Нельзя браться за роботизацию бизнес-процессов, если вы не сможете обеспечить их безопасность
30.04.2021
Мы видим, что информационные технологии проникают все глубже и становятся неотъемлемой частью деятельности практически любого предприятия. При этом за каждым технологическим или бизнес-процессом стоят люди, и чем больше процессов в организации, тем больше сотрудников требуется для их сопровождения в компьютерных и информационных системах. В то же время все процессы можно разделить на те, которые требуют участия человека, и те, которые можно автоматизировать. И тут на помощь приходят программные роботы. По своей сути RPA — это исполняемый код, который совершает определенный алгоритм действий (например, отправляет письма, вносит записи в базу данных и т.п.). Сегодня, когда все больше процессов переносятся в сферу ИТ, применение RPA позволяет предприятиям минимизировать операционные затраты, оптимизировать количество персонала, снизить влияние так называемого человеческого фактора. Именно этим объясняется рост популярности данной технологии.
Искусственный интеллект — это самообучаемая система, которая умеет принимать решения в зависимости от тех или иных факторов, и не исключено, что со временем она эволюционирует и сможет превзойти возможности человеческого разума. Тогда фантастика станет реальностью. Программные роботы учиться не умеют, и такой задачи перед ними не стоит. Они предназначены для выполнения строго определенных действий, прописанных в алгоритме.
Роман Пустарнаков
Сегодня, когда все больше процессов переносятся в сферу ИТ, применение RPA позволяет предприятиям минимизировать операционные затраты, оптимизировать количество персонала, снизить влияние так называемого человеческого фактора.
Можно сказать, что RPA — это начальная ступень, автоматизация простых процессов. Следующий уровень предполагает внедрение более сложных программных решений, в том числе систем мониторинга, составления отчетности, аналитики, а также их интеграцию в общий ИТ-ландшафт. Для этого требуется больше времени и ресурсов. Наконец, искусственный интеллект — это высшая ступень в данной иерархии.
Но не стоит недооценивать программных роботов: их внедрение требует меньших затрат, чем искусственный интеллект или средства автоматизации, при этом они избавляют людей от рутинных действий, повышают скорость и качество выполнения многих процессов и экономят ресурсы компаний. Разумеется, такая оптимистичная картина может сложиться только при наличии должного контроля RPA-решений со стороны технических специалистов, своевременного обслуживания и сформированной зрелой политики в области информационной безопасности.
Как отмечалось ранее, программным роботам лучше доверять выполнение простых и многократно повторяющихся операций. В качестве наиболее очевидных примеров можно привести ввод данных, перекрестную проверку данных на непротиворечивость, сведение данных из разных источников в единую базу. Сегодня такие задачи нужно решать практически любому предприятию. Особенно же это актуально для крупных и продвинутых в плане ИТ организаций, которые оцифровали большинство технологических и бизнес-процессов, а также накопили большие массивы данных, требующих обработки. Если же смотреть по отраслям, то это банки, энергетические компании, промышленные и ресурсодобывающие предприятия и организации, работающие в сфере розничной и оптовой торговли. Можно сказать, что чаще всего RPA-решения внедряются для выполнения ряда функций бухгалтерии, а также организации управления персоналом и ИТ.
На рынке предоставления комплексных услуг информационной безопасности мы работаем с 2004 года. Технология RPA, связанные с ней риски информационной безопасности и возможности их преодоления заинтересовали нас в 2019 году. Тогда же мы заключили партнерское соглашение с UiPath, международным разработчиком платформы для автоматизации процессов с помощью программных роботов. Протестировав технологические возможности UiPath, мы разработали актуальные сценарии защиты платформы нашими программными средствами. Теперь совместно мы продвигаем сценарии применения технологий RPA с учетом актуальных требований к защите информации.
В 2020 году наше предложение заинтересовало представителей Магнитогорского металлургического комбината (ММК). Это позволило получить практический опыт внедрения нашего решения совместно с командой Центра технологий роботизации «ММК-Информсервис» («ММК-Информсервис» — дочерняя структура, отвечающая за ИТ-сопровождение деятельности комбината и группы зависимых обществ – прим. CNews). Созданные центром решения для роботизации бизнес-процессов группы ММК требовали защиты от информационных угроз. Так началось наше стратегическое партнерство, продолжающееся и по сей день.
Стремление к сотрудничеству было взаимным. Нас UiPath заинтересовал как один из глобальных лидеров рынка роботизации, который предлагает высококонкурентный продукт.
На российском рынке также представлены компании, разрабатывающие достойные программные продукты в сфере роботизации. Учитывая курс на импортозамещение, мы не исключаем возможности выпускать с ними совместные решения в обозримом будущем.
Прежде чем роботизировать бизнес-процессы, ответьте на вопрос — сможете ли вы обеспечивать их информационную безопасность. Это крайне важно.
Мы говорили о том, что роботизация — это выполнение определенного алгоритма действий, который описан интерпретируемым языком программирования. Проще говоря, это код, который исполняется при каждом запуске программного робота. А любой код, к которому есть доступ, может быть модифицирован. С учетом того, что у программных роботов есть права доступа к информационным системам компании, такой несанкционнированно модифицированный код несет в себе серьезные угрозы: от нарушения достоверности и целостности корпоративной информации до удаления данных и запуска некорректных сценариев действий.
