安永报告：RPA存在的网络风险及7个解决方案--RPA中国 | RPA全球生态 | 数字化劳动力 | RPA新闻 | 推动中国RPA生态发展

随着全球数字化经济的飞速发展，越来越多的业务通过RPA实现自动化，工作效率得到了巨大提升。但同时伴随着诸多安全风险，如网络攻击、数据泄漏、缺少专业安全管理人才等问题。

作为世界“四大会计事务所”之一的安永，为大家系统的讲解了，在RPA安全方面用户应该注意哪些问题及解决方案；同时，RPA作为效率极高的应用工具，反过来可以为组织带来哪些安全方面的提升。

什么是机器人自动化技术？

这里的机器人指的是软件机器人，IT自动化（ITA）和业务流程自动化（BPA）已有数十年历史，不过机器人流程自动化（RPA）与这两项技术却有着很大的区别：

首先，ITA / BPA通常是由专业技术团队构建和维护，而RPA则直接由用户自己来掌控；其次，在部署方面ITA / BPA需要花费数月甚至数年才能完成，而RPA借助云端、底代码等技术，可以在数周甚至几天之内完成所有部署。

RPA技术在许多行业和组织中受到了极大地关注，正通过机器人流程自动化来快速、轻松地自动执行重复和耗时的业务流程。同时IT和网络安全部门也利用自动化平台的能力来编排工作流程并执行各种任务。而在安永日常工作环境中，通常会看到以下三种形式的机器人：

RPA（机器人流程自动化）：一种提供可视化拖拽操作方式的软件机器人，易于部署、扩展灵活、支持跨平台。RPA可以自动执行诸多工作任务，如数据输入、跨多个系统迁移数据、数据提取、数据审核等。RPA最大好处是无需额外的帮助，只需通过短时间的学习用户便可自行操作RPA机器人。

OR（网络管理机器人）：这种机器人经常用于IT服务管理和网络安全操作，例如：添加和删除用户、权限管理和网络安全故障分类等。这种形式的机器人侧重于编码自动化操作能应用于多个系统，可简化复杂和密集型的工作流任务。它遵循预先设定的规则，这些规则描述任务并根据预定义的标准做出决策。部署方面需要与应用程序编程接口（API）、数据库和后端服务器相结合，通常需要开发大量的代码来设置所需要的模块。

CL（认知机器人）： CL机器人通过使用先进的算法、智能分析、机器学习和人工智能等技术，可用于处理结构化和非结构化任务。认知机器人可以像人类一样思考和行动，可以在无人值守情况下完成复杂的工作任务。

RPA有哪些网络风险？

在当前商业环境中，RPA机器人是企业实现数字化转型的重要组成部分。由于RPA机器人应用于企业各项业务中，所以，机器人项目既应通过保护机器人平台来应对网络风险，也应利用机器人技术来执行更有效、更高效的网络操作。在安永看来，组织必须建立对其RPA平台的信任，以应对多种形式的网络风险。以下是一些常见的RPA网络安全隐患:

权限攻击：有时黑客会入侵RPA运行网络，盗取拥有高级权限的RPA账户，然后去窃取一些敏感的数据，例如：客户生成的订单、金融数据和客户详细信息等。

敏感数据泄漏： 通常智能机器人具备自我学习能力，如果用户设置不当机器人可能会自动将敏感信息上传到网络中，例如：用户信用卡信息、金融账户信息等。还有个别员工通过创建新的RPA机器人，来窃取用户的敏感信息。

安全漏洞：RPA机器人供应商的代码有漏洞；在云端处理或传送数据时没有进行加密保护。

没有合理的计划：将RPA机器人所有自动化任务，快速消耗掉系统资源，导致RPA意外或者系统原因中断服务，从而造成意外的数据丢失。

如何保护RPA系统安全？

在RPA系统安全防护方面，组织必须从整个RPA机器人生态系统去考虑，如技术、流程和人为因素等。一个周全的“安全计划”应该包括：需求、选择、架构、实现到整个产品生命周期。为了帮助用户快速建立安全防护体系，安永给出了以下几条建议：

