Så här samlar du in och använder loggdata | Traficom
Hoppa till huvudinnehåll
Cybersäkerhetscentret
Anmäl kränkningar
Anmäl kränkningar
Anmäl kränkningar

Så här samlar du in och använder loggdata

Loggning innebär att man sparar och använder sig av loggdata. Dessa behövs för att ta reda på vad som har hänt, varför och när. Loggdata samlas in av enheter som är anslutna till internet och av operatörer. Dessa anvisningar är avsedda för organisationer som har kompetens inom informationssäkerhet i huset.

En logg är en fil där händelser och orsaker till dem registreras i kronologisk ordning. Händelser och ändringar i datasystem, applikationer, datanät och datainnehåll registreras i loggen, dvs. loggas.

Loggar uppstår överallt hela tiden. Din dator samlar in en användningslogg, basstationer för det trådlösa nätverket och routrar i det fasta nätet sparar händelseloggar, din telefonoperatör registrerar kommunikationsloggar, dina vardagliga program skapar åtkomstloggar, felloggar och så vidare..

Ingredienserna för en tillräckligt bra logg

  • Steg 1

    Tidsstämpel

    Registrera händelsens tidpunkt i loggen.

  • Steg 2

    Händelse och aktör

    Registrera i loggen vad man gjorde eller försökte göra och vem som gjorde det.

  • Steg 3

    Behörighet

    Registrera i loggen vilka rättigheter eller vilken behörighet som användes.

  • Steg 4

    Händelsens källa

    Registrera i loggen varifrån händelsen gjordes och varifrån ändringsuppgiften kommer.

  • Steg 5

    Händelsens status

    Registrera i loggen om aktören lyckades med sin avsikt. Om inte, registrera orsaken till misslyckandet.

TÄNK PÅ DATASKYDDET

En logg kan också innehålla personuppgifter, varvid behandlingen måste ske enligt EU:s dataskyddsförordning. Enligt principen om uppgiftsminimering i förordningen ska personuppgifter vara begränsade till det som är nödvändigt i förhållande till de användningsändamål för vilka uppgifterna behandlas. En dataskyddsbeskrivning ska upprättas för de personuppgifter som systemet innehåller.

En alltför detaljerad händelseuppföljning i kombination med identifierbara personer kan strida mot individens dataskydd.

Spara i regel inte följande uppgifter i loggen

  • personbeteckningar
  • särskilda kategorier av personuppgifter enligt EU:s dataskyddsförordning (s.k. känsliga uppgifter)
  • kreditkortsnummer
  • lösenord (inte ens i komprimerad form)
  • hårdvarunycklar och hemliga uppgifter mellan systemen
  • uppgifter om behörighet
  • innehåll i kommunikationen mellan personer.

Loggarna kan klassificeras enligt sin form samt sitt användningsändamål och användningssätt.

Med en underhållslogg samlar man in data om ändringar i systemets funktion och behörigheterna till systemet samt administrerar felsituationer. En sådan logg är nödvändig vid versionshantering och uppföljning av verksamhetsmiljöns övergripande arkitektur.

En användningslogg eller händelselogg är antagligen den vanligaste och mest nödvändiga typen av logg. Där registreras användarnas in- och utloggningar och data om andra normala processer i systemet. Modulerna i systemet lämnar spår i användningsloggen när de anropar andra moduler. Även utskriftshändelser och läsning av datainnehåll i databasen registreras i användningsloggen.

I ändringsloggen registreras när uppgifter läggs till, raderas och ändras. När ursprunget av den ändrade uppgiften framgår av loggningarna kan man vid behov spåra uppgiften och kontrollera att den är korrekt.

En fellogg är särskilt användbar när man behöver utreda problem. När orsaken till felet registreras i loggen så noggrant som möjligt blir orsaken också lättare att åtgärda.

Det finns även andra allmänt använda loggformer. En kommunikationslogg kan innehålla data om den kommunikation man haft: meddelandets ursprung, slutpunkt och andra uppgifter såsom tidpunkt, antal, entydig identifierare och status. Teleidentifieringsuppgifter är ett exempel på sådana kommunikationsloggdata. De vanligaste e-postservrarna är inställda för att registrera en kommunikationslogg.

