/ We know how

Bezpieczeństwo RPA – jak o nie zadbać we właściwy sposób?

Czytając „Opowieści o pilocie Pirxie” Stanisława Lema, w opowiadaniach „Rozprawa” i „Ananke” można znaleźć wiele informacji o robotach, uczeniu maszynowym, androidach i komputerach, które dla nas są już rzeczywistością, a nie fantastyką. Jednak w kwestiach bezpieczeństwa sprawy są dużo bardziej skomplikowane. W cyberprzestrzeni jest to trudniejsze niż w czasoprzestrzeni – wróg jest niewidzialny i przebiegły, a nowych wektorów ataków hakerskich nie przewidziałby sam mistrz Lem. Bez względu na podejmowane środki zaradcze, w krzemowym świecie to człowiek jest najsłabszym ogniwem.

 

Szybko rozwijająca się robotyzacja procesów biznesowych (RPA – Robotics Process Automation) spowodowała, że stała się ona obiektem zainteresowania ludzi o nieczystych intencjach. Zdarzające się ataki hakerskie na systemy RPA każą poważnie się zastanowić nad ich bezpieczeństwem, bo wiążę się z tym pytanie, czy RPA jest bezpieczne dla biznesu?

 

 

Jak zadbać o bezpieczeństwo systemów zrobotyzowanej automatyzacji procesów?

 

Bezpieczeństwo rozwiązań RPA jest ściśle związane z polityką bezpieczeństwa danych w firmie jako całości, stopniem zabezpieczenia infrastruktury IT i nawykami użytkowników rozwiązań informatycznych. Tam, gdzie poprawne i rozbudowane procedury bezpieczeństwa pozostają tylko na papierze, ryzyko ataku rośnie niewspółmiernie do powszechnego poczucia bezpieczeństwa. Przyczyna jest bardzo prosta – ponad 74% ataków rozpoczyna się od prób sforsowania systemu nadawania uprawnień dostępu do danych[i]. Techniki włamań najczęściej bazują na wyrafinowanej socjotechnice skłaniającej człowieka do kliknięcia w fałszywy link. Jest to pierwszy i najtrudniejszy krok, po pokonaniu którego przestępcy niejednokrotnie zyskują dostęp do newralgicznych danych, aplikacji i systemów biznesowych. Źródłem zagrożeń są także pracownicy beztrosko surfujący w internecie po nieznanych i często niebezpiecznych witrynach. Na takiego nierozważnego użytkownika czyhają wstrzyknięcia kodu SQL, zainfekowane oprogramowanie, czy niechciane i niebezpieczne skrypty[ii].

Bezpieczeństwo RPA ma także inny wymiar związany z dostępnością usług. Wszelkie awarie systemów i brak dostępności pełnej funkcjonalności botów obniżają w efekcie produktywność firmy i podważają zaufanie do niej klientów. Awarie tego typu mogą być wywołane błędem ludzkim, ogólnie pojętą niestabilnością sprzętową, lukami w działaniu systemów operacyjnych, czy chociażby problemami z integracją pomiędzy aplikacjami biznesowymi. Same boty, szczególnie te słabo przetestowane i nadzorowane, mogą także doprowadzić do długotrwałych przestojów w wielu systemach i rozległych awarii.

Właściwa troska o bezpieczeństwo systemów RPA wymaga intensywnych szkoleń pracowników. Niedbałe i niefrasobliwe użycie botów może spowodować wyciek do sieci poufnych i wrażliwych danych biznesowych. Praca w pośpiechu i bez namysłu nad konsekwencjami własnych działań często stanowi poważne zagrożenie nie tylko dla bezpieczeństwa systemów RPA.

Widać zatem, że dbanie o bezpieczeństwo rozwiązań zrobotyzowanej automatyzacji procesów biznesowych nie odbiega znacząco od znanych już metod zapobiegania zagrożeniom w cyberprzestrzeni, z którymi musi sobie radzić praktycznie każda większa firma.

 

 

Jak sprawdzić bezpieczeństwo systemu RPA przed wdrożeniem w przedsiębiorstwie?

