Så här samlar du in och använder loggdata

Loggning innebär att man sparar och använder sig av loggdata. Dessa behövs för att ta reda på vad som har hänt, varför och när. Loggdata samlas in av enheter som är anslutna till internet och av operatörer. Dessa anvisningar är avsedda för organisationer som har kompetens inom informationssäkerhet i huset.

En logg är en fil där händelser och orsaker till dem registreras i kronologisk ordning. Händelser och ändringar i datasystem, applikationer, datanät och datainnehåll registreras i loggen, dvs. loggas.

Loggar uppstår överallt hela tiden. Din dator samlar in en användningslogg, basstationer för det trådlösa nätverket och routrar i det fasta nätet sparar händelseloggar, din telefonoperatör registrerar kommunikationsloggar, dina vardagliga program skapar åtkomstloggar, felloggar och så vidare..

Ingredienserna för en tillräckligt bra logg

1: Tidsstämpel

Registrera händelsens tidpunkt i loggen.

2: Händelse och aktör

Registrera i loggen vad man gjorde eller försökte göra och vem som gjorde det.

3: Behörighet

Registrera i loggen vilka rättigheter eller vilken behörighet som användes.

4: Händelsens källa

Registrera i loggen varifrån händelsen gjordes och varifrån ändringsuppgiften kommer.

5: Händelsens status

Registrera i loggen om aktören lyckades med sin avsikt. Om inte, registrera orsaken till misslyckandet.

TÄNK PÅ DATASKYDDET

En logg kan också innehålla personuppgifter, varvid behandlingen måste ske enligt EU:s dataskyddsförordning. Enligt principen om uppgiftsminimering i förordningen ska personuppgifter vara begränsade till det som är nödvändigt i förhållande till de användningsändamål för vilka uppgifterna behandlas. En dataskyddsbeskrivning ska upprättas för de personuppgifter som systemet innehåller.

En alltför detaljerad händelseuppföljning i kombination med identifierbara personer kan strida mot individens dataskydd.

Spara i regel inte följande uppgifter i loggen

  • personbeteckningar
  • särskilda kategorier av personuppgifter enligt EU:s dataskyddsförordning (s.k. känsliga uppgifter)
  • kreditkortsnummer
  • lösenord (inte ens i komprimerad form)
  • hårdvarunycklar och hemliga uppgifter mellan systemen
  • uppgifter om behörighet
  • innehåll i kommunikationen mellan personer.

Att skräddarsy en logg

1: Hur mycket är lagom?

Rätt mängd loggdata att spara hittar du enklast genom att pröva dig fram. Börja försiktigt och gör sedan datainsamlingen mer detaljerad efter behov. Om du gör loggningen för omfattande vid införandet, stockar sig systemet snabbt och det blir svårt att sålla fram nyttiga data bland massan. Principen om uppgiftsminimering enligt EU:s dataskyddsförordning kräver att personuppgifter endast ska behandlas om det är nödvändigt.

2: Loggarnas lagringstid

Vad som utgör en tillräcklig lagringstid för loggarna beror på det objekt som ska skyddas. I regel varierar tiden mellan sex och 24 månader. I dataskyddsförordningen fastställs inga exakta lagringstider för personuppgifter. Den personuppgiftsansvarige ska bedöma hur länge personuppgifterna ska förvaras och hur nödvändiga de är med tanke på ändamålet i fråga. Personuppgifter får endast lagras så länge som det är nödvändigt för ändamålet för behandlingen. Den personuppgiftsansvarige ska kunna bedöma och motivera lagringstiderna.

3: Arkivering och radering

Genom att arkivera loggdata säkerställs möjligheten att även kunna gå tillbaka till äldre observationer, som man till exempel av utrymmesskäl inte kan lagra i en logg som används aktivt.

Uppgifterna ska i regel raderas eller anonymiseras när det inte längre finns behov av att behandla dem. Loggdata har i allmänhet en livscykel, i slutet av vilken datan inte längre behövs och det är inte heller nödvändigt att bevara dem. Det bör också finnas ett förfarande för att radera loggdata.

4: Ansvar vid logghantering

För hanteringen av loggarna ansvarar i första hand de administratörer som utsetts för detta. För att säkerställa öppenheten bör enskilda administratörer inte ha redigeringsbehörighet till det centraliserade logghanteringssystemet.

De ändamål som loggdata får samlas in och användas för bestäms i loggbeskrivningen. Det ska finnas en grund för all loggdata som samlas in. Loggarnas säkerhet och ändamålsenlighet ska auditeras regelbundet. Administratörerna följer de loggar som de behöver, de informationssäkerhetsansvariga följer loggar som gäller säkerheten och i sista hand är det organisationens högsta ledning som har ansvar för loggdatan.

5: Ett lösenord som registrerats på fel ställe förblir synligt

I inloggningsloggen sparas vanligtvis både lyckade och misslyckade inloggningsförsök. Som identifieringsuppgift vid inloggningen sparas till exempel användarnamnet, tidpunkten och adressen för inloggningsförsöket. Även misslyckade inloggningsförsök blir registrerade och kan läsas i loggen. Hur ofta har du råkat ange ditt lösenord i stället för användarnamnet och tryckt på Enter? Lösenordet finns nu i en logg där administratören kan läsa den i klartext. Det är alltid bra att byta ett lösenord som råkat hamna på ett synligt ställe.

6: Tänk på dataskyddet

En logg kan också innehålla personuppgifter, varvid EU:s dataskyddsförordning måste följas vid behandlingen. Enligt principen om uppgiftsminimering i förordningen ska personuppgifter vara begränsade till det som är nödvändigt i förhållande till de användningsändamål för vilka uppgifterna behandlas. En dataskyddsbeskrivning ska upprättas för de personuppgifter som systemet innehåller. 

En alltför detaljerad händelseuppföljning i kombination med identifierbara personer kan strida mot individens dataskydd.

7: Åtkomstkontroll

Behandling av loggar förutsätter en genomtänkt åtkomstkontroll. Loggarna och registreringstjänsterna skyddas bäst mot obehörig användning genom att skapa en loggmiljö som är fristående från den övriga produktionsmiljön och vars integritet, dvs. oföränderlighet, har säkerställts.

Framför allt ska man se till att systemet separeras från den övriga miljön så att en eventuell säkerhetsöverträdelse inte kan påverka logghändelsernas integritet. Det är också bra att även säkerhetskopiera loggdatan och registrera behandlingen av dem samt ställa in ett larm som varnar vid obehöriga redigeringsförsök.

LÄS MER OM LOGGNING

Logging Made Easy (Extern länk)” är ett projekt med öppen källkod som upprätthålls av Storbritanniens cybersäkerhetscenter och som finns offentligt tillgängligt i tjänsten GitHub. Projektet presenterar ett praktiskt sätt att skapa en omfattande uppföljning och loggning på basnivå i Windows-miljön. Projektet är inte perfekt och det är inte avsett för professionellt bruk, utan erbjuder funktioner på basnivå. Situationen är inte optimal, men att ha uppföljning och loggning på basnivå är bättre än att inte ha någon alls.