Kumppaniblogi: Tietosuoja-asetus tuli, 25.5. meni, mitä nyt?

25.5.2018 tuli ja meni. Maailma pyörii edelleen, eikä lopulta kovinkaan erilaisena kuin aiemmin. Tietosuoja-asetus (GDPR) on voimassa ja sitä sovelletaan parhaillaan. Tiettyjä asioita tuo päivämäärä muutti ja tiettyihin asioihin tulee jatkossa reagoida, joista lokienhallinta on yksi. Asetuksen myötä sille tuli enemmän painoarvoa mahdollisten sanktioiden muodossa. Parhaimmillakaan tietoturvan suojausratkaisuilla ei kuitenkaan pystytä aukottomasti torjumaan kaikkia uhkia. Kehittyneet haittaohjelmat pyrkivät toimimaan pitkän ajan kuluessa ja huomaamattomasti, joten niiden havaitseminen edellyttää tietoisuutta ja reaaliaikaista tilannekuvaa tapahtumista ja reagointia poikkeamiin.

Lokienhallinta: liiketoiminnan vaatimukset ja IT:n saamat edut

Lokienhallinta ja sen merkitys on kasvanut viime vuosina maailmalla yritysten käsitellessä yhä enemmän liiketoiminnan kannalta kriittistä tietoa. Tämä tarkoittaa myös tietojen suojaamistarvetta erilaisten ratkaisujen tai palveluiden avulla. Nämä ratkaisut taas vastaavasti tuottavat suuria määriä lokitietoa, joka on elintärkeää kiistämättömyyden todentamiseksi. GDPR asettaa entistä vahvemmin velvoitteita yrityksille todistamisen ja todentamisen osalta ja velvoite asioiden todentamisesta on jo realisoitunut asiakkaiden liiketoiminnassa.  GDPR:n myötä  he ovat joutuneet todistamaan toimintansa yhdenmukaisuutta kumppaneilleen, asiakkailleen sekä myös sijoittajille.

IT:n näkökulmasta järjestelmien käyttöönotto ja vikatilanteiden huomaaminen lokitiedoista ennen niiden eskaloitumista parantaa palveluja liiketoiminnan suuntaan, ja siten lisää ketteryyttä,  tuottavuutta ja sujuvoittaa prosesseja. Kukapa tietohallintojohtaja ei haluaisi allokoida resurssejaan vaativampiin ja kehitystehtäviin, kuin vain vikatilanteiden ratkaisuun.

Lokienhallinnan käyttöönotto

Lokienhallinnan ja tietoturvan valvonnan toteuttaminen vaatii ison panostuksen yritykseltä, etenkin silloin, kun se ei ole ydinliiketoimintaa. Lokitietojen keräämisen tulee olla suunniteltua, mitä ja mistä sekä miten ja minne tallennetaan. Suurella määrällä lokitietoja on yleensä myös kustannusvaikutus. Verkkolaitteiden, tietoturvalaitteiden, palvelinten, pilvipalveluiden (esim. AWS, Azure) ja sovellusten tuottama lokimäärä on jo päivätasolla niin suuri, että sen läpikäyminen ja oikean tiedon löytäminen on erittäin vaikeaa olemassa olevilla resursseilla. Tämä kumuloituu yhä suuremmaksi ongelmaksi hyvin nopeasti tallennettujen lokitietojen määrän kasvaen kasvamistaan yritysten sovellusten kehittyessä ja lisääntyessä.

Reaaliaikainen tilannekuva tietoturvasta

Keskitetyn lokienhallinnan ja SIEM-ratkaisun avulla saadaan tarkka tilannekuva siitä, mitä yrityksen IT-ympäristössä tapahtuu. GDPR:n myötä riskit ovat konkretisoituneet yritysten ja organisaatioiden johtoryhmien keskusteluihin. Oikeanlainen tietoturvavalvonta tuottaa johtoryhmälle päätöksien teon tueksi oikeanlaista tietoa, jota voidaan selkeästi käyttää perusteena riskienhallintaan, suunnitteluun, toteuttamiseen ja muutosjohtamiseen. Oletettu tilanne, jossa nollapäivähaavoittuvaisuutta on käytetty hyväksi ja murtauduttu yrityksen sisäiseen resursseihin, realisoi hyvin nopeasti lokitietojen ja tietoturvavalvomon (Security Operations Center, SOC) tärkeyden. Lisäksi kaikki muut sisäverkon poikkeamat tulevat valvomon tietoon.

Ketterä kumppani – joustava malli

Lokienhallinta- ja SIEM-ratkaisu voidaan ottaa käyttöön kohtuullisellakin työpanoksella, niin yrityksen kuin sitä toteuttavan kumppanin toimesta. Yritysten tulee vaatia nopeampaa reagointia eikä säännöstöjen käyttöönottoon voi tuhlautua kuukausia, yrityksen koosta riippuen pikemminkin viikkoja. Suurin ponnistus yrityksen puolelta on päättää ne liiketoiminnan kannalta kriittiset palvelut, jotka ehdottomasti tulee saada valvontaan. Projektin alkuvaihe palvelun osalta on nopeaa, kun se on toteutettu laadukkaasti kumppanin toimesta. Sensorilaitteiston, mahdollisten agenttien ja perussäännöstöjen käyttöönotto asiakkaalle tapahtuu lyhyelläkin aikataululla automatisoinnin avustuksella mahdollistaen siirtymisen valvonnan ensimmäiseen vaiheeseen. Seuraavissa vaiheissa koneäly ja tapahtumien jatkuva analysointi asiantuntijoiden toimesta edesauttaa  false positive -tapahtumien kategorisointiin ja poikkeamien korrelointiin eri järjestelmistä tuoden yritykselle loppukädessä paremman tilannekuvan omaan tietoturvaan. Tällainen palvelu pystyy huomaamaan poikkeamat yrityksen infrasta ja pilvipalveluista, sekä reagoimaan niihin minimoimalla vahingot ja palauttamaan normaalitilanteen. Tämän päälle ketterä palveluorganisaatio tuo suuren hyödyn yritykselle toimivan palvelumallin muodossa. Yritys pystyy vakuuttamaan omaa liiketoimintaansa ja asiakaskuntaa osoittamalla ottavansa tietoturvan vakavasti.

Ja hei, muistakaa, ettei tietomurrot tapahdu vain työaikana tässä globaalissa pelikentässä. Huomioikaa 24/7-palvelujen tärkeys!

#osoitusvelvollisuus #tietosuojavastuu #72h #tilannekuva #SOC # SIEM #lokienhallinta #overseeSOC #247

https://www.fiarone.com/tietoturvakeskus

Lisätietoja: Fiarone Oy

Tero Onttonen, +358 400 274 974, tero.onttonen@fiarone.com