Kriittisessä infrastruktuurissa tallenne ilman audit trailia on vain puolikas todiste. Kyberturvallisuuskeskuksen mukaan lokitus tarkoittaa lokitietojen tallennusta ja hyödyntämistä, ja sitä tarvitaan selvittämään, mitä, miksi ja milloin jotakin tapahtui. Tämä pätee suoraan myös kameravalvontaan, kun järjestelmä on osa kriittistä toimintaa.
Mitä kriittisessä kohteessa pitää pystyä jäljittämään?
Pelkkä kuva ei riitä. Tarvitaan tieto siitä, kuka kirjautui järjestelmään, kuka katsoi tai vei tallenteen, miten hälytys syntyi, mihin integraatioon se välittyi ja mitä päätöksiä tai toimenpiteitä tapahtumasta seurasi.
Audit trail ja lokitus kriittisessä infrassa:
- Jokainen kirjautuminen, tallenteen katselu ja muutos lokiin
- Tamperproof-tallennus: lokia ei voi muuttaa jälkikäteen
- Loki vietävissä CSV/PDF-muotoon viranomaistarkastukseen
- Säilytysaika lokille: yleensä 12 kk sääntelyvaatimusten mukaan
- Integraatio SIEM-järjestelmään kyberturvallisuuden seurantaan
Miten audit trail tukee viranomaistarkastuksia?
Kun tapahtumaketju on lokitettu kunnolla, järjestelmä tukee sekä poikkeamien selvittämistä että sisäistä tai ulkoista auditointia. Tämä erottaa kriittisen kohteen perusyritysympäristöstä.
Miksi lokitus pitää suunnitella etukäteen?
Lokitietoa on oltava riittävästi, mutta sen pitää myös olla käyttökelpoista. Jos lokitus on hajallaan, liian lyhytkestoista tai epäselvästi rajattua, se ei auta juuri silloin, kun sitä eniten tarvittaisiin.
Tee videokuva todistuskelpoiseksi kattavalla lokituksella
NIS2-vaatimusten mukainen audit trail – kuka katsoi, mitä teki, milloin.
Pyydä infrakartoitusMilloin audit trail on kriittisessä kohteessa välttämätön?
Audit trail on välttämätön silloin, kun kohde kuuluu NIS2:n tai CER-lain soveltamisalaan, poikkeamat pitää pystyä selvittämään viranomaiselle tai sisäiselle auditoinnille, tai etäkäyttö on osa järjestelmän normaalia toimintaa.
