De inzet van robotic process automa­tion (RPA)-systemen biedt grote voordelen voor logis­tieke inkopers en voorraad­be­heer­ders. De automa­ti­se­ring van taken met een hoog volume zorgt voor maximale effici­ëntie. Boven­dien kan de techno­logie breed worden ingezet, onder meer voor het verwerken van data, beheren van orders en het monitoren van systeemintegratie.

Maar helaas zorgt RPA ook voor complexe beveiligingsrisico’s binnen de complete infra­struc­tuur van het toevoer­net­werk. Dit zijn de drie grootste problemen:

Het groeiende aanvalsoppervlak biedt cybercriminelen meer kansen

Softwa­re­ro­bots (bots) voeren taken uit die veel weg hebben van mense­lijke activi­teiten. Daarvoor hebben ze speciale toegangs­rechten nodig voor verschil­lende IT-omgevingen, zoals enter­prise resource planning (ERP)-systemen, inter­net­por­tals van leveran­ciers, systemen voor magazijn­be­heer en finan­ciële platforms. De koppe­lingen tussen systemen brengen beveiligingsrisico’s met zich mee. Als een hacker erin slaagt om de controle van een botsys­teem over te nemen, krijgt die daarmee volle­dige toegang tot alle bedrijfs­pro­cessen. En aange­zien zij gebruik­maken van legitieme verbin­dingen, kan de hacker standaard bevei­li­gings­me­cha­nismen makke­lijk omzeilen.

2. Kwetsbaarheden in de toevoerketen zorgen voor een domino-effect

RPA-systemen verwerken automa­tisch grote hoeveel­heden gevoe­lige infor­matie. Denk aan leveran­ciers­over­een­kom­sten en interne prijs­ge­ge­vens tot voorraad­cij­fers en vertrou­we­lijke infor­matie over leveringen aan klanten. Cyber­cri­mi­nelen kunnen dit systeem via een gehackte bot misbruiken om razend­snel gegevens naar buiten te smokkelen en fraudu­leuze trans­ac­ties uit te voeren. Dit maakt de detectie en inciden­tres­pons bijzonder lastig.

3. Misbruik van vertrouwensbanden tussen organisaties

Vaak beginnen supply chain-aanvallen wanneer onbevoegden zich toegang verschaffen tot de minder sterk bevei­ligde RPA-omgevingen van leveran­ciers. Zij maken misbruik van de geauto­ma­ti­seerde gegevens­over­dracht om malware te verspreiden en bestanden te besmetten. Het systeem zal de kwaad­aar­dige code en valse infor­matie ontvangen via geauto­ma­ti­seerde trans­ac­ties die lijken op de legitieme partnercommunicatie.

De oplossing is een gelaagde beveiliging

Een integrale techno­lo­gi­sche strategie voor het terug­dringen van beveiligingsrisico’s moet met al deze gecom­pli­ceerde aspecten rekening houden.

• Pas het least privi­lege-principe toe: Om RPA-omgevingen veilig te houden krijgt elke bot alleen de toegangs­rechten tot systemen, data en functies die deze strikt gezien nodig heeft om zijn taken uit te voeren. Organi­sa­ties kunnen escala­ties als gevolg van gehackte of met malware besmette bots voorkomen door gebruik te maken van role-based access controls (RBAC) die de netwerk­toe­gang van de bot tot andere systemen blokkeren.
• Zorg voor beheer van aanmel­dings­ge­ge­vens: De aanmel­dings­ge­ge­vens van bots moeten als speciale toegangs­rechten worden behan­deld. Gebruik een privi­leged access manage­ment (PAM)-oplossing die voorziet in centraal en geauto­ma­ti­seerd beheer van aanmel­dings­ge­ge­vens, preventie van de directe opslag van wacht­woorden en API-sleutels en verplichte meerstap­pen­ve­ri­fi­catie voor botac­counts die toegang tot bedrijfs­kri­ti­sche systemen zoeken.
• Zet in op voort­du­rende monito­ring en detectie van onregel­ma­tig­heden: Stel opera­ti­o­nele baselines op die bijhouden hoe elke bot functi­o­neert. Leg de patronen voor systeem­toe­gang vast, en de gebruiks­tijd­stippen en de hoeveel­heid verwerkte data. Alle patronen ten aanzien van de toegang tot data, externe commu­ni­catie en activi­teiten buiten werktijden die van de baseline afwijken worden vervol­gens geanalyseerd.
• Neem netwerk­seg­men­tatie in de bevei­li­gings­ar­chi­tec­tuur op: De RPA-infra­struc­tuur zou geen deel moeten uitmaken van het algemene bedrijfs­net­werk. Hiervoor is een aparte netwerk­om­ge­ving nodig met speciale veilig­heids­zones waarin alle netwerk­com­mu­ni­catie wordt bewaakt op basis van strenge regels van appli­ca­tion firewalls en API-gateways
• Leg dezelfde bevei­li­gings­eisen aan partners op: Organi­sa­ties moeten bevei­li­gings­eisen opnemen in hun overeen­kom­sten met partners. Dat kan bijvoor­beeld gaan om het uitvoeren van een grondige analyse van hun complete bevei­li­ging alvorens en mogelijk­heden voor geauto­ma­ti­seerde gegevens­uit­wis­se­ling worden opgezet.

Conclusie

Robotics process automa­tion levert voordelen, maar ook serieuze beveiligingsrisico’s. Deze risico’s zijn echter beheers­baar als je gebruik­maakt van een proac­tieve gelaagde bevei­li­gings­stra­tegie die effec­tief omgaat met kwets­baar­heden, de opera­ti­o­nele stabi­li­teit en afhan­ke­lijk­heden binnen het toevoerketennetwerk.

Door: Daniele Mancini, Field CISO bij Fortinet