保证数据完整性：没有极特殊情况下，尽量不要在RPA机器人进行数据处理时进行二次加工，避免数据泄漏或者丢失。

完整的日志追踪：确保管理人员可以监控和追踪RPA机器人所有的活动，这样可以时刻掌握其动态，防止数据误操作或者有其他可疑人员介入到自动化流程中。

权限划分：保证操作人员各司其职，可以为不同职责、需求的员工设置不同类型的操作权限，避免跨部门非法人员窃取敏感数据。

建立完善的维护计划：建立具有角色和职责的维护计划，以保护RPA机器人在执行任务时符合策略和安全要求。

保证产品安全：对选用的RPA产品进行安全架构风险分析，包括：bot的创建、控制、运行和识别跨各种系统连接产品时，安全体系结构漏洞和虚拟化方法的使用和授权漏洞。同时进行安全设计审查，如数据流分析，以验证安全控制集成到RPA中；集成安全扫描工具，作为RPA机器人创建过程的一部分，用于扫描后台生成的安全漏洞代码。

操作链接安全：在RPA机器人进行处理时，实施安全控制来保护链接安全，例如：使用单点登录（SSO）和轻量级目录访问协议（LDAP）支持对RPA接口的安全登录。在机器人会话中设置统一密码，集中机器人身份和访问流程管理；利用加密的凭证管理器，来防止数据的泄漏。

数据识别与保护：对RPA机器人处理的数据进行规范性评估；监测RPA机器人在处理敏感数据时是否符合规范。

如何通过RPA提升组织的安全性？

当我们把RPA机器人处理过程中的安全问题解决之后，反过来，RPA机器人可以在一些安全项目中提升组织的数据安全性。许多首席信息官（CIO）、首席信息安全官（CISOs）、首席数字官（CDO）都面临着数十种甚至数百种遗留系统和应用程序之间的协同工作。这使得他们不得不手动从多个系统、应用程序进行收集数据，将数据从一个系统复制到另一个系统，并在众多应用程序之间进行切换以完成工作任务。而RPA机器人恰好可以帮助用户解决这些潜在的威胁，同时具有以下好处:

通过RPA机器人自动搜集密集型数据，帮助组织节省运营费用和弥补人才缺口；

通过让员工专注于更有价值的工作，来减少由于缺乏挑战或职业发展而导致的员工流失；

当发现漏洞或异常攻击时，RPA将按照用户设定自动部署安全设置；

为CIO提供可靠的数据报告，快速做出明智的决定；

RPA机器人在安全防护中的用例

通过以下几个案例，帮助用户更好的了解RPA如何帮助组织提升整体安全性：

项目安全管理：将RPA用于项目安全管理，可以提高安全报告的质量和及时性，例如：RPA机器人可以按分钟甚至秒来扫描系统的安全状态，如发现任何数据异常将立刻通知用户。安全控制跟踪机器人，可以帮助用户推动信息安全领域的自动化测试，例如：通过配置机器人可以更快、更有效地对服务器、防火墙、路由器和应用程序上的安全设置策略进行测试，并自动生成高质量的数据报告。

项目安全检测：智能自动化机器人可用于软件开发中的安全检测。机器人可以从每个项目管理工具或通过自动化收集信息，确定代码库何时转移到下一阶段的SDLC系统。

项目安全验证：RPA机器人可以用来测试软件安全，收集有关url和代码并进行自动测试，能够有效地分析应用程序的漏洞。RPA机器人的测试效率和准确率比人工高3倍以上。

关于安永：

安永会计师事务所是一家总部位于英国伦敦的跨国性专业服务公司，为四大会计师事务所之一。安永的前身是1903年成立于美国克利夫兰的Ernst & Ernst(1979年后合并为Ernst & Whinney)会计公司和1894年成立于美国纽约的Arthur Young会计公司。

安永在全球拥有24万员工，在150个国家与地区有超过700家办事处。提供审计（包含财务审计）、税务、交易、以及信息咨询服务等业务。

注：原报告为英文版，需要报告的小伙伴可添加小编微信（15001140993）获取。

继续阅读：流程自动化 RPA 安永