Viranomaisen on huolehdittava, että sen tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen.
Digiturvamallissa tietojärjestelmän omistaja voi vastata tietojärjestelmän lokitietojen keräämisen tarkastamisesta. Organisaatio dokumentoi lokien sisällön tarkemmin niissä tietojärjestelmissä, joiden teknisestä ylläpidosta se vastaa itse. Muissa tietojärjestelmissä omistaja tarkistaa yhteistyössä järjestelmätoimittajan kanssa, että tarvittavat lokit kertyvät.
Järjestelmälokien kehityksen tulee pysyä järjestemän kehityksen mukana ja mahdollistaa esim. tarvittava häriötilanteiden selvitys. Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu lokituksen toteutuksesta on itsellämme. Näiden järjestelmien suhteen dokumentoimme:
Lokeja suojataan luvattomilta muutoksilta ja häiriöiltä (esim. tietojen muokkaaminen tai säilytyskapasiteetin ylittyminen) mm. seuraavin toimintatavoin:
Lokeja pyritään suojaamaan luvattomilta tietojen muutoksilta sekä toimintahäiriöiltä, joita ovat mm.:
Organisaation on oltava selvillä eri tietojärjestelmien käytöstä kertyvistä tapahtumalokeista, olipa lokien tuottaminen omalla tai järjestelmätoimittajan vastuulla. Lokeihin tallentuvat käyttäjien suorittamat toiminnot sekä tapahtuneet poikkeamat, virheet ja tietoturvatapahtumat.
Kertyvän lokin riittävyyttä on katselmoitava säännöllisesti. Lokin avulla pitäisi tarvittaessa pystyä selvittämään järjestelmään liittyvät häiriötilanteet ja niiden syy.
Usein turvallisuustyökalut tarjoavat tavan asettaa hälytyksiä (alert policies), kun organisaation ympäristössä tapahtuu jotain mahdollisesti vaarallista. Esim. Microsoft 365 -ympäristössä on sisäänrakennettuja hälytyskäytäntöjä, jotka pyrkivät varoittamaan pääkäyttäjäoikeuksien väärinkäytöstä, haittaohjelmista, mahdollisista sisäistä ja ulkoisista riskeistä sekä riskeistä tietoaineistojen turvallisuudelle.
Organisaation on tunnistettava tietoturvaan liittyvät tapahtumat tietojärjestelmissä sekä niiden toimintaan liittyvissä ympäristöissä. Näihin tapahtumiin liittyviin muutoksiin reagoimiseksi on luotava hälytyskäytännöt.
Hälytyskäytäntöjä on valvottava aktiivisesti ja niitä on muokattava kokemuksen perusteella.
Suojausjärjestelmissä (esim. palomuuri, haittaohjelmasuojaus) on usein mahdollisuus tallentaa lokia tapahtumista. Varmistakaa säännöllisin aikavälein, että kattavaa lokia kertyy ja pyrkikää tunnistamaan epäilyttävää toimintaa. Lokista on hyötyä myös häiriöiden tai loukkausten tutkinnassa.
Organisaatiolla on oltava ennalta suunnitellut, selkeät toimintatavat kunkin eri suojausjärjestelmän osalta tilanteisiin, joissa lokituksen tai muun käytön valvonnan epäillään pettäneen. Näistä tilanteista on ilmoitettava viipymättä oikealle vastuutaholle.
Prosessin on otettava huomioon vähintään organisaation digiturvalle oleelliset suojausjärjestelmät (esim. palomuurit, IDS/IPS, haittaohjelmatorjunta, kulunvalvonta).
Eri järjestelmien välisten kellojen synkronointi mahdollistaa hyvän yhteentoimivuuden sekä helpottaa ongelmatilanteiden jäljittämistä sekä tapahtumakulkujen hahmottamista.
Organisaation on käytettävä luotettavaa lähdettä ajan säätämiseksi ja synkronisoimiseksi vähintään omalle toiminnalle kriittisten järjestelmien osalta.
Organisaation on kuvattava verkon ja tietojärjestelmien käytön normaalitila, jota käytetään lähtökohtana poikkeavuuksien tunnistamisessa.
Normaalitilaa määritettäessä on otettava huomioon seuraavat asiat:
Valvontajärjestelmät on konfiguroitava normaalitilaa vasten, jotta voidaan tunnistaa poikkeava käyttäytyminen, kuten:
Käyttäjien ja ylläpitäjien toimintaa seurataan poikkeuksellisen toiminnan havaitsemiseksi. Turvallisuusluokan I tietojen käsittelyssä suositellaan tehostettua poikkeamien havainnointikykyä, painottaen muun muassa tietojenkäsittely-ympäristön käyttäjien ja ylläpitäjien toiminnan seurantaa.