 

Bezpieczeństwo systemów RPA musi być zapewnione już na etapie projektowania[iii] i realizacji wdrożenia. Kluczem do sukcesu jest przede wszystkim weryfikacja i wszechstronne sprawdzenie działania modułów uniemożliwiających nieautoryzowany dostęp do usług przetwarzania danych w systemach RPA. Takie rozwiązanie musi zapewniać wielowarstwową ochronę już na poziomie zarządzania hasłami, rejestracji sesji, utrwalania danych wejściowych i wyjściowych, czy nadawania uprawnień dostępu do danych. Nie może być nic gorszego niż złośliwy użytkownik, który jest w stanie zmodyfikować w nieuprawniony sposób działanie bota, obniżając np. jego wydajność. Wyśledzenie takiego zdarzenia jest trudne i czasochłonne.

Zatem profilaktyka i testy to najskuteczniejsze lekarstwa. Metodyka testowania tak ręcznego, jak i automatycznego jest już dobrze poznana i opisana w literaturze[iv]. Wymaga to jednak konsekwencji w planowaniu i przestrzeganiu reguł. Sprawdzanie bezpieczeństwa systemu RPA najlepiej powierzyć wyspecjalizowanym zespołom – Red Teams, które są w stanie wyszukać wszelkie luki w zabezpieczeniach i sprawdzić procedury pod kątem ich przestrzegania przez pracowników. Testy penetracyjne są w stanie obnażyć wszelkie słabości w zabezpieczeniach, a ich wszechstronność poprawia ogólne bezpieczeństwo infrastruktury IT.

 

 

Jak uchronić system RPA przed włamaniami?

 

Ponieważ ataki hakerskie na systemy RPA zdarzają się od czasu do czasu, to lepiej być zabezpieczonym wcześniej niż później liczyć straty. Co można zatem zrobić, aby się ustrzec przed takimi niespodziankami? W pierwszej kolejności należy starannie zaplanować i przestrzegać reguł związanych z uwierzytelnianiem, kontrolą dostępu i zarządzaniem hasłami użytkowników. Żadne hasła używane przez boty programowe nie mogą się znaleźć w kodzie źródłowym. Równie ważne jest wdrożenie dla botów kontroli dostępu opartego na regułach. Administratorzy i użytkownicy muszą dokładnie wiedzieć co może i czego nie może zrobić robot. Na każdym etapie jego działania powinny istnieć wskaźniki dowodzące poprawności jego działania lub wywołujące alert w razie usterki.

Dobrą i skuteczną praktyką jest nadawanie botom własnych danych uwierzytelniających, szczególnie w sytuacjach, gdzie uzyskują one dostęp do danych w systemach zewnętrznych. Nawet na potrzeby zwykłego audytu trzeba wiedzieć, które czynności wykonał człowiek, a które robot. Logi z informacjami na ten temat także powinny być przechowywane w sposób bezpieczny, minimalizujący ryzyko ich uszkodzenia, zniszczenia, czy nieautoryzowanej modyfikacji.

Wszelkie transmisje danych pomiędzy systemami RPA, bazami danych, aplikacjami biznesowymi, czy nawet z pozoru mało istotnymi modułami wymagają silnego szyfrowania. Niezależne od tego, firmowe dane muszą być także fizycznie chronione, a sam Data Vault z danymi poufnymi szyfrowany.

 

 

RPA a RODO

 

Relacja pomiędzy RPA a RODO ma dwa aspekty: bezpieczeństwo danych i biznes. Specyficzne zadania realizowane przez boty RPA często polegają na interakcji z człowiekiem za pomocą interfejsów i ekranów, na których przetwarzane są dane osobowe. Nawet prosty automat dodający klienta do bazy danych musi w swoim działaniu gwarantować spełnienie wymagań stawianych przez Rozporządzenie o Ochronie Danych Osobowych – RODO. To słowo-wytrych, często nadużywane celowo lub z powodu niezrozumienia zapisów ustawy, nakłada obowiązki związane z ochroną danych i ich integralnością, dostępem do nich, metodami przetwarzania i transferu danych do innych podmiotów.

Z punktu widzenia RPA nie są to jakieś nadzwyczajne wymagania. Współczesne platformy i narzędzia, nawet open source, z definicji muszą zapewniać odpowiedni poziom ochrony i anonimizacji danych. Boty działające choćby w systemie ochrony zdrowia przetwarzają dane wrażliwe, a w systemach produkcyjnych, np. w farmacji dane o numerach partii są nadzwyczaj istotne na wypadek konieczności wycofania jakiegoś specyfiku. Bez trudu można mnożyć przykłady, gdzie bezpieczeństwo danych jest kluczowe z biznesowego punktu widzenia.

