תקרית ותגובת הדלפה
1) מטרה, עקרונות והיקף
המטרה: לצמצם נזקים וסיכונים משפטיים, להבטיח את המשכיות הפעילות ואת ההשלכות של פעולות במקרה של אירועים ביטחוניים/צייתניים.
עקרונות: "מהר להכיל אישורה מדויקת של _ מסמך שקוף _ להודיע כדין =" למנוע חזרה ".
סיקור: תקריות סייבר (DDOS, ATO, פריצות, פגיעות), דליפות מידע PII/תשלומים, הפרות של AML/KYC/סנקציות, כשלים מספקים (KYC/PSP), תקריות פרסום/משחקים אחראיים (RG), פרטנרים.
2) סיווג החומרה ומעורר
3) הסלמה ו ”תקרית-גשר”
ייזום: High/Critical יוצר חדר מלחמה (צ 'אט/שיחה), מקצה מפקד תקרית (IC).
SLA: Info-n/a; נמוך - 24 h; בינונית - 4 פריון; גבוה - 1 h; קריטי - 15 דקות
תפקידי גשר: IC, Security Lead, SRE/OPS, Second IC for Legality, Legal/DPO, Professions/FRM, Support/VIP, PR/Comms, Data/Pice.
4) תהליך תגובה (ערימת SANS/NIST בהתאמה)
1. הכנה: ספרי ריצה, רשימות מגע, ספקי גיבוי, התראות מבחן, גישה ”ברירת מחדל סגורה”.
2. זיהוי: SIEM/SOAR Corrections, Anti-הונאה, KRI Signal; אישור עובדה/נפח.
3. בלימה: מקטע, ביטול תכונה פגיעה/נקודת סוף, גיאו-אילוצים, תכונה-דגלים, מגבלות זמן/אחיזה.
4. אלימינציה (מיגור): תיקון/סיבוב מפתח, בלוק חשבונות/התקנים, ניקוי של חפצים זדוניים, הרכבה מחדש של תמונות.
5. התאוששות: אימות שלמות, הכללה הדרגתית של התנועה (בריכות כנרית), ניטור רגרסיה.
6. פוסט-תקרית: לאחר המוות, 72 h, תוכנית CAPA, מדיניות עדכון/סף/מודלים.
5) הודעות משפטיות ותקשורת חיצונית
- מעקב נתונים (DPA): דליפת PII מאומתת (תיאור אירוע, קטגוריות מידע, מדידות, קשר DPO).
- רגולטור הימורים: הפרות מסיביות של כללי ר "ג/כללי פרסום/כשלים המשפיעים על שחקנים/דיווח.
- בנקים/PSP: פעילות חשודה/מקרים SAR, מטענים מסיביים, פשרה של זרימת תשלום.
- משתמשים: דליפה של הנתונים שלהם/סיכון גבוה לנזק; תבניות אותיות ורשות שדות התעופה.
- שותפים/ספקים: תקריות איתם או איתנו משפיעות על זרימות/נתונים משותפים.
כללי תקשורת: דובר יחיד, עובדות ללא ניחוש, פעולות/המלצות ברורות, לאחסן את כל הגרסאות של הודעות ותשובות.
6) זיהוי פלילי ו ”שרשרת המשמורת” (שרשרת משמורת)
הקלט מי/מתי/מה שנאסף; השתמש בתולעת/אחסון שאינו ניתן לשינוי.
תצלומי נפח/רישום, ייצוא חפצים באמצעות חשיש (SHA-256).
גישה לקריאה בלבד, עבודה דרך שכפולים.
תיעד את כל הפקודות/השלבים; לאחסן את ציר הזמן.
מסכים עם משרד המשפטים על התנאים להעברת חפצים לצדדים שלישיים.
7) תקשורת מבוקרת (פנימי/חיצוני)
דו: תמציתי, עובדתי, מוסכם עם IC/Legal; ציין את חריץ העדכון הבא (למשל. כל 60 דקות).
השערות כעובדות, גילויים של מח "ש, האשמות, הבטחות למועדים שלא נבדקו.
- מה קרה ?/חומרה/אזור השפעה/צעדים שננקטו/צעדים הבאים/עדכון הבא ב...
8) ספר מהלכים טיפוסי בתחום "ו
A) דליפת PII (יישום/backend/ספק)
1. Bridge mord 15 min # להקפיא נקודות קצה/מפתחות חשודות.
2. קצב: לקבוע את מקור/נפח/סוגים של מח "ש, קו זמן.
3. פעולות: סבב סודות, תיקונים, תיקון זכויות, בידוד הספק.
4. הודעות: DPA/רגולטור/משתמשים/שותפים (כנדרש).
5. תמיכה בשחקן: FAQ, ערוץ תמיכה, המלצות (שינוי סיסמה/הונאה).
6. לאחר המוות ו CAPA.
B) פשרה של חשבונות שחקן (מילוי ATO/identional)
1. ספייק באותות ATO * להגביר את קצב limit/2FA-enforce/WebAuthn, אבני יציאה זמניות.