Turvallisuusluokan I tietojen käsittelyssä suositellaan riskiperustaisesti turvallisuusluokkaa II pidempiä säilytysaikoja lokitiedoille (esimerkiksi vähintään 10 vuotta).
Turvallisuusluokan I tietojenkäsittely-ympäristöt ovat tyypillisesti suppeita, koostuen esimerkiksi kaikista verkoista pysyvästi irtikytketyistä päätelaitteista. Toisaalta esimerkiksi 10 vuoden lokikertymän säilyvyys on haastava toteuttaa uskottavasti vain päätelaitteilla, joten tällaisten päätelaitteiden lokienkeräys sekä kerättyjen lokitietojen varmistukset edellyttävätkin yleensä suunniteltua säännöllistä prosessia. Käytännön toteutustapana voi olla esimerkiksi lokitietojen säännöllinen kerääminen irtomedialle, jota käsitellään ja säilytetään sen elinkaaren ajan kuin turvallisuusluokan I tietoa. Lisäksi huomioitava, että mikäli tietojärjestelmän pääsynhallinta tai esimerkiksi toimien jäljitettävyys nojautuu fyysisen turvallisuuden menettelyihin, myös näistä syntyviä tallenteita saattaa olla perusteltua säilyttää ja hallinnoida turvallisuusluokan I mukaisilla menettelyillä.
Turvallisuusluokan II–III tiedon käsittely on rekisteröitävä sähköiseen lokiin, tietojärjestelmään, asiarekisteriin tai tietoon (esimerkiksi dokumentin osaksi). Teemasta on olemassa suositus VM 2021:5: Suositus turvallisuusluokiteltavien asiakirjojen käsittelystä.
TL III ja TL II käsittely-ympäristöissä vaatimus voidaan siten, että toteutetaan alla mainitut toimenpiteet:
Tilanteissa, joissa on tarve tuoda tietoa ei-luotetuista järjestelmistä jotain muistivälinettä käyttäen, huomioidaan lisäksi yleensä turvallisuusluokasta II lähtien myös muistivälineen kontrolleritason räätälöinnin uhat.
Kaikki tiedon sisääntuonnin ja ulosviennin käyttötapaukset on tunnistettu. Turvalliset toimintatavat on määritetty, ohjeistettu ja valvonnan piirissä. Turvallisten toimintatapojen piiriin sisältyy tarvearviointi järjestelmien USB-porttien ja vastaavien liityntöjen käytölle.
USB-porttien ja vastaavien liityntöjen käytön tapauskohtaisiin ehtoihin voi sisältyä esimerkiksi, että järjestelmään voi kytkeä vain erikseen määritettyjä luotettavaksi todennettuja muistitikkuja (ja vastaavia), joita ei kytketä mihinkään muuhun järjestelmään. Tapauskohtaisiin ehtoihin voi sisältyä esimerkiksi järjestely, jossa vain organisaation tietohallinnon jakamia muistivälineitä voidaan kytkeä organisaation järjestelmiin, ja että kaikkien muiden muistivälineiden kytkeminen on kielletty ja/tai teknisesti estetty.
Tilanteissa, joissa on tarve tuoda tietoa ei-luotetuista järjestelmistä jotain muistivälinettä käyttäen, tapauskohtaisiin ehtoihin sisältyy usein myös määrittelyt siitä, millä menetelmillä pienennetään tämän aiheuttamaa riskiä. Menetelmänä voi esimerkiksi olla ei-luotetusta lähteestä tulevan muistivälineen kytkeminen eristettyyn tarkastusjärjestelmään, jonne siirrettävä tieto siirretään, ja josta siirrettävä tieto viedään edelleen luotettuun järjestelmään erillistä muistivälinettä käyttäen.
Organisaatio on tunnistanut lokitietojen keräämiseen liittyvät vaatimukset ja varmistanut niiden perusteella lokitietojen keräämisen ja seurannan riittävyyden.
Lokitiedot tulee kerätä tietojärjestelmän käytöstä ja tietojen luovutuksista, mutta tietojen kerääminen on sidottu tarpeellisuuteen. Jos tietojärjestelmästä luovutetaan rajapintojen tai katseluyhteyden avulla salassa pidettäviä tietoja tai henkilötietoja, tulee luovuttavassa järjestelmässä kerätä luovutuslokitiedot sen varmistamiseksi, että tietojen luovuttamiselle on ollut laillinen perusteensa. Lisäksi käyttölokitiedot tulee kerätä ainakin tietojärjestelmistä, joissa käsitellään henkilötietoja tai salassa pidettäviä tietoja.
