Logning

Logning er den automatiserede registrering af begivenheder i IT-systemer, der skaber et sporbart audit trail over, hvem der har gjort hvad, hvornår. Logs er afgørende for at opdage sikkerhedshændelser i tide og for at kunne efterforske og dokumentere brud efterfølgende.

Tilbage til ordbog

Hvad er sikkerhedslogning?

Sikkerhedslogning er registreringen af sikkerhedsrelevante begivenheder i systemer, applikationer og netværksinfrastruktur. Logs indeholder typisk oplysninger om hvem (bruger-ID), hvad (handling), hvornår (tidsstempel), hvorfra (IP-adresse/enhed) og om handlingen lykkedes.

Logs tjener to primære formål: detektion (at opdage angreb og mistænkelig aktivitet i næsten realtid) og forensics (at efterforske og dokumentere hvad der skete under og efter en sikkerhedshændelse).

Hvad skal logges?

Best practice er at logge som minimum:

Autentificeringshændelser: Login, logout, mislykkede forsøg og MFA-brug.
Adgang til følsomme data: Al adgang til og ændringer af følsomme data og systemer.
Administrative handlinger: Privilegeret adgang og administrative operationer.
Systemhændelser: Opstart, nedlukning og fejltilstande.
Konfigurationsændringer: Ændringer i system- eller applikationsindstillinger.
Netværkshændelser: Firewall-blokering, DNS-opslag og anden netværksaktivitet.

Regulatoriske krav til logning

GDPR kræver ikke specifikt logning, men accountability-princippet og kravene til passende sikkerhedsforanstaltninger og evnen til at opdage og dokumentere brud indebærer i praksis, at logning er nødvendig. ISO 27001 Annex A kontrol 8.15 kræver logning, og kontrol 8.16 kræver overvågningsaktiviteter. NIS2 kræver teknisk overvågning af systemer som del af risikostyringskravene.

Logs er persondata: Husk at logs, der indeholder IP-adresser eller bruger-ID'er, typisk er persondata. GDPRs krav om opbevaringsbegrænsning gælder – behold logs så længe de er nødvendige til sikkerhedsformål, men ikke længere.

Opbevaring og beskyttelse af logs

Logs skal opbevares sikkert og beskyttes mod manipulation. Best practice inkluderer: centraliseret logopsamling, skrivebeskyttede log-lagre, kryptering af logs og adgangskontrol til logdataene. Opbevaringsperioden bør afspejle behovet for forensisk analyse – typisk 6-12 måneder aktivt og 1-2 år i arkiv.

Ofte stillede spørgsmål om logning

Hvad er sikkerhedslogning?

Sikkerhedslogning er den automatiserede registrering af sikkerhedsrelevante begivenheder i IT-systemer – som logins, adgang til data og konfigurationsændringer – der skaber et audit trail til detektion og efterforskning.

Hvad bør logges ifølge best practice?

Som minimum bør organisationer logge autentificeringshændelser, adgang til følsomme data, administrative handlinger, systemhændelser, konfigurationsændringer og netværkshændelser som firewall-blokeringer og DNS-opslag.

Kræver GDPR logning?

GDPR kræver ikke specifikt logning, men accountability-princippet og forpligtelsen til at implementere passende sikkerhedsforanstaltninger og opdage brud betyder, at logning i praksis er nødvendig for compliance.

Hvad siger ISO 27001 om logning?

ISO 27001 Annex A kontrol 8.15 kræver hændelseslogning, og kontrol 8.16 kræver overvågningsaktiviteter. Tilsammen etablerer disse kontroller et krav om omfattende sikkerhedslogning og -gennemgang.

Hvor længe skal logs opbevares?

Opbevaringsperioden bør afspejle behovet for forensisk analyse – typisk 6-12 måneders aktiv opbevaring og 1-2 år i arkiv. Under GDPR bør logs ikke opbevares længere end nødvendigt til sikkerhedsformålet.