הערכת סיכונים

1) מטרות ועקרונות

מטרה: גילוי מוקדם ותעדוף של איומים הנוגעים ל-SLO, הכנסות, ציות רגולטורי ומוניטין.
עקרונות: עקביות, מדידות, חזרות, מחויבות לערך עסקי, SLO-first.
תוצאה: תיק סיכונים שקוף עם בעלים מובנים, אמצעים ומועדים.

2) מונחים

סיכון: הסתברות x השפעה של אירוע שלילי.
תיאבון סיכון: רמת הסיכון השיורית המקובלת על הארגון.
פגיעות/פגיעה/בקרה: נקודת תורפה, הדק ואמצעים קיימים.
(KRI (Key Risk Indicators: אינדיקטורים מובילים (לדוגמה, גידול של p99-latency, צרכן-לג, דחיית המרת תשלום).

3) סיווג סיכונים עבור iGaming

תפעולי: עומס יתר, כשלי שחרור, תורים, הידרדרות מסד נתונים/מטמון, תקריות במרכזי נתונים/AZ/אזורים.
טכנולוגיה/אבטחה: DDOS, נקודות תורפה, דליפות, שגיאות תצורה, תלות בספריות מפתח.
תשלום/פיננסי: ירידה באישורים, גידול בגבייה, אי זמינות לספק, אי שקט FX, הונאה.
תלויות/מערכת אקולוגית: כשלים בספקי משחקים, CDN/WAF, KYC/AML, SMS/דואר אלקטרוני.
ציות/רגולציה: הפרה של דרישות הרישיון, KYC/AML, משחק אחראי, אחסון נתונים.

מוצר/שיווק: פסגות תנועה בלתי צפויות (טורנירים, גפרורים, פרומואים),

מוניטין: שלילי במדיה/מדיה חברתית עקב תקריות או אי-ציות.

4) תהליך הערכת סיכונים (תיבה)

1. הקמת הקשר: מטרות, סל "ד, דרישות רגולטוריות, גבולות ארכיטקטוניים, שרשרת ערכים.
2. זיהוי: אוסף אירועים של מועמדים: נקודות מבט לאחור, ביקורת תלות, סיעור מוחות, רשימות בדיקה.
3. ניתוח: איכות (תרחישים, עניבת פרפר) וכמותית (תדירויות/הפצות).
4. הערכה: השוואה עם תיאבון סיכון, דירוג, אישור סדר עדיפויות.
5. עיבוד: מניעה, הפחתה, העברה (ביטוח/חוזים), קבלה (מודע).
6. ניטור ושינוי: KRI, בדיקת יעילות של פקדים, עדכוני רישום, בדיקות מוכנות.

5) טכניקות איכות

מטריצת הסתברות/פגיעה: 1-5 מאזניים (נמוך מאוד... גבוה מאוד). ההשפעה נחשבת בנפרד לאורך הצירים: SLA/הכנסות/רגולטוריות/מוניטין.
ניתוח עניבת פרפר: גורם לתוצאות * * אירוע; לכל צד - שליטה מונעת ומקלה.
(FTA (Fault Tree Analysis: עצי ליקוי לוגיים לשירותים קריטיים (הפקדה, קצב, פלט).
מה-אם סקר שיטתי על ממשקים ונהלים.

6) טכניקות כמותיות

ALE (ציפייה לאובדן): ALE = SLE × ARO (נזק שנתי צפוי).
VAR/CVaR: סיכון הון ברמת אמון נתונה (עבור ספקי פערי מזומנים/תשלומים).
Monte-Carlo: הדמיה של פסגות תנועה/כשלים ספקים/המרות תשלום עם מרווחי ביטחון.

FMEA: Servity (S), Frequency (O), Detectability (D) # RPN = S × O × D, Patch Privation

מתמטיקה מהימנה: חדר ראשי, MTTF/MTTR, תקציב שגיאות שרפה, הסתברויות כשל משותף (AZ + ספק).

7) סיכון תיאבון וסף

הגדר קטגוריות (גבוה/בינוני/נמוך) עבור הפסדי SLA, עונשים, הפסד הכנסות לשעה/יום.
הגדרת סף הסלמה: כאשר אירוע/סיכון נע בין רמות, מי נדרש לאסוף את חדר var.
כתוב יוצאים מן הכלל (לקיחת סיכונים זמנית) עם תאריך תיקון ותוכנית סגירה.

8) KRI ואזהרה מוקדמת

• ביצועים: p95/p99, צמיחת זמן, עומק תור, טיפת מטמון-להיט, פיגור שכפול.
• תשלומים: אישורים ב GEO/Bank מסוים, צמיחה רכה-ירידה, אנומליות AOV.
• בטיחות: 4xx/5xx קוצים בנקודות קצה קריטיות, עלייה בהפעלת WAF,
• ציות: מעבר לגבולות האחסון, עיכובים של KYC, שיתוף בלעדיות עצמית ללא עיבוד.
• לכל KRI - בעלים, מטרי, סף, מקורות, התראות אוטומטיות.

9) הערכת השפעה (רב-ציר)

SLA/SLO: דקות/שעות מחוץ למטרה, פגיעה בבונוסים SLA לשותפים.
פיננסים: הפסדים ישירים (עסקאות בולטות, רכיבה על שק), עקיפה (קנסות).
סכנת סנקציות/השהיית רישיונות/הודעות חובה.