Av en innehavarlogg framgår vem som haft en viss webbadress, ett telefonnummer, ett domännamn eller en hyrbil vid en viss tidpunkt. Uppgiften om innehavaren kan kopplas direkt till en person, en organisation eller ett system.

 

Att skräddarsy en logg

  • Steg 1

    Hur mycket är lagom?

    Rätt mängd loggdata att spara hittar du enklast genom att pröva dig fram. Börja försiktigt och gör sedan datainsamlingen mer detaljerad efter behov. Om du gör loggningen för omfattande vid införandet, stockar sig systemet snabbt och det blir svårt att sålla fram nyttiga data bland massan. Principen om uppgiftsminimering enligt EU:s dataskyddsförordning kräver att personuppgifter endast ska behandlas om det är nödvändigt.

  • Steg 2

    Loggarnas lagringstid

    Vad som utgör en tillräcklig lagringstid för loggarna beror på det objekt som ska skyddas. I regel varierar tiden mellan sex och 24 månader. I dataskyddsförordningen fastställs inga exakta lagringstider för personuppgifter. Den personuppgiftsansvarige ska bedöma hur länge personuppgifterna ska förvaras och hur nödvändiga de är med tanke på ändamålet i fråga. Personuppgifter får endast lagras så länge som det är nödvändigt för ändamålet för behandlingen. Den personuppgiftsansvarige ska kunna bedöma och motivera lagringstiderna.

  • Steg 3

    Arkivering och radering

    Genom att arkivera loggdata säkerställs möjligheten att även kunna gå tillbaka till äldre observationer, som man till exempel av utrymmesskäl inte kan lagra i en logg som används aktivt.

    Uppgifterna ska i regel raderas eller anonymiseras när det inte längre finns behov av att behandla dem. Loggdata har i allmänhet en livscykel, i slutet av vilken datan inte längre behövs och det är inte heller nödvändigt att bevara dem. Det bör också finnas ett förfarande för att radera loggdata.

  • Steg 4

    Ansvar vid logghantering

    För hanteringen av loggarna ansvarar i första hand de administratörer som utsetts för detta. För att säkerställa öppenheten bör enskilda administratörer inte ha redigeringsbehörighet till det centraliserade logghanteringssystemet.

    De ändamål som loggdata får samlas in och användas för bestäms i loggbeskrivningen. Det ska finnas en grund för all loggdata som samlas in. Loggarnas säkerhet och ändamålsenlighet ska auditeras regelbundet. Administratörerna följer de loggar som de behöver, de informationssäkerhetsansvariga följer loggar som gäller säkerheten och i sista hand är det organisationens högsta ledning som har ansvar för loggdatan.

  • Steg 5

    Ett lösenord som registrerats på fel ställe förblir synligt

    I inloggningsloggen sparas vanligtvis både lyckade och misslyckade inloggningsförsök. Som identifieringsuppgift vid inloggningen sparas till exempel användarnamnet, tidpunkten och adressen för inloggningsförsöket. Även misslyckade inloggningsförsök blir registrerade och kan läsas i loggen. Hur ofta har du råkat ange ditt lösenord i stället för användarnamnet och tryckt på Enter? Lösenordet finns nu i en logg där administratören kan läsa den i klartext. Det är alltid bra att byta ett lösenord som råkat hamna på ett synligt ställe.

  • Steg 6

    Tänk på dataskyddet

    En logg kan också innehålla personuppgifter, varvid EU:s dataskyddsförordning måste följas vid behandlingen. Enligt principen om uppgiftsminimering i förordningen ska personuppgifter vara begränsade till det som är nödvändigt i förhållande till de användningsändamål för vilka uppgifterna behandlas. En dataskyddsbeskrivning ska upprättas för de personuppgifter som systemet innehåller. 

    En alltför detaljerad händelseuppföljning i kombination med identifierbara personer kan strida mot individens dataskydd.

