Analysis of information security improvement approaches for robotic process automation in the design stage
Abstract
Robotic process automation (RPA) is a family of business process automation technologies based on software robots and artificial intelligence. A software robot reproduces human actions by interacting with the interfaces of information systems. The scenario of its behaviour is programmed by the developer based on observing a real user performing a task using computer technology. It is assumed that RPA robots will soon free up a significant number of company personnel engaged in routine information processing. The use of technologies allows for reducing the number of employees performing routine work, increasing the speed of business processes, reducing the cost of operating the company, performing business processes at any time of the day, reducing the number of mistakes made by people, and increasing the volume of information processed.
The dissertation is devoted to the urgent information security problem in the context of introducing RPA. Automating routine tasks performed by software robots creates new attack vectors and increases the potential surface for attackers’ intrusion.
The dissertation reviews RPA technology and identifies its advantages and disadvantages, as well as proposes approaches to increase the level of security for RPA-based systems by creating OntoSecRPA – RPA security ontology, proposing the UMLRPASec extension, performing a threat analysis with the help of a modelling tool, and proposing BPMN extension allowing to visually track security problems arising during the operation of RPA system.
The developed RPA security ontology allows for formalising security knowledge in the context of RPA, providing a unified understanding of threats, vulnerabilities and protection measures. This facilitates more effective risk analysis and selection of adequate security measures. A threat modelling tool enables the visualisation and analysis of potential attacks on RPA systems, which helps identify vulnerabilities in processes and develop effective protection measures. BPMN extensions for RPA allow modelling business and security processes, thus contributing to a more complete consideration of security requirements in the development and operation of RPA systems. UML-sec extensions for RPA allow for modelling and analysing security aspects at the system design level. The proposed approaches complement each other and provide a comprehensive approach to improving the security of RPA systems. Robotinių procesų automatizavimas (RPA) – tai verslo procesų automatizavimo technologijų šeima, pagrįsta programinių robotų ir dirbtinio intelekto naudojimu. Programinės įrangos robotas atkuria žmogaus veiksmus, sąveikaudamas su informacinių sistemų sąsajomis. Jos elgesio scenarijų, naudodamas kompiuterines technologijas, kuria programuotojas, remdamasis tikro vartotojo, atliekančio užduotį, stebėjimu. Manoma, kad RPA robotų diegimas netrukus išlaisvins nemažai įmonės darbuotojų, vykdančių rutininius darbus. RPA technologijos naudojimas leidžia sumažinti įprastus darbus atliekančių darbuotojų skaičių, padidinti verslo procesų greitį, sumažinti įmonės veiklos kaštus, verslo procesus atlikti bet kuriuo paros metu, sumažinti žmogiškųjų klaidų skaičių, padidinti apdorojamos informacijos apimtį.
Disertacija skirta aktualiai informacijos saugumo užtikrinimo problemai RPA sistemose analizuoti. Įprastų užduočių, kurias atlieka programinės įrangos robotai, automatizavimas sukuria naujus atakos vektorius ir suteikia naujų galimybių įsibrovėliams.
Darbe atlikta RPA technologijos apžvalga, įvardyti jos privalumai ir trūkumai, pasiūlyti būdai RPA sistemų saugumo lygiui didinti: sukurta On-toSecRPA saugumo ontologija, skirta rizikos analizei palengvinti, UMLR-PASec bei BPMN kalbos plėtiniai, skirti saugioms RPA sistemoms projektuoti ir saugumo problemoms vizualizuoti, pasiūlyta naudoti modeliavimo įrankius grėsmėms modeliuoti RPA sistemose.
Sukurta RPA saugumo ontologija leidžia formalizuoti saugumo žinias RPA kontekste, suteikia vieningą supratimą apie grėsmes, pažeidžiamumus ir apsaugos priemones. Tai palengvina veiksmingesnę rizikos analizę ir tinkamų saugumo priemonių pasirinkimą. Grėsmių modeliavimo įrankio naudojimas leidžia vizualizuoti ir analizuoti galimas atakas prieš RPA sistemas, kas padeda nustatyti procesų pažeidžiamumus ir taikyti efektyvias apsaugos priemones. BPMN plėtiniai RPA leidžia modeliuoti ne tik verslo, bet ir saugos procesus, o tai padeda visapusiškiau atsižvelgti į saugumo reikalavimus kuriant ir eksploatuojant RPA sistemas. Naudojant UMLsec plėtinius RPA sistemose, galima modeliuoti ir vertinti saugumo aspektus dar projektavimo etape. Siūlomi metodai papildo vienas kitą ir pateikia visapusišką sprendimą RPA sistemų saugumui gerinti.