Poza kwestiami bezpieczeństwa, boty RPA ułatwiają spełnienie wymagań stawianych przez RODO. Świetnie sprawdzają się one w typowych i nużących człowieka zadaniach, jak usuwanie danych osobowych ze wszystkich posiadanych baz danych i systemów, które często nie są ze sobą zintegrowane, raportowanie o typach i zawartości informacyjnej danych o kliencie, przygotowywanie list mailingowych na podstawie zadanych kryteriów, tworzenie odpowiedzi na zapytania klientów o posiadane dane osobowe, czy chociażby wysyłanie zapytań o zgodę na przetwarzanie danych osobowych. Roboty RPA są także w stanie przeanalizować logi, wyszukać błędy i nieprawidłowości w przechowywaniu danych osobowych i na koniec powiadomić odpowiednie służby w firmie.

 

 

Bezpieczeństwo systemów i narzędzi RPA a czynnik ludzki

 

Sprawa bezpieczeństwa systemów zrobotyzowanej automatyzacji procesów biznesowych jest ściśle związane z działaniem człowieka, bez względu na to, czy boty pracują w trybie nadzorowanym, czy autonomicznym. Możliwe ataki hakerskie na systemy RPA w pierwszej kolejności wykorzystują przecież ludzkie słabości. Lekarstwem na takie zagrożenia jest rozbudowany system szkoleń, który uczuli pracowników na konieczność dochowania procedur bezpieczeństwa, zwróci uwagę na wszelkie nietypowe zachowania botów i niespodziewane efekty ich działań. Wiedza o sposobach działania hakerów także obniża ryzyko podjęcia przez pracowników czynności narażających bezpieczeństwo korporacyjnych baz danych i aplikacji.

Na niektóre zagrożenia nie ma lekarstwa – częste modyfikacje interfejsów API, czy ekranów użytkownika zwiększają prawdopodobieństwo powstania błędu, czy luki w zabezpieczeniach. Stały monitoring i okresowy audyt systemu bezpieczeństwa pozwala zminimalizować to ryzyko.

Faza testowania to także pokusa tworzenia tymczasowych i prowizorycznych rozwiązań o śladowym poziomie bezpieczeństwa. Wszelkie prace wdrożeniowe, modyfikacje w działaniu botów powinny być wielokrotnie sprawdzane nie przez jednego człowieka, ale zespoły testerów – tylko w ten sposób można wyłapać błędy. Jak pokazało polskie Ministerstwo Obrony Narodowej, jeden nierozważny człowiek może doprowadzić do katastrofy[v].

 

 

Nadzór nad systemami RPA

 

Nadzorowane systemy RPA pracują głównie jako wirtualni asystenci. Wymagają one uruchomienia przez człowieka oraz jego aktywności i decyzji niezbędnych do sprawnego działania bota. Stała współpraca na linii człowiek – robot pozwala kontrolować poszczególne fazy obróbki danych oraz śledzić końcowy efekt. Przy zastosowaniu kontroli dostępu do danych opartego na regułach, bezpieczeństwo takiego układu jest relatywnie wysokie.

Zupełnie inaczej ma się sprawa z nienadzorowanymi botami uRPA – Unattended RPA, działającymi autonomicznie. Przejęcie nieautoryzowanej kontroli nad takim robotem może spowodować wiele nieodwracalnych szkód. Nadzór nad takimi aplikacjami musi się odbywać w ramach ogólnej polityki bezpieczeństwa IT w firmie, z zachowaniem szczególnej ostrożności. Tu także człowiek odgrywa wielką rolę – reakcja na nietypowe zachowania botów musi być natychmiastowa i skuteczna.

[i] https://www.centrify.com/resources/industry-research/pam-survey/

[ii] https://sekurak.pl/czym-jest-xss/

[iii] https://www.perforce.com/p/success/kw/top-embedded-software-cybersecurity-vulnerabilities

[iv] https://www.perfecto.io/resources/state-test-automation

[v] https://wiadomosci.onet.pl/kraj/gigantyczny-wyciek-danych-z-wojska-ponad-17-mln-pozycji-w-internecie/1mknjtf