Tiedonhallintalaki ja kunnan tietoturva: mitä pitää pystyä seuraamaan?

Tiedonhallintalaki ei määrää kuntaa hankkimaan SOC-palvelua tai SIEM-järjestelmää. Se kuitenkin nostaa esiin velvoitteita, joiden käytännön toteutus edellyttää näkyvyyttä tietojärjestelmiin, käyttöoikeuksiin ja tarpeellisiin lokitietoihin.

Tiedonhallintalaki ei ole teknologialista

Valtiovarainministeriön mukaan laki julkisen hallinnon tiedonhallinnasta edistää tiedonhallinnan yhdenmukaistamista, tietoturvallisuutta ja digitalisointia viranomaistoiminnassa. Laki koskee pääasiallisesti kunnallisia viranomaisia, mutta soveltamisessa on rajauksia.

Laki ei määrittele tietoturvaa tuotemerkkien, SOC-palvelun tai SIEM-järjestelmän kautta. Kunnan kannalta kysymys on käytännöllisempi: pystytäänkö tietoturvallisuuden tilaa seuraamaan, käyttöoikeudet pitämään ajan tasalla, keräämään tarpeelliset lokitiedot ja selvittämään poikkeamat?

Mitä tiedonhallintalaki sanoo tietoturvasta?

Tiedonhallintalain 4 luku käsittelee tietoturvallisuutta. Kolme pykälää, jotka liittyvät suoraan valvontaan ovat:

1. 13 §: tiedonhallintayksikön on seurattava toimintaympäristönsä tietoturvallisuuden tilaa ja varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko elinkaaren ajan.

2. 16 §: tietojärjestelmästä vastuussa olevan viranomaisen on määriteltävä käyttöoikeudet käyttäjien tehtäviin liittyvien käyttötarpeiden mukaan ja pidettävä oikeudet ajan tasalla.

3. 17 §: viranomaisen on huolehdittava tarpeellisten lokitietojen keräämisestä tietojärjestelmien käytöstä ja tietojen luovutuksista, kun järjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista.

Näitä kohtia ei kannata tulkita niin, että kaikki mahdollinen lokidata olisi kerättävä kaikista järjestelmistä. Parempi tulkinta on riskiperusteinen: mitkä lokitiedot ovat tarpeellisia kunnan tehtävien, tietojen suojaamisen ja poikkeamien selvittämisen kannalta?

Mitä kannattaa seurata ensin?

Tiedonhallintalaki ei anna valmista lokilähdelistaa. Lähtökohta on tarpeellisuus. Lokien laajuus määritellään järjestelmien kriittisyyden, käsiteltävien tietojen ja riskien perusteella.

Aloittaa voi esimerkiksi näistä viidestä kokonaisuudesta:

1. Kirjautumiset ja tunnusten käyttö: poikkeavat kirjautumismaat, kirjautumispiikit, pääkäyttäjätunnusten käyttö, MFA-poikkeamat ja kirjautumiset tuntemattomista laitteista.

2. Käyttöoikeuksien ja roolien muutokset: pääkäyttäjäoikeudet, ryhmäjäsenyydet, järjestelmäroolit, luottamuksellisten aineistojen oikeudet ja palvelutunnukset.

3. Hallinnolliset tapahtumat: asetusten muutokset, lokituksen muuttaminen, sovellusvaltuutukset, sähköpostin edelleenlähetyssäännöt ja järjestelmänvalvojan tekemät muutokset.

4. Tietojen käsittely ja luovutukset: kuka käsitteli tietoa, milloin, missä järjestelmässä ja oliko käyttö tehtävän mukaista.

5. Verkkoliikenne, palomuuri ja etäyhteydet: epäilyttävät yhteydet, haitalliset kohteet, skannausyritykset, palvelunestohyökkäyksiin viittaava liikenne ja etäyhteyksien väärinkäyttö.

Lokien keruu ei vielä ole lokienhallintaa

Järjestelmistä syntyy jatkuvasti lokitietoja kirjautumisista, käyttöoikeusmuutoksista, tietojen katselusta, integraatioista, palomuuriliikenteestä ja muista tapahtumista. Pelkkä passiivinen säilyttäminen ei kuitenkaan riitä, jos kukaan ei pysty hyödyntämään lokeja mahdollisen poikkeaman selvityksessä.