  • Steg 7

    Åtkomstkontroll

    Behandling av loggar förutsätter en genomtänkt åtkomstkontroll. Loggarna och registreringstjänsterna skyddas bäst mot obehörig användning genom att skapa en loggmiljö som är fristående från den övriga produktionsmiljön och vars integritet, dvs. oföränderlighet, har säkerställts.

    Framför allt ska man se till att systemet separeras från den övriga miljön så att en eventuell säkerhetsöverträdelse inte kan påverka logghändelsernas integritet. Det är också bra att även säkerhetskopiera loggdatan och registrera behandlingen av dem samt ställa in ett larm som varnar vid obehöriga redigeringsförsök.

Loggbehandlingen ska grunda sig på lagstiftning

Lagstiftningen ställer krav på loggens innehåll, lagringstid, hur integriteten hos loggdata säkerställs och loggens användningsändamål.

Loggar behövs till exempel för att säkerställa att datasystemen fungerar, statistikföra användningen av systemen och sörja för dataskyddet. Insamlingen och behandlingen av loggar ska grunda sig på lagstiftning.

Eftersom det finns olika typer av loggar, beror behandlingssättet och behandlingsrätten på den typ av data som loggen innehåller och det ändamål som loggen ursprungligen samlats in för.

De krav som lagstiftningen ställer på loggar hänför sig till innehållet, lagringstiden, hur integriteten hos loggdata säkerställs samt loggdatans användningsändamål. Vid behandling av loggarna ska man dessutom beakta organisationens eventuella interna anvisningar.

Personuppgifter gör loggen till ett personregister

Om loggdatan innehåller personuppgifter bildar loggen ett personregister. Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person (en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Då måste man ta hänsyn särskilt till de skyldigheter som fastställs i EU:s allmänna dataskyddsförordning och till exempel upprätta ett register över behandlingen av personuppgifter.

Till exempel namn och e-postadress anses som personuppgifter när de är kopplade till loggdata. Även en IP-adress kan i vissa fall anses som personuppgift.

När det gäller behandlingen av en logg som innehåller förmedlingsuppgifter för elektronisk kommunikation ska loggdatan behandlas enligt 17 kap. i lagen om tjänster inom elektronisk kommunikation. Förmedlingsuppgifter är till exempel uppgifter om avsändaren och mottagaren av ett e-postmeddelande, webbadress, uppgifter om förbindelsens längd, routing, tidpunkt och överförd datamängd.

Avser man att använda loggen eller det tekniska system som producerar den för att övervaka personalen till exempel för att skydda företagshemligheter eller utreda fall av missbruk, tillämpas de så kallade Lex Nokia-paragraferna i 18 kap. i lagen om tjänster inom elektronisk kommunikation vid användningen av loggen. I så fall ska även användarna informeras om förfarandet. Dessutom ska arbetsgivaren ordna ett samarbetsförfarande.

Logghanteringen ska begränsas så att inte alla loggar eller ens data i enskilda loggar är tillgängliga för alla. Åtkomsten bör alltså begränsas till exempel på basis av personens informationsbehov utifrån arbetsuppgifterna. Detta krav på nödvändighet, även kallad "need to know basis", finns med både i principerna i EU:s dataskyddsförordning och i lagen om tjänster inom elektronisk kommunikation.

Checklista för loggföraren

För att kunna bygga en logg och hantera logguppgifter på rätt sätt krävs omsorgsfull planering, en tydlig process och tydliga anvisningar. Här är en liten checklista för loggföraren som hjälp på vägen mot ett lyckat loggprojekt:

  • Fundera på syftet med loggningen.
  • Är de uppgifter som lagras i loggen nödvändiga med tanke på användningsändamålet?
  • Kom ihåg lagkraven för olika typer av loggar.
  • Behandla logguppgifterna enligt på förhand fastställda system och metoder.
  • Radera en uppgift som inte längre behövs.
  • Definiera behörigheterna utifrån informationsbehovet.
  • Tänk på de registrerades och administratörernas dataskydd och rättsskydd.
  • Informera användarna i en tillräcklig omfattning, framför allt när det gäller teknisk övervakning. Kom också ihåg samarbetsförfarandet.

