Безопаcен ли RPA для вашего бизнеса: риски и как их избежать

Безопаcен ли RPA для вашего бизнеса: риски и как их избежать

«Безопасна ли автоматизация для моего бизнеса?»

Когда дело доходит до автоматизации бизнеса, и, в частности, роботизированной автоматизации процессов, вопросы кибербезопасности являются одними из самых горячих тем для владельцев бизнеса. В этом есть здравый смысл, так как в мире меняющихся технологий практически невозможно справляться со всеми потенциальными кибер-рисками изо дня в день. 

В этой статье мы рассмотрим этот волнующих многих вопрос, определим основные риски, связанные с RPA, оценим возможные угрозы для деятельности компании и поделимся рекомендациями о том, какие меры следует предпринять для снижения возможных неблагоприятных последствий от внедрения RPA.

Преимущества автоматизации 

Никогда ещё роботизированная автоматизация процессов не была так близка к повседневной деятельности человека, как сейчас. 

RPA открывает широкие перспективы для улучшений, автоматизируя повторяющиеся задачи и предоставляя бизнесу возможность наслаждаться выгодами автоматизации:

  • Сокращением времени на трудоёмкую работу, выполняемую вручную;
  • Снижением затрат и повышением окупаемости инвестиций;
  • Возможностью для сотрудников быть вовлечёнными в важные задачи;
  • Исключением сверхурочных часов, потраченных на рутинные задачи. 

Что это означает для бизнеса? Конечно, риски, связанные с развёртыванием RPA. Однако всем нам знакома поговорка: «Бесплатный сыр бывает только в мышеловке».

Давайте подробнее рассмотрим их.

Кибербезопасность в RPA: возможные риски

При внедрении RPA существует 4 ключевых области, в которых ваш бизнес может оказаться под угрозой. В целом они ничем не отличаются от традиционных рисков кибербезопасности, возникающих при внедрении любого другого IT-проекта.

Злоупотребление привилегированным доступом 

Этот термин применим к внутренним системам и базам данных любой компании и всегда связан с привилегированными учётными записями, т. е. учётными записями с более высокими правами доступа к информации компании. 

В качестве примера, привилегированные учётные записи могут принадлежать сотрудникам IT-отдела, либо сотрудникам, которые ежедневно обрабатывают конфиденциальные данные компании (например, бухгалтерам, финансовым менеджерам и т. д.). Мрачная статистика говорит о том, что согласно исследованию Centrify 74% случаев утечки данных возникают из-за злоупотребления привилегированным доступом. 

Что касается автоматизации, риски, связанные со злоупотреблением привилегированным доступом роботами RPA, в основном такие же, как и риски, связанные со злоупотреблением привилегированным доступом со стороны людей, то есть:

Привилегированный доступ, предоставленный учётной записи робота, может быть использован злоумышленниками для взлома системы и кражи или неправомерного использования конфиденциальной информации вашего бизнеса.

Злоумышленники могут обучить робота нарушать важные бизнес-процессы, связанные с клиентами, заказами или транзакциями.

Уязвимости

Уязвимости — это слабые места в информационной системе, которые позволяют незаконно авторизоваться в системе и выполнять злонамеренные действия. 

Наглядным примером того, как могут появиться уязвимости, могут быть случайные или непреднамеренные неправомерные действия сотрудника, посетившего подозрительный или небезопасный веб-сайт. В этом случае небезопасный веб-сайт является источником угрозы, который вызывает появление уязвимости.

Вот некоторые из наиболее распространённых примеров уязвимостей: отсутствие шифрования данных, отсутствие авторизации, межсайтовый скриптинг и сайты-поддержки, слабые пароли, загрузка заражённого программного обеспечения.

Вот 2 сценария риска возникновения уязвимостей в RPA:

  • Уязвимости в бэкэнде системы RPA могут предоставить кибератакам доступ к корпоративной сети;
  • Несмотря на то что большинство современных систем RPA в настоящее время используют шифрование при передаче данных, все ещё существуют инструменты RPA с низким уровнем безопасности, где незашифрованная передача данных может вызвать утечку конфиденциальных данных. 

Выход системы из строя

Отказ системы (или простой) относится к периоду времени, когда система / сеть не может выполнять свою основную функцию. Простои могут быть вызваны множеством причин и возникать в компаниях различного размера. К наиболее частым причинам относятся: человеческие ошибки, старое или нестабильное оборудование, ошибки в операционной системе сервера и проблемы интеграции / взаимодействия. 

Например, в 2018 году, в день Amazon Prime, миллионы покупателей столкнулись с серьёзным отключением на странице Amazon из-за отсутствия серверов, способных обрабатывать такой огромный онлайн-трафик.

В RPA сценарии риска, связанные с отключением системы, могут быть представлены следующим образом:

  • Неожиданный сбой сети может нарушить работу управляющего программного робота, что приведёт к значительному снижению производительности; 
  • Быстрая последовательность действий робота может вызвать сбой или отключение системы.

Раскрытие конфиденциальной информации

В бизнесе конфиденциальная информация — это любая информация, связанная с делами компании, которая не является общедоступной. Несанкционированное раскрытие финансовой информации компании, маркетинговых планов, предстоящих проектов и любых других материалов, выделенных как конфиденциальные, может иметь разрушительные последствия для предприятия.

