Näin keräät ja käytät lokitietoja | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Näin keräät ja käytät lokitietoja

Lokitus tarkoittaa lokitietojen tallennusta ja hyödyntämistä. Lokitietoa tarvitaan selvittämään, mitä, miksi ja milloin jotakin tapahtui. Internetiin kytketyt laitteet ja operaattorit keräävät lokitietoja. Tämä ohjeistus on tarkoitettu organisaatioille, joilla on omaa tietoturvaosaamista.

Loki tarkoittaa aikajärjestyksessä kirjattua tallennetta tapahtumista ja niiden aiheuttajista. Tapahtumat ja muutokset tietojärjestelmissä, sovelluksissa, tietoverkoissa ja tietosisällöissä kirjataan lokiin, eli lokitetaan.

Lokia syntyy koko ajan kaikkialla. Tietokoneesi kerää käyttölokia, langattoman verkon tukiasema ja lankaverkon reititin tallentavat tapahtumalokia, puhelimesi operaattori kirjaa viestintälokia, jokapäiväiset ohjelmistosi pääsynvalvontalokia, virhelokia ja niin edelleen.

Riittävän hyvän lokin ainekset

  • Vaihe 1

    Aikaleima

    Kirjaa lokiin tapahtuman ajankohta.

  • Vaihe 2

    Tapahtuma ja toimija

    Kirjaa lokiin, mitä tehtiin tai yritettiin tehdä ja tekijä.

  • Vaihe 3

    Käyttöoikeus

    Kirjaa lokiin, millä valtuuksilla tai oikeuksilla tapahtuma tehtiin.

  • Vaihe 4

    Tapahtuman lähde

    Kirjaa lokiin, mistä tapahtuma tehtiin ja mistä muutostieto on peräisin.

  • Vaihe 5

    Tapahtuman tila

    Kirjaa lokiin, onnistuiko tekijä aikeissaan. Jos teko ei onnistunut, kirjaa epäonnistumisen syy.

Huolehdi tietosuojasta

Loki voi sisältää myös henkilötietoja, jolloin niiden käsittelyssä on noudatettava EU:n tietosuoja-asetusta. Asetuksen tietojen minimointiperiaatteen mukaan henkilötietojen on oltava rajoitettuja siihen, mikä on tarpeellista suhteessa niihin käyttötarkoituksiin, joita varten niitä käsitellään. Järjestelmän sisältämistä henkilötiedoista on laadittava tietosuojaseloste.

Liian yksityiskohtainen tapahtumaseuranta yhdistettynä henkilöiden identiteetteihin saattaa rikkoa yksilön tietosuojaa.

Pääsääntöisesti älä tallenna lokiin näitä tietoja:

  • henkilötunnuksia
  • EU:n tietosuoja-asetuksen tarkoittamia erityisiä henkilötietoja (ns. arkaluonteiset tiedot)
  • luottokorttinumeroita
  • salasanoja (ei edes tiivistemuotoisia)
  • järjestelmien välisiä käyttöavaimia ja salaisuuksia
  • valtuutustietoja
  • henkilöiden välisen viestiliikenteen sisältöä.

 

Lokeja voidaan luokitella muotonsa sekä käyttötarkoituksensa- ja tapansa mukaan.

Ylläpitolokilla ylläpidetään tietoa järjestelmän toimintaan tehdyistä muutoksista ja järjestelmän käyttöoikeuksien muutoksista sekä hallitaan virhetilanteita. Tämänkaltainen loki on hyvin tarpeellinen versionhallinnassa ja toimintaympäristön kokonaisarkkitehtuurin seurannassa.

Käyttöloki eli tapahtumaloki lienee tavallisin ja välttämättömin lokimuoto. Se rekisteröi käyttäjien sisään- ja uloskirjautumisista ja tietoa muista normaaleista järjestelmän suorittamista prosesseista. Järjestelmän moduulit jättävät jäljen käyttölokiin kutsuessaan toisia moduuleita. Tulostustapahtumista ja tietosisällön lukemisesta tietokannasta kirjataan merkintä käyttölokiin.

Muutoslokiin on kirjattava merkinnät tietojen lisäyksistä, poistoista ja muutoksista. Kun muuttuneen tiedon alkuperä näkyy lokimerkinnöistä, sen oikeellisuus voidaan tarvittaessa jäljittää ja varmistaa.

Virheloki on erityisen tarpeellinen ongelmatilanteiden selvittämisessä. Kun virheen syy kirjataan lokiin mahdollisimman tarkasti, sen aiheuttajaa on myös helpompi korjata.

