Oleh: Haris Firmansyah, SE & Sekretariat IRMAPA

RPA (Robotic Process Automation) atau Otomatisasi Proses Robotik pertama kali digunakan untuk menjalankan tugas-tugas berbasis aturan sekitar dua puluh tahun yang lalu. Sejak itu, RPA telah berfungsi sebagai tenaga kerja virtual bagi bisnis. Sebuah perusahaan bisa mendapatkan manfaat dari kemampuan RPA untuk mengumpulkan data, menjalankan proses dengan cepat dan akurat, serta memfasilitasi peningkatan kualitas – sembari meningkatkan kepuasan pelanggan.

Selain memberikan peluang di berbagai bidang proses dan industri, penggunaan teknologi RPA juga menimbulkan beberapa risiko potensial. Saat memaksimalkan manfaat RPA, perusahaan harus menilai tingkat risiko yang dapat diterima dan toleransi risiko.

Perusahaan telah merangkul RPA. Dengan beroperasi secara konstan dan konsisten, RPA meningkatkan produktivitas dan mengurangi biaya. Ini menawarkan manfaat yang dapat diukur dalam pengumpulan data, kepatuhan regulasi, audit, kepuasan pelanggan, mitigasi risiko, dan jaminan kualitas.

Platform RPA telah menjadi sangat kuat, terutama ketika dipasangkan dengan bentuk kecerdasan buatan lainnya seperti machine learning, pemrosesan bahasa alami, dan komputasi visual. Apalagi, alat pengembangan RPA yang berfungsi sepenuhnya kini tersedia langsung kepada pengguna akhir. Berbagai aplikasi perusahaan (bahkan perangkat lunak produktivitas kantor) memungkinkan pengguna akhir untuk memprogram bot untuk tugas-tugas rutin.

Namun, ketika individu mengotomatiskan tugas-tugas mereka sendiri, kegiatan ini sering kali dilakukan di luar standar kode dan pengawasan arsitektur perusahaan. Bot yang diprogram oleh pengguna akhir dapat berakhir dengan tingkat keamanan yang kurang baik, yang dapat mengizinkan pergerakan data tanpa enkripsi dan berpotensi mengakibatkan kebocoran data.

Bot yang dirancang dengan buruk dapat mengungkapkan informasi keuangan, rencana pemasaran, proyek-proyek mendatang, dan data yang sangat penting lainnya kepada pengguna yang tidak berwenang. Lalu, ada banyak otomatisasi RPA terbaru beroperasi di cloud, yang dapat menempatkan data sensitif di luar lingkup lingkungan komputasi perusahaan.

Salah satu contoh risiko yang ditimbulkan oleh teknologi RPA melibatkan penggunaan otomatisasi desktop yang diawasi, di mana bot mengklik tombol dan menjalankan tugas dengan cara yang sama seperti pengguna akhir. Misalnya, pengguna mungkin memiliki izin untuk mengirim email ke eksternal atau bahkan mengakses rekening bank korporat. Bayangkan apa yang terjadi ketika sebuah bot melakukan tindakan-tindakan tersebut secara berulang dengan pengawasan atau kontrol yang terbatas.

Bot dapat mengakses informasi berisiko tinggi demi fleksibilitas, seperti data sumber daya manusia dan keuangan atau strategi kompetitif. Mereka juga dapat mengaktifkan proses yang rentan terhadap kecurangan, seperti akun yang harus dibayar dan penggajian, atau memulai interaksi dengan pihak eksternal di mana berlaku kewajiban kontraktual dan regulasi.

