RPA安全风险控制管理

除了稳定性，风险控制也是RPA领域最为重要的一环，而安全问题却常常被管理者和开发者所忽视。风险控制之所以重要的原因主要来自以下几个方面。
第一，劳动力方式的改变避免了原来的老问题，也带来了可能的新风险。
如果使用RPA来替代员工原来的手工操作，首先就需要面对一个必须解决的问题——赋予机器人访问应用系统的权限。因为机器人需要像员工一样输入用户名和口令，才能进入某个应用系统。而且，需要机器人做的事情越多，赋予机器人的用户权限也越多。通常，用户权限在企业中被严格控制，因为职责权限隔离是企业运营的基本思路。另外，机器人没有办法像正式员工一样具有入职证明、身份证等证明材料，按照原有流程，如果缺少这些证明文件，后台系统的维护部门将无法给机器人申请对应的账户及权限。
原来，企业领导是通过管理员工来管理流程和业务成果的。如果某个员工的业务操作出现问题，会存在相应的控制和处罚机制。而且经过若干年的积累，一些大企业已经形成了一套行之有效的操作风险管理制度和规范。如果用RPA机器人替代人工操作，出现问题后就不能再用原有的规范和手段去处理了，需要制定一套面向机器人的人机协作体系下的规范和管控手段。
另外，还要避免有人恶意建造机器人，模拟某个终端真实用户的行为来危害企业的业务流程或者应用系统，这种模拟方式在传统应用系统的后台是难以被察觉的。
第二，在RPA中，数据信息的归属者和存放的位置转移了，需要保证这些数据的安全。
最值得关注的，由于机器人掌握的敏感信息包括人类用户的用户名和口令，原来这些用户名和口令是由业务用户自己来保管的，现在交由机器人来保管，这样就会带来两个方面的风险。一方面，机器人的开发者和管理者是否会利用这些信息做一些超出自己权力范围的事情。另一方面，企业外部的信息窃取者是否会盗取这部分用户名和口令。特别是在欧洲这种对GDPR规范要求严格的地区，机器人对于用户名和口令更多只是拥有使用权，而管理权仍然归用户所有。如果用户想收回或变更用户名和口令，RPA系统平台只能无条件满足要求。
第三，RPA机器人在操作业务的时候通常会用显性的方式来操作应用系统的界面，导致所处理的一些隐私数据或者机密信息，特别是员工薪资、客户账户金额等，很容易被泄露。因此，业务运营部门希望最大限度地保证数据安全。
第四，如果是前台机器人，开发者或者业务人员可能偷偷记录机器人所操作的业务数据，存在数据泄露或盗用的风险。
第五，RPA系统虽然是模拟人类的操作，但终究是IT系统。传统IT系统所遇到的问题，RPA也一样会遇到，比如网络攻击、系统入侵、代码注入、数据传输安全等。
为了解决以上风险问题，通常需要从身份识别和权限管理、数据识别和保护、网络和平台的技术安全，以及机器人安全运营机制和体系4个方面来进行管控。
·身份识别和权限管理包括访问执行、预置/取消预置、访问认证、访问分析和访问权限管理等方面。
·数据识别和保护包括数据分类、数据保护、数据使用监控和数据私有权等方面。
·网络和平台的技术安全包括对网络威胁和攻击的保护、侦测和反应、生态管理、关键资产保护等。
·机器人安全运营机制和体系包括机器人的版本和环境迁移、审计和日志管理等。
因此，RPA的安全性要求等同于甚至高于其操作的业务应用的安全性要求。“像任何软件企业一样，员工重要的是要牢记数据安全：首先要确保遵守安全标准，确保每个访问都经过身份验证，并在传输和静止时加密和保护这些数据。在组织中，任何地方使用的标准也需要应用于RPA领域。”