Блог по RPA-автоматизации

Проблемы безопасности в RPA: руководство
из 4 шагов для их решения

Для бизнеса / Время чтения ~ 9 минут
"Безопасна ли автоматизация для моего бизнеса?" Кибербезопасность является одной из наиболее обсуждаемых тем среди владельцев бизнеса, когда речь заходит об автоматизации бизнеса и, в частности, роботизированных процессов. Это оправданно, поскольку с каждым днем становится все сложнее и сложнее справляться со всеми потенциальными последствиями и рисками для безопасности, связанными с постоянно меняющимися технологиями.

В этой статье мы рассмотрим потенциальные риски безопасности при автоматизации процессов, обсудим лучшие методы обеспечения безопасности RPA и предоставим вам пошаговый план действий.

Безопасность RPA: области рисков

При внедрении RPA существуют четыре ключевые области, в которых ваш бизнес может подвергаться риску. Они в основном связаны с традиционными рисками кибербезопасности:

    1
    Злоупотребление привилегированным доступом
    2
    Уязвимость системы
    3
    Риски сбоя системы
    4
    Разглашение конфиденциальной информации
    Давайте подробнее рассмотрим каждый из них.
      1. Злоупотребление привилегированным доступом
        Мрачная статистика показывает, что 74% утечек данных начинаются со злоупотребления привилегированным доступом.

        Этот термин применим к внутренним системам и базам данных любой компании и всегда связан с привилегированными учетными записями, т. е. учетными записями с более высокими правами доступа к данным компании. Это могут быть учетные записи членов IT-команды (например, должности системного и локального администратора) или учетные записи сотрудников, которые работают с конфиденциальными данными, например, финансовых менеджеров.

        С точки зрения безопасности RPA, риски, связанные со злоупотреблением привилегированным доступом ботами RPA, в основном такие же, как и риски, при использовании такого доступа людьми. Например:

        • Привилегированный доступ, предоставленный учетной записи RPA-бота, может быть использован злоумышленниками для взлома системы и кражи или неправильного использования вашей конфиденциальной деловой информации.
        • Злоумышленники могут обучить бота нарушать важные бизнес-операции, связанные с клиентами, заказами или транзакциями.
          2. Уязвимость системы
            Проще говоря, уязвимости – это слабые места в информационной системе, которые позволяют кибератакующим незаконно получать доступ к системе и совершать действия, приводящие к негативным последствиям.

            Одна из возможных причин появления слабых мест – неосмотрительное поведение сотрудника и посещение небезопасных веб-сайтов. В этом случае веб-сайт представляет собой ресурс с угрозой, который создает уязвимость. Вот некоторые из наиболее распространенных примеров возникновения уязвимостей:

            • Отсутствует шифрование данных;
            • SQL-инъекция;
            • Отсутствует авторизация;
            • Межсайтовые скрипты и подделка;
            • Слабые пароли;
            • Загрузка зараженного программного обеспечения.

            Вот два потенциальных сценария рисков в случае уязвимостей в RPA:

            1. Уязвимости в серверной части системы RPA могут предоставить кибератакующим доступ к корпоративной сети.

            2. Несмотря на то, что в настоящее время большинство передовых систем RPA используют шифрование при передаче данных, все еще существуют средства RPA с низким уровнем безопасности, в которых передача незашифрованных данных может привести к утечке конфиденциальной информации.
                3. Сбой в работе системы
                  Сбой системы (или время простоя) – это период времени, когда система не может функционировать. Сбои могут происходить по множеству причин, среди наиболее частых:

                  • Человеческая ошибка;
                  • Устаревшее или нестабильное оборудование;
                  • Ошибки в операционной системе сервера;
                  • Проблемы интеграции/совместимости.

                  Например, в 2018 году в день Amazon Prime миллионы покупателей столкнулись с масштабным сбоем на странице Amazon "Предложения", поскольку ее серверы не справились с таким огромным скачком онлайн-трафика.

                  В RPA существует два потенциальных сценария рисков, связанных с отключением системы:

                  1.Неожиданный сбой в сети может нарушить работу бота, что приведет к значительному падению производительности.

