Риски программной роботизации

Программные роботы оказались одной из самых востребованных технологий, появившихся за последние годы

Программные роботы оказались одной из самых востребованных технологий, появившихся за последние годы. Их активно используют компании самых различных отраслей для решения различных задач. Однако, как любая новая возможность, они создают и новые риски. Применение RPA требует повышенного внимания к информационной безопасности. О быстро растущей практике и угрозах в этой сфере рассказывает Александр Погребной, заместитель генерального директора компании «Газинформсервис».

В каких областях RPA уже доказали свою эффективность?

Наиболее успешно роботизируются процессы, которые соответствуют определенным критериям: ручные, повторяющиеся, связанные со стандартным считыванием или вводом данных, выполняющиеся в разных информационных системах, зрелые и стабильные. Такие операции есть во многих функциональных областях. В финансовой сфере это формирование актов сверок, обработка банковских выписок, составление стандартных писем, сопровождающих отправку счетов‑фактур экспресспочтой, формирование статистических отчетов. В кадровой службе — подготовка справок 2НДФЛ и подобных документов. В области документооборота тоже довольно много задач, подлежащих роботизации: отчеты на основе выгрузок из «1С», СЭД, почтовая рассылка этих отчетов по расписанию, обработка вложений электронной почты, протоколов, распоряжений, внесение всех этих сведений в информационные системы.

Есть задачи для роботов и в цепочках поставок: согласование спецификаций, контроль сроков поставки, создание заявок на платежи, акты инвентаризации, сверки этих актов с балансовой отчетностью. Можно применять RPA в продажах: обрабатывать клиентские запросы, работать с рекламациями, вводить данные в CRM, проверять их и актуализировать по внешним источникам.

Существуют процессы, предусматривающие работы с большим числом информационных систем, часть из которых может не принадлежать компании. Наладить с ними интеграцию — сложная задача, требующая согласия владельца системы. Поскольку робот выполняет те же операции, что и сотрудники, он может спокойно взаимодействовать с внешними системами с использованием стандартных пользовательских интерфейсов: это, например, обработка запросов госорганов, загрузка документации на сайт госзакупок, участие в тендерах на торговых площадках.

У многих холдингов появились центры компетенции, занимающиеся исследованием применимости новых технологий. Часть наших клиентов создает центры компетенции именно по RPA, потому что они дают быстрый и ощутимый эффект. Обычно крупная организация делает несколько пилотов по программной роботизации. Если они оказываются успешными, принимается решение о широком применении технологии. Однако довольно часто даже успешные RPAпроекты сталкиваются со стопфакторами, которые мешают масштабированию. Многие из них относятся к информационной и экономической
безопасности.

Каковы эти стопфакторы?

Во‑первых, вопрос распределения ответственности. Скажем, если по результатам работы робота выполняется платеж, а затем выясняется, что это было ошибкой и не следовало переводить деньги, возникает вопрос: кто виноват?

Есть несколько вариантов решения. Можно возложить ответственность на сотрудника, чья деятельность была роботизирована. Без RPA так бы и сделали, человек бы получил взыскание. Но сотрудник за роботизированную систему не может отвечать. Можно возложить ответственность на тех, кто занимался автоматизацией, но тогда на них со временем ляжет ответственность за все процессы в компании, что тоже некорректно.

Ответом может быть изменение бизнеспроцессов и документирование этих изменений. Можно провести GAPанализ, задокументировать найденные проблемные места и ввести точки контроля работы RPA. Специально назначенные люди должны периодически проверять результаты, в том числе и проводить выборочные проверки.

Это большая работа, если в компании тысячи процессов. После анализа становится ясно, что можно быстро роботизировать около сотни. За них отвечают руководители разных подразделений. С автоматизируемыми процессами нужно разбираться детально, переписать их поновому и сделать так, чтобы не была размыта ответственность и не возникло предпосылок для нарушений, махинаций.

