RPA应用中面临的4大安全风险

随着数字化时代的到来，越来越多的企业开始认可并实施RPA。尽管如此，仍有不少企业对RPA持观望态度。

全球技术研究和咨询公司信息服务集团（ISG）的一份报告显示，在500家欧洲公司中，92%的公司计划到2020年采用机器人流程自动化（RPA），以提高运营效率；42%的公司认为安全是实施RPA的最大障碍。

诚然，RPA可以使业务流程自动化，为企业降低人工成本，减少出错率。但企业关心的不仅是它所带来的效益，实际导入中可能面临的问题与风险，也是他们关注的焦点。

那么，实施RPA会遇到哪些不容忽视的安全问题？企业又该如何管控风险？

“

RPA应用中面临的4大安全风险

看似简单的流程也暗含风险。

处理业务流程时，RPA机器人和人类一样享有权限。然而，与人相比，它的判断缺乏灵活性。

例如，用RPA在公司内网里输入登录信息，然后按“确定”按钮访问内网。这个看似简单的流程，其实也暗含安全风险。

1.ID和密码的硬编码

如果在Web浏览器中输入的值，是在机器人的配置文件和程序中事先写入的，那么当文件本身被盗或被窥视时，登录信息将被泄露。

这与以明文形式记录密码的文件具有相同的风险，但很容易因为对象是机器人而忽略这一点。若将可访问的文件服务器放入共享平台中，就一切（风险）皆有可能了。

倘若ID和密码泄漏一次, 在不同的站点上尝试相同的ID和密码组合，还存在密码列表被攻击的风险，那将是二次灾难。

2.机器人外流

若直接使用前文提到的配置文件，就将以初始用户的登录信息登录到Web站点。如果机器人的执行权限与目标网站的认证信息没有关联，机器人就可以在任意终端下运行。

3.网络钓鱼

与人相比，机器人的判断力是有局限的，虽然严密但缺乏灵活性。

例如，按钮的字符串只要发生改变，机器人就可能无法识别。或者，只因页面有相同的按钮，也可能导致机器人对页面识别错误。

如果恶意钻空子，那么纂改hosts文件，向名称服务器注入“病毒”以访问与原网站不同的钓鱼网站，对机器人的执行方案进行不正当处理，这些都将成为可能。

若是人来执行，即使正在访问钓鱼网站也能马上知道，但要机器人根据判断设定来进行区分几乎是不可能的。如果机器人在访问假冒网站时收到服务器证书警告，却以忽视警告处理，那人们就无能为力了。

4.会话劫持

中途停止机器人，Web浏览器可能还将处于以初始用户账户登录的状态。即使文件中的ID和密码已加密，也无法防止此类会话被劫持。

上述安全风险，有些也存在于人工执行的过程中。然而，正在访问哪个网站？操作哪台电脑？处理过程中是否被落下？诸如此类问题，人们下意识就能得出判断。但若是换成机器人，就存在识别能力的问题。

此外，目前的机器人仍严格遵循安全管理、公司治理等原则，在流程执行中无法做出灵活的判断。安全使用机器人，就必须考虑到它虽“能准确且快速地完成指令”却“只会执行命令，无法变通”。

不过好在，RPA机器人也在不断进化中。用AI加持RPA，将产生互补效应，RPA+AI可使机器人进行自我调整和改进，从而更好地判断处理环境变化。