GH GambleHub

Hadisələrə və sızmalara reaksiya

1) Məqsəd, prinsiplər və əhatə

Məqsəd: zərəri və hüquqi riskləri azaltmaq, əməliyyatların davamlılığını və təhlükəsizlik/uyğunluq hadisələri zamanı hərəkətlərin sübuta yetirilməsini təmin etmək.
Prinsipləri: «tez saxlamaq → dəqiq təsdiq → şəffaf sənədləşdirmək → qanuni bildirmək → təkrar qarşısını almaq».
Əhatə: kiber hadisələr (DDoS, ATO, sındırmalar, zəifliklər), PII/ödəniş məlumatlarının sızması, AML/KYC/sanksiyaların pozulması, provayderlərin uğursuzluqları (KYC/PSP), reklam/məsuliyyətli oyun hadisələri (RG), güzəştli tərəfdaşlar.

2) Ciddilik təsnifatı və tetikləyiciləri

SəviyyəTəsvirTrigger nümunələriMəcburi tədbirlər
InfoTəsdiq olmadan siqnal/anomaliya1-2 ATO alarma, vahid CVE ortaLogistika, müşahidə
LowPII/pul olmadan lokal uğursuzluqKiçik KYC deqradasiyası, PSP qısamüddətləriSahibinə sorğu, növbədə fix
MediumSeqment/yurisdiksiya üçün riskCBR ↑ ATO klasteri tərəfindən təsdiqlənmiş astanaya qədərEskalasiya ≤ 4 saat, tənzimləmə qaydaları/patch
HighƏhəmiyyətli biznes təsiriPII məhdud həcmli sızma, KYC satıcısının uğursuzluğuHadisə bric ≤ 1 saat, containment
CriticalKütləvi zərər/tənzimləyiciKütləvi sızma PII, DDoS əlçatmazlığı, sanks. pozuntuWar-room ≤ 15 dəq, bildirişlər və ictimai plan

3) SLA eskalasiya və «hadisə-bric»

Başlanğıc: High/Critical ilə war-room (chat/zəng) yaradılır, Incident Commander (IC) təyin edilir.
SLA: Info — n/a; Low - 24 saat; Medium — 4 ч; Yüksək - 1 saat; Kritik - 15 dəqiqə.
Bricdəki rollar: IC, Security Lead, SRE/Ops, Compliance (Deputy IC Legality), Legal/DPO, Payments/FRM, Support/VIP, PR/Comms, Data/Forensics.

4) Reaksiya prosesi (adaptasiyada SANS/NIST-yığını)

1. Hazırlıq: runbooks, əlaqə vərəqləri, ehtiyat provayderləri, test riskləri, «default bağlı» girişlər.
2. Identifikasiya: SIEM/SOAR korrelyasiyaları, antifrod qaydaları, KRI siqnalları; faktın/həcmin təsdiqi.
3. Containment (Containment): seqmentasiya, həssas nöqtə/end-point, geo-məhdudiyyətlər, feature-flags, vaxt limitləri/holds.
4. Aradan qaldırılması (Eradication): açar yamaq/rotasiya, hesab/cihaz bloku, zərərli artefaktların təmizlənməsi, şəkillərin yenidən yığılması.
5. Bərpa (Recovery): bütövlüyün validasiyası, trafikin tədricən işə salınması (kanarya hovuzları), reqressiya monitorinqi.
6. Dərslər (Post-Incident): post-mortem ≤ 72 saat, CAPA planı, siyasətlərin/hədlərin/modellərin yenilənməsi.

5) Hüquqi bildirişlər və xarici kommunikasiyalar

💡 Müvəqqəti pəncərələr və ünvanlar yurisdiksiyadan/lisenziyalardan asılıdır; yerli tələblərə və müqavilələrə diqqət yetirin. Məlumatların qorunması üçün tez-tez göstərici - ciddi sızma aşkar edildikdən sonra 72 saat ərzində nəzarət orqanına məlumat vermək; istifadəçilərin hüquqları/maraqları üçün risk olduqda «əsassız gecikmə olmadan» xəbərdarlıq.
Alıcıların matrisi və səbəbləri (nümunə):
  • Data Control (DPA): təsdiqlənmiş sızma PII → bildiriş (hadisənin təsviri, məlumat kateqoriyaları, tədbirlər, DPO əlaqə).
  • Qumar tənzimləyicisi: RG/reklam qaydalarının kütləvi pozulması/oyunçulara təsir edən uğursuzluqlar/hesabat.
  • Banklar/PSP: şübhəli fəaliyyət/SAR-cases, kütləvi chargebacks, ödəniş axınına güzəşt.
  • İstifadəçilər: məlumatlarının sızması/yüksək zərər riski; məktub şablonları və FAQ.
  • Partnyorlar/satıcılar: ümumi axınlara/məlumatlara təsir edən onlarda və ya bizdə insidentlər.