Pilvipohjaisia tietojärjestelmiä käytettäessä organisaation tulee pyytää palveluntarjoajalta tietoja kunkin järjestelmän valvontamahdollisuuksien selvittämiseksi.
Pilvipalveluita tarjoaessaan palveluntarjoajana organisaation tulee tarjota asiakkaalle ennakoivasti seurantavalmiuksia ja niihin liittyvää dokumentaatiota. Tämä sisältää esim. kyvyn valvoa, käytetäänkö palvelua alustana tai vektorina hyökätäkseen muihin tai kyky tarkkailla tietovuotoja palvelussa.
Organisaation on teknisesti varmistettava, että kertyvät lokit ovat "vain luku" muodossa (read-only) kaikille kirjoitusoikeudet omaaville käyttäjille - sisältäen pääkäyttäjäoikeudet.
Lokien käytöstä poistamisen tai muokkaamisen on oltava mahdollista ainoastaan tarkasti harkittujen toimintamallien kautta, jotka varmistavat tehtävien eriyttämisen sekä tarvittaessa "break glass" -tyyliset hätätoimenpiteet.
Hallintaprosessin toteuttamisessa kannattaa harkita logihallinnan integroimista keskitettyyn lokihallintajärjestelmään sekä integrointia SIEM-ratkaisuun, joka voi auttaa reaaliaikaisessa väärinkäytöstän valvonnassa.
Organisaatiolla on oltava menettely, jolla tapahtumalokit tarkastetaan sääntöjen rikkomisen ja muiden havaittavien ongelmien varalta lakisääteisten ja organisatoristen määräysten mukaisesti.
Organisaation on myös suojattava tapahtumalokien eheys (esim. erillisellä ympäristöllä).
Organization should use tools that support both manual and automated searches, including criteria-based searches. The tool should be able to automatically collate data from different sources to more easily determine whether an incident is genuine, as well as its scope and nature.
These operations and processes can be implemented with SIEM (Security information and event management). SIEM solutions use analytics tools, technology and algorithms (e.g., newer SIEM solutions employ applied machine learning) to help detect unknown threats and abnormalities in the security-relevant data. Also SIEM solutions allow organizations to modify already existing (which usually come pre-configured) and add criteria-based alerts to match known threats. These things will help detect threats earlier.
Arkistoi ja allekirjoita lokit digitaalisesti säännöllisin väliajoin lokien eheyden varmistamiseksi.
Use a standardized log format. This simplifies integration between logs and third-party log analysis tools, making it easier and, in some cases, even possible.
The organization must log admin and security logs from used devices and services.
These logs record actions taken by system administrators and privileged users. They help monitor changes to system configurations, user access rights, and other critical settings. By keeping these logs, an organization can audit administrative activities and ensure accountability.
Security logs capture events related to the security of systems and data. This includes login attempts, firewall activities, intrusion detection system alerts, and antivirus actions. Monitoring these logs helps identify suspicious activities that could indicate a security breach or an internal threat.
Continually assess whether the collected data, both security-relevant monitoring data and obtained threat information from relevant sources, is sufficiently relevant and detailed.
Only relevant monitoring data should be collected and preserved, and if necessary, reconfigure the monitoring in line with the strategy. All collected data which no longer has operational or security relevance should be removed.
Organisation must identify which laws and regulations it needs comply with. Based on these laws and regulations, the organisation determines a strategy and guidelines for data logging and analysis.
The following things should be described in the strategy and guidelines:
Organisation must identify which laws and regulations it needs comply with. Based on these laws and regulations, the organisation determines a strategy and guidelines for data logging and analysis.
The following things should be described in the strategy and guidelines:
Organization should use tools that support both manual and automated searches, including criteria-based searches. The tool should be able to automatically collate data from different sources to more easily determine whether an incident is genuine, as well as its scope and nature.
These operations and processes can be implemented with SIEM (Security information and event management). SIEM solutions use analytics tools, technology and algorithms (e.g., newer SIEM solutions employ applied machine learning) to help detect unknown threats and abnormalities in the security-relevant data. Also SIEM solutions allow organizations to modify already existing (which usually come pre-configured) and add criteria-based alerts to match known threats. These things will help detect threats earlier.
Organization should use tools that support both manual and automated searches, including criteria-based searches. The tool should be able to automatically collate data from different sources to more easily determine whether an incident is genuine, as well as its scope and nature.