2. התקבצות של מכשירים/IP, שליחת הודעות לאלה שנפגעו, איפוס אסימונים.
3. בדוק עסקאות פיננסיות, SAR במידת הצורך.
C) סירוב של ספק CUS/סנקציה
1. לעבור לספק נפילה, להגביל יציאות מהירות, זרימה ידנית לאח "מים.
2. תקשורת לתמיכה ומנהלי אח "מים; במהלך הידוק - ליידע את הרגולטור/בנקים (אם זה משפיע על ההמחאות).
תקרית PSP/תשלום (צ 'רג' בקס/פשרה)
1. אפשר 3DS/AVS נוקשה, טיפת גבולות וכללי מהירות; להחזיק קבוצות סיכון.
2. עדכן את PSP/bank; עם סימנים להלבנת פנים.
3. התאוששות וביקורת נדחתה תנועה.
E) DDOS/לא זמין
1. הפעל WAF/geo-חיתוך/קרצוף; ”כפור” משחרר.
2. הכללה קנרית של אזורים, שליטה SLO; לאחר המוות על עמידות.
9) כלים וחפצים
SIEM/SOAR, IDS/IPS, WAF, EDR, DLP, מנהל סודי, סיבובי כספת, זיהוי אנומליה נגד הונאה, רישום אירוע, תבניות הודעה.
חפצים: רשמת אירוע, פרוטוקול גשר (ציר זמן), דו "ח זיהוי פלילי, חבילת הודעות (רגולטור/משתמשים/בנקים), לאחר המוות, גשש CAPA.
10) מדדים ומטרות
MTTD (זמן לגילוי), MTTC (לפני בלימה), MTTR (לפני התאוששות).
% מהתקריות עם גורם שורש מבוסס 90%.
שיעור השלמת CAPA 95%.
יחס התקריות החוזרות על עצמן מאותה סיבה של 5%.
שיעור התקריות שנסגרו ב-SLA: בינוני ב-90%, גבוה ב-95%, קריטי ב-99%.
11) RACI (מוגדל)
מפקד אירוע (Ops/Sec): A לניהול, קבלת החלטות, ציר זמן.
עופרת אבטחה (ר): טק. ניתוח, זיהוי פלילי, בלימה/מיגור.
ציות/DPO (R/A לחוקיות): הסמכת הדלפה, הודעות, רשימת דיוור.
הערכה משפטית, חוזים/חוזים, ניסוח אותיות.
SRE/Engineering (ר): תיקונים, פולבקים, יציבות.
תשלומים/FRM: מחזיק, נגד הונאה, אינטראקציה עם PSP/בנקים.
PR/Comms (R): הודעות חיצוניות, Q&A לתמיכה.
תמיכה/VIP (I/C): חזית תקשורת עם שחקנים.
12) תבניות (סט מינימלי)
12. כרטיס תקרית 1 (רשום)
* ID of Discovery: Systems/Data/Professions Association (Systems/Data/Professions) - בעלים של טכנולוגיה/עסקים.
12. 2 הודעה למשתמשים (לחץ)
מה קרה? אילו נתונים אולי הושפעו; מה שעשינו; מה שאנחנו ממליצים לך; פרטי התקשרות התייחסות למדיניות/FAQ.
12. 3 לאחר המוות (מבנה)
Facts/Timeline _ Impact _ Root Cause (5 Whys) - מה עבד או לא עבד - CAPA (בעלים/מועד אחרון) בדיקת יעילות לאחר N שבועות.
13) אינטגרציה עם פעולות וציות
CAB/Change: שינויים מסוכנים - רק דרך דגלים/קנריות; לכל שחרור יש תוכנית החזרה.
נתונים ודיווח: הרכבה אוטומטית של לוחות מחוונים של אירועים; תקשורת עם KRIs (סנקציות/PEP, KYC, CBR, ATO).
סיכונים: עדכון של מטריצת הסיכון ורישום, כיול של סף לאחר כל תקרית גדולה.
14) תרגילים ומוכנות
Tabletop פעם ברבע (דליפת PII, כשל KYC, גל ATO, תקרית PSP).
בדיקת צוות אדום/כחול/סגול; תרגילים משותפים עם ספקים ופסיכומטרי.
KPI מוכנות: אחוז העובדים שהשלימו את ההכשרה; הצלחת התרגיל; ממוצע ”מעלית גשר” זמן.
15) מימוש מפת דרכים
שבועות 1-2: עדכון תפקידים/אנשי קשר, תבניות, ספקי גיבוי.
שבועות 3-4: ספרי משחק, ערוצי גשר, הודעות מבחן, ארכיון תולעת.
חודש 2 +: תרגילים רגילים, יומני ביקורת, אוטומציה של דיווח על אירוע.
TL; DR
מוכנות = תפקידים מוסכמים מראש ותפקידי סף + גשר מהיר + בלימה קשה + חוקי והודעות בזמן + זיהוי פלילי עם שרשרת של ראיות + חובה לאחר המוות ו CAPAs. הדבר מקטין את הנזק, מקטין את סיכוני הענישה ומחזק את אמונם של השחקנים והשותפים.