Comm qaydaları: vahid spiker, heç bir fərziyyə faktları, aydın hərəkətlər/tövsiyələr, mesajların və cavabların bütün versiyalarını saxlamaq.

6) Forensika və «dəlil saxlama zənciri» (Custody Chain)

Kim/nə vaxt/nə yığdı; WORM/dəyişməz saxlama istifadə edin.
Həcm/log şəkilləri, hashing vasitəsilə artefaktların ixracı (SHA-256).
«Yalnız oxumaq», dublikatlar vasitəsilə işləmək.
Bütün komandaları/addımları sənədləşdirin; taymline saxlamaq.
Legal/DPO ilə əmlakların üçüncü tərəflərə verilməsi şərtlərini razılaşdırın.

7) Nəzarət edilən kommunikasiyalar (daxili/xarici)

Do: qısa, faktoloji, IC/Legal ilə razılaşdırılmış; iz. yeniləmə slot (məsələn, hər 60 dəq).
Don 't: faktlar kimi fərziyyələr, PII ifşa, ittihamlar, nəzarət olmadan vaxt vəd.

Daxili yeniləmə şablonu (hər 30-60 dəq):
  • Nə baş verdi ?/Ciddilik/Təsir dairəsi/Görülən tədbirlər/Növbəti addımlar/Növbəti yeniləmə...

8) Tipik domen playbook 'və

A) PII sızması (app/backend/satıcı)

1. Bridge ≤ 15 min → şübhəli end-points/açarları dondurun → məlumatlara giriş auditini artırın.
2. Forensics: mənbə/həcm/PII növləri, time line müəyyən.
3. Fəaliyyət: sirlərin rotasiyası, fikslər, hüquqların təftişi, satıcının təcrid olunması.
4. Bildirişlər: DPA/tənzimləyici/istifadəçilər/tərəfdaşlar (tələblərə görə).
5. Oyunçulara dəstək: FAQ, dəstək kanalı, tövsiyələr (şifrə dəyişikliyi/saxtakarlıq).
6. Post-mortem və CAPA.

B) Oyunçu hesablarının pozulması (ATO/credential stuffing)

1. ATO siqnalları Spike → rate limit/2FA-enforce/WebAuthn gücləndirmək, müvəqqəti çıxış blokları.
2. Cihazların/IP klasterləşdirilməsi, bildirişlərin təsirlənərək göndərilməsi, tokenlərin sıfırlanması.
3. Maliyyə əməliyyatlarının yoxlanılması, zəruri hallarda SAR.

C) KUS/sanksiya provayderinin uğursuzluğu

1. fallback provayderinə keçid, sürətli çıxışların məhdudlaşdırılması, VIP üçün əl axını.
2. Sapport və VIP menecerlər üçün komm; gecikmə zamanı - tənzimləyicinin/bankların məlumatlandırılması (yoxlamalara təsir edərsə).

D) PSP/ödəniş hadisəsi (chargebacks/kompromasiya)

1. Ciddi 3DS/AVS daxil, limitləri və velocity qaydaları endirmək; hold risk qrupu.
2. PSP/Bank hesabat; yuyulma əlamətlərində - EDD/SAR.
3. Rədd edilmiş trafikin bərpası və auditi.

E) DDoS/əlçatmazlıq

1. WAF/Geo-kəsmə/Scrubbing aktivləşdirin; «şaxta» buraxılışlar.
2. Bölgələrin kanaryaya daxil edilməsi, SLO nəzarəti; davamlı post-mortem.

9) Alətlər və artefaktlar

SIEM/SOAR, IDS/IPS, WAF, EDR, DLP, gizli menecer, vault-rotasiya, antifrod anomaliyalarının aşkarlanması, hadisə reyestri, bildiriş şablonları.
Artefaktlar: hadisə reyestri, bric protokolu (timline), forensika hesabatı, bildiriş paketi (tənzimləyici/istifadəçilər/banklar), post-mortem, CAPA-tracker.