Зачастую появляется проблема доступности системы роботизации. Если имеется автоматизированная система, всегда есть риск, что ктото ее выведет из строя намеренно или случайно. А потому очень важно принять меры, связанные с кластеризацией, с резервным копированием, — это критично для обеспечения доступности. Большинство систем роботизации сделано так, что на выходе робот представляет собой текстовый файл. Его можно вручную отредактировать, подменить. Здесь важна целостность — второй ключевой аспект ИБ. Нужно в любой момент быть уверенным, что действуют именно те роботы, которых мы написали, что их никто не подменил.

Кто может их подменить?

Внешние злоумышленники, которые пробили оборону межсетевых экранов и других средств защиты. Так, можно получить доступ к учетным записям пользователей, которые имеют роботы, к правам доступа этих пользователей или модифицировать алгоритм поведения робота и с этими правами делать что угодно внутри корпоративной системы.

Все то же самое могут делать те, кто непосредственно занят созданием роботов, — подрядчики или собственные разработчики. Нужно в любой момент быть уверенными в том, что сделанное ими идет на пользу, а не во вред организации. Рядовые сотрудники, чья работа автоматизируется, тоже могут использовать роботов в своих целях, наняв, например, консультантов через Даркнет.

Надо систематически проводить аудит системы роботизации бизнеспроцессов, разработать модель угроз, модель нарушителя, предусмотреть систему защиты информации, подготовить для нее комплект эксплуатационной и организационнораспорядительной документации. Использовать эти средства защиты будет служба безопасности, и она же станет контролировать эксплуатацию RPA. В целом необходимо отдавать себе отчет в том, что программная роботизация довольно рискованная вещь. Требуется и контроль кода. Служба безопасности должна с самого начала контролировать код, который получится на выходе, но тут возникает дилемма. Одно из преимуществ систем роботизации — их создание по методологии аджайл. Полноценное решение, копирующее работу сотрудника, может появиться в течение нескольких дней. С точки зрения безопасности каждый раз перед тем, как начинать эксплуатацию, робота необходимо проверить. Проверка может тормозить подключение роботов к работе и отчасти нивелировать ценность, которую автоматизация по такой технологии дает.

Нужен разумный компромисс: идти вперед со скоростью, необходимой компании, но не забывать об интересах безопасности. Это, скорей всего, будет новая парадигма для сотрудников службы безопасности. Они должны будут перестроить свое мышление и научиться работать по методологии аджайл, как и все остальные члены команды автоматизации.

Как отражается появление программных роботов на регламентах работы службы ИБ?

Это также серьезный вопрос. Чаще всего система документов по ИБ на предприятии программных роботов не рассматривает вовсе, а они ведь могут обрабатывать и персональные данные, и конфиденциальную информацию. В компаниях обычно есть документы, которые описывают процессы обработки информации ограниченного доступа. Следует пересматривать такие документы, политики и концепции безопасности вплоть до рабочих инструкций и прописывать, как нужно обращаться с программными роботами.

При этом возникает сложность в распределении прав и полномочий. В большинстве компаний права и полномочия назначаются только конкретным физлицам. Есть определенные регламентированные процессы предоставления доступа. Внедряются IDMсистемы для автоматизации процессов выдачи. Чтобы такие права у человека появились, он должен быть оформлен в кадровую базу, тогда на него начинают запрашиваться роли, учетные записи и права доступа. Если речь идет о роботах, возникает вопрос, как сделать все это, используя ту же систему IDM. Оформить их как сотрудников? Либо изменять IDMсистему так, чтобы в ней появилась новая сущность — роботы? Пересмотреть документы по назначению прав и полномочий?

Подобных вопросов возникает много, и, оставаясь нерешенными, они мешают получению выгод от программной роботизации. Типовая ситуация: к нам приходят представители крупного холдинга, где консультанты сделали проект по RPA. Проект вполне успешный, и хотелось бы его развивать, но вопросы безопасности не решены: есть лишь одна строка в документации о том, что все должно быть безопасно, но больше ничего конкретного не сказано и не сделано. «У нашей службы безопасности возникло очень много вопросов к этим решениям. Найдите на них ответы», — просят нас.

Есть ли у вас ответы? Ведь RPA — относительно новое направление, практики только складываются.