Behandlingskraven för loggar grundar sig bland annat på följande lagstiftning

Europaparlamentets och rådets förordning (EU) 2016/679

Dataskyddslag

Lag om integritetsskydd i arbetslivet

Lag om tjänster inom elektronisk kommunikation

Offentliga samfund omfattas dessutom även av

Lag om offentlighet i myndigheternas verksamhet

Förordning om offentlighet och god informationshantering i myndigheternas verksamhet

Arkivlag

Statsrådets förordning om informationssäkerheten inom statsförvaltningen

Tvångsmedelslag

Polislag

Vad är SIEM (Security Information and Event Management)?

Oftast talar man om SIEM som en säkerhetsprodukt som sammanför data från flera befintliga system. Detta tankesätt ger dock inte så stort mervärde för den som inför SIEM som den skulle kunna erbjuda som bäst. Logghantering och SIEM bör i första hand ses som en process eller ett sätt att hantera informationssäkerhet som gör det möjligt att samla in data från flera system som är inte är direkt beroende av varandra. Insamlade data antingen lagras eller behandlas på en centraliserad plats, vilket gör det möjligt att upptäcka större händelser som består av flera mindre delar. Den främsta styrkan hos SIEM ligger just i möjligheten att visa och korrelera information på en centraliserad punkt.

Den största missuppfattningen om SIEM är antagandet om att det handlar om en färdig produkt som ger mervärde enbart genom sin existens. På detta sätt uppnås dock sällan ett betydande mervärde eller en utvecklad lägesbild.

Införande av centraliserad logghantering

Det viktigaste är att först definiera en policy för logghantering. Vad man ska logga, på vilket sätt och framför allt vad man ska göra med den insamlade loggen. Ett av de centrala problemen med logghantering är det enorma antalet händelser. Det leder mycket snabbt till att systemadministratörerna inte längre kan göra sökningar i loggmassan på ett effektivt sätt. När man inför en centraliserad logghantering ska man noggrant fastställa varför denna åtgärd vidtas.

Ett centraliserat logghanteringssystem kan till exempel tas i bruk på grund av att detta krävs enligt en kravspecifikation. Då ska man inte att försöka bygga upp ett onödigt tungt system, om organisationen som helhet inte är beredd att övergå till en SIEM-process. Dessutom ska man förhålla sig skeptisk till marknadsföringsmaterial där det påstås att organisationen direkt skulle uppfylla en viss kravspecifikation om SIEM-produkten införs. Detta är i praktiken alltid bara ett marknadsföringsargument som man inte ska tro på utan vidare. När man inför en centraliserad logghantering och i synnerhet SIEM är det ofta en fördel att skynda långsamt. I praktiken innebär detta att man ska gradvis öka antalet loggkällor och samtidigt utveckla de egna arbetsmetoderna inom ramen för resurserna. Ofta kan det vara bra att börja i mindre skala innan man skaffar ett SIEM-system. Man kan exempelvis sätta upp enskilda loggar på en server och prova göra sökningar i loggarna med olika enklare verktyg.

Logghantering i praktiken

En centraliserad logghantering och SIEM kan inte ensam revolutionera informationssäkerheten i en organisation. Även om organisationen skulle lägga resurser på systemet (anskaffning, installation och anslutning av källsystem) bör man inte förvänta sig att SIEM-systemet ensamt producerar larm eller observationer. Det är sant att framför allt kommersiella SIEM-produkter innehåller färdiga identifieringsuppgifter som gör det möjligt att upptäcka skadliga händelser. Varje organisation har en unik IT-miljö, och färdiga allmänna identifierare räcker inte för att tillföra ett betydande mervärde utöver antivirusprogrammen. En viss händelsekedja som ser ut som ett angrepp i en miljö kan utgöra en del av det normala händelseförloppet i en annan.

Sidan är senast uppdaterad