HYPERAUTOMATION
ИНТЕГРАТОРЫ
ПЛАТФОРМА
ПАРТНЕРЫ
РЕСУРСЫ
БЛОГ
КОМПАНИЯ

Информационная безопасность в RPA: риски проектов автоматизации и как их избежать

/ Читать ~ 38 мин.

Кибербезопасность — обсуждаемая тема среди владельцев бизнеса, которые задумались об автоматизации бизнеса и внедрении роботизированных процессов. Это логично, ведь с каждым днем управление рисками, которые сопутствуют новым технологиям, становится все сложнее.

В этой статье мы рассмотрим потенциальные риски, связанные с RPA, и предоставим пошаговый план действий, которые помогут их снизить.

Потенциальные риски проекта автоматизации

Информационная безопасность в RPA

При внедрении RPA, или роботизированной автоматизации процессов, нужно обратить внимание на четыре ключевые зоны риска. В основном они совпадают с традиционными рисками безопасности в сфере программного обеспечения:

  • Злоупотребление привилегированным доступом;
  • Уязвимости системы;
  • Сбои в работе системы;
  • Утечка конфиденциальной информации.

Давайте рассмотрим каждый из них подробнее.

1. Злоупотребление привилегированным доступом 

Статистика неутешительна: 74% случаев утечек данных происходят из-за злоупотребления привилегиями административного доступа.

Этот риск сопутствует любым внутренним системам и базам данных компаний и связан с привилегированными учетными записями, то есть учетными записями с повышенными правами доступа к информации. Это могут быть учетки сотрудников IT-команды (например, системных администраторов) или сотрудников, которые непосредственно работают с конфиденциальными данными (бухгалтера, финансовые менеджеры и т.п.).

Что касается RPA, то риски, связанные со злоупотреблением привилегированным доступом программными роботами, аналогичны рискам злоупотребления привилегированным доступом людьми:

  • Злоумышленники могут использовать привилегированный доступ учетной записи RPA-бота для проникновения в систему и кражи или неправомерного использования конфиденциальной информации;
  • Злоумышленники могут обучить бота нарушать важные бизнес-операции, связанные с клиентами, заказами или транзакциями.

2. Уязвимости системы

Уязвимости — это слабые места в информационной системе, благодаря которым злоумышленники могут получить доступ в систему и причинить вред. 

Распространенный пример того, как появляются уязвимости, —  посещение сотрудниками подозрительных или небезопасных сайтов. К другим распространенным способам возникновения уязвимостей относятся:

  • Отсутствие шифрования данных;
  • Внедрение SQL-кода;
  • Отсутствие авторизации; 
  • Межсайтовый скриптинг (XSS) и подделка запросов (CSRF);
  • Слабые пароли;
  • Загрузка зараженного программного обеспечения.

В случае RPA есть два потенциальных сценария возникновения рисков:

  • Злоумышленники могут получить доступ к корпоративной сети, обнаружив уязвимости в бэкенде RPA платформы;
  • Незашифрованная передача данных может привести к утечке информации. Хотя большинство современных RPA провайдеров используют шифрование при передаче данных, все еще существуют инструменты RPA с низким уровнем безопасности.

3. Сбои в работе системы

Сбои в работе системы (downtime) — время, в течение которого система или сайт не работают. Перебои происходят по многим причинам. К наиболее частым относятся:

  • Человеческий фактор;
  • Устаревшее или нестабильное оборудование; 
  • Проблемы с сервером;
  • Проблемы интеграции/взаимодействия.

К примеру, в 2018 году во время масштабной двухдневной распродажи Amazon Prime Day случился сбой в системе, и миллионы покупателей не смогли зайти на сайт и совершить покупки. Серверы Amazon не справились с огромным всплеском трафика, и в результате компания упустила до 99 миллионов долларов прибыли.

В RPA существует два потенциальных сценария риска, связанных с перебоями в работе системы:

  • Сбой сети может нарушить работу бота, что приведет к значительному снижению производительности;
  • Система может не выдержать нагрузки из-за быстрой последовательности действий бота и отключиться.

4. Утечка конфиденциальной информации

Конфиденциальная информация — любая информация, связанная с бизнесом и делами компании, которая не является общедоступной и имеет коммерческую ценность. Несанкционированное раскрытие финансовой информации, маркетинговых планов, информации о предстоящих проектах и любых других конфиденциальных материалов может иметь катастрофические последствия.

Иногда разглашением конфиденциальной информации может считаться звонок деловому партнеру во время обеденного перерыва или отправка электронного письма о новостях компании с корпоративной почты другу. Не говоря о случаях, когда разглашение происходит намеренно и с помощью более хитрых методов.

В RPA риск, связанный с раскрытием конфиденциальной информации, может возникнуть, из-за небрежного или намеренно неправильного обучения программного робота. В таком случае это может привести к утечке данных, например, информации о платежах, кредитных картах, и т.п. в сеть.

