استجابة الحوادث والتسرب

1) الغرض والمبادئ والنطاق

الهدف: الحد من الأضرار والمخاطر القانونية، وضمان استمرارية العمليات وإمكانية إثبات الإجراءات في حالة الحوادث الأمنية/حوادث الامتثال.
المبادئ: «تحتوي بسرعة → تؤكد بدقة → توثق بشفافية → إخطار قانوني → منع التكرار».
التغطية: حوادث الإنترنت (DDoS، ATO، الاختراقات، نقاط الضعف)، تسريبات بيانات PII/الدفع، انتهاكات AML/KYC/العقوبات، إخفاقات المزودين (KYC/PSP)، حوادث الإعلان/الألعاب المسؤولة (RG)، الشركاء المعرضون.

2) تصنيف الشدة والمحفزات

3) تصعيد جيش تحرير السودان و «جسر الحوادث»

البدء: تنشئ High/Critical غرفة حرب (دردشة/مكالمة)، وتعين قائدًا للحوادث (IC).

SLA: Info - n/a; منخفضة - 24 ساعة ؛ متوسطة - 4 ч ؛ مرتفع - 1 ح ؛ حرج - 15 دقيقة

أدوار الجسر: IC، Security Lead، SRE/Ops، الامتثال (نائب IC للشرعية)، Legal/DPO، المدفوعات/FRM، الدعم/VIP، العلاقات العامة/الاتصالات، البيانات/الطب الشرعي.

4) عملية الاستجابة (مكدس SANS/NIST في التكيف)

1. التحضير: الجداول، قوائم الاتصال، مزودي النسخ الاحتياطي، تنبيهات الاختبار، الوصول «الافتراضي المغلق».
2. تحديد الهوية: ارتباطات SIEM/SOAR، قواعد مكافحة الاحتيال، إشارات KRI ؛ تأكيد الوقائع/الحجم.
3. الاحتواء: التجزئة، تعطيل الميزة الضعيفة/نقطة النهاية، القيود الجغرافية، أعلام الميزات، الحدود الزمنية/الانتظار.
4. القضاء (الاستئصال): التصحيح/دوران المفتاح، كتلة الحسابات/الأجهزة، تنظيف القطع الأثرية الضارة، إعادة تجميع الصور.
5. الاسترداد: التحقق من السلامة، والإدراج التدريجي لحركة المرور (برك الكناري)، ومراقبة الانحدار.
6. ما بعد الحادث: تشريح الجثة ≤72 ح، خطة CAPA، تحديث السياسات/العتبات/النماذج.

5) الإخطارات القانونية والاتصالات الخارجية

• مراقبة البيانات (DPA): تسرب مؤكد لـ PII → إخطار (وصف الحادث، فئات البيانات، المقاييس، الاتصال بـ DPO).
• منظم المقامرة: انتهاكات جسيمة لقواعد/إخفاقات RG/الإعلان التي تؤثر على اللاعبين/الإبلاغ.
• البنوك/PSP: حالات نشاط مشبوهة/SAR، عمليات تحميل ضخمة، حل وسط لتدفق الدفع.
• المستخدمون: تسرب بياناتهم/ارتفاع مخاطر الضرر ؛ نماذج الحروف والأسئلة الشائعة.
• الشركاء/البائعون: حوادث معهم أو معنا تؤثر على التدفقات/البيانات المشتركة.

قواعد الاتصال: متحدث واحد، حقائق بدون تخمين، إجراءات/توصيات واضحة، تخزين جميع إصدارات الرسائل والإجابات.

6) الطب الشرعي و «سلسلة الحجز» (سلسلة الحجز)

تسجيل من/متى/ما تم جمعه ؛ استخدام WORM/التخزين غير القابل للتعديل.
لقطات الحجم/السجل، وتصدير القطع الأثرية عن طريق التجزئة (SHA-256).
الوصول للقراءة فقط، والعمل من خلال النسخ المكررة.
توثيق جميع الأوامر/الخطوات ؛ تخزين الجدول الزمني.
الاتفاق مع الإدارة القانونية/إدارة شؤون الموظفين بشأن شروط نقل القطع الأثرية إلى أطراف ثالثة.

