Что нужно знать о безопасности RPA

То, что предприятие автоматизировало процесс, еще не означает, что оно обеспечило его защиту. Если вы присматриваетесь к установке решения RPA (robotic process automation, роботизация процессов), вы должны понимать, какое влияние оно окажет на вашу безопасность, сообщает портал Enterprisers Project.

Существует множество факторов, говорящих в пользу внедрения RPA. Однако если вы хотите свести к минимуму появление проблем в будущем, вам следует усвоить несколько важных уроков. Один из них не откроет ничего нового для любого ИТ-профессионала: компания не может игнорировать безопасность, а потому то, что она автоматизировала процесс, еще не значит, что он находится под защитой. Более того, боты RPA — это ПО, которое выполняет различные компьютерные задачи без участия человека. Их применение сопряжено с теми же рисками, с которыми сталкиваются люди, работающие за ноутбуком. От ошибок никто не застрахован.

При внедрении RPA вы должны исходить из того, что оно является еще одним видом ПО и потому имеются все предпосылки к тому, что в нем могут быть уязвимости. «Как и любое ПО, RPA-боты могут представлять угрозу безопасности, открывая поверхность для атаки, если не подключить к ним надлежащие процедуры и должным образом не настроить», — говорит руководитель департамента безопасности продуктов Automation Anywhere Гаутам Рой.

Где берут свое начало угрозы для безопасности RPA-решений

Один из основополагающих аспектов безопасности RPA: многие риски возникают из-за отсутствия внимания или по недосмотру. К внедрению ботов в организационный процесс или систему лучше всего приступать при наличии комплексной стратегии —узкоспециализированный подход, скорее всего, вызовет проблемы. Другими словами, если на предприятии отсутствует элементарная гигиены безопасности, то RPA не сможет исправить этот недочет. Внедрение роботизации процессов — это хорошая новость для команд, которые серьезно относятся к безопасности, и стимул для тех, кому нужно пересмотреть свое отношение к этому вопросу. Уделяете ли вы внимание гигиене паролей или управлению доступом или все это находится у вас в беспорядочном состоянии? Если это так, то у вас могут возникнуть проблемы с автоматизацией определенных задач.

«Как и люди, RPA-боты применяют для выполнения своих задач привилегированный доступ. Это касается как перемещения данных между системами из одного процесса в другой, так и подключения к ERP, CRM или другим платформам», — сказал Рой. Считается, что многие риски безопасности возникают из-за человеческой беспечности — это действительно так, если вспомнить количество успешных фишинговых кампаний, но это вовсе не значит, что передача задачи программному боту магическим образом предотвратит человеческую ошибку. Дело в том, что внедрением и управлением ботом по-прежнему занимаются люди.

Основные риски, связанные с внедрением программных ботов

По словам директора по стратегии Kofax Криса Хаффа, большинство проблем безопасности RPA можно рассматривать путем наложения двух линз: через одну мы видим комплаенс-риск, через другую — операционный риск. «Как правило, комплаенс-риски связаны с плохим управлением RPA, причиной которого стали непродуманные методы внедрения без учета хорошо зарекомендовавших себя практик жизненного цикла ПО, затрагивающих безопасность сети, конфиденциальность данных и архитектуру предприятия, — говорит он. — Операционные риски включают потенциальную возможность введения ограничений регуляторными органами и повседневный контроль, поддерживающий масштабируемость и обеспечение непрерывности бизнеса».

Одним из главных достоинств RPA является то, что современные инструменты предлагают так называемые No-code или Low-code модели внедрения. С одной стороны, предприятие может само написать RPA-ботов с нуля, но, с другой, существует множество коммерческих инструментов и инструментов Open Source, которые сведут к минимуму усилия по разработке. Многие из этих инструментов обладают интерфейсами типа drag-and-drop или вариантами «под ключ». Они нацелены на то, чтобы привлечь пользователей, которые не обладают техническими познаниями — специалистов в области финансов или HR-менеджеров. В результате настроить и запустить бота может команда или отдел практически любой организации, даже без помощи ИТ, более того, ИТ-департамент может не знать, что они это делают.

Это может прозвучать заманчиво для компаний, ИТ-команды которых загружены по максимуму. Но если на свой страх и риск исключить из проекта CIO, отсутствие коммуникаций в долгосрочной перспективе может привести к проблемам, включая ненужные или невидимые риски безопасности. Чтобы не допустить этого, лучше всего выбрать проверенную модель сотрудничества.

