隨著全球數字化經濟的飛速發展，越來越多的業務通過RPA實現自動化，工作效率得到了巨大提升。但同時伴隨著諸多安全風險，如網絡攻擊、數據泄漏、缺少專業安全管理人才等問題。

作為世界“四大會計事務所”之一的安永，為大家系統的講解了，在RPA安全方面用戶應該注意哪些問題及解決方案；同時，RPA作為效率極高的應用工具，反過來可以為組織帶來哪些安全方面的提升。

什么是機器人自動化技術？

這里的機器人指的是軟件機器人，IT自動化（ITA）和業務流程自動化（BPA）已有數十年歷史，不過機器人流程自動化（RPA）與這兩項技術卻有著很大的區別：

首先，ITA / BPA通常是由專業技術團隊構建和維護，而RPA則直接由用戶自己來掌控；其次，在部署方面ITA / BPA需要花費數月甚至數年才能完成，而RPA借助云端、底代碼等技術，可以在數周甚至幾天之內完成所有部署。

RPA技術在許多行業和組織中受到了極大地關注，正通過機器人流程自動化來快速、輕松地自動執行重復和耗時的業務流程。同時IT和網絡安全部門也利用自動化平臺的能力來編排工作流程并執行各種任務。而在安永日常工作環境中，通常會看到以下三種形式的機器人：

RPA（機器人流程自動化）：一種提供可視化拖拽操作方式的軟件機器人，易于部署、擴展靈活、支持跨平臺。RPA可以自動執行諸多工作任務，如數據輸入、跨多個系統遷移數據、數據提取、數據審核等。RPA最大好處是無需額外的幫助，只需通過短時間的學習用戶便可自行操作RPA機器人。

OR（網絡管理機器人）：這種機器人經常用于IT服務管理和網絡安全操作，例如：添加和刪除用戶、權限管理和網絡安全故障分類等。這種形式的機器人側重于編碼自動化操作能應用于多個系統，可簡化復雜和密集型的工作流任務。它遵循預先設定的規則，這些規則描述任務并根據預定義的標準做出決策。部署方面需要與應用程序編程接口（API）、數據庫和后端服務器相結合，通常需要開發大量的代碼來設置所需要的模塊。

CL（認知機器人）： CL機器人通過使用先進的算法、智能分析、機器學習和人工智能等技術，可用于處理結構化和非結構化任務。認知機器人可以像人類一樣思考和行動，可以在無人值守情況下完成復雜的工作任務。

RPA有哪些網絡風險？

在當前商業環境中，RPA機器人是企業實現數字化轉型的重要組成部分。由于RPA機器人應用于企業各項業務中，所以，機器人項目既應通過保護機器人平臺來應對網絡風險，也應利用機器人技術來執行更有效、更高效的網絡操作。在安永看來，組織必須建立對其RPA平臺的信任，以應對多種形式的網絡風險。以下是一些常見的RPA網絡安全隱患:

• 權限攻擊：有時黑客會入侵RPA運行網絡，盜取擁有高級權限的RPA賬戶，然后去竊取一些敏感的數據，例如：客戶生成的訂單、金融數據和客戶詳細信息等。

• 敏感數據泄漏： 通常智能機器人具備自我學習能力，如果用戶設置不當機器人可能會自動將敏感信息上傳到網絡中，例如：用戶信用卡信息、金融賬戶信息等。還有個別員工通過創建新的RPA機器人，來竊取用戶的敏感信息。

• 安全漏洞：RPA機器人供應商的代碼有漏洞；在云端處理或傳送數據時沒有進行加密保護。

• 沒有合理的計劃：將RPA機器人所有自動化任務，快速消耗掉系統資源，導致RPA意外或者系統原因中斷服務，從而造成意外的數據丟失。

如何保護RPA系統安全？

在RPA系統安全防護方面，組織必須從整個RPA機器人生態系統去考慮，如技術、流程和人為因素等。一個周全的“安全計劃”應該包括：需求、選擇、架構、實現到整個產品生命周期。為了幫助用戶快速建立安全防護體系，安永給出了以下幾條建議：