7) الاتصالات الخاضعة للرقابة (الداخلية/الخارجية)

هل: موجز، وقائعي، متفق عليه مع المحكمة الجنائية الدولية/الشؤون القانونية ؛ حدد فتحة التحديث التالية (على سبيل المثال كل 60 دقيقة).
لا تفعل: فرضيات كحقائق، إفصاحات PII، مزاعم، وعود بمواعيد نهائية دون رادع.

• ماذا حدث ؟/الشدة/منطقة النفوذ/التدابير المتخذة/الخطوات التالية/التحديث التالي في...

8) دليل المجال النموذجي "و

أ) تسرب مؤشر الاستثمار الدولي (طلب/خلفية/بائع)

1. ≤15 الجسر → دقيقة لتجميد النقاط النهائية/المفاتيح المشبوهة → زيادة مراجعة الوصول إلى البيانات.
2. المعدل: تحديد مصدر/حجم/أنواع مؤشر الاستثمار الدولي، الخط الزمني.
3. الإجراءات: تناوب الأسرار، والإصلاحات، وتنقيح الحقوق، وعزل البائع.
4. الإخطارات: إدارة الشؤون السياسية/الجهة التنظيمية/المستعملون/الشركاء (حسب الاقتضاء).
5. دعم اللاعب: الأسئلة الشائعة، قناة الدعم، التوصيات (تغيير كلمة المرور/الاحتيال).
6. بعد الوفاة و CAPA.

ب) حل وسط لحسابات اللاعبين (ATO/حشو أوراق الاعتماد)

1. ارتفاع في إشارات ATO → تضخيم معدل limit/2FA-enforce/WebAuthn، كتل إخراج مؤقتة.
2. تجميع الأجهزة/الملكية الفكرية، وإرسال الإشعارات إلى المتضررين، وإعادة ضبط الرموز.
3. تحقق من المعاملات المالية، SAR إذا لزم الأمر.

ج) رفض شركة CUS/مقدم الجزاءات

1. قم بالتبديل إلى المزود الاحتياطي، وحد من المخرجات السريعة، والتدفق اليدوي لكبار الشخصيات.
2. الاتصال من أجل الدعم ومديري كبار الشخصيات ؛ أثناء التشديد - إبلاغ المنظم/المصارف (إذا كان يؤثر على الشيكات).

د) PSP/حادثة الدفع (استرداد التكاليف/حل وسط)

1. تمكين 3DS/AVS الصارمة وحدود الإسقاط وقواعد السرعة ؛ المجموعات المعرضة للخطر.
2. إبلاغ PSP/bank ؛ مع علامات الغسيل - EDD/SAR.
3. استرداد ومراجعة حركة المرور المرفوضة.

هاء) DDoS/عدم توافر

1. تفعيل WAF/geo-supting/scruping ؛ إطلاق «الصقيع».
2. إدراج الكناري في المناطق، ومراقبة الأحياء الفقيرة ؛ بعد الوفاة على المرونة.

9) الأدوات والتحف

SIEM/SOAR، IDS/IPS، WAF، EDR، DLP، المدير السري، تناوب القبو، الكشف عن شذوذ مكافحة الاحتيال، سجل الحوادث، نماذج الإخطار.
القطع الأثرية: سجل الحوادث، بروتوكول الجسر (الجدول الزمني)، تقرير الطب الشرعي، حزمة الإخطار (المنظم/المستخدمون/البنوك)، تشريح الجثة، متتبع CAPA.

10) المقاييس والأهداف

MTTD (وقت الكشف)، MTTC (قبل الاحتواء)، MTTR (قبل الاسترداد).
النسبة المئوية للحوادث ذات الأسباب الجذرية الثابتة ≥ 90 في المائة.
معدل إكمال CAPA ≥ 95٪.
نسبة الحوادث المتكررة للسبب نفسه ≤ 5٪.
نسبة الحوادث المغلقة في جيش تحرير السودان: متوسطة ≥ 90٪، مرتفعة ≥ 95٪، حرجة ≥ 99٪.