מוניטין: NPS/CSAT, מבול של אזכורים שליליים, השפעה על שותפים וסרטים

10) טיפול בסיכון (קטלוג של אמצעים)

מניעה: דחיית תכונות/תבניות מסוכנות, הגבלת רדיוס פיצוץ (דייר-בידוד, מגבלת קצב).
הפחתה: חידוד מסד נתונים, מטמון, בריכה/מכסות, ספקית ריבוי תשלומים, שחרורים קנריים.
ביטוח סיכון סייבר, פיצוי לאס-אל-איי בחוזים, נאמנות.
קבלה: החלטה מתועדת בסיכון שיורי מבוקר, עם תכנית קיי-אר-איי ויציאה.

11) תפקידים ו ־ RACI

אחראי: סיכון/Ops/SRE/תשלומים/Secops domains.
אחראי: ראש המבצעים/CTO/CRO.
ייעוץ: מוצר, נתונים/DS, משפטי/ציות, פיננסים.
מידע: תמיכה, שיווק, ניהול שותף.

12) חפצים ותבניות

רשומות סיכון: זיהוי, תיאור, קטגוריה, סיבות, הסתברות, השפעה על ציר, בקרות קיימות, KRI, תוכנית עיבוד, בעלים, מונח.
מפת סיכון: מפה מצורפת על ידי מחלקה/שירות.
מפת תלות: תלות פנימית וחיצונית קריטית, רמות גיבוי, מידע ליצירת קשר.
ספרי ריצה/ספרי משחקים: צעדים ספציפיים כאשר מופעלים על ידי KRI/תקרית, מתגי הרג, הידרדרות.
סקירת סיכונים רבעונית: סט של שינויים, סיכונים סגורים/חדשים, מגמות KRI, יעילות של בקרות.

13) אינטגרציה עם SLO/Management

הסיכונים מומרים למטרות SLO (latency, rate-rate, זמינות) ותקציב שגיאה.
מדיניות ההתראה של KRI (מהירות/קצב צריבה איטי).
לאחר המוות, חובה להקליט את העדכון של הערכת הסיכונים והתאמות הבקרה.

14) כלים ונתונים

ניטור/יכולת תצפית: מדדים, יומנים, עקבות; ”תצוגות סיכון” פאנלים.
ספריות ו-CMDB: שירותים, בעלים, רכיבים תלויים.
GRC/Task Gracker: אחסון של רשימת הסיכונים, סטטוסים, פעולות ביקורת.
נתונים/ML: מודלים אנומליים, חיזוי עומס/כישלון, סימולציות מונטה-קרלו.

15) מימוש מפת דרכים (8-10 שבועות)

נד. 1-2: הקשר ומסגרת; רשימה של שירותים ותלות קריטיים; נחישות של תיאבון סיכון.
נד. 3-4: זיהוי סיכון ראשוני (סדנאות, רטרו), מילוי רישום, טיוטת מפת חום.
נד. 5-6: הגדרת KRI והתראות, מקושר SLO; השקת עניבת פרפר/FTA לסיכונים העליונים 5.

נד. 7-8: כימות (ALE/VAR/Monte-Carlo) לתרחישים משמעותיים מבחינה כלכלית; אישור לתוכניות עיבוד

נד. 9-10: בדיקת מוכנות (יום משחק, כשל), תיקון סף, השקת ביקורות רבעוניות.

16) דוגמאות לסיכונים מוערכים (iGaming)

1. כישלון האישורים PSP-1 בפריים טיים

הסתברות: מדיום; השפעה: גבוהה (הכנסות, SLA).
KRI: המרת בנק/GEO, צמיחה רכה-ירידה.
מדדים: ריבוי ספקים, ניתוב בריאות ואמהות, נסיגת עצבנות, הגבלת הפסקה.

2. עומס יתר של מסד נתוני ההימורים ליום של משחק ליגת האלופות

הסתברות: מדיום; פגיעה: גבוה (SLO).
פיגור בשכפול, בקשות p99, גידול בהמתנה.
מדידות: מטמון/CQRS, חדירה, טעינה מראש, מצב קריאה בלבד של חלק מהתכונה.

3. DOS לצופים ציבוריים

הסתברות: Low-Medium; השפעה: גבוהה (זמינות, מוניטין).
KRI: ספייק SYN/HTTP, מפעיל WAF.
מדידות: CDN/WAF, מגבלת קצב, אסימונים, קפצ 'ות, בידוד תנועה בוט.

4. אי ־ התאמה רגולטורית לאחסון KYC

הסתברות: נמוך; פגיעה: גבוה מאוד (קנס/רישיון).
KRI: בדיקת עיכוב> SLA, מעבר לשימור.
מדדים: מדיניות-כקוד, TTL אוטומטי, ביקורת ובדיקות מידע ייצור.

17) תרופות אנטי ־ פטריות

הערכה על ידי עין ללא רישום ו KRI.
מטריצות ללא כסף וסדר עדיפויות שגוי.
ביקורות נדירות (רישום שאינו מעודכן לאחר אירועים).
”עיבוד” רק על ידי תיעוד ללא בקרות/בדיקות מיושמות.
תתעלם מתלות חיצונית ותחתום על חוזה לאס-אל-איי.

18) דיווח ותקשורת

סיכום: 10 הסיכונים הטובים ביותר, מגמות KRI, סיכון שיורי נגד תיאבון, תוכנית הסגירה.
דוחות טק: יעילות של בקרה, תוצאות יום משחק, שינויי סף.
סדירות: ביקורות חודשיות + חידוש רבעוני עמוק.

סך הכל

הערכת סיכונים היא לא מסמך סטטי, אלא מחזור חיים: הם זיהו את המסמך המסכם את התיאבון המסוכן. מסגרת זו מקשרת בין החלטות תפעוליות לערך עסקי ומפחיתה את תדירות/קנה המידה של אירועים תוך שמירה על ציות ל-SLOS ודרישות רגולטוריות.