Valtuutetun käyttäjän valtuuttamattomien hakujen tunnistaminen lokianalytiikan keinoin

Abstract

Digitalisoituvan maailman myötä organisaatioiden toimintatavat ja työkalut ovat muuttuneet huomattavasti tietoteknisempään suuntaan. Muutos on koskettanut myös yksilöitä, sillä heistä kerätään nykyisin enemmän dataa, kuin koskaan ennen. Euroopan Unionin Yleinen tietosuoja-asetus (eng. EU General Data Protection Regulation, GDPR) pyrkii tuomaan yksilöiden datan käsittelyyn sen kaipaamaa turvaa. Organisaatioille GDPR toi mukanaan lisää vastuuta ja tarvetta varmistua työntekijöiden valtuutetusta toiminnasta. Valtuutetut käyttäjät voivat asettaa organisaatiolle tietoturvauhan, esimerkiksi väärinkäyttämällä oikeuksiaan tietojärjestelmiin hakemalla tietoja, joihin heillä ei ole valtuutusta. GDPR:n näkökulmasta onkin keskeistä huomioida, että käyttöoikeus järjestelmään ei tarkoita oikeutta käyttää järjestelmistä löytyvää dataa, vaan siihen vaaditaan aina peruste. Yhdeksi keskeiseksi keinoksi tällaisten valtuuttamattomien hakujen tunnistamiseen ja monitorointiin on ehdotettu lokianalytiikkaa. Kuitenkin tietojärjestelmien suuren käyttöasteen takia myös lokitietoa tallentuu paljon, jolloin valtuuttamattoman haun tunnistaminen voi olla haastavaa. Suurten lokitapahtumien määrän lisäksi myös lokien laatu voi asettaa organisaatioille suuria haasteita toteuttaa lokianalytiikkaa. Lokimassan keskeiseksi rajauskriteeriksi valtuuttamattomien hakujen tunnistamisessa havaittiin työntekijöiden poikkeava toiminta. Tämä Pro gradu-tutkielma toteutettiin toimeksiantona yhdelle Suomen suurimmista teleoperaattoreista. Tutkielma seuraa suunnittelutieteellistä tutkimusmenetelmää ja luo sen metodein artefaktina suodatinmallin. Suodatinmalli koostuu 12 suodattimesta, joiden avulla organisaatioiden on mahdollista tehdä poikkeavia hakuja nostavia suo-datuksia analysoitavaan lokimassaan, joka edelleen mahdollistaisi valtuuttamattomien hakujen tunnistamisen. Tutkielma esittää myös perustelut lokianalytiikan suorittamiselle, sekä sille miksi lokien laatuun huomion kiinnittämistä voidaan pitää keskeisenä lokianalytiikan näkökulmasta.

The way of working has changed in the past decade due to the digitalization that is happening across the world. The change has also affected individuals, since their data is being processed more than ever before. European Union’s General Data Protection Regulation has brought the much-needed security to individual’s data processing. To organizations GDPR has given more responsibility and a bigger need to ensure that their employees are acting based on authorizations. However, it has been detected that users can create an information security threat to organizations for example by misusing their accesses to information systems and searching for data that they do not have an authorization for. From GDPR’s perspective it is crucial to understand that having an authorized access to information systems does not equal to authorized usage of the data. One of the most significant tools for detecting and monitoring this type of unauthorized searches is log analytics. However, information systems are widely used in organizations, and this leads to significant amount of log events being generated, which can set a challenge to detecting unauthorized searches. Besides significant amounts of log events also log quality can set a challenge on organization’s log analytics. It was acknowledged that filtering log events of employee’s abnormal behavior can help detect unauthorized events. This Master thesis was carried out as an assignment for one of the biggest telecom operators acting in Finland. This thesis follows the design science method and creates a filtering model as an artefact. The filtering model includes 12 filters and offers filters that will help to raise abnormal events from the log events that are being analyzed, helping to detect unauthorized searches. This thesis also justifies the need for log analytics and explains why log quality is a significant factor for log analytics’ effectiveness.