A nova força de trabalho digital e os riscos em torno da robótica de processo (RPA)

Nos últimos anos, muitas empresas de diferentes setores optaram por basear sua transformação digital na automação de processos (RPA – Robot Process Automation), o que tem facilitado a criação de centenas de milhares de bots (robôs de software ) nos ambientes de tecnologia de milhares de empresas globalmente. Esse pequeno exército de automação interage rotineiramente com os funcionários, formando uma nova «força de trabalho digital» (digital workforce).

Esses automatismos, conhecidos como bots , costumam ser uma versão moderna e ágil de scripts complexos de vários sistemas e, portanto, serão capazes de processar planilhas, baixar anexos de caixas de correio, planejar processos ou balancear relatórios contábeis. As pessoas envolvidas em processos de negócios podem agora (com um treinamento muito suave e muito lucro) programar bots poderosos fora do departamento de TI ou de fornecedores externos. É a abordagem conhecida como low code.

Nos últimos anos, o setor de RPA adicionou várias ferramentas relacionadas à Inteligência Artificial às suas suítes de software. Com esse reforço, evitaremos escrever programas de computador complexos e usar abordagens como o Aprendizado de Máquina para que o sistema seja treinado (por exemplo, detectando campos em todos os tipos de faturas, em qualquer idioma) e continue aprendendo com o tempo. A esta melhoria, sonha-se em adicionar alguma função do tipo PNL (Processamento de Linguagem Natural ou Programação Neuro-Linguística, em inglês) que permite, ao mesmo tempo, ter um primeiro nível de compreensãode informações textuais (mensagens de e-mail ou em bate-papos com clientes) em vários idiomas.

Todo esse poder de fogo é realidade em milhares de empresas onde processos financeiros e seguradoras aglutinam a maioria dos funcionários digitais. A indústria, a logística e as telecomunicações passaram vários anos utilizando essa tecnologia também é intensa.

Do ponto de vista da segurança cibernética, os cenários de RPA podem ser um novo foco de ataques de vários tipos. Os diferentes fabricantes dessas plataformas fornecem aos criadores de bot todas as funcionalidades possíveis em termos de criptografia de dados, autenticação, uso de plataformas de identidade de negócios externas, etc. De forma a permitir a criação de uma plataforma robótica verdadeiramente sólida em termos de segurança.

Tipos de ataque contra RPA

Os ataques que provavelmente serão tentados em uma implantação de RPA normalmente terão a ver com autenticação , especialmente quando o ambiente é complexo (federação, MFA, 2FA, etc.) e o ataque nos consoles centrais (onde o Log será armazenado sistema, autorizações, caixas de credenciais, etc.). Devemos lembrar que os bots que interagem com nossos sistemas de negócios precisarão de conjuntos de credenciais análogos aos usados ​​por funcionários humanos.

Um segundo vetor de ataque estará relacionado ao código-fonte e às possíveis fragilidades do ecossistema usual dos próprios programadores, empresas de serviços, subcontratados, etc. Se as medidas de desenvolvimento seguro não forem extremas (uma estrutura do tipo DevSecOps, por exemplo) e as melhores práticas forem maximizadas (como o uso de caixas de credenciais, em vez de senhas claras) ou sistemas de autenticação externa (para contas com maiores privilégios), iremos gerar inadvertidamente uma grande superfície de ataque para nossos adversários.

Os sistemas de treinamento e outras funções de Inteligência Artificial devem ser revisados seguindo essas boas práticas para evitar vulnerabilidades facilitadoras nos sistemas finais que iremos colocar em produção.

As principais estruturas de segurança cibernética (como o NIST nos Estados Unidos) podem ser aplicadas para revisar todo o conjunto de controles que devemos levar em consideração ao desenvolver nossa solução RPA específica.

Em uma empresa com uma força de trabalho mista (funcionários humanos e robôs de software ), o nível de monitoramento e governança constante da segurança cibernética não pode ignorar esses novos “funcionários digitais” e toda a tecnologia que os mantém ativos. Eles, como nós, farão o login nos sistemas, criarão e utilizarão arquivos com informações sigilosas e atuarão diretamente em nossas plataformas de negócios (ERP, CRM, etc.), possivelmente em formato 24 × 7. Se essas plataformas forem vulneráveis ​​e oferecerem uma grande superfície de ataque, uma nova geração de riscos de segurança cibernética começará a aparecer na agenda de cada CISO.

Por tudo isso, nossa abordagem atual de cibersegurança deve ser preparada gradativamente para incluir este tipo de plataformas, processos e atividades em sua cobertura. Em breve fará parte do nosso dia a dia e devemos estar preparados.