Управление рисками и методы информационной безопасности в сфере RPA

Приведенные выше сценарии и примеры говорят о том, что риски информационной безопасности в сфере RPA не отличаются от традиционных рисков кибербезопасности, с которыми сталкивается любая компания. Более того, программные роботы ничуть не опаснее людей.

Кроме того, существуют четкие шаги по управлению рисками автоматизации, которые позволят оградить ваш бизнес от возможных проблем.

Шаг 1. Безопасность программного обеспечения

Обеспечение безопасности программного обеспечения — один из важнейших шагов по обеспечению безопасности бизнеса. Внедрение RPA не исключение. Безопасность программного обеспечения подразумевает четыре критически важные меры:

  • Анализ рисков. Проверяйте безопасность процессов RPA на каждом этапе внедрения: от создания программных роботов до их запуска и дальнейшей работы.
  • Анализ недостатков. Анализируйте слабые места архитектуры безопасности в области аутентификации, методов виртуализации и интеграций.
  • Сканирование. Выполняйте сканирование кода при разработке программных роботов для предотвращения уязвимостей.
  • Схема развертывания. Проверяйте правильность и безопасность применения программных роботов.

Шаг 2. Управление доступом

  • Настройте разные уровни доступа ботам в зависимости от задач. В идеале нужно выстроить защищенную структуру, где программные роботы могут выполнять только те задачи, которые им поручены.
  • SSO (технология единого входа) и LDAP (облегчённый протокол доступа к каталогам). Используйте безопасные протоколы, чтобы защитить вход в систему RPA.
  • Шифрование. Используйте инструменты управления паролями и установите пароли на запуск RPA ботов.

Шаг 3. Безопасность данных

  • Мониторинг данных. Регулярно проверяйте информацию, которую обрабатывают программные боты, чтобы защитить систему от нецелевого использования этих данных.  

Безопасные и хорошо отлаженные платформы RPA предлагают для этого специальные инструменты. Например, SaaS Orchestrator от ElectroNeek регистрирует каждую активность программных роботов. Это обеспечивает контроль за действиями и ботов, и сотрудников, которые с ними работают. 

Подробнее о SaaS Orchestrator →

  • Операционная безопасность. Сканируйте программных ботов, чтобы выявить потенциальные уязвимости, и моделируйте возможные угрозы для выявления недостатков системы.

Шаг 4. Структура управления

  • Управление ролями. Создайте и внедрите систему с четкими ролями и обязанностями для каждого сотрудника отдела или команды, ответственной за автоматизацию. 
  • Стратегия и регламенты. Разработайте правила и требования, включите их в действующие нормативные документы по безопасности и обеспечьте контроль за их соблюдением.
  • Информированность. Задача руководителей — повысить осведомленность о рисках, связанных с RPA, и их потенциальных последствиях внутри компании (в ответственных за автоматизацию командах) и за ее пределами (среди разработчиков программных роботов).

Результаты от использования RPA стоят того

Внедрение автоматизации — кропотливый работа для любого владельца бизнеса. Здесь и пересмотр текущих бизнес-процессов и регламентов, и создание новой системы безопасности, и выявление уязвимостей, и определение критических точек контроля. 

Возникает резонный вопрос: “Чего ради?”

Ответ дает сухая статистика:

  • Согласно исследованиям Deloitte, интеллектуальная автоматизация в среднем сокращает издержки на бизнес-процессы на 25 — 40%.
  • Исследование Gartner показало, что до 30% рабочего времени в отделах бухгалтерии занимают исправления ошибок и переделывание работы. Внедрение RPA в организации, где трудятся 40 бухгалтеров, означает экономию 25 000 часов в год.
  • Исследование ABBYY показало, что большинство пользователей RPA отмечают повышение эффективности (55%), опережение конкурентов/увеличение доли рынка (52%), рост доходов (52%), а также повышение производительности (44%).

Все это означает, что внедрение технологии RPA для автоматизации рутинных задач равно инвестициям в процветание бизнеса, повышение ROI, производительности труда и удовлетворенности клиентов.

В заключение

Итак, мы рассмотрели основные риски кибербезопасности, связанные с внедрением технологии RPA, и методы их снижения. По сути, злоупотребление привилегированным доступом, уязвимости, сбои в системе и раскрытие конфиденциальной информации не являются чем-то новым, хотя эти термины ранее использовались применительно к другим областям. 

В деле информационной безопасности RPA, ключом к успеху является наличие продуманной стратегии по предотвращению возможных угроз. Мы надеемся, что эта статья облегчит процесс выработки такой стратегии.

Следующий шаг — выбор надежной RPA платформы, которая поможет вам в осуществлении ваших планов. У нас есть готовое решение этой задачи: попробуйте Electroneek.

Другие Новости

Получайте еженедельную рассылку с полезной информацией