GDPR tuo uusia haasteita lokien hallintaan

Lokien muodostaminen ja hallinta ovat keskeinen osa järjestelmien tietoturvaa ja tietosuojaa. Ratkaisuarkkitehtimme Heikki Järvinen käy läpi, miksi lokien hallinnalla on GDPR:n näkökulmasta merkitystä.

lokienhallinta-gdpr.jpg

Kuten tunnettua, Euroopan unionin yleinen tietosuoja-asetus (GDPR) täsmentää yritysten ja yhteisöjen henkilötietojen käsittelyä ja sen vaatimuksia. Se edellyttää myös aiempaa tiukemmin oletusarvoista ja sisäänrakennettua tietosuojaa henkilörekistereihin ja niitä käsitteleviin tahoihin ja järjestelmiin (mm. Artikla 5 ja 25).

Vaikka siltä saattaisi tuntua, tätä kaikkea ei kuitenkaan ole tehty vain henkilörekisterin pitäjien tai -käsittelijöiden kiusaksi, vaan laajempi ja hyvä tarkoitus on ollut kehittää yleiseurooppalaista digitaalista markkina-aluetta ihmisten ja hyödykkeiden vapaan liikkumisen takaamiseksi. Yhteinen markkina edellyttää yhteisiä pelisääntöjä ja niinpä myös EU-alueen kirjavat käytännöt henkilötietoihin liittyvässä lainsäädännössä tulee tämän ylevän tavoitteen edessä yhtenäistää.

Mutta miten tämä kaikki liittyy lokien hallintaan?

Lokien muodostaminen ja lokien hallinta ovat keskeisessä roolissa, kun tarkastellaan tietojärjestelmien kykyä raportoida ja havainnoida järjestelmissä tapahtuvia toimenpiteitä. Havainnointikyky puolestaan on keskeinen osa järjestelmien tietoturvaa ja tietosuojaa.

Asiasta puhuttaessa käytetään usein myös termiä audit trail, mikä sinällään usein mielletään taloushallinnon termiksi. Sitä se ei kuitenkaan pelkästään ole, vaan audit traililla tarkoitetaan tässä yhteydessä yleisemmin aukotonta tapahtumien kirjausketjua tietojärjestelmässä. Eli menetelmiä, joilla voidaan selvittää tietojen käsittelyyn liittyvät toimenpiteet tietojärjestelmässä tai sen "lähialueilla": kuka lisäsi, haki, päivitti tai tuhosi tietoja (CRUD-operaatiot, sanoisi ATK-henkilö).

Tietojärjestelmän ja sen omistajan (rekisterin pitäjän ja käsittelijän) tulee viimeistään GDPR:n myötä olla "kärryillä", mitä tiedoille tapahtuu ja kuka tietoja käsittelee. Tämä on merkittävä osa oletusarvoista ja sisäänrakennettua tietojen suojaa, jonka pitäisi olla oletusarvoista jo nyt, mutta jonka GDPR viimeistään tuo meidän kaikkien digiarkeen.

Henkilötietojen katselu

Edellä mainitut CRUD-operaatiot (create, read, update, delete) ovat harvemmin kaikilta osin ongelmana tietojärjestelmien lokien kirjoittamiseen liittyen. Erilaisia lokeja syntyy järjestelmissä kyllä jo nykyään "pilvin pimein". Lokeja kirjoitetaan usein vähintäänkin teknisten ongelmien selvittelyä varten (tekniset lokit, integraatioiden lokit jne).

Tietosuojan ja -turvan näkökulmasta ongelmaksi on kuitenkin havaittu henkilötietojen hakuun ts. tietojen katseluun liittyvien lokien puute. Eli R-kohta CRUD-operaatioista uupuu. Henkilötietojen hakua tai tarkastelua ei kaikissa tilanteissa ole tähän mennessä pidetty merkittävänä asiana tai kohtana, jossa laiminlyöntejä tai oikeudettomuutta voisi tapahtua. GDPR muuttaa kuitenkin myös tämän asian luonteen (mm. Artikla 5f).

Henkilötietojen käsittelyn yhdeksi keskeiseksi kysymykseksi nouseekin oikeus tietojen käsittelyyn. Rekisterinpitäjällä on näyttövastuu tästä oikeudesta ja siitä, että oikeudetonta käsittelyä ei ole tapahtunut tai jos on, siitä pitää olla selvillä ja toimia asian edellyttämällä tavalla.

