Hero

Slik får du kontroll på GDPR og loggdata i Splunk

Kombiner merking på loggkilder og søk på kjente mønster for personopplysninger for å forenkle jobben med GDPR. Vi viser deg hvordan!

Det er langt mellom norske artikler som beskriver noe praktisk om den nye personvernforordningen, (General Data Protection Regulation, GDPR) hvor du kan brette opp ermene og starte straks.

Og enda mer sjelden en artikkel som angår håndtering av loggdata. Vel, her har du en slik artikkel. I vårt arbeid med IT løsninger over mange år og spesiellt håndtering av store mengder persondata for både offentlige og private virksomheter har vi lært noen grep som vi gjerne vil dele.  Vi beskriver her én problemstilling og to løsningsforslag for å lette arbeidet med å oppfylle pliktene til å følge personvernforordningen for deg som bruker en Splunk-plattformeller lignende systemer.

 

Loggdata er en blindsone for personvern

En digitalt moden organisasjon samler sine loggdata inn i en sentral løsning for logg-aggregering av en eller flere grunner. Det kan være av hensyn til operasjonell innsikt, forretningsmessig analyse, sikkerhet eller av andre grunner. Datavolumet er stort, ustrukturert og har stor variasjon. En økende mengde loggkilder har blitt tatt inn i en jevn strøm over flere år. Og det kommer ikke til å bli mindre data fremover.

Å kartlegge hvilke persondata organisasjonen har og hvor de befinner seg blir en av de nye pliktene etter GDPR-kravene som trår i kraft fra mai 2018.  Vi vil gjerne vite at vi kan svare når personvernombudet banker på og spør:

“Kan du vise meg i hvilke loggkilder det blir skrevet personopplysninger, og hvem som har tilgang til dem?”
Her er to grep du kan gjøre, så du ikke blir svar skyldig og potensielt påfører organisasjonen store bøter.

 

1) Bruk smarte merkelapper for personopplysninger 

Med Splunk kan man berike hver logglinje (event) med en eller flere merkelapper som beskriver de data som er å finne i loggen. Splunk kaller dette for eventtypes.

Vi har gjort det til en del av prosedyren for innlesning av nye loggkilder at den som bestiller loggdata fra sine systemer må opplyse om hvor i loggkildene det er å finne personopplysninger. På bakgrunn av denne informasjonen kan vi sette en merkelapp på alle eventer som inneholder personopplysninger. Vi markerer også hvilken type personopplysning det er.

Søker man opp dataene i Splunk vil man eksempelvis kunne finne følgende:


Ved å sette merkelapper på alle eventer som innholder personopplysninger, og markere hvilken type personopplysning det er snakk om, blir det lettere å ha oversikt.  Med en slik merking presenterer du lett for en systemforvalter eller personvernombudet hvilke loggkilder som inneholder hvilke personopplysninger.  Når man vet hvor personopplysningene befinner seg kan man også vise hvilke brukere og roller som har tilgang til dem i Splunk. (Fremgangsmåte for å vise brukere og roller kommer i en egen artikkel senere.)

Over vises et eksempel på hvordan vi presenterer markerte personopplysninger for et system som vi kaller OurImageApp.

 

2) Redusér antall glemte loggkilder med GDPR-assistenten 

Vi har også laget en søkefunksjonalitet som fungerer som en GDPR-assistent. Assistenten gjenkjenner mønster på enkelte av de personopplysninger som finnes. Denne funksjonaliteten er lett tilgjengelig i Splunk ved hjelp av regulære uttrykk. Selv med utfyllende dokumentasjon og gode prosesser omkring onboarding av nye datakilder til Splunk, vil det skje tilfeller der vi glemmer logginnslag som inneholder personopplysninger. Dermed får vi ikke merket alle logglinjer korrekt.  I tillegg må alle de loggfilene som ble tatt inn for lenge siden, og som jevnt og trutt strømmer inn til Splunk også merkes. Så vi har altså følgende to utfordringer:

  1. Redusere sannsynligheten for at man overser plasser med personopplysninger
  2. Få kontroll på gamle loggkilder allerede lagt inn i Splunk, som ikke er inkludert i dagens prosesss for onboarding av nye data

Hvordan løse disse to utfordringene?