These operations and processes can be implemented with SIEM (Security information and event management). SIEM solutions use analytics tools, technology and algorithms (e.g., newer SIEM solutions employ applied machine learning) to help detect unknown threats and abnormalities in the security-relevant data. Also SIEM solutions allow organizations to modify already existing (which usually come pre-configured) and add criteria-based alerts to match known threats. These things will help detect threats earlier.
Continually assess whether the collected data, both security-relevant monitoring data and obtained threat information from relevant sources, is sufficiently relevant and detailed.
Only relevant monitoring data should be collected and preserved, and if necessary, reconfigure the monitoring in line with the strategy. All collected data which no longer has operational or security relevance should be removed.
Valvomalla pilvipalveluissa jaettujen tietojen määrää voidaan pyrkiä havaitsemaan riskejä, jotka voivat johtaa tiedon luvattomaan paljastumiseen. Tiedostoihin liittyen voidaan esimerkiksi valvoa:
Järjestelmälokit sisältävät usein runsaasti tietoa, josta suuri osa on tietoturvallisuuden tarkkailun kannalta epäolennaista. Jotta tietoturvallisuuden tarkkailun kannalta merkittävät tapahtumat saadaan tunnistettua, olisi harkittava tarkoituksenmukaisten sanomatyyppien automaattista kopiointia toiseen lokiin tai soveltuvien apuohjelmien tai tarkastustyökalujen käyttöä tiedostojen läpikäymisessä ja selvittämisessä.
Suojausjärjestelmät ovat niitä tietojärjestelmiä, jotka ovat käytössä suojatakseen meillä olevaa tietoa, ei niinkään sen käsittelemiseksi.
Arvioimme säännöllisesti eri suojausjärjestelmien toimintaa ja tarvetta uusille järjestelmille.
Tarvittavaa henkilöstöä koulutetaan säännöllisesti valittujen suojausjärjestelmien käytöstä.
Organisaatiolla on oltava ennalta suunnitellut, selkeät toimintatavat tilanteisiin, joissa lokituksen tai muun käytön valvonnan epäillään pettäneen. Näistä tilanteista on ilmoitettava viipymättä oikealle vastuutaholle.
Eri tyyppisiin tilanteisiin tulisi olla omat toimintaohjeensa. Virheitä valvonnassa voivat aiheuttaa esimerkiksi ohjelmistovirheet, lokien tallennusvirheet, lokien varmuuskopiointivirheet tai muistitilan ylittäminen.
Organisaatiolla täytyy olla kyvykkyys valvoa ja raportoida salaukseen sekä salausavainten hallintaan liittyviä toimia.
Kun havaitaan normaalista poikkeavaa toimintaa, tapauset olisi käsiteltävä häiriöiden hallinnan prosessien mukaisesti.
Haavoittuvuuksia kolmannen osapuolen kehittämissä tai avoimen lähdekoodin kirjastoissa on valvottava, skannattava ja raportoitava samaan tyyliin kuin muitakin haavoittuvuuksia.
Organisaation on määritetävä toimintatavat, joiden kautta tunnistetaan tarvittavat päivitykset ulkoisia kirjastoja hyödyntävissä sovelluksissa. Valvontaa suorittavat skannaukset voidaan toteuttaa automatisoidusti asiaan erikoistuneilla työkaluilla.
Organisaation on järkevää myös seurata yleistä viestintää haavoittuvuuksien uutisoinnista.
Poikkeavuuksista tulee ilmoittaa relevanteille osapuolille seuraavien toimintojen kehittämiseksi:
Organisaation tietojärjestelmiä ja verkkoa on valvottava poikkeavan käytön havaitsemiksi. Kun poikkeavaa käyttöä havaitaan, organisaation on ryhdyttävä tarvittaviin toimenpiteisiin arvioidakseen tietoturvahäiriön mahdollisuuden.
Valvonnassa tulisi hyödyntää työkaluja, jotka mahdollistavat reaaliaikaisen tai säännöllisen valvonnan organisaation tarvetason huomioiden. Valvontakäytännöillä tulisi pystyä hallitsemaan suuria määriä dataa, mukautumaan muuttuvaan uhkaympäristöön sekä lähettää tarvittaessa hälytyksiä välittömästi.
Seuraavien lähteiden sisällyttämistä valvontajärjestelmään on harkittava:
Organisaation on myös luotava toimintatavat "false positive" tulosten tunnistamiseksi ja korjaamiseksi, mukaan lukien valvontaohjelmiston virittäminen tarkempaa poikkeavuuksien tunnistamista varten.