10) Metriklər və hədəflər

MTTD (aşkar qədər vaxt), MTTC (saxlama qədər), MTTR (bərpa qədər).
Müəyyən edilmiş ilkin səbəb ilə insidentlərin% -i ≥ 90% -i.
CAPA-nın 95% ≥ vaxtında yerinə yetirilməsi.
Eyni səbəbdən təkrar hadisələrin payı 5% ≤.
SLA-da bağlanmış hadisələrin nisbəti: Orta ≥ 90%, Yüksək ≥ 95%, Kritik ≥ 99%.

11) RACI (böyük)

Incident Commander (Ops/Sec): A idarə etmək, qərar qəbul etmək, time line.
Security Lead (R): texniki. analiz, forensika, containment/eradication.
Compliance/DPO (legitimlik üçün R/A): sızma kvalifikasiyası, bildirişlər, poçt vərəqəsi.
Legal (C): hüquqi qiymətləndirmə, müqavilələr/müqavilələr, məktubların ifadələri.
SRE/Engineering (R): fiks, geri dönüş, sabitlik.
Payments/FRM (R): holdlar, antifrod həddi, PSP/banklarla qarşılıqlı əlaqə.
PR/Comms (R): xarici mesajlar, Q&A sapport üçün.
Support/VIP (I/C): oyunçularla ünsiyyət cəbhəsi.

12) Şablonlar (minimal dəst)

12. 1 Hadisə kartı (reyestr)

ID· Aşkarlama vaxtı· Sinif/ciddilik· Təsirlənmiş (sistemlər/məlumatlar/yurisdiksiyalar)· IC· tech/bizn sahibi· İlk tədbirlər· Həcm/zərər qiymətləndirilməsi· Bildirişlər (kimə/nə vaxt)· Artefaktlara istinadlar· Status/SARA/vaxt.

12. 2 Istifadəçilərə bildiriş (sıxma)

Nə oldu; hansı məlumatlar təsir edə bilər; biz nə etdik; sizə nə tövsiyə edirik; əlaqə; siyasət/FAQ linki.

12. 3 Post-mortem (struktur)

Faktlar/time line· Impact· Əsas səbəb (5 Whys)· Nə işlədi/işləmədi· CAPA (sahibi/müddəti)· N həftədən sonra effektivliyin yoxlanılması.

13) Əməliyyatlar və komplayensiyalarla inteqrasiya

CAB/Change: Təhlükəli dəyişikliklər - yalnız Fich bayraqları/Kanaryalar vasitəsilə; hər buraxılışda - geri dönüş planı.
Məlumat və hesabat: hadisələrin avtomatik montajı; KRIs ilə əlaqə (sanksiyalar/RER, KYC, CBR, ATO).
Risklər: risk matrisinin və reyestrinin yenilənməsi, hər bir major hadisəsindən sonra hədlərin kalibrlənməsi.

14) Təlimlər və hazırlıq

Hər rübdə bir dəfə Tabletop (PII sızması, KYC uğursuzluğu, ATO dalğası, PSP hadisəsi).
Red/Blue/Purple-team yoxlamalar; satıcılar və PSP ilə birgə təlimlər.
Hazırlıq KPI: təlimdən keçmiş işçilərin payı; təlimlərin müvəffəqiyyəti; orta vaxt «bridge qaldırılması».

15) Tətbiqi yol xəritəsi

1-2 həftə: rolların/kontaktların, şablonların, ehtiyat provayderlərin yenilənməsi.
3-4 həftə: SOAR playbook, bridge kanalları, test bildirişləri, WORM arxivi.
Ay 2 +: mütəmadi təlimlər, jurnalların auditi, insidentlər üzrə hesabatların avtomatlaşdırılması.

TL; DR

Hazırlıq = əvvəlcədən razılaşdırılmış rollar və eşiklər + sürətli bric + sərt konteynment + qanuni və vaxtında bildirişlər + sübut zənciri ilə forensika + məcburi post-mortemlər və CAPA. Bu zərəri minimuma endirir, cərimə risklərini azaldır və oyunçuların və tərəfdaşların etibarını gücləndirir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.