На большинство вопросов ответы у нас уже есть: часть приходит из нашей многолетней практики консалтинга по информационной безопасности, часть уже накоплена в рамках пилотных проектов по защите решений класса RPA. В них мы работаем совместно с системными интеграторами и производителями решений.

Нередко требуется проанализировать бизнеспроцессы, подготовить документы, описывающие процесс уже в роботизированном виде с учетом требований безопасности. Готовим методические рекомендации по роботизации бизнеспроцессов с учетом регламентов ИБ, помогаем выявить потенциально опасные фрагменты процессов. Как роботизировать процесс так, чтобы не внести потенциал для мошенничества? Для этого необходимо обобщение подходов, практик и принципов безопасной роботизации.

Например, контроль кода. Существует немало отличных продуктов, которые решают именно эту задачу, но они действуют обычно в среде разработки. Для RPAсред таких продуктов еще нет. Однако существует опыт и кейсы, связанные именно с уязвимостями в коде. Более десяти лет мы развиваем собственный продукт — SafeERP Code Security. Этот программный комплекс автоматизирует процесс управления безопасностью в приложениях SAPсистем, создавая полную картину защищенности систем по всему ландшафту. Он позволяет быстро проверить безопасность разработок и поставить на контроль критичные объекты.

Поэтому нам известны сотни кейсов и множество ошибок, которые в принципе могут влиять на безопасность бизнесприложений. Например, перед выполнением операции не проверяются права доступа: казалось бы, элементарная вещь, но как редко мы ее обнаруживаем там, где она должна быть… Мы можем проверить код, подсказать, как исправить в нем недочеты, влияющие на безопасность, поставить на контроль целостности, и заказчик будет уверен, что у него в системе действует именно тот программный робот, который был написан разработчиками.

Наша классическая услуга — доработка пакета документов по ИБ на предприятии, чтобы внести в него сущность «робот», описать все нюансы их появления в корпоративных системах. Мы проектируем системы защиты информации для систем роботизации с учетом их специфики, с их требованиями к повышенной доступности и целостности. Есть и собственные продукты, позволяющие закрывать уязвимости RPAрешений. У нас более ста пятидесяти человек заняты в R&D и семь линеек собственных продуктов.

Каким образом вы обосновываете экономическую эффективность проектов по информационной безопасности вообще и c применением программной роботизации в частности?

Для проектов по ИБ мы готовим техникоэкономическое обоснование, обычно включающее два аспекта. Первый — обоснование необходимости автоматизации выполнения определенных операций, которые повышают защищенность предприятия: аудиты, обновления, поиск вирусов. Можно посчитать затраты времени персонала на эти операции и экономию времени при использовании средств защиты информации. Причем можно опираться на внутренние регламенты компании, но если их нет — то на требования регуляторов, у которых есть весьма подробно описанные процедуры, которые должны выполняться в рамках мероприятий по защите информации. Существуют международные стандарты, в том числе ISO 27000. Там тоже достаточно детально описано, какие процессы должны периодически
выполняться.

Второй аспект — снижение рисков. Мы проводим инвентаризацию, показываем, какие ИТсистемы поддерживают конкретные бизнеспроцессы. Приходится выяснять степень критичности этих бизнеспроцессов и поддерживающих их ИТактивов, оценивать риски в случае нарушения конфиденциальности данных, целостности, доступности. Исходя из этой модели рисков, можно продемонстрировать объем сэкономленных средств за счет того, что мы эти риски снижаем.

Чаще всего риски существенно превосходят затраты на безопасность. Так, внесение изменений в системы управления производственными процессами способно вызвать катастрофические последствия. Несоблюдение требований регуляторов может приводить к штрафам или даже к уголовной ответственности.

RPAсистемы здесь не исключение, поэтому обязательно необходимо на самых ранних стадиях их создания озадачиться вопросами обеспечения информационной безопасности.

Смотреть все статьи по теме "Информационная безопасность"

Журнал IT Manager

Опубликовано 06.05.2019

Информационная безопасность Киберугрозы

Предыдущая
Защита от целенаправленных атак с помощью продуктов KATA и KEDR

Следующая
Взлом биржи Binance: похищено 7 тыс. биткоинов, убытки покроют из страхового фонда

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30