随着RPA行业的快速发展,越来越多的企业和政务组织选择RPA为其业务提供支持与服务。
然而,在RPA软件机器人的日常工作中,难免涉及需要使用提供的密码登录到不同账户,访问有关业务的各种信息(包括库存清单、信用卡号、地址、财务信息、密码等)。
对于拥有大量自动化需求的企业和政务组织而言,信息安全始终都是重中之重,也是部署RPA时难以绕开的重要问题。
如何在部署、开发和运行中,安全使用RPA?
“
安全应用RPA的3个阶段
为了安全使用RPA,企业必须在部署、开发和运行的各个阶段采取相应的对策和措施。
1.部署阶段
部署阶段要考量:RPA作为“员工”能做些什么,做这些需要哪些最低权限,如何教他们处理业务。具体而言,可以采取以下措施:
(1)限定可以使用机器人的人员及其应用范围
(2)设定机器人的业务权限
尤其要谨慎对待权限。在业务流程中部署RPA,优先考虑的是“让机器人动起来”。因此,如果机器人不能很好地开展工作,考虑到程序和权限不足两方面,会采取“给予所有特权并推翻权限不足的可能性,然后检查程序”的做法。
然而,短暂过度授权可能出现 “现在工作正常了,可以先不管,确保稳定运行后再准确设置权限,转身却忘了重设”的情况。
此外,为降低机器人的开发成本,让一个机器人处理多项业务,则风险会更高。
例如,将机器人限定于只在A部门中处理业务,但又想用同一个机器人处理B部门的业务,就必须赋予机器人在A和B两个部门的权限。如此一来,机器人就拥有了跨部门的强大权限,而这是其他员工所没有的。
但企业应该意识到,机器人虽憨直勤奋,却比任何员工都更容易上当受骗,而且不长记性。
2.开发阶段
开发阶段需要注意以下几点:
(1)不要将ID或密码直接写入源程序
(2)屏蔽商业机密测试数据
(3)完成后擦除中间工作数据
(4)能够在紧急情况下中断
(5)允许在错误时发出警报
(6)在安全位置管理源程序
这些点看似平常,但在开发时往往容易被忽视,有必要再次强调。
3.运行阶段
运行阶段,在RPA正常运行的同时,监测、确认其运行状态也是有必要的。此外,在出现错误时,要先确认是单纯的故障还是安全风险,之后再实施对策。
(1)监控机器人的执行, 监控错误
(2)获取和管理电脑的操作日志和访问日志
(3)同时运行安全策略
(4)定期进行风险分析并审查安全策略
再者,还需要定期检查是否存在非托管机器人。“杂散机器人”与影子IT有着相同的问题根源,对业务流程的完结影响很大。不能因“它就像Excel中的宏”而疏忽,应该认识到运行这些机器人就像“让擅自闯入的闲杂人等处理重要业务”。
“
启用安全监控机器人
如果流程部署顺利进行,就能制作出符合实际所需的机器人。然而,考虑到安全问题,与IT部门合作是有必要的。
如此一来, 业务部门“想部署方便好用的机器人”与IT部门“不想导致危险”之间就可能产生矛盾。
为了避免这种情况,有一种方法:以明文规定RPA部署的安全准则及必须遵守的事项,现场实施时要遵循这些进行开发,设定权限。然后,输出操作和执行日志,IT部门就能检测机器人是否正常运行。
此外,还存在一个问题。虽然可以使机器人输出日志,但只有机器人本身的日志输出是不够的。特别是,不正当处理和异常结束时的不规则操作,在日志上却看似很正常。被欺骗的机器人所输出的日志可信度低,这种安全意识十分重要。
因此,除了执行操作的机器人外,操作机器人的员工最好也要输出日志。有关人士建议,部署管理和监控机器人的机器人。输出日志被汇总监控,一旦检测到不正当处理或不自然的动作,就会阻止机器人,并发送警报,提醒负责人注意。
