在许多情况下,RPA被用于处理敏感的客户信息、会计工作和自动化重复性的任务,以消除人为带来的错误。不过,由于RPA处理的很多任务都涉及敏感信息,其中主要的安全风险是数据泄漏和欺诈,这使得安全策略在RPA中变得至关重要。如果没有适当的安全措施,敏感数据很可能会暴露给攻击者,尤其是恶意的内部人员。此外,内部人员可以利用不当的RPA访问权限将欺诈行为插入RPA脚本。为了解决RPA项目中的安全风险,艺赛旗建议安全和风险管理负责人可以遵循以下行动计划:
01、正确区分机器人系统操作员和机器人系统
机器人系统操作员是负责启动RPA脚本和处理异常的员工。有时,组织在急于部署RPA或安排不当时,往往不会区分是机器人系统操作员还是机器人本身的身份。机器人使用人工操作员凭据来运行。这种配置就使得机器人何时执行脚本操作与人类操作员何时采取行动变得模糊不清,以致于一旦发生攻击或是其他安全问题,如果运行日志不够清晰明确,那么就无法明确区分是人的行为错误还是攻击或欺诈行为造成的。
在艺赛旗RPA内,对丰富的日志进行回溯,通过运行时间点快速判断是人工还是机器人操作,确保安全。
02、为每个RPA机器人和流程分配唯一身份
机器人必须拥有专用的识别凭证,并且在设置身份命名标准时还应尽可能区分人类和机器人身份。这有利于在发生安全问题时,能够追溯到是哪个环节出现问题。
艺赛旗建议机构或部门在服务器上为机器人分配唯一的身份,也能够在回溯审计中快速定位到特定机器人的信息。
03、职责分离,确保密切监控和欺诈管理
如今为降低RPA欺诈的风险,经常采用人工手动流程来进行检查。组织必须确定其自动化流程中易受攻击影响的风险点,并确保对所有相关交易进行独立审查。例如,当超过某个阈值的RPA交易的时候,艺赛旗建议触发另一个机器人,在最终确认前验证该操作的正确性,以防范非安全行为的发生。
04、确保日志的完整性和不可否认性
每当出现RPA安全故障时,安全团队往往都需要查看日志。RPA日志在审计追溯以及确保不可否认性时至关重要。艺赛旗RPA目前录屏技术实现了自有格式加密,已经支持业务导图、运行日志、录屏、流程组件视图的播放,实现组织更快速更精准的回溯。
05、谨慎使用第三方开发的RPA场景
建议选择官方应用市场发布的自动化场景,例如在艺赛旗商城选择付费或免费版本。谨慎选择第三方个人或组织独立开发的产品,安全能力缺失,这可能将给相关系统乃至整个组织带来严重的安全隐患。