Tietojärjestelmälokit - SecMeter

Tietojärjestelmälokit ovat keskeinen osa yrityksen tietoturvainfrastruktuuria ja hallittua tiedonhallintaa. Lokien avulla seurataan järjestelmien ja käyttäjien toimintaa, tunnistetaan poikkeamia ja varmistetaan järjestelmien eheys, käytettävyys ja luottamuksellisuus. Oikein toteutettu lokitusjärjestelmä tukee tietoturvaloukkausten havaitsemista, auditointia sekä ongelmatilanteiden selvittämistä.

Mitä lokit ovat?

Tietojärjestelmälokit (lyhyesti lokit) ovat automaattisesti kerättyjä tietueita, jotka kuvaavat tapahtumia järjestelmässä. Esimerkkejä lokitettavista tapahtumista ovat:

• Käyttäjän kirjautuminen järjestelmään
• Sovelluksen suorittama toimenpide
• Järjestelmävirhe tai häiriö
• Palvelun käynnistäminen tai sammuttaminen
• Tietokantahaku tai -muokkaus
• Verkkoyhteyden muodostaminen

Lokit tallennetaan tyypillisesti palvelimille, järjestelmäkomponentteihin tai erilliseen lokienhallintajärjestelmään (SIEM, Security Information and Event Management).

Lokityypit

Käyttölokit (Access logs)

Kuvaavat käyttäjien kirjautumisia, käyttöoikeuksia ja toimenpiteitä järjestelmissä. Näitä käytetään käyttäjäseurannassa ja väärinkäytösten jäljittämisessä.

Tapahtumalokit (Event logs)

Sisältävät tiedot järjestelmän tai sovellusten suorittamista toimista. Näistä nähdään esimerkiksi palveluiden aloitus, virheet tai ohjelmien kaatumiset.

Verkkolokit (Network logs)

Taltioivat liikennettä verkossa, kuten palomuurien, reitittimien ja VPN-palvelimien toimintaan liittyvää tietoa. Verkkolokit ovat keskeisiä tietomurtojen selvittämisessä.

Audit-lokit

Erityisesti vaatimustenmukaisuuden seurantaan suunnitellut lokit, joita hyödynnetään auditoinneissa ja tietosuojavelvoitteiden todentamisessa.

Miksi lokitus on tärkeää?

Tietoturva

Lokit auttavat havaitsemaan tietoturvaloukkaukset, kuten luvattomat kirjautumisyritykset, haitallisen liikenteen tai järjestelmien manipuloinnin.

Jäljitettävyys

Jokainen toimenpide järjestelmässä voidaan jälkikäteen yhdistää tiettyyn käyttäjään tai prosessiin. Tämä tukee läpinäkyvyyttä ja vastuullisuutta.

Häiriönselvitys

Kun järjestelmässä ilmenee tekninen ongelma, lokien avulla voidaan jäljittää tapahtumaketju, joka johti häiriöön.

Auditointi ja vaatimustenmukaisuus

Useat sääntelyt (esim. GDPR, ISO 27001, NIS2) edellyttävät lokien keräämistä ja säilyttämistä tietyksi ajaksi.

Lokipolitiikka ja hallinta

Hyvään tiedonhallintatapaan kuuluu selkeä lokipolitiikka, jossa määritellään:

Mitä tietoja lokitetaan

• Kuka vastaa lokien keruusta ja hallinnasta
• Kuinka kauan lokit säilytetään
• Kenellä on pääsy lokitietoihin
• Miten lokit suojataan (esim. salaus, allekirjoitus)

Lokien säilytys

Lokitietoja tulisi säilyttää vähintään 12–24 kuukautta, riippuen lainsäädännöstä ja organisaation omista vaatimuksista.

Lokien suojaaminen

Lokit voivat sisältää arkaluonteista tietoa ja ne tulee suojata luvattomalta käytöltä, muuttamiselta tai poistamiselta. Käytännöt voivat sisältää:

• Vain lukumuotoiset tallennusratkaisut
• Kryptografinen allekirjoitus
• Pääsynvalvonta

Lokien analysointi ja hyödyntäminen

Lokitietojen arvo realisoituu vasta, kun niitä analysoidaan. Lokianalytiikkaa voidaan tehdä manuaalisesti tai automaattisesti esimerkiksi SIEM-järjestelmän avulla.

Poikkeamien tunnistus

Automaattiset hälytykset epäilyttävästä toiminnasta, kuten toistuvista epäonnistuneista kirjautumisista.

Raportointi

Säännölliset raportit lokitiedoista tukevat sisäistä valvontaa ja viranomaisten raportointivelvoitteita.

Koneoppiminen ja tekoäly

Edistyneet ratkaisut voivat tunnistaa poikkeamia ja trendejä suurista lokimääristä.

Lokien haasteet

Tietomäärä

Lokit voivat kasvaa nopeasti suuriksi, ja niiden säilyttäminen voi kuormittaa järjestelmiä.

Tulkinta

Raakatieto on usein teknistä ja vaikeasti tulkittavaa ilman kontekstia tai työkaluja.

Yhtenäisyys

Eri järjestelmien lokiformaatit voivat vaihdella, mikä vaikeuttaa keskitettyä hallintaa.