩T工在組織中的角色、職位和權(quán)限。基于數(shù)據(jù)的訪問控制，可用于設(shè)置對受保護的數(shù)據(jù)資源訪問，并允許對每個資源進行詳細的訪問控制，如時間段、文件夾等。

• 配置響應(yīng)的用戶操作權(quán)限：   不同的部門在使用RPA時都應(yīng)該分配相應(yīng)的操作權(quán)限，例如部署和維護人員可以單獨設(shè)置權(quán)限，實際運營和操作人員設(shè)置另外一種權(quán)限。這樣做的好處是，可以使整個工作流程和團隊分配更加明確，同時減少了數(shù)據(jù)誤操作的風(fēng)險。

• 數(shù)據(jù)加密：   在RPA操作數(shù)據(jù)之前可以對其進行數(shù)據(jù)加密，目前比較流行的智能加密技術(shù)有“同態(tài)加密”。同態(tài)加密提供了一種對加密數(shù)據(jù)進行處理的功能。也就是說，其他人可以對加密數(shù)據(jù)進行處理，但是處理過程不會泄露任何原始內(nèi)容；同時，擁有密鑰的用戶對處理過的數(shù)據(jù)進行解密后，得到的將是處理后的結(jié)果。

• 定期做維護檢測：   RPA可以提供7*24小時不間斷的自動化服務(wù)。但是一般建議用戶在半個月或者一個月時進行停機維護，以檢測一些潛在的安全危險。
    
• 防止人為破壞：   任何一項惡意攻擊都不如人為破壞的強度大，而且往往人為破壞都是最致命的。所以，在選擇RPA操作人員和管理員時一定要三思而后行。

隨著數(shù)字化經(jīng)濟的不斷深入，未來會有更多的組織和公共部門加入到機器人自動化中來。在RPA幫助我們提高效率、節(jié)省時間改善客戶體驗的同時數(shù)據(jù)安全問題同樣非常重要。尤其是數(shù)據(jù)和訪問安全性，應(yīng)是尋求數(shù)字化和自動化的組織所永遠關(guān)注的焦點。

對于那些已經(jīng)實施RPA的組織來說，這仍然也是一個長遠的挑戰(zhàn)。不過，我們可以選擇穩(wěn)定的RPA產(chǎn)品和定期進行一些有效的安全防護措施，來避免可能出現(xiàn)的安全威脅。

繼續(xù)閱讀：流程自動化   RPA安全性

未經(jīng)允許不得轉(zhuǎn)載：RPA中國 | RPA全球生態(tài) | 數(shù)字化勞動力 | RPA新聞 | 推動中國RPA生態(tài)發(fā)展 | 流 > RPA安全攻略