「大业付安全 可信 rpa」来也科技行业研究院机器人安全治理观察系列-产品篇
近年来,随着 rpa ai 行业的快速发展以及在各行各业的广泛应用,越来越多的大型企业和政府组织选择通过 rpa 为其提供业务支持和服务。由于 rpa 无论企业规模大小、所属行业类型、政府组织形态均可部署,因此,rpa 的用户类型也从早期的财税、银行逐渐深入到电力、能源等传统行业,甚至公安、检察院、法院等高密级政府部门和航天、军事机关总部等军工单位也开始逐渐接纳 rpa。
rpa 是一种实用的降本增效技术手段,但是随着自动化应用的普及,不管是大型企业,还是政府组织,在进行产品选型的时候,用户的关注点不仅仅是该技术所能带来的经济效益,因引入该产品而导致客户可能需要额外面临的实际问题与潜在风险,也是他们关注的焦点。那么,在实施 rpa 的过程中,客户会遇到哪些不容忽视的安全问题?企业和政府组织又该如何管控这些风险呢?
“连接器”和“无侵入”
首先,我们需要了解 rpa 的“连接器”和“无侵入”两个属性。目前不管是企业,还是政府部门,信息化壁垒严重,多个系统与系统之间的数据没有打通,很难将数据进行整合。rpa 通过模拟人类的操作方法,在不更改信息系统的前提下,使用非侵入式的方式,将不同系统的数据进行提取及整合。这是 rpa 最重要的特点和本质特征。
通过 rpa 的“连接器”和“无侵入”两个特征,我们可以知道,rpa 只是连接多个信息系统,不更改任何原有信息系统,且不会破坏原有的业务流程,因此原有信息系统的网络安全和数据隐私问题由原系统解决。本文只讨论由于引入 rpa 而额外带来的安全问题和隐私风险。
01信息安全
对于一个信息系统而言,最重要的信息就是用户名和密码。用户名和密码安全相当于房间的门牌号和钥匙,其重要性毋容置疑。然而,如果 rpa 需要对信息系统进行自动化操作,该信息系统的用户名和密码就需要存储在 rpa 流程中并传递输入到信息系统中。
如果用户名和密码以明文源码或者非加密配置文件的形式,存储在 rpa 流程中,那么当 rpa 流程文件或配置文件被窃取或被窥视时,用户名和密码将被泄露。另外,如果用户名和密码以明文形式存储在 rpa 的管理端,那么 rpa 管理端到 rpa 执行器的传输也存在泄漏风险。
为了应对信息安全方面的问题,最简单、最直接和最有效的方法是加密存储,不管是在管理端还是流程执行器中,这样即使恶意用户拿到用户名和密码,没有密钥也无法解开。更进一步地,可以使用类似 u 盾这样的硬件设备来存储密码,硬件加密比软件加密强度更高,软硬件的联合加密方式需要极复杂的技术手段,难度极大。而且,硬件设备存储的密码,可以不经过任何第三方软件,甚至不经过软件平台本身,点对点直接输入到客户信息系统界面中,安全性更高。
02数据隐私
如前所述,rpa 已广泛应用到财税、银行、电力、能源等企业部门,公安、检察院、法院、航天、军事机关总部等政府军工单位,且 rpa 所处理的业务流程越来越核心。不管是银行对账,还是公检法查询公民信息,这些 rpa 流程中涉及到的信息系统,都处理大量企业和个人的核心业务数据。如何确保这些敏感数据不被软件机器人滥用?只提供给具备访问权限的人查看?这些都是客户非常关注的问题。
为了应对数据隐私方面的问题,一方面,需要选择可以在内网和专网中离线运行的 rpa 平台,在没有网络接入或仅有内部网络接入的物理隔离环境,可以大大减轻数据隐私问题,同时也可以最大程度的减少被外部因素威胁系统安全的可能性。另外,在流程的运行过程中,应启用 rpa 平台的日志记录和屏幕录像记录,这样所有流程的操作均可追溯,确保操作过程中带来的任何问题,无论是系统故障、安全威胁还是数据泄露,都有据可查。
03国产自主
近年来,国家大力提倡国产化自主安全,并明确要求在近两年实现一些特殊企业国产化,并在多个领域积极扶持国产自主软硬件的研发,尤其是各省级政府、重要市级政府、金融领域、军队领域等。
国产化自主安全的背后是国家对信息安全和网络安全的重视。棱镜门事件爆发,让我们看见了掌握核心信息产业的重要性。多个政府部门和军工单位已全部或部分实现国产软硬件替换。
为了应对国产自主方面的问题,首先,应优先选择已兼容国产自主软硬件的 rpa 平台,例如飞腾 cpu 处理器,银河麒麟操作系统,达梦数据库软件等。兼容这些主流国产自主软硬件,工作量并不小。另一方面,应优先考虑那些已进行平台兼容性认证的 rpa 平台。
随着机器人流程自动化应用的不断深入,许多用户尤其是政府和军工客户已经把关注焦点从经济和效率转移到信息安全和数据隐私方面。数据资产是数字经济的命脉,没有任何一个组织希望自己的核心数据被直接暴露出来。如何为用户提供更安全、更可靠、更稳定的流程自动化处理过程,让用户放心地使用 rpa 产品,将是未来需要持续关注的一个重要方向。