«Основная причина операционного и комплаенс-рисков кроется в том, что организации подходят к запуску программ автоматизации фрагментировано, — утверждает Хафф. — ИТ- и бизнес-руководителям нужно сотрудничать, что позволит выбрать правильное решение RPA и в дальнейшем проектировать и задействовать офис цифрового управления (Digital Management Office, DMO) или центр передового опыта (Center of Excellence, CoE). Подобная модель управления разделяет ответственность между участниками, в которой ИТ-специалисты решают проблемы с сетью, данными и требованиями регуляторных органов, в то время как бизнес сосредоточен на поиске областей применения RPA. Его обязанность — вносить вклад в проектирование и разработку с помощью гражданских разработчиков и повседневно обеспечивать бесперебойную работу операций, которую выполняют развернутые RPA-боты».

Еще один аспект в истории теневых ИТ также касается рисков безопасности RPA. Дело в том, что человек или команда, внедряющие RPA, могут даже не подозревать о существовании этих рисков. Смягчить эту проблему может межфункциональное партнерство, помимо этого его плюс состоит в том, что команды могут воспользоваться преимуществами инструментов No-code/Low-code.

Приоритет при выборе инструмента RPA — безопасность

При выборе инструментов безопасность должна быть одним из оценочных критериев. Это та компетенция, где ИТ-службы могут помочь, не лишая компанию перспектив гражданской разработки, о чем Хафф упоминает выше. «При рассмотрении решений RPA очень важно выбрать решение, которое компания будет поддерживать таким образом, чтобы оно было безопасным и надежным, — говорит Рой. — В ходе этого процесса важно найти поставщиков с ключевыми функциями безопасности, включая многофакторную аутентификацию, строгий контроль доступа, шифрование и безопасность приложений с одновременным соблюдением надлежащих правил безопасности. Что касается последних, то они должны касаться совместного использования учетных данных для входа в RPA и постоянного обновления паролей».

Помните, что само по себе RPA-решение не особенно интеллектуальное или адаптируемое, поэтому с ним могут возникнуть проблемы безопасности, связанные с изменениями, которые были внесены в другом месте. «Большинство сред являются сложными, следовательно в них вносятся ежедневные изменения, включая обновления приложений, патчи безопасности, изменения процессов и т. д.», — говорит Хафф. Чтобы лучше контролировать ситуацию, следует вооружиться смежными или взаимодополняющими технологиями, к примеру, оркестровкой процессов или интеллектуальным их анализом. Это еще одна сфера, где важную роль играют межфункциональные партнерские отношения (подход DMO или CoE).

Директор по управлению продуктами ARIS в Software AG Том Талер разделяет эту точку зрения, проектируя ее на ситуацию, когда организация для выполнения повторяющихся задач развернула в своей системе ERP несколько RPA-ботов. «Допустим, что систему ERP нужно обновить исходя из соображений безопасности или для того, чтобы она соответствовала новым регуляторным нормам, — размышляет он. — Зачастую последствия обновления, особенно на уровне интерфейса, предугадать невозможно, потому что ИТ-специалисты не знают, каких роботов оно затронет, и, как следствие, они перестают работать. Возникает стрессовая ситуация: требуется внести исправления, потому что без этого критически важные процессы не работают должным образом».

Таким образом, безопасность RPA в равной степени касается того, учитывают ли ваши существующие программы и процессы ботов RPA. Например, если мы изменим X, нам также нужно будет обновить Y. Если этого не сделать, ситуация выйдет из под контроля.

Заложите фундамент безопасности для стратегии RPA

Считать, что автоматизация решит все ваши проблемы, скажем так, автоматически — ошибка. Хотя включение безопасности в критерии оценки поставщиков RPA имеет важное значение, но, как и в случае с другими технологиями, это не значит, что вы полностью исключите риски. По словам Роя, лучшей защитой для RPA станут передовые практики в области защиты корпоративного ПО. Как и технологии, безопасность — это скорее вопрос организационной культуры или, по крайней мере, так должно быть. Те команды, которые обладают культурой безопасности, столкнутся при внедрении ботов с меньшим количеством проблем, чем неподготовленные команды.

Если вы заботитесь о безопасности, вы с большей вероятностью предпримете разумные шаги по управлению рисками, что поможет обезопасить RPA. Если вы игнорируете риски, они раздражают вас или вы оценили их опасность слишком поздно, вы становитесь уязвимыми к инцидентам или атакам. Очевидно, что при отсутствии культуры безопасности вы ставите под удар и свою программу RPA. «Как и в случае с другими лучшими практиками в области безопасности, те, кто управляет автоматизацией, должны прививать своим командам культуру защиты конфиденциальности и снижения рисков — сверху и донизу», — заключил Рой.