Vår tilnærming er å be systemforvalter opplyse om hvor personopplysninger er å finne i de logger som allerede strømmer inn til Splunk.  I tillegg leter vi opp de øvrige som måtte finnes ved hjelp av kjente mønstre.I tabellen under vises personopplysninger med tilhørende mønster, angitt som et regulært uttrykk, som gjør det mulig å gjenkjenne opplysningen.

Disse kan stadig utbedres for å få størst mulig nøyaktighet.

Personopplysninger med tilhørende mønster  gjør det mulig å gjenkjenne opplysningene. Denne søkefunksjonaliteten blir din GDPR-assissent i Splunk.

 

Assistenten og visualisering gjør det lettere å se blindsonene 

Ved hjelp av søk på kjente mønster laget vi et dashboard som forteller i hvilke loggfiler det potensielt befinner seg personopplysninger. Vi kan visuelt fremstille de plassene som bør kontrolleres ved å sjekke de logginnslag som blir funnet med kjente mønster, opp mot om de som er merket med personopplysninger.

Det vil forekomme personopplysninger som er skrevet på en annerledes måte enn med disse kjente mønstrene. Vi er mennesker, og mennesker gjør feil. Datamaskiner gjør også feil.  Det vil dukke opp mønstre som ligner en personopplysning som ikke er det, såkalte falske-positive.  Derfor utelukker ikke denne fremgangsmåten systemkjennskap og visuell kontroll av logger. Det er grunnen til at vi kaller søkeløsningen for en assistent.  I noen tilfeller vil et funn av en type personopplysning i en loggfil medføre at vi oppdager andre typer personopplysninger i den samme filen. Slik kan assistenten peke i retning av hvor vi bør gå ytterligere etter i sømmene.  Kombinasjonen av merking på loggkilder og søk på kjente mønster for personopplysninger, gjør at vi enklere forvalte disse i tråd med EUs krav og unngå dyre feilsteg.

Nedenfor vises et dashboard hvor brukeren velger tidsperiode og system, og får opp potensielle personopplysninger av ulik type. Den viser om logginnslagene er markert med eventtype, og gir brukeren anledning til å inspisere logginnslagene. Dette letter samhandling mellom Splunk-forvalter og forvalter av fagsystemet.

Dashboard laget på bakgrunn av assistenten gjør det lettere å samhandle mellom ulike fagroller i organisasjonen.

Følger du denne fremgangsmåten kan du få kontroll på blindsonene dine og få bedre kontroll på det det som befinner seg av personopplysninger i bedriftens loggdata.

 

GDPR og deg

Vi håper at disse to grepene vi har delt her inspirerer deg som jobber tett på organisasjonens Splunk-plattform, eller med tilsvarende løsninger for sentralisert logging, til å tenke muligheter opp mot GDPR.  Så sett i gang og kom personvernombudet i forkjøpet.

Jørn Kristian Stensby

Jørn Kristian Stensby
Managing Director (CEO)
Senior Solution Architect
Quotation

Følger du denne fremgangsmåten kan du få kontroll på blindsonene dine og få bedre kontroll på det det som befinner seg av personopplysninger i bedriftens loggdata.

More Articles
Sens Consulting’s presentation at Splunk .conf 2018

Sens Consulting had the pleasure of presenting subjects we are passionate about at Splunk .conf in October. This is the conference where Splunk gathers customers and partners from around the world. This year there were about 9000 people and the arena was Disney World, Orlando, Florida. Thomas and Jørn Kristian from Sens Consulting, together with […]