Myös muita yleisiä lokimuotoja käytetään yleisesti. Viestintäloki voi sisältää tiedot kulkeneesta viestinnästä: viestin alkuperän, päätepisteen ja muita tietoja kuten ajankohdan, määrän, yksikäsitteisen tunnisteen ja tilan. Teletunnistetiedot ovat tällaisia viestintälokitietoja. Yleisimmät sähköpostipalvelimet on asetettu kirjaamaan viestintälokia.

Haltijaloki kertoo, kenelle jokin nettiosoite, tai puhelinnumero, tai verkkodomain, tai autovuokraamon auto on kuulunut tiettynä ajanhetkenä. Haltijatieto voidaan yhdistää suoraan henkilöön tai organisaatioon tai järjestelmään.

 

Lokin räätälöinti

  • Vaihe 1

    Paljonko on sopivasti?

    Lokitietojen sopiva tallennusmäärä löytyy helpoiten kokeilemalla. Aloita varovasti ja lisää sitten tiedonkeruun yksityiskohtaisuutta tarpeen mukaan. Jos käyttöönotossa säätää lokituksen liian raskaaksi, se tukkii järjestelmän nopeasti ja hyödyllistä tietoa on vaikea seuloa kaiken massan alta. EU:n tietosuoja-asetuksen mukainen minimointiperiaate edellyttää henkilötietojen osalta niiden käsittelyn tarpeellisuutta.

  • Vaihe 2

    Lokien säilytysaika

    Lokien riittävä säilytysaika vaihtelee suojattavan kohteen mukaan yleensä kuuden ja 24 kuukauden välillä. Tietosuoja-asetuksessa ei ole määritelty tarkkoja henkilötietojen säilytysaikoja. Rekisterinpitäjän on arvioitava henkilötietojen säilytysaikaa ja tarpeellisuutta kysymyksessä olevaa käyttötarkoitusta vasten. Henkilötietoja saa säilyttää vain niin kauan, kun ne ovat tarpeen henkilötietojen käyttötarkoituksen kannalta. Rekisterinpitäjän on arvioitava ja pystyttävä perustelemaan säilytysajat. 

  • Vaihe 3

    Arkistointi ja poisto

    Arkistoimalla lokitietoja varmistetaan mahdollisuus palata vanhempiinkin havaintoihin, joita ei esimerkiksi tilankäyttösyistä ole mahdollista pitää aktiivisessa käytössä olevassa lokissa.

    Tiedot pitää lähtökohtaisesti poistaa tai anonymisoida kun ei enää ole tarvetta niiden käsittelylle. Lokitiedoilla on yleensä elinkaari, jonka lopussa tiedoille ei enää ole käyttöä eikä niiden säilyttäminen ole tarpeen. Lokitietojen poistamiselle tulisi myös olla menettely.

  • Vaihe 4

    Vastuut lokien käsittelyssä

    Lokien käsittelystä vastaavat ensisijaisesti tehtävään nimetyt pääkäyttäjät. Seurattavuuden varmistamiseksi yksittäisillä pääkäyttäjillä ei tulisi olla muokkausoikeuksia keskitettyyn lokienhallintajärjestelmään.

    Lokiseloste määrää, mihin tarkoitukseen lokitietoa kerätään ja mihin lokitietoa saa käyttää. Jokaiselle kerättävälle lokitiedolle on oltava peruste. Lokien turvallisuutta ja asianmukaisuutta on auditoitava säännöllisesti. Ylläpitäjät seuraavat heille tarpeellisia lokeja, tietoturvavastaavat seuraavat tietoturvallisuuteen liittyviä lokeja ja viime kädessä lokitiedosta vastaa organisaation ylin johto.

  • Vaihe 5

    Väärälle paikalle kirjattu salasana jää näkyviin

    Kirjautumislokiin tallennetaan yleensä sekä onnistuneet että epäonnistuneet kirjautumisyritykset. Kirjautumisen tunnistetietoina tallennetaan esimerkiksi käyttäjätunnus, ajankohta ja osoite, josta kirjautumisyritys tehtiin. Myös vääristä kirjautumisyrityksistä jää merkintä, jonka voi lukea lokista. Kuinka usein olet vahingossa kirjoittanut käyttäjätunnuksen paikalle salasanasi ja painanut enteriä? Se on nyt tallessa lokissa, jonka ylläpitäjä voi lukea selväkielisenä. Kannattaa aina vaihtaa salasana, jonka on lipsauttanut näkyvälle paikalle.

  • Vaihe 6

    Huolehdi tietosuojasta

    Loki voi sisältää myös henkilötietoja, jolloin niiden käsittelyssä on noudatettava EU:n tietosuoja-asetusta. Asetuksen tietojen minimointiperiaatteen mukaan henkilötietojen on oltava rajoitettuja siihen, mikä on tarpeellista suhteessa niihin käyttötarkoituksiin, joita varten niitä käsitellään. Järjestelmän sisältämistä henkilötiedoista on laadittava tietosuojaseloste.  

