[Teema] Loki on ylläpidon tärkein turvallisuustyökalu

Kun ongelmat kasaantuvat, lokitieto on korvaamatonta. Hyvä lokiympäristö on erotettu muusta järjestelmästä, sen muokkaaminen on estetty ja sen pääsynvalvonta on tarkkaan säädetty vastaamaan tarvetta. Vain riittävän kattava lokitus tarjoaa parhaan työkalun järjestelmän ylläpitoon.

Miten lokitetaan tarpeeksi?

Järjestelmä on murrettu, joku on vienyt tiedot, sivusto on sotkettu ja asiakkaille on ohjattu haittaohjelmia. Vain kunnollinen loki auttaa kertomaan, miten ongelmat saadaan selvitettyä ja katastrofit korjattua.

Jokaisen järjestelmän pitäisi kirjata lokitiedot omista tapahtumistaan. Sekä käyttäjien toimenpiteet että automaattiset tapahtumat on tärkeää kirjata talteen. Hyvin rakennettu lokiympäristö on muusta järjestelmästä erillään oleva tietokanta, jonka eheys on varmistettu niin, ettei sitä voi jälkeenpäin muokata. Myös lokitietojen katselu ja käsittely on syytä lokittaa erikseen.

Lokista tulee käyttökelpoinen vain, jos siinä on riittävästi tietoa sen käyttötarkoitukseen. Käyttökelpoisen lokitiedon pitäisi sisältää ainakin nämä määritteet:

  • Aikaleima (milloin tapahtuma oli?)
  • Tapahtuma (mitä tehtiin tai yritettiin tehdä?)
  • Toimija (kuka tai mikä teki?)
  • Käyttöoikeus (millä valtuuksilla tai oikeuksilla tapahtuma tehtiin?)
  • Tapahtuman lähde (mistä tehtiin, mistä muutostieto on peräisin?)
  • Tapahtuman kohde (mihin tietoon tai järjestelmään toiminta kohdistui?)
  • Tapahtuman tila (onnistui / ei onnistunut / epäonnistumisen syy)

Mitoita lokitus sopivaksi

Lokitietojen sopiva tallennustahti löytyy helpoiten kokeilemalla. Harva asiantuntija osaa suoralta kädeltä sanoa joka järjestelmästä, paljonko lokitietoja pitäisi tallentaa. Aloita varovasti ja lisää sitten tiedonkeruun yksityiskohtaisuutta tarpeen mukaan. Jos käyttöönotossa säätää lokituksen liian raskaaksi, se tukkii järjestelmän nopeasti ja hyödyllistä tietoa on vaikea seuloa kaiken massan alta.

Lokien säilytysaikaa kannattaa säätää mieluummin vähintään riittäväksi kuin liian pieneksi. Lokien riittävä säilytysaika vaihtelee suojattavan kohteen mukaan yleensä kuuden ja 24 kuukauden välillä. Tarvittavan lokitilan määrää voi yrittää arvioida esimerkiksi kuukauden keskimääräisen lokikertymän perusteella. Tilaa on hyvä varata puskuriksi enemmänkin, sillä poikkeavat tilanteet ja jotkin hyökkäystyypit voivat kasvattaa lokikertymää.

Arkistointi ja poisto

Arkistoimalla lokitietoja varmistetaan mahdollisuus palata vanhempiinkin havaintoihin, joita ei esim. tilankäyttösyistä ole mahdollista pitää aktiivisessa käytössä olevassa lokissa. Lokitiedoilla on yleensä elinkaari, jonka lopussa tiedoille ei enää ole käyttöä eikä niiden säilyttäminen ole tarpeen. Lokitietojen poistamiselle tulisi myös olla menettely.

Vastuut lokien käsittelyssä

Lokien käsittelystä vastaavat ensisijaisesti tehtävään nimetyt pääkäyttäjät. Seurattavuuden varmistamiseksi yksittäisillä pääkäyttäjillä ei tulisi olla muokkausoikeuksia keskitettyyn lokienhallintajärjestelmään.

Lokiseloste määrää, mihin tarkoitukseen lokitietoa kerätään ja mihin lokitietoa saa käyttää. Jokaiselle kerättävälle lokitiedolle on oltava peruste. Lokien turvallisuutta ja asianmukaisuutta on auditoitava säännöllisesti. Ylläpitäjät seuraavat heille tarpeellisia lokeja, tietoturvavastaavat seuraavat tietoturvallisuuteen liittyviä lokeja ja viime kädessä lokitiedosta vastaa organisaation ylin johto.

Mitä huonosta tai väärästä lokituksesta voi seurata?

Loki voi tietosisältönsä vuoksi olla osa henkilörekisteriä, jolloin siitä on mainittava myös järjestelmän rekisteriselosteessa. Liian yksityiskohtainen tapahtumaseuranta yhdistettynä henkilöiden identiteetteihin saattaa rikkoa yksilön tietosuojaa.

Vältä tallentamasta lokiin näitä tietoja:

  • henkilötunnukset
  • henkilötietolain määrittelemiä arkaluonteisia henkilötietoja
  • luottokorttinumeroita
  • salasanoja (ei edes tiivistemuotoisia)
  • järjestelmien välisiä käyttöavaimia ja salaisuuksia
  • valtuutustietoja
  • henkilöiden välisen viestiliikenteen sisältöä.

Lokien käsittely edellyttää tarkoin harkittua pääsynvalvontaa. Lokit ja niiden kirjauspalvelut voi suojata asiattomalta käytöltä parhaiten muusta tuotantoympäristöstä erillisellä lokiympäristöllä, jonka eheys eli muuttumattomuus on varmistettu.

Erityisesti tulee huolehtia järjestelmän erottelusta muusta ympäristöstä siten, että mahdollinen tietoturvaloukkaus ei pääse vaikuttamaan lokitapahtumien eheyteen. Myös lokitiedot on syytä varmuuskopioida ja niiden käsittelystä kirjata lokimerkintöjä sekä asiattomista muokkausyrityksistä säätää hälytykset.

Lisätietoja

VAHTI-lokiohje

KATAKRI 2015 - Tietoturvallisuuden auditointityökalu viranomaisille


Asiasanat: Internet , Tietoturva , Kyberturvallisuus , Riskienhallinta , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248