• 保證數據完整性：沒有極特殊情況下，盡量不要在RPA機器人進行數據處理時進行二次加工，避免數據泄漏或者丟失。

• 完整的日志追蹤：確保管理人員可以監控和追蹤RPA機器人所有的活動，這樣可以時刻掌握其動態，防止數據誤操作或者有其他可疑人員介入到自動化流程中。

• 權限劃分：保證操作人員各司其職，可以為不同職責、需求的員工設置不同類型的操作權限，避免跨部門非法人員竊取敏感數據。

• 建立完善的維護計劃：建立具有角色和職責的維護計劃，以保護RPA機器人在執行任務時符合策略和安全要求。

• 保證產品安全：對選用的RPA產品進行安全架構風險分析，包括：bot的創建、控制、運行和識別跨各種系統連接產品時，安全體系結構漏洞和虛擬化方法的使用和授權漏洞。同時進行安全設計審查，如數據流分析，以驗證安全控制集成到RPA中；集成安全掃描工具，作為RPA機器人創建過程的一部分，用于掃描后臺生成的安全漏洞代碼。

• 操作鏈接安全：在RPA機器人進行處理時，實施安全控制來保護鏈接安全，例如：使用單點登錄（SSO）和輕量級目錄訪問協議（LDAP）支持對RPA接口的安全登錄。在機器人會話中設置統一密碼，集中機器人身份和訪問流程管理；利用加密的憑證管理器，來防止數據的泄漏。

• 數據識別與保護：對RPA機器人處理的數據進行規范性評估；監測RPA機器人在處理敏感數據時是否符合規范。

如何通過RPA提升組織的安全性？

當我們把RPA機器人處理過程中的安全問題解決之后，反過來，RPA機器人可以在一些安全項目中提升組織的數據安全性。許多首席信息官（CIO）、首席信息安全官（CISOs）、首席數字官（CDO）都面臨著數十種甚至數百種遺留系統和應用程序之間的協同工作。這使得他們不得不手動從多個系統、應用程序進行收集數據，將數據從一個系統復制到另一個系統，并在眾多應用程序之間進行切換以完成工作任務。而RPA機器人恰好可以幫助用戶解決這些潛在的威脅，同時具有以下好處:

• 通過RPA機器人自動搜集密集型數據，幫助組織節省運營費用和彌補人才缺口；

• 通過讓員工專注于更有價值的工作，來減少由于缺乏挑戰或職業發展而導致的員工流失；

• 當發現漏洞或異常攻擊時，RPA將按照用戶設定自動部署安全設置；

• 為CIO提供可靠的數據報告，快速做出明智的決定；

RPA機器人在安全防護中的用例

通過以下幾個案例，幫助用戶更好的了解RPA如何幫助組織提升整體安全性：

項目安全管理：將RPA用于項目安全管理，可以提高安全報告的質量和及時性，例如：RPA機器人可以按分鐘甚至秒來掃描系統的安全狀態，如發現任何數據異常將立刻通知用戶。安全控制跟蹤機器人，可以幫助用戶推動信息安全領域的自動化測試，例如：通過配置機器人可以更快、更有效地對服務器、防火墻、路由器和應用程序上的安全設置策略進行測試，并自動生成高質量的數據報告。

項目安全檢測：智能自動化機器人可用于軟件開發中的安全檢測。機器人可以從每個項目管理工具或通過自動化收集信息，確定代碼庫何時轉移到下一階段的SDLC系統。

項目安全驗證：RPA機器人可以用來測試軟件安全，收集有關url和代碼并進行自動測試，能夠有效地分析應用程序的漏洞。RPA機器人的測試效率和準確率比人工高3倍以上。

關于安永：

安永會計師事務所是一家總部位于英國倫敦的跨國性專業服務公司，為四大會計師事務所之一。安永的前身是1903年成立于美國克利夫蘭的Ernst & Ernst(1979年后合并為Ernst & Whinney)會計公司和1894年成立于美國紐約的Arthur Young會計公司。

安永在全球擁有24萬員工，在150個國家與地區有超過700家辦事處。提供審計（包含財務審計）、稅務、交易、以及信息咨詢服務等業務。

注：原報告為英文版，需要報告的小伙伴可添加小編微信（15001140993）獲取。

繼續閱讀：流程自動化   RPA   安永

未經允許不得轉載：RPA中國 | RPA全球生態 | 數字化勞動力 | RPA新聞 | 推動中國RPA生態發展 | 流 > 安永報告：RPA存在的網絡風險及7個解決方案