    Liian yksityiskohtainen tapahtumaseuranta yhdistettynä henkilöiden identiteetteihin saattaa rikkoa yksilön tietosuojaa.

  • Vaihe 7

    Pääsynvalvonta

    Lokien käsittely edellyttää tarkoin harkittua pääsynvalvontaa. Lokit ja niiden kirjauspalvelut voi suojata asiattomalta käytöltä parhaiten muusta tuotantoympäristöstä erillisellä lokiympäristöllä, jonka eheys eli muuttumattomuus on varmistettu.

    Erityisesti tulee huolehtia järjestelmän erottelusta muusta ympäristöstä siten, että mahdollinen tietoturvaloukkaus ei pääse vaikuttamaan lokitapahtumien eheyteen. Myös lokitiedot on syytä varmuuskopioida ja niiden käsittelystä kirjata lokimerkintöjä sekä asiattomista muokkausyrityksistä säätää hälytykset.

Lokien käsittelyn on perustuttava lakiin

Lainsäädäntö asettaa vaatimuksia lokin sisällölle, säilytysajalle, lokeissa olevan tiedon eheyden varmistamiselle ja lokin käyttötarkoitukselle.

Lokeja tarvitaan esimerkiksi tietojärjestelmien toimivuuden takaamiseen, järjestelmien käytön tilastointiin sekä tietoturvasta huolehtimiseen. Lokin keräämisen sekä käsittelyn on perustuttava lainsääädäntöön.

Lokeja on erilaisia, siksi niiden käsittelytapa ja -oikeus riippuvat siitä, millaista tietoa loki sisältää ja mihin tarkoitukseen lokia on alun perin kerätty.

Lainsäädäntöön perustuvat lokien vaatimukset liittyvät sisältöön, säilytysaikaan, lokeissa olevan tiedon eheyden varmistamiseen sekä lokitiedon käyttötarkoituksiin. Lisäksi lokien käsittelyssä on otettava huomioon organisaation sisäiset ohjeet, jos sellaisia on annettu.

Henkilötiedot tekevät lokista henkilörekisterin

Jos lokitiedot sisältävät henkilötietoja, muodostuu lokista henkilörekisteri. Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (rekisteröity) liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Tällöin on huomioitava etenkin EU:n yleisen tietosuoja-asetuksen asettamat velvoitteet ja esimerkiksi laatia seloste henkilötietojen käsittelytoimista.

Lokitietoon liitettyinä henkilö­tiedoiksi katsotaan esimerkiksi nimi tai sähköpostiosoite. Myös IP-osoite voidaan katsoa henkilötiedoksi eräissä tapauksissa.

Jos kyseessä on sähköisen viestinnän välitystietoja sisältävän lokin käsittely, lokitietoja on käsiteltävä sähköisen viestinnän palveluista annetun lain  17. luvun mukaan. Välitystietoja ovat esimerkiksi tiedot sähköpostiviestin lähettäjästä ja vastaanottajasta, verkko-osoite, tiedot yhteyden kestosta, reitityksestä, ajankohdasta sekä siirretyn tiedon määrästä.

Jos lokia tai sitä tuottavaa teknistä järjestelmää on tarkoitus käyttää henkilöstön valvontaan esimerkiksi yrityssalaisuuksien suojaamiseksi tai väärinkäytöstapausten selvittämiseksi, lokin käytössä sovelletaan sähköisen viestinnän palveluista annetun lain 18. luvun niin sanottuja Lex Nokia -pykäliä. Tällöin menettelystä on tiedotettava myös käyttäjille. Lisäksi työnantajan on järjestettävä yhteistoimintamenettely.

Lokien hallinta on rajattava niin, että kaikki lokit tai edes yksittäisen lokin tiedot eivät ole kaikkien saatavilla. Käsittelyoikeuksia tulisi siis rajata esimerkiksi henkilön työtehtäviin perustuvan tietotarpeen perusteella. Tämä tarpeellisuusvaatimus, niin sanottu "need to know basis", on kirjattu sekä EU:n tietosuoja-asetuksen periaatteisiin että sähköisen viestinnän palveluista annettuun lakiin.

Lokittajan muistilista

Lokin oikeaoppinen rakentaminen ja lokitietojen käsittely vaatii huolellista suunnittelua, selkeätä prosessia ja ohjeita. Tässä pieni lokittajan muistilista, jonka avulla lokiprojektin pitäisi onnistua:

  • Mieti, mikä lokituksen tarkoitus on.
  • Ovatko lokiin tallennettavat tiedot tarpeellisia käyttötarkoituksen kannalta?
  • Muista lainsäädännön velvoitteet erityyppisille lokeille.
  • Käsittele lokitietoja ennalta määriteltyjen järjestelmien ja toimintatapojen mukaisesti.
  • Kun tietoa ei enää tarvita, poista se.
  • Määrittele käyttöoikeudet tietotarpeen perusteella.
  • Rekisteröityjen ja ylläpidon tietosuojasta ja oikeusturvasta on huolehdittava.
  • Informoi käyttäjiä riittävästi etenkin, jos kyse on teknisestä valvonnasta. Muista myös YT-menettely.

