Vijf best practices voor de beveiliging van Robotic Process Automation

Abonneer je gratis op Techzine!

RPA (Robotic process automation) is een krachtige technologie die procesgerelateerde taken stroomlijnt en standaardiseert. De technologie wint snel aan populariteit en wordt steeds vaker gezien als een kernelement voor digitale transformatie. RPA kan, indien goed toegepast, de productiviteit en de kwaliteit van gegevens verhogen en ervoor zorgen dat er beter voldaan wordt aan wet- en regelgeving. Medewerkers kunnen zich dan richten op meer strategisch, interessanter werk.

Grote interesse voor RPA

Uit het Global Advanced Threat Landscape report, een jaarlijks onderzoek van CyberArk, blijkt dat 78 procent van de respondenten al investeert in RPA of dat dit jaar gaat doen. Volgens een studie van BluePrism ziet 94 procent van de bedrijven de voordelen van RPA in, en wordt door een derde van de bedrijven wereldwijd al 20 tot 29 taken geautomatiseerd. Een kwart automatiseert zelfs meer dan 40 taken.

Extra toegangsrechten

Om hun taken uit te voeren, hebben deze digitale medewerkers vaak toegangsrechten met extra privileges nodig. Daarmee kunnen ze verbinding maken met systemen en applicaties, zoals financiële systemen, ERP, CRM, supply chain en logistieke software en soms zelfs met mail. Als deze extra toegangsrechten niet goed beveiligd zijn, kunnen ze het doelwit worden van gerichte cyberaanvallen.

Stijgende risico’s bij hogere aantallen robots

Robots kunnen automatisch worden gegenereerd. Daarom kan het aantal robots dat binnen een organisatie wordt ingezet snel groeien waardoor veiligheidsrisico’s toenemen. Daar komt bij dat robot-scripts die toegangsrechten met extra privileges gebruiken het risico aanzienlijk kunnen verhogen als ze onveilig worden opgeslagen. De risico’s zijn nog groter als organisaties RDA-robots (Remote Desktop Applications) inzetten. Die worden vaak ‘onbeheerde RPA’s’, met gedeelde toegangsrechten genoemd.

Automatisering combineren met goede beveiliging

Naarmate het aantal RPA-implementaties toeneemt en het aantal softwarerobots blijft stijgen, zoeken organisaties naar manieren om automatisering te combineren met  beveiligingsmethodes die helpen RPA-investeringen te beschermen en tegelijkertijd helpen er sneller waarde uit te halen.

Gelijke toegangsrechten voor menselijke gebruikers en robots

Softwarerobots moeten in principe dezelfde beveiligingsstandaarden volgen als bij menselijke gebruikers en toepassingen. Er zijn echter enkele verschillen bij die specifiek zijn voor RPA-technologie en de levenscyclus van robots die ook moeten worden geïmplementeerd. Dit zijn vijf best practices die bedrijven in hun RPA-workflows moeten opnemen:

Een eigen identiteit en toegangsrechten tot IT-middelen voor softwarerobots
Softwarerobots hebben hun eigen identiteit en toegangsrechten tot IT-middelen nodig zodat de onweerlegbaarheid en scheiding van taken voldoende te controleren is. Anders is er, net als bij menselijke gebruikers, geen praktische manier om de onweerlegbaarheid van acties van een robot te garanderen, en ontbreekt de mogelijkheid hun toegang te beheren en hun activiteiten te volgen.

Verwijderen van hard gecodeerde toegangsrechten
Alle hard gecodeerde toegangsrechten moeten uit robot-scripts verwijderd worden en vervangen worden door een API-call, waarbij bij elk verzoek direct wordt verwezen naar de juiste toegangsrechten opgeslagen in een centrale repository. Zo ontstaat een extra beveiligingslaag waardoor de kans op aanvallen wordt verlaagd.

Een centrale repository creëren voor de consistente implementatie van beveiligingsbeleid
Het is essentieel een centrale repository te creëren voor de consistente implementatie van het beveiligingsbeleid, zoals het automatisch roteren van toegangsrechten of een uniek password. Door met een API-call een abstractielaag toe te voegen naar een centrale repository, kunnen referenties worden gewijzigd zonder de robotcode te wijzigen of ze offline te halen. Om consistent te blijven, kan een groot gedeelte van het beheer van inloggegevens worden geautomatiseerd. Dit is het handigst omdat het handmatig aanpassen van rechten voor honderden of duizenden softwarerobots niet schaalbaar en onveilig is.

Het principe van least privilege toepassen
De toegang van robots tot andere applicaties en databases moet beperkt worden tot wat strikt noodzakelijk is om taken uit te voeren; het least privilege principe. Door het aantal applicaties of databases waar softwarerobots toegang toe hebben te beperken, wordt schade bij een eventuele aanval geminimaliseerd. Dit is vooral belangrijk om te voorkomen dat indringers bij een cyberaanval meerdere toepassingen op een clientcomputer kunnen gebruiken en lokale beheerdersrechten krijgen waarmee ze spyware en andere malware kunnen installeren.

Veiligstellen van toegang tot de RPA-console
Tot slot is het veiligstellen van toegang tot de RPA-console essentieel. RPA-beheerders moeten als bevoorrechte gebruikers worden beschouwd en organisaties moeten over hun inloggegevens beschikken om zo individuele gebruikersverantwoordelijkheid vast te kunnen stellen en acties te kunnen volgen en vastleggen. De mogelijkheid om beheerdersactiviteit te isoleren, te bewaken en op te nemen is net zo belangrijk voor RPA-beheerders als voor andere andere gebruikers met extra rechten. Beveiligingsteams moeten RPA-admin-sessies realtime kunnen volgen en ze indien nodig kunnen beëindigen. 

Conclusie

We staan nog maar aan het begin van hoe RPA-technologie bedrijven gaat veranderen, maar, zoals bij veel innovaties, kan RPA het risico op cyberaanvallen aanzienlijk verhogen als het niet correct wordt geïmplementeerd. Diverse beveiligingsbedrijven kunnen helpen bij goede beveiliging bij het gebruik van deze technologie.

Dit is een ingezonden bijdrage van Bart Bruijnesteijn van CyberArk. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.