随着数字化时代的到来,越来越多的企业开始认可并实施RPA。尽管如此,仍有不少企业对RPA持观望态度。
全球技术研究和咨询公司信息服务集团(ISG)的一份报告显示,在500家欧洲公司中,92%的公司计划到2020年采用机器人流程自动化(RPA),以提高运营效率;42%的公司认为安全是实施RPA的最大障碍。
诚然,RPA可以使业务流程自动化,为企业降低人工成本,减少出错率。但企业关心的不仅是它所带来的效益,实际导入中可能面临的问题与风险,也是他们关注的焦点。
那么,实施RPA会遇到哪些不容忽视的安全问题?企业又该如何管控风险?
RPA应用中面临的4大安全风险
看似简单的流程也暗含风险。
处理业务流程时,RPA机器人和人类一样享有权限。然而,与人相比,它的判断缺乏灵活性。
例如,用RPA在公司内网里输入登录信息,然后按“确定”按钮访问内网。这个看似简单的流程,其实也暗含安全风险。
1.ID和密码的硬编码
如果在Web浏览器中输入的值,是在机器人的配置文件和程序中事先写入的,那么当文件本身被盗或被窥视时,登录信息将被泄露。
这与以明文形式记录密码的文件具有相同的风险,但很容易因为对象是机器人而忽略这一点。若将可访问的文件服务器放入共享平台中,就一切(风险)皆有可能了。
倘若ID和密码泄漏一次, 在不同的站点上尝试相同的ID和密码组合,还存在密码列表被攻击的风险,那将是二次灾难。
2.机器人外流
若直接使用前文提到的配置文件,就将以初始用户的登录信息登录到Web站点。如果机器人的执行权限与目标网站的认证信息没有关联,机器人就可以在任意终端下运行。
3.网络钓鱼
与人相比,机器人的判断力是有局限的,虽然严密但缺乏灵活性。
例如,按钮的字符串只要发生改变,机器人就可能无法识别。或者,只因页面有相同的按钮,也可能导致机器人对页面识别错误。
如果恶意钻空子,那么纂改hosts文件,向名称服务器注入“病毒”以访问与原网站不同的钓鱼网站,对机器人的执行方案进行不正当处理,这些都将成为可能。
若是人来执行,即使正在访问钓鱼网站也能马上知道,但要机器人根据判断设定来进行区分几乎是不可能的。如果机器人在访问假冒网站时收到服务器证书警告,却以忽视警告处理,那人们就无能为力了。
4.会话劫持
中途停止机器人,Web浏览器可能还将处于以初始用户账户登录的状态。即使文件中的ID和密码已加密,也无法防止此类会话被劫持。
上述安全风险,有些也存在于人工执行的过程中。然而,正在访问哪个网站?操作哪台电脑?处理过程中是否被落下?诸如此类问题,人们下意识就能得出判断。但若是换成机器人,就存在识别能力的问题。
此外,目前的机器人仍严格遵循安全管理、公司治理等原则,在流程执行中无法做出灵活的判断。安全使用机器人,就必须考虑到它虽“能准确且快速地完成指令”却“只会执行命令,无法变通”。
不过好在,RPA机器人也在不断进化中。用AI加持RPA,将产生互补效应,RPA+AI可使机器人进行自我调整和改进,从而更好地判断处理环境变化。