11) RACI (موسع)

قائد الحادث (Ops/Sec): A للإدارة واتخاذ القرار والجدول الزمني.
قائد الأمن (R): التكنولوجيا. التحليل والطب الشرعي والاحتواء/الاستئصال.
الامتثال/DPO (R/A للشرعية): أهلية التسريب، الإخطارات، القائمة البريدية.
(جيم): التقييم القانوني، والعقود/العقود، وصياغة الرسائل.
SRE/Engineering (R): الإصلاحات، الانسحابات، الاستقرار.
المدفوعات/إدارة الموارد المالية (R): معلقة، عتبة مكافحة الاحتيال، التفاعل مع PSP/البنوك.
العلاقات العامة/الاتصالات (R): رسائل خارجية، أسئلة وأجوبة للدعم.
الدعم/كبار الشخصيات (I/C): أمام التواصل مع اللاعبين.

12) النماذج (المجموعة الدنيا)

12. 1 بطاقة الحادث (سجل)

ID· وقت الاكتشاف· الفئة/الشدة المتأثرة· (الأنظمة/البيانات/الاختصاصات)· IC· مالك التكنولوجيا/الأعمال التجارية· التدابير الأولى· الحجم/تقييم الضرر· الإشعارات (إلى/متى)· الروابط إلى القطع الأثرية· الحالة/CAPA/المواعيد النهائية.

12. 2 إخطار للمستخدمين (ضغط)

ماذا حدث؟ وما هي البيانات التي يمكن أن تكون قد تأثرت ؛ وما فعلناه ؛ وما نوصي به لكم ؛ جهات الاتصال مرجع السياسة العامة/الأسئلة الشائعة.

12. 3 بعد الوفاة (هيكل)

الحقائق/الجدول الزمني· تأثير السبب الجذري (5 Whys)· ما نجح/لم ينجح· CAPA (المالك/الموعد النهائي)· التحقق من الفعالية بعد أسابيع N.

13) التكامل مع العمليات والامتثال

CAB/Change: تغييرات خطيرة - فقط من خلال أعلام/جزر الكناري المميزة ؛ كل إصدار لديه خطة التراجع.
البيانات والإبلاغ: التجميع التلقائي للوحات متابعة الحوادث ؛ الاتصال بمؤسسات حقوق الإنسان الكورية (الجزاءات/PEP، KYC، CBR، ATO).
المخاطر: تحديث مصفوفة المخاطر وتسجيلها، ومعايرة العتبات بعد كل حادث كبير.

14) التمارين والاستعداد

طاولة مرة واحدة في الربع (تسرب PII، فشل KYC، موجة ATO، حادثة PSP).
فحوصات الفريق الأحمر/الأزرق/الأرجواني ؛ تمارين مشتركة مع البائعين و PSP.
التأهب: النسبة المئوية للموظفين الذين أكملوا التدريب ؛ ونجاح العملية ؛ متوسط وقت «رفع الجسر».

15) خارطة طريق التنفيذ

1-2 أسبوع: تحديث الأدوار/جهات الاتصال، والقوالب، ومقدمي الدعم.
3-4 أسابيع: كتب لعب SOAR، قنوات الجسر، إخطارات الاختبار، أرشيف WORM.
الشهر 2 +: تمارين منتظمة، سجلات تدقيق، أتمتة الإبلاغ عن الحوادث.

TL; د

الاستعداد = الأدوار والعتبات المتفق عليها مسبقًا + الجسر السريع + الاحتواء الصلب + الإخطارات القانونية وفي الوقت المناسب + الطب الشرعي مع سلسلة الأدلة + تشريح الجثة الإلزامي و CAPAs. هذا يقلل الضرر ويقلل من مخاطر العقوبة ويعزز ثقة اللاعبين والشركاء.