Dalam meningkatnya penggunaan dan nilai, bot dapat menjadi target potensial bagi serangan siber. Pertimbangkan hal berikut:

  • Bot yang mengakses sistem perusahaan dikodekan dengan kredensial untuk melaksanakan tugas-tugas. Kode ini membuat mereka rentan terhadap peretas yang mencari ID pengguna dan kata sandi, meretas sistem, dan mencuri atau menyalahgunakan informasi bisnis sensitif.
  • Bot dapat dilatih ulang oleh pelaku kejahatan untuk mengganggu operasi bisnis yang signifikan terkait dengan klien, pesanan, atau transaksi.
  • Jika pelaku kejahatan mengetahui bahwa kotak surat email penting dipantau dan diproses oleh bot, ini bisa mengakibatkan kerentanan yang akan dieksploitasi.

Para pemimpin bisnis dapat melibatkan keamanan siber dalam pengambilan keputusan RPA untuk mengurangi risiko. Kerangka kerja untuk keamanan RPA menilai praktik-praktik untuk membangun dan memperoleh bot serta melacak bot dalam operasi. Tujuannya adalah:

  • Membantu pengguna memahami dan mengenali otomatisasi yang diatur oleh kerangka kerja RPA.
  • Mengamankan platform RPA dan fitur-fitur RPA dalam aplikasi perusahaan.
  • Melakukan pendekatan berbasis risiko dalam manajemen bot, manajemen akses bot, dan pemantauan bot.
  • Menegakkan prinsip-prinsip desain yang mengurangi risiko RPA, seperti menjaga manusia di dalamnya dan memisahkan tugas.
  • Memastikan bahwa bot dikelola sepanjang siklus kerja.
  • Mengamankan proses pengembangan RPA, memisahkan antara pengembangan bot dengan penempatan bot, mengelola izin yang diberikan kepada individu yang membangun dan menempatkan bot.
  • Memantau bot dalam operasi; mengulas bot untuk keterkaitan dengan perubahan kebijakan dan kepatuhan terhadap standar serta tujuan yang ditentukan.
  • Mengelola identitas, akses, dan hak bot.
  • Memelihara inventaris bot untuk audit berkala.
  • Memantau data yang diproses oleh bot, memindai bot untuk kerentanannya, dan simulasi model ancaman untuk mengungkap kelemahan dan kesenjangan sistem.

Tim IT dan keamanan siber dapat memberikan masukan tentang keputusan desain bot dan memberikan rekomendasi untuk mengurangi risiko – misalnya:

  • Memastikan bahwa setiap bot dikelola melalui identitas yang unik dan profil risiko. Misalnya, apakah bot mengirim email, melakukan pembayaran, atau berinteraksi dengan sistem eksternal? Karakteristik-karakteristik ini berkontribusi pada profil risiko.
  • Memastikan bahwa kredensial adalah unik per bot (terutama untuk melacak ketika terhubung dengan sistem eksternal).
  • Menggunakan metode dan kontrol otentikasi dan otorisasi yang sesuai; mengendalikan akses bot melalui sistem otorisasi dan akses perusahaan yang sentral.
  • Memastikan pemeriksaan kontrol dibangun ke dalam logika bot.
  • Meresertifikasi bot secara periodik, termasuk meninjau fungsi, kepemilikan, dan pemeliharaan.
  • Memantau data yang diproses oleh setiap bot.
  • Memindai bot secara berkala untuk kerentanannya.

Kemampuan RPA akan terus berkembang, menciptakan peluang baru bagi bisnis untuk meningkatkan produktivitas, mengurangi kesalahan, dan mengurangi biaya – serta manfaat lain yang saat ini belum dapat kita prediksi. Untuk mencapai sinergi signifikan yang ditawarkan oleh otomatisasi, perusahaan harus menjadikan RPA sebagai bagian dari strategi teknologi, meningkatkannya ke tingkat pengaturan proses IT dan bisnis lainnya. Melibatkan mitra teknologi untuk menerapkan praktik keamanan pada RPA. Demikian adalah taktik yang efektif untuk meraih manfaat RPA tanpa menimbulkan risiko yang tidak perlu.

 

Artikel ini telah diterbitkan oleh Protiviti, dengan judul Balancing Opportunity and Risk: Security for RPA Platforms. Artikel selengkapnya dapat dibaca di sini.