Иногда даже такая стандартная человеческая ошибка, как звонок деловому партнёру по работе во время обеда или импульсивный акт отправки электронного письма из корпоративного почтового ящика любому третьему лицу, чтобы поделиться приятными или неприятными новостями компании, может рассматриваться как разглашение конфиденциальной информации. 

В RPA сценарий риска, связанный с раскрытием конфиденциальной информации, может возникнуть, когда:

  • Умышленное или небрежное неправильное обучение робота привело к утечке конфиденциальных данных (таких, как платежи, данные кредитной карты) в интернет.

Управление рисками: как решать проблемы безопасности, связанные с RPA

Приведённые выше примеры и сценарии свидетельствуют о том, что риски кибербезопасности при реализации RPA мало чем отличаются от традиционных рисков кибербезопасности, с которыми обычно приходится сталкиваться любой компании в своей повседневной жизни. Более того, роботы на удивление не более опасны, чем люди. 

Хорошая новость заключается в том, что, хотя возможные последствия киберугроз могут создать в вашем сознании довольно драматическую картину, принятие чётких и надёжных мер по обеспечению информационной безопасности позволит вашему бизнесу работать без проблем. 

Шаг 1. Безопасность программного обеспечения

Безопасность программного обеспечения — один из аспектов, лежащих на поверхности безопасности бизнеса. По сути, безопасность программного обеспечения подразумевает принятие 4 важных мер:

  • Анализ рисков: проводите постоянные проверки безопасности процессов RPA на каждом этапе внедрения от создания роботов до их запуска;
  • Анализ недостатков: анализируйте текущие недостатки архитектуры безопасности в областях аутентификации, методов виртуализации и соединений различных сред;
  • Сканирование: обеспечьте сканирование внутреннего кода в процессе создания робота для предотвращения уязвимостей;
  • Схема развёртывания: проверьте правильность и безопасность процесса развёртывания робота.

Шаг 2. Управление доступом

  • Разделение привилегий и действий роботов: внедрите набор мер для управления привилегиями доступа пользователей и разделения действий в зависимости от уровней риска. Вы можете построить определенную структуру безопасности, которая позволит программным роботам выполнять только те задачи, которые им назначены.
  • SSO и LDAP: используйте единый вход с облегчённым протоколом доступа к каталогам для обеспечения безопасности процесса входа в систему RPA
  • Шифрование: не игнорируйте использование зашифрованных инструментов управления паролями и принудительное использование паролей в сеансах активности роботов.

Шаг 3. Безопасность данных

  • Мониторинг данных: проводите постоянный мониторинг данных, обрабатываемых роботами, для защиты от возможных злонамеренных манипуляций с данными 

Стоит отметить, что RPA-технологии, помимо прочего, зачастую имеют инструменты для управления процессами автоматизации. Orchestrator — инструмент, который отслеживает журналы действий, обеспечивая безопасность и соответствие как действиям роботов, так и вовлечённым людям. 

Подробнее об ElectroNeek Orchestrator

  • Операционная безопасность: сканируйте роботов на уязвимости и моделируйте угрозы для выявления системных недостатков. 

Шаг 4. Структура управления

  • Управление: создавайте и внедряйте систему с чёткими ролями и обязанностями внутри отдела / команды, ответственных за процесс автоматизации; 
  • Стратегия и правила: компания должна разработать набор требований и правил в рамках действующих норм безопасности и обеспечить надлежащий надзор за этим;
  • Осведомлённость: топ-менеджеры должны повышать осведомлённость о рисках, связанных с RPA, и потенциальных воздействиях внутри (среди ответственных команд) и за пределами (среди создателей роботов). 

Заключение

Внедрение RPA подразумевает кропотливую работу для любого владельца бизнеса, состоящую из переоценки текущих бизнес-процессов и правил, создания новой системы безопасности или изменения старой, выявления слабых мест и определения критических контрольных точек. 

Возникает резонный вопрос: «Зачем мне вся эта суета?»

Здесь не будет лишним обратиться к холодным фактам:

  1. Согласно исследованию Deloitte, интеллектуальная автоматизация снижает затраты на бизнес-процессы в среднем с 25% до 40%;
  2. Согласно исследованию Gartner, в среднем количество доработок в бухгалтерских отделах может занять до 30% от общего времени штатного сотрудника;
  3. Исследование, проведённое провайдером ABBYY Digital IQ, показало, что RPA повышает эффективность бизнеса (так ответило 55% респондентов), увеличивает конкурентоспособность / долю компании на рынке (52%) и прибыльность (52%), а также повышает производительность (44%) и влияет на трансформацию бизнеса (40%).

Это означает, что, внедряя RPA, вы вкладываете в процветание бизнеса с точки зрения рентабельности инвестиций, производительности труда и удовлетворённости клиентов. Неплохое вознаграждение, не так ли?

Итак, мы рассмотрели основные риски кибербезопасности, связанные с роботизированной автоматизацией процессов, а также тактику их снижения.

По сути, злоупотребление привилегированным доступом, уязвимости, сбой системы и раскрытие конфиденциальной информации не являются чем-то новым, хотя эти термины использовались в несколько ином контексте. 

Когда дело доходит до вопросов безопасности, ключом к успеху любого директора по информационной безопасности является наличие чёткой стратегии по предотвращению любых возможных угроз. И мы надеемся, что эта статья упростила вам процесс построения такой стратегии.

Следующим шагом будет выбор надёжной системы RPA, которая поможет вам в реализации вашей стратегии. И здесь у нас есть решение для вас. Всё просто — попробуйте Electroneek!

Comments are closed.