                  2.Быстрая последовательность действий бота может привести к сбою или отключению системы.
                      4. Разглашение конфиденциальной информации
                        Конфиденциальная информация – это любая информация, относящаяся к бизнесу и делам компании, которая недоступна для общественности и имеет коммерческую ценность. Незаконное разглашение финансовой информации компании, маркетинговых планов, предстоящих проектов и любых других материалов, помеченных как конфиденциальные, может иметь разрушительные последствия.

                        Иногда даже простой звонок деловому партнеру во время обеденного перерыва или импульсивно отправленное электронное письмо с корпоративного почтового ящика другу, чтобы поделиться некоторыми новостями компании, может рассматриваться как раскрытие конфиденциальной информации. Это в дополнение ко множеству случаев, когда такое распространение информации делается намеренно с помощью более сложных методов.

                        В RPA сценарий риска, связанный с раскрытием конфиденциальной информации, может возникнуть, когда преднамеренное, небрежное или неправильное обучение бота RPA приводит к утечке в Интернет конфиденциальных данных, таких как данные платежных или кредитных карт.

                            Лучшие практики управления рисками и обеспечения безопасности RPA

                            Приведенные выше примеры и сценарии свидетельствуют о том, что риски безопасности RPA мало отличаются от традиционных рисков кибербезопасности, с которыми приходится сталкиваться любой компании. Более того, боты RPA на удивление опасны не более, чем сами люди.

                            Хорошей новостью является то, что, хотя возможные последствия рисков безопасности могут создавать в вашем сознании довольно драматичную картину, существуют четкие шаги по управлению рисками и наиболее эффективные практики, которые позволят вашему бизнесу работать исправно. Ниже мы рассмотрим их более подробно.
                              1
                              Шаг 1
                              Безопасность программного обеспечения
                              2
                              Шаг 2
                              Управление доступом
                              3
                              Шаг 3
                              Безопасность данных
                              4
                              Шаг 4
                              Структура управления
                              Шаг 1 - Безопасность программного обеспечения
                                Гарантия безопасности программного обеспечения является одним из важнейших шагов на пути к безопасности бизнеса. Нет никаких исключений, когда дело доходит до безопасной реализации RPA.

                                По сути, безопасность программного обеспечения требует четырех критических мер:

                                • Анализ рисков: Проводите постоянные проверки безопасности процессов RPA на каждом этапе внедрения, от создания ботов RPA до их запуска.
                                • Анализ недостатков: Проанализируйте недостатки текущей системы безопасности в областях аутентификации, методов виртуализации и соединений различных сред.
                                • Сканирование: Внедрите сканирование внутреннего кода при создании ботов RPA для предотвращения уязвимостей.
                                • Схема развертывания: Обязательно выполните безопасное и хорошо спланированное развертывание RPA-бота.
                                  Шаг 2 - Управление доступом
                                    • Разделение привилегий и действий ботов: Внедрите комплекс мер для управления пользовательскими привилегиями доступа и разделения действий в зависимости от уровня риска. Вы можете создать особую защищенную структуру, которая позволит ботам RPA выполнять только те задачи, которые им назначены.
                                    • Единый вход и LDAP: Использование единого входа с облегченным протоколом доступа к каталогу обеспечит безопасность процесса входа в систему RPA.
                                    • Шифрование: Не забывайте использовать инструменты управления зашифрованными паролями и применять пароли в сеансах активности RPA-бота.
                                      Шаг 3 - Безопасность данных
                                        • Мониторинг данных: Постоянно контролируйте данные, обрабатываемые ботами RPA, чтобы защитить систему от возможных вредоносных манипуляций с ними. Что еще важнее, в безопасной и хорошо зарекомендовавшей себя системе RPA есть оркестратор, то есть инструмент, который отслеживает протоколы выполнения, обеспечивая безопасность и соответствие требованиям RPA как для действий ботов RPA, так и для вовлеченных людей.
                                        • Оперативная безопасность: Проверяйте ботов RPA на наличие уязвимостей и осуществление моделирования угроз для выявления системных недостатков и рисков безопасности.
                                        Шаг 4 - Структура управления
                                          • Управление исследованиями и разработками: Вам необходимо создать и внедрить систему с четкими ролями и обязанностями для всех сотрудников отдела/команды, ответственных за процесс автоматизации.
                                          • Стратегия и правила: Компания должна разработать четкие правила и требования, изложенные в их действующих правилах безопасности, и обеспечить надлежащий надзор для контроля соблюдения.
                                          • Осведомленность: Топ-менеджеры должны повышать осведомленность о рисках, связанных с RPA, и потенциальных последствиях как внутри (внутри ответственных команд), так и снаружи (среди создателей ботов RPA).