Если RPA применяется кадровой службой, возникает риск утечки персональных данных сотрудников. И в этом случае компания может потерять не только деловую репутацию, но и нарушить закон о персональных данных (152-ФЗ). Программные роботы, имеющие доступ к бухгалтерским системам или банк-клиенту, могут переводить денежные средства на счета злоумышленников. Наконец, при помощи модифицированного кода можно формировать некорректные отчеты, на базе которых будут приниматься неправильные управленческие решения, подрывающие конкурентоспособность бизнеса.
Наш программный продукт Efros Config Inspector дает возможность фиксировать код робота и в случае его модификации информирует об этом службу безопасности либо приостанавливает выполнение алгоритма. Это позволяет существенно минимизировать риски информационной безопасности.
В то же время следует четко понимать, какими правами доступа нужно наделять программных роботов для того, чтобы они могли выполнять возложенные на них функции. При передаче прав от сотрудников роботу возникает еще одна группа рисков. Часто мы сталкиваемся с ситуацией, когда в компании права и полномочия назначаются только конкретным физическим лицам. Если мы говорим о технологии RPA, тут появляется новая сущность — робот. Это требует серьезного пересмотра внутренних документов и регламентов.
Компаниям, заинтересованным в безопасном внедрении RPA, мы рекомендуем провести аудит состояния информационной безопасности и на основе его результатов поэтапно предпринимать следующие шаги: решать организационные и методологические вопросы, менять бизнес-процессы, внедрять средства защиты, разрабатывать модель угроз и модель нарушителя, создавать систему защиты информации и готовить необходимый для нее комплект эксплуатационной и организационно-распорядительной документации. Подчеркну, что внедрение любой ИТ-системы должно начинаться с проведения такого аудита силами надежного подрядчика.
После внедрения RPA необходимо регулярно проводить аудит системы роботизации бизнес-процессов, контролировать исходный код. Эта работа в большей степени ложится на плечи службы информбезопасности и требует существенной трансформации ее функций внутри компании.
Роман Пустарнаков
Наш программный продукт Efros Config Inspector дает возможность фиксировать код робота и в случае его модификации информирует об этом службу безопасности либо приостанавливает выполнение алгоритма. Это позволяет существенно минимизировать риски информационной безопасности.
Этот вопрос каждый решает самостоятельно. На развитых предприятиях политики информационной безопасности охватывают разные процессы и направления деятельности, регламентируя работу десятков ИТ-систем. Но следует учитывать, что по мере развития информационных технологий усложняются и подходы к обеспечению ИБ. Чтобы ответить на эти вызовы, компании необходимо иметь собственный штат квалифицированных специалистов, ответственных за грамотную и безопасную эксплуатацию всей ИТ-инфраструктуры. Это в свою очередь требует значительных ресурсов. Более рациональным представляется передача этих функций на аутсорсинг. Весь мир идет по этому пути — предприятия концентрируются на основном бизнесе, поручая непрофильную деятельность внешним специалистам.
Мы давно оказываем услуги по реализации целого комплекса мер по обеспечению информационной безопасности. В том числе мы готовы помочь и в выстраивании эффективной ИБ-системы тем компаниям, где применяются RPA-решения. Нужно понимать, что каждый комплекс защиты информации уникален и зависит от множества факторов, например, от решаемой задачи, от данных, обрабатываемых роботом, и от количества таких роботов. Клиентам, обращающимся с подобными запросами, мы готовы предложить набор решений, который помимо прочего включает разработку сценариев применения наших программных продуктов, например, Efros Config Inspector в качестве средства контроля ИТ-инфраструктуры, SafeERP для автоматизации процесса управления безопасностью в приложениях SAP-систем и многих других.
Компания «Газинформсервис» является не только интегратором, но и разработчиком решений в сфере ИБ. Несколько линеек выпускаемых нами продуктов охватывают большинство сегментов информационной безопасности. Развитию этого направления нашей деятельности способствует тенденция к импортозамещению. Отдельного упоминания среди наших разработок заслуживает СУБД Jatoba и платформа расширенной аналитики безопасности Ankey ASAP, в основе которой заложен серьезный математический аппарат, разработанный сотрудниками компании совместно со специалистами из Санкт-Петербургского политехнического университета Петра Великого.
Для нас актуальным являются вступление в силу закона о безопасности критической информационной инфраструктуры (187-ФЗ) и уже упомянутый курс на импортозамещение. В комплексе эти инициативы играют на руку как отечественным интеграторам, так и разработчикам программных продуктов.
В целом же информационные технологии непрерывно развиваются, благодаря чему растет потребность и в информационной безопасности. По нашим наблюдениям не только ответственные за ИБ менеджеры, но и руководители бизнес-подразделений все больше внимания уделяют вопросам обеспечения информационной безопасности, понимая, что от этого напрямую зависит непрерывность и устойчивость всего бизнеса.