史上最全RPA安全攻略（生死存亡）

近年来，随着全球经济进入数字化时代，各行各业对RPA（机器人流程自动化）的需求越发旺盛。尤其是在与AI技术（如NLP、ML、OCR）相结合之后，从私企到公共部门，智能RPA机器人受到了广泛的关注，将其视为实现数字化转型的重要工具。

据麦肯锡调查数据显示，“世界500强”中超过70%的企业都在使用RPA，其中有很多我们熟知的企业包括：通用汽车、宝洁公司、花旗集团、安联保险等，以提高工作效率和节省时间。但在RPA带来巨大的好处时，同样伴随着诸多管理风险。

RPA是什么，可以带来哪些好处？

RPA是一种软件机器人，通过屏幕抓取、动作模拟等方式轻松地将一些基于规则、重复、繁琐的业务实现自动化，并提高整体工作效率降低人工错误并改善业务流程，从而实现24小时不间断的业务操作。在不断攀升的人力成本、强劲的企业数字化转型需求、AI技术高速发展等背景下，人们将目光聚焦在RPA身上，期望其带来工作方式上的改变。

据Futurum发布的调查数据显示，在北美超过50%的组织已将RPA部署在日常办公业务中，适用的行业包括：制造业、媒体与出版、金融行业、医疗保健、零售、公共部门等。其中应用最多的行业是金融、零售、媒体与出版行业。目前美国联邦政府已经将RPA纳入到整体IT改革计划中，希望通过RPA机器人来弥补人力资源的不足，同时可以减少运营成本平衡收支。

总体来说，无论是中小型企业还是超大型上市公司，RPA机器人都可以完美的将其传统业务实现数字化流程。

例如，美国科罗拉多州住房和金融管理局便通过RPA实现了业务数字化转型：该组织每个月都会进行账单，报告和其他来源的数据汇总，保证用户的贷款信息与提供贷款公司的数据保持一致。

综合记录管理部门负责人Brian Mueller表示，“之前业务部门的4名成员需要花费三天时间将数据从一系列电子表格中，手动录入到数据库中；现在，通过使用RPA机器人之后，数据会自动提取并存放到SQL中，然后自动与数据库中的信息进行比较。如有任何差异都将通过报告形式呈现给员工，员工可以在几分钟内纠错这些差异数据。75,000行的电子表格数据，通过RPA仅花费几分钟便可完成所有流程。

数据安全问题不容忽视

在信息时代，数据已成为各行各业最重要的资产。毫不夸张的说，数据的安全性关系到一家企业的生死存亡。Facebook、谷歌、亚马逊、微软等著名企业均爆出严重的数据泄露问题，而其他企业在数据安全方面同样问题不断，导致企业对数据隐私担忧持续加剧。一向监管严格的欧盟率先出台《一般数据保护条例》，将数据收集模式从“被动选择退出”转变为“主动选择加入”，甚至进一步将其延伸向多边贸易协定中的隐私数据流动规范。据统计在2019年，国内外就发生了十几起重大数据泄露事件，这其中包括：

Rubrik数据库遭泄露：因服务器出现安全漏洞，IT 安全和云数据管理巨头 Rubrik 的数据库遭到泄露，该数据库存储了近 10GB 的数据，包括每个客户的姓名和联系方式等。
领英1亿5900万用户数据被叫卖：一位名为 Andrew 的黑客在 Pastebin 网站上叫卖领英网站 1 亿 5900 万用户的敏感数据。为了表示数据的真实性，该黑客已放出 100 名用户的登录凭证，其中甚至包括知名 CEO 的登录数据。
中国250万人脸识别数据泄露：荷兰非盈利机构GDI基金会研究人员发现，位于深圳的人脸识别公司发生大规模数据泄露事件，超过250万用户的680多万条信息记录被泄露，泄露数据包括身份证信息、人脸识别图像、24小时内的位置记录等敏感信息。据悉，这家公司主营业务为面部识别技术和人群分析服务，此次泄露源为其面部识别数据库。
优衣库逾46万顾客信息泄露：优衣库母公司日本迅销发布声明，旗下品牌优衣库、GU销售网站逾46万名客户个人信息遭未授权访问。这些账户包含信息包括客户姓名、地址、电话号码、电子邮件、生日、收件地址以及部分信用卡信息。

像上述这样的数据泄露事件还有很多，每时每刻都在上演。实际上，与其他业务服务一样，RPA在处理数据时同样面临泄露风险和安全挑战。

RPA处理业务时，潜在的安全隐患和解决方法

在机器人自动化领域，由于RPA是根据屏幕抓取、动作模拟等行为进行自动化服务，所以在处理日常自动化业务流程时，如传输文件、处理订单、提取数据和录入数据时，会接触到来自公司各个数据库的敏感信息，并使用提供的密码登录到不同的账户。

通过这种方式，RPA自动化平台可以访问员工、客户和供应商的各种信息，例如：库存清单、信用卡号、地址、财务信息、密码和各种数据记录等。所以，需要时刻防范未经授权的用户获取由RPA机器人处理的数据。简而言之，维护数据安全性的目标是保护个人隐私或公司核心业务数据。

访问安全性与数据安全性紧密相关：访问安全性，用于防止未经授权的用户访问RPA的数据处理服务（或其中一部分）和连接的数据源。防止这种未经授权的访问非常重要，因为可以将其用于访问机密数据，并操纵RPA机器人进行非法自动化任务。更坏的情况下，黑客可能会从公司数据库、网络服务器和员工计算机中检索所需数据，并破坏自动化平台。所以，为了提高数据安全性和访问安全性，组织必须保证RPA平台，从内到外每一个环节都免受威胁确保万无一失。因此，组织在使用RPA时应注意以下几点：

保证RPA供应商代码安全性：目前主流的RPA厂商的开发代码都会做定期的检测，以防止黑客利用代码漏洞来进行攻击窃取数据。用户也可以通过使用Style checkers这样的检测工具来进行定期检查。

定期查看操作日志：RPA平台会提供完整的操作日志，以跟踪、记录机器人和用户在自动化系统中执行的每一步操作。平台可以按照用户的要求生成日、周、月形式的操作日志报告。这些日志除了有助于优化自动化流程效率之外，还可以帮助用户直观地看到RPA有哪些异常操作。

集成数据保护：在金融服务、能源、零售和医疗保健等行业，用于保护数据的技术已被整合到RPA技术中。例如，CyberArk是一个多层安全解决方案，它为管理员帐户提供了额外的保护措施，如特权密码管理、会话记录、低权限执行和特殊数据分析。选择最新标准传输层安全性（TSL）1.2协议的RPA产品也很重要，该协议旨在通过保护Internet传输的信息的隐私。将此类技术集成到RPA中，可使组织最好地保护自己免受高级内部和外部IT威胁的侵害。

基于数据和角色的访问控制：基于角色的访问控制是一个内置的身份验证系统，该系统允许公司将RPA机器人访问权限设置为授权用户，并将员工之间与自动化相关的职责分开。基于这种类型的控制，可以在查看、创建或修改模式下为RPA系统的各个用户提供不同级别的访问权限；这些部门通常基于员工在组织中的角色、职位和权限。基于数据的访问控制，可用于设置对受保护的数据资源访问，并允许对每个资源进行详细的访问控制，如时间段、文件夹等。