                                            RPA: это того стоит

                                            Это правда, что внедрение RPA – тщательный процесс для любого владельца бизнеса. Он включает в себя переоценку текущих бизнес-процессов и правил, создание новой системы безопасности или изменение старой, выявление слабых мест и определение критических контрольных точек.

                                            Возникает оправданный вопрос: "Зачем мне вся эта суета?"

                                            Холодная статистика здесь наиболее убедительна:
                                              Исследования Deloitte доказывают, что автоматизация рабочих процессов снижает затраты на бизнес-процессы в среднем с 25% до 40%.
                                              Исследование Gartner показало, что средний объем предотвращаемых переделок в бухгалтерских отделах может занимать до 30% от общего времени сотрудника, работающего полный рабочий день. Это означает экономию 25 000 часов в год при затратах в размере 878 000 долларов США для организации с 40 штатными бухгалтерами.
                                              Исследование компании ABBYY, поставщика Digital IQ, показало, что большинство пользователей RPA отметили повышение эффективности (55%), опережение конкурентов/увеличение доли рынка (52%) и рост выручки (52%), а также повышение производительности (44%) и трансформацию бизнеса (40%).
                                              Это означает, что, внедряя RPA для автоматизации монотонных задач, вы инвестируете в процветание своего бизнеса с точки зрения рентабельности инвестиций, производительности труда и удовлетворенности клиентов.

                                                Примените автоматизацию будущего уже сегодня!

                                                Уже сегодня у вас есть возможность применить все преимущества RPA-автоматизации. Предлагаем вашему вниманию каталог готовых роботов RPA со стоимостью от 5 000 руб. в месяц.
                                                Заключение
                                                Мы обсудили основные риски безопасности, связанные с внедрением роботизированной автоматизации процессов, и рассмотрели тактику их снижения. Все это сводится к тому, что злоупотребление привилегированным доступом, уязвимости, сбои в работе системы и раскрытие конфиденциальной информации не являются чем-то новым, хотя в контексте RPA эти термины используются в несколько ином смысле.

                                                Когда дело доходит до вопросов безопасности RPA, ключом к успеху для любого CISO является наличие четкой стратегии предотвращения любых возможных угроз. Мы надеемся, что эта статья облегчила вам процесс построения такой стратегии.

                                                Следующим шагом будет выбор надежной системы RPA, которая поможет вам эту стратегию реализовать. Компания Системы и Сети, бронзовый партнер разработчика RPA - платформы №1 в РФ ElectroNeek, предлагает вам провести аудит ваших бизнес-процессов и выяснить, как RPA может помочь в вашем бизнесе. Являясь также экспертами в кибербезопасности, мы гарантируем, что все внедренные нами RPA-боты будут соответствовать самым высоким требования по защите ваших данных.
                                                Кристина Малова,
                                                директор RPA-направления
                                                Системы и Сети
                                                Нажимая кнопку, Вы соглашаетесь с политикой компании в области обработки персональных данных.
                                                ГОТОВЫ К ЦИФРОВОЙ ТРАНСФОРМАЦИИ И ПРОРЫВНОМУ РОСТУ С ПОМОЩЬЮ RPA?
                                                Мичуринский пр-т д.11, г. Москва
                                                © 2021 Системы и Сети