RPA可以优化业务流程,降低人工成本,减少出错率。但在机器人的日常工作中,难免会涉及到使用密码登录到不同账户,访问相关业务的各种信息(包括库存清单、信用卡号、地址、财务信息等)。
对于拥有大量自动化需求的企业和政务组织而言,信息安全始终都是重中之重,也是部署RPA时难以绕开的重要问题。
ISG(全球技术研究和咨询公司信息服务集团)的一份报告显示,在500家欧洲公司中,42%的公司认为安全是实施RPA的最大障碍。
部署RPA将会面临哪些问题与风险?
RPA安全部署的6大疑问
1.是否要给RPA设定权限?
部署阶段需要考量:RPA作为“数字员工”能做些什么,做这些需要哪些最低权限。具体而言,可采取以下措施:
1)限定可使用机器人的人员及其应用范围
2)设定机器人的业务权限
尤其要谨慎对待权限。在业务流程中部署RPA,优先考虑的是“让机器人动起来”。
因此,如果机器人不能很好地开展工作,考虑到程序和权限不足两方面,会采取“给予所有特权并推翻权限不足的可能性,然后检查程序”的做法。
然而,短暂过度授权可能出现 “现在工作正常了,可以先不管,确保稳定运行后再准确设置权限,转身却忘了重设”的情况。
2.让一个机器人处理多项业务
存在风险吗?
为降低RPA的开发成本,让一个机器人处理多项业务,出现的风险则会更高。
例如:
将机器人限定于只在A部门中处理业务,但又想用同一个机器人处理B部门的业务,就必须赋予机器人在A和B两个部门的权限。如此一来,机器人就拥有了跨部门的强大权限,而这是其他员工所没有的。
企业应该意识到,机器人虽憨直勤奋,却比任何员工都更容易上当受骗,而且不长记性。
3.RPA开发阶段也存在安全隐患?
开发阶段需要注意以下几点:
1)不要将ID或密码直接写入源程序
2)屏蔽商业机密测试数据
3)完成后擦除中间工作数据
4)能够在紧急情况下中断
5)允许在错误时发出警报
6)在安全位置管理源程序
这些点看似平常,但在开发时往往容易被忽视,有必要再次强调。
4.RPA正常运行时,
监测其运行状态是否有必要?
运行阶段,在RPA正常运行的同时,监测、确认其运行状态也是有必要的。
一旦出现错误,首先要确认是单纯的故障还是安全风险,之后再实施对策。
1)监控机器人的执行,监控错误
2)获取和管理电脑的操作日志和访问日志
3)同时运行安全策略
4)定期进行风险分析并审查安全策略
5.是否有必要明文规定
RPA部署的遵守事项?
以明文规定RPA部署的安全准则及必须遵守的事项很有必要,甚至可以避免业务部门(“想部署方便好用的机器人”)与IT部门(“不想导致风险”)由于RPA的实施产生的矛盾。
现场实施时要遵循这些进行开发,设定权限。然后输出操作和执行日志,IT部门就能检测机器人是否正常运行。
6.是否有必要启用安全监控机器人?
虽然RPA机器人可以输出日志,但只有机器人本身的日志输出是不够的。特别是不正当处理和异常结束时的不规则操作,在日志上却看似很正常。
被欺骗的机器人所输出的日志可信度低,这种安全意识十分重要。因此,除了执行操作的机器人外,操作机器人的员工最好也要输出日志。
为此,需要部署管理和监控机器人的机器人。输出日志被汇总监控,一旦检测到不正当处理或不自然的动作,就会阻止机器人,并发送警报,提醒负责人注意。