Lokien käsittelyvaatimukset perustuvat muun muassa seuraavaan säädäntöön

Lisäksi julkisyhteisöihin soveltuvat vielä seuraavat:

Mikä on SIEM (Security Information and Event Management)?

Useimmiten SIEM:stä puhutaan tietoturvatuotteena, joka yhdistää muiden olemassa olevien järjestelmien tuottamaa informaatiota yhteen. Tämä ajatus­maailma ei kuitenkaan tuota niin suurta lisäarvoa SIEM:n käyttöönottajalle, kuin mitä SIEM parhammillaan voi tarjota. Lokienhallintaa ja SIEM:iä pitäisi ensisijaisesti ajatella prosessina tai tietoturvan hallinnan tapana, joka mahdollistaa tiedon keruun useista toisistaan suoraan riippumattomista järjestelmistä. Kerätty tieto joko tallennetaan tai käsitellään keskitetyssä paikassa, ja näin luodaan mahdollisuus havaita useista pienistä palasista koostuvia suurempia tapahtumia. SIEM:n suurin vahvuus piilee juuri mahdollisuudessa näyttää ja korreloida tietoa keskitetyssä pisteessä.

Suurin harhaluulo SIEM:stä on oletus valmiista tuotteesta, joka tuottaa lisäarvoa pelkästään olemassaolollaan. Tällä saavutetaan kuitenkin harvoin merkittävää lisäarvoa tai tilannekuvan kehittymistä.

Keskitetyn lokienhallinnan käyttöönotto

Tärkeintä on ensin määritellä lokien­hallintapolitiikka. Mitä lokitetaan, miten lokitetaan ja erityisesti mitä kerätyllä lokilla tehdään. Lokienhallinnan eräs keskeisimpiä ongelmia on tapahtumien valtava määrä. Se johtaa hyvin nopeasti tilanteeseen, että lokien­hallinta­järjestelmien ylläpitäjät eivät enää kykene tehokkaasti etsimään tietoa lokimassasta. Keskitettyä lokien­hallintaa käyttöön­otettaessa on syytä määritellä tarkkaan, miksi tämä toimenpide tehdään.

Keskitetty lokienhallintajärjestelmä voidaan ottaa käyttöön esimerkiksi jonkin vaatimusmäärittelyn  sanelemana. Tällöin siitä ei kannata yrittää rakentaa turhan raskasta järjestelmää, jos organisaatio ei ole kokonaisuudessaan valmis siirtymään SIEM-prosessiin. Lisäksi on syytä varoa markkinointimateriaalia, jossa SIEM-tuotteen käyttöönoton jälkeen organisaatio täyttäisi heti tietyn vaatimusmäärittelyn. Tämä on käytännössä aina vain markkinointilause, eikä siihen tule tällaisenaan uskoa. Keskitettyä lokienhallintaa ja erityisesti SIEM:iä käyttöönotettaessa on maltti usein valttia. Käytännössä tämä tarkoittaa seurattavien lokilähteiden asteittaista lisäämistä ja omien toimintatapojen samanaikaista kehittämistä resurssien puitteissa. Usein ensimmäinen keino ennen SIEM-järjestelmän hankintaa voi olla yksittäisen lokipalvelimen pystyttäminen ja komentorivipohjaisten komentorivihakujen kokeilu.

Lokienhallinta käytännössä

Keskitetty lokienhallinnan ja SIEM ei mullista organisaatioiden tietoturvaa sellaisenaan. Vaikka organisaatiossa käytettäisiin järjestelmään resursseja (hankinta, asennus ja lähdejärjestelmien liittäminen), ei pidä odottaa SIEM-järjestelmän tuottavan yksinään hälytyksiä tai havaintoja. On totta, että varsinkin kaupallisest SIEM-tuotteet sisältävät valmiita tunnistetietoja, joiden avulla voidaan haitallisia tapahtumia havaita. Jokaisen organisaation IT-ympäristö on yksilöllinen, eivätkä valmiit yleiset tunnisteet riitä tuomaan merkittävää lisäarvoa virustorjuntaohjelmistojen lisäksi. Toisessa ympäristössä tietty tapahtumasarja voi näyttää hyökkäykseltä, kun taas toisessa se on osa normaalia tapahtumankulkua.

Sivu on viimeksi päivitetty