Tietoturvatasot ja lokienhallinta
Jussi-Pekka Liimatainen
Valtiohallinnon Tietoturvatasojen noudattamista edellytetään lokakuun 2013 alusta. Tietoturvatasot asettavat vaatimuksia lokienhallinnalle valtiohallinnon organisaatioissa sekä niiden yksityisen sektorin kumppaneissa. Tämä kirjoitus keskittyy käymään läpi vaatimuksia ja pohtimaan erilaisia tapoja täyttää niitä.
Perustason vaatimukset:
“Kohta 6, Vaatimus 2, perustaso: Sekä onnistuneet että epäonnistuneet sisäänkirjautumiset kirjoitetaan lokiin niin, että yksittäisen käyttäjän kirjautumiset järjestelmään voidaan selvittää ja yhdistää hänen henkilöllisyyteensä luotettavasti.”
Tämä kohta on enemmän ohjaava kuin teknologialla ratkaistava asia. Kohta ei aseta suoranaisia vaatimusta keskitetylle lokienhallinnalle, vaan se edellyttää lokin tuottamista järjestelmän kaikista sisään- ja uloskirjautumistapahtumista kaikista järjestelmistä. Kuulostaa perustoiminnallisuudelta, mutta tätä eivät kaikki järjestelmät tänäkään päivänä täytä.
Kuten vaatimus sanoo tulee käyttäjän tunnistaminen olla riittävää sekä jokainen käyttäjätunnus tulee yksilöidä käyttäjään. Yhteistunnukset eivät siis lähtökohtaisesti ole mahdollisia, koska tunnuksen käyttäjää on vaikea yksilöidä. Keskitetty lokienhallinta mahdollistaa pääsynhallinnan keskitetyn käytönseurannan ja raportoinnin.
”Kohta 11. Vaatimus 1, erityisvaatimus: Sähköisten viestien, tunnistamistietojen sekä paikkatietojen luottamuksellisuudesta ja oikeasta käsittelystä huolehditaan myös lokitietojen käsittelyssä (Sähköisen viestinnän tietosuojalaki 4§ ja 5§).”
Lokien oikea käsittely on huomattavasti helpompi todistaa, mikäli käytössä on keskitetty lokienhallintaratkaisu, joka seuraa käsittelyä ja valvoo lokien muuttumattomuutta.
”Kohta 11. Vaatimus 2, perustaso: Laitteet, ohjelmistot sekä tietojärjestelmät tekevät riittäviä lokeja ja kirjausketjuja toiminnastaan.”
Vaatimus asettaa ehtoja järjestelmille ja niiden lokitukselle. Se mitä vaatimuksessa mainittu “riittävyys” tarkoittaa, jää auditorin päätettäväksi. Voidaan kuitenkin sanoa, että tietojärjestelmän/laitteen/ohjelmiston tulisi ainakin tuottaa luotettava kirjausketju kriittisistä asetusmuutoksista ja virhetilanteista sekä pääkäyttäjätason toimista. Lisäksi lokitietojen tulee olla hyödynnettävissä riittävän pitkään.
Korotetun tason vaatimukset:
”Kohta 6, Vaatimus 5, korotettu taso: Pääsynvalvontalokit säilytetään niin, että niitä ei päästä jälkikäteen muuttamaan.”
Keskitetyn lokienhallinnan avulla lokien suojaaminen on usein merkittävästi edullisempaa tuottaa kuin lokien suojaaminen ja tallentaminen paikallisesti – joskaan suoranaista vaatimusta keskittämiselle ei ole. Tulee muistaa, että vaatimus koskee kaikkia pääsynvalvontalokeja ei vain käyttöjärjestelmän. Ongelmaksi voi myös muodostua lokin muuttumattomuuden takaaminen paikallisesti, koska järjestelmän pääkäyttäjillä on aina paikallisesti mahdollisuus manipuloida lokia.
Keskitetty lokienhallintaratkaisu on suunniteltu lokien turvalliseen säilyttämiseen ja käyttöoikeudet on helppo määrittää roolipohjaisesti. Lisäksi järjestelmälle voidaan määrittää omat käyttäjät, jolloin vältytään tilanteelta jossa valvottavat valvovat itseään. Kolmas keskitetyn lokijärjestelmän etu on lokien tallennuspaikassa. Kun lokit tallennetaan sitä tarkoitusta varten toteutettuun järjestelmään ei niitä tarvitse säilyttää liiketoiminnan tuotantopalvelimilla kuluttamassa niiden kapasiteettia.
Korkean tason vaatimukset:
”Kohta 11. Vaatimus 4, korkea taso: Lokien seurannan perusteella muodostetaan tilannekuvaa ja havaitaan tietoturvapoikkeamia sekä kehitetään toimintaa.”
Käytännössä tämä asettaa suoran vaatimuksen SIEM-järjestelmälle. Toisin sanoen pelkkä lokien keruu ei tässä kohtaa riitä, vaan vaaditaan SIEM-järjestelmän toiminnallisuutta, jossa lokimassasta muodostetaan kokonaisvaltaista tilannekuvaa, tietoturvapoikkeamat havaitaan kehitetyillä hälytyksillä ja raporteilla sekä toiminta on jatkuvaa sekä sitä kehitetään (ajantasaiset raportit ja hälytykset).
Keskitetty lokienhallinta:
Kuten aiemmissa kappaleissa todettiin, keskitetty lokienhallinta helpottaa tietoturvatasojen täyttymistä merkittävästi. Lokien tallentamisen lisäksi sitä voidaan käyttää raportointiin ja virhetilanteista hälyttämiseen.
Keskitettyä lokienhallintaa voidaan toteuttaa kaupallisilla ja avoimen lähdekoodin tuotteilla. Avoimen lähdekoodin ratkaisuna pieniin ympäristöihin, joihin kohdistuvat vain perustason vaatimukset, voi keskitettynä lokienhallintaratkaisuna toimia kevyt Linux-pohjainen Syslog-palvelin (esim. Syslog-NG) riittävillä tietoturvakovennuksilla. Windows- ja tiedostopohjaisten lokien keräämisen haasteet tulee kuitenkin huomioida ratkaisua suunniteltaessa.
Korotetulle tasolle mentäessä tulee vaatimus pääsynvaltalokien muuttumattomuuden takaamisesta. Tämä on helpoin täyttää kaupallisilla ratkaisuilla, jossa lokin muuttumattomuus on taattu. Sama toiminnallisuus voidaan toki rakentaa avoimen lähdekoodin ratkaisuunkin, mutta niiden heikkoudet ovat usein järjestelmän ylläpitoon vaadittava tekninen kompetenssi ja valmistajan ylläpidon puute ongelmatilanteissa.
Korkean tason vaatimus on helpoin täyttää lokienhallintaa älykkäämmällä SIEM-ratkaisulla. Tällainen järjestelmä voidaan toteuttaa avoimen lähdekoodin ratkaisulla, mutta usein kaupalliset ratkaisut tulevat kustannustehokkaammiksi tarjonnan kypsyyden takia.
Kirjoittaja Jussi-Pekka Liimatainen toimii asiantuntijana Tilannekuva-ratkaisuja tuottavassa yksikössä. Kirjoittamiseen osallistui Pietari Sarjakivi.