Lokitietojen kerääminen, säilytys ja analysointi 

Kuten aiemmin totesin, lokeja järjestelmissä syntyy jo nyt useisiin paikkoihin. Lisää kuitenkin tarvitaan. Uskonkin, että lokitiedon määrä tulee jatkossa kasvamaan huimasti ja GDPR-näkökulmasta tarkastellen lokeista itsestäänkin saattaa muodostua henkilörekistereitä, mikäli niihin tallentuu henkilötietoja salaamattomassa, pseudo- tai anonymisoimattomassa muodossa. Ongelmana ei kuitenkaan yksinomaan ole lokien suuri määrä tai niissä majailevat henkilötiedot. Lokien hallinnan ja ennen kaikkea tietosuojan ja näyttövelvollisuuden näkökulmasta asiaa tarkasteltaessa keskeiseksi nousee myös lokien kerääminen, säilytys ja tarkastelu. Kuinka siis tarkastella kätevästi, nopeasti ja ennen kaikkea luotettavasti lokien tietoja? Miten varmistutaan siitä, että käyttäjä ei käy siivoamassa oikeudettomien toimiensa aiheuttamia ikäviä lokimerkintöjä? Kuinka löydetään tiedot mahdollisista rikkomuksista, kun lokien massa on valtava? Kysymysten lista on pitkä.

Sopivalta ratkaisulta tähän tuntuisi löyhästi tietojärjestelmän yhteyteen kytketty lokirepository, eli lokisäiliö. Paikka, johon eri tietojärjestelmien muodostamia lokeja voidaan säilöä ja jossa niissä olevaa tietoa voidaan yhteismitallistaa, louhia ja havaita tiedossa mahdollisesti esiintyviä anomalioita ja jopa nostaa poikkeuksista herätteitä/hälytyksiä.

Löyhän kytkennästä tekisi tällaisessa tapauksessa rajapinta, jonka kautta lokeja säiliöön tallennettaisiin. Tietojärjestelmiin tulisi tätä varten rakentaa erilaisia järjestelmän sisäisiä toimintoja "kaappavia" ja lokia kirjoittavia lisäosia (mikäli sellaisia ei valmiiksi ole). Myös lokitietoja säiliöön lähettäviä komponentteja tarvittaisiin. Tietoja vastaanottavan säiliön toiminnallisuuksia puolestaan olisivat lokien turvallinen säilytys, säilytysaikojen valvonta sekä pääsynhallinta, raportit ja hälytykset. Hyvä käyttöliittymä tälle kaikelle olisi myös iloinen asia.

Eri käyttötapaukset ja pääsynhallinta

Asiantuntijajärjestelmien käyttöön liittyy usein keskeisenä käyttötapauksena, paradoksaalista kyllä, myös tiedon käsittely ohi varsinaisen tietojärjestelmän käyttöliittymän. Järjestelmien välillä on tätä varten usein rajapintoja, joista tietoja tuodaan ja viedään. Tuonti ja vienti tapahtuu usein ystävämme Excelin avustuksella ja usein tehdään jopa suoria tietokantakyselyitä tai päivityksiä tietojärjestelmän tietokantaan.

Tämä aiheuttaa oman haasteensa niin pääsyn- kuin lokienkin hallinnalle, jota tässä viitekehyksessä ei voi luotettavasti toteuttaa vain tietojärjestelmän sisään kehitettävien moduleiden varaan. Tästä syystä ohjelmistoarkkitehtuurin muutkin tasot tulisi huomioida lokien hallinnan kehityksessä. Tällaiset rajapinta- ja Excel-operaatiot saattavat muodostaa ongelmia seurannalle myös mahdollisten "yhteiskäyttö-" tai teknisten tunnusten myötä. Sellaisia GDPR ei suvaitse.

Nämä rajapintojen käyttämät tunnukset voivat pahimmillaan majailla ikävästi selkokielisinä myös erilaisissa konfiguraatiotiedostoissa, joihin käyttäjillä saattaa usein olla pääsy tiedostojärjestelmän kautta. Tietosuojan, tietoturvan ja sitä kautta myös GDPR:n mukanaan tuomat haasteet laajenevat siis tietojärjestelmästä ja tietokannasta aina tiedosto- ja käyttöjärjestelmään asti. Lokien hallinnan olisi hyvä pystyä huomioimaan kaikki nämä tasot ja tarjoamaan näkymä lokitietoon tehokkaasti ja oikea-aikaisesti.

Tilaa blogikirjoitukset sähköpostiisi

tietoturva




Heikki Järvinen | Ratkaisuarkkitehti

Heikki Järvinen | Ratkaisuarkkitehti

Heikki on pitkän linjan it-ammattilainen, jota kiinnostaa kyberturvallisuus, tekoäly ja hyvien tietojärjestelmien rakentaminen. Vapaa-ajalla hän innostuu liikunnasta, musiikista ja teknologiasta.

Kirjoittajan kaikki blogitekstit

Tilaa blogikirjoitukset sähköpostiisi


Viimeisimmät kirjoitukset



Seuraa meitä somessa

LinkedIn Twitter Facebook YouTube YouTube