Microsoft 365 on usein ensimmäinen käytännön kohde

Monessa kunnassa Microsoft 365 ja Entra ID ovat luonteva ensimmäinen valvontakohde, koska sähköposti, Teams, SharePoint, OneDrive ja identiteetit muodostavat arjen työympäristön. Traficomin Kyberturvallisuuskeskuksen M365-varoitus osoittaa, että varastetuilla tunnuksilla voidaan päästä tileille, lukea sähköposteja ja toteuttaa esimerkiksi laskutushuijauksia.

Microsoft 365 -palveluiden valvonta

Jos Microsoft 365 -palvelut ovat teille kriittisiä, lue lisää niiden valvonnasta Light SOC palvelun avulla.

LUE LISÄÄ

Valvonta kannattaa huomioida jo hankinnoissa

Julkri-arviointikriteeristö ja Suositus tietoturvallisuudesta hankinnoissa tukevat hankintojen tietoturvavaatimusten määrittelyä. Jos lokitus- ja valvontavaatimukset unohtuvat tarjouspyynnöstä ja sopimuksesta, niiden lisääminen myöhemmin voi olla kallista tai teknisesti hankalaa.

Hankintavaiheessa kannattaa kirjata, mitä lokitietoja järjestelmä tuottaa, miten lokit saadaan ulos, kuka vastaa niiden säilytystä, voiko lokit toimittaa keskitettyyn valvontaan, miten poikkeamista ilmoitetaan ja miten toimittaja osallistuu selvittämiseen.

Miten Light SOC auttaa tiedonhallintalain näkökulmasta?

Light SOC ei korvaa kunnan omaa tiedonhallintaa, riskienhallintaa tai lakisääteisiä vastuita. Se voi kuitenkin tukea käytännön toteutusta niissä kohdissa, joissa tarvitaan lokien keskittämistä, poikkeamien havainnointia, hälytysten tulkintaa ja raportointia.

Kun kriittiset lokit kootaan hallitusti ja niistä nostetaan olennaiset havainnot, kunta saa paremman tilannekuvan ja pystyy dokumentoimaan, miten poikkeamiin on reagoitu.

Light SOC auttaa kuntia aloittamaan käytännöllisesti: kriittiset lokit yhteen, olennaiset poikkeamat näkyviin ja selkeät toimenpidesuositukset kunnan käyttöön.

Tarkistuslista kunnalle

Toimivan lokienhallinnan pitäisi vastata ainakin seuraaviin kysymyksiin: mistä lokit kerätään, kuinka kauan ne säilytetään, kuka niihin pääsee käsiksi, miten eheys ja luottamuksellisuus varmistetaan, miten poikkeamat havaitaan ja miten havainnot raportoidaan.

Onko tiedossa, mitkä järjestelmät ovat kriittisiä?
Tiedetäänkö, mitä lokitietoja kriittiset järjestelmät tuottavat?
Kerätäänkö kirjautumisista ja käyttöoikeusmuutoksista lokit?
Valvotaanko Microsoft 365- ja Entra ID -ympäristöä?
Saadaanko palomuuri- ja VPN-lokit keskitettyyn seurantaan?
Onko lokien säilytysaika ja käyttöoikeudet määritelty?
Onko poikkeamanhallinnan prosessi sovittu?
Saako johto ymmärrettävän raportin havainnoista?
Onko uusissa hankinnoissa vaadittu lokitusta ja valvontaan liittämistä?

Sovitaanko 30 minuutin demo?

Käydään läpi, millaisia hälytyksiä ja raportteja Light SOC tuottaa, ja miten ne tukevat tietoturvatapahtumien valvontaa. Saat samalla suosituksen sopivasta laajuudesta sekä selkeät seuraavat askeleet omassa ympäristössäsi.

Saattaisit olla kiinnostunut myös näistä artikkeleista:

Hallinnollisen tietoturvan riskit: 8 yleistä puutetta

Kunnan tietoturva: miten valvonta kannattaa aloittaa?

Tietoturvavalvomo kunnalle: milloin kevyt SOC riittää?

Microsoft 365 -valvonta käytännössä: mitä kannattaa seurata ja miten aloittaa kevyesti

Pilviratkaisut

Power Cloud

Konesali ja hosting

Valvontapalvelut

Tukipalvelut

Jatkuvuuspalvelut

Varmistuspalvelut

Light SOC

Verkko- ja pilviturva

IBM i -ympäristön kyberturva

Forcepoint NGFW palomuuri

Palomuuripalvelu

IBM Power

IBM FlashSystem Tallennusratkaisut

Intel palvelinratkaisut

Ohjelmistot