GH GambleHub

ინციდენტის ფლეიბუქები და სკრიპტები

1) დანაყოფის დანიშვნა

ოპერაციებისა და Complaens- ის წრეში მომხდარ ინციდენტებზე სწრაფი და შეთანხმებული რეაგირებისთვის შექმნან ერთი, ვერსირებული playbooks ნაკრები: გამოვლენიდან გამოჯანმრთელებამდე, კომუნიკაციებამდე, იურიდიულ შეტყობინებებზე და გაუმჯობესებამდე.

2) პლეიბუკის სტანდარტი (სცენარის ბარათი)

კატალოგის თითოეული ფლეიბუკი დამზადებულია ერთი შაბლონის მიხედვით: 

ID: PB- <code >/Version: v <MAJOR. MINOR >/Owner: <role/name>
Title: <short and unambiguous>
Scope: <technology/payments/information security/compliance/PR>
Severity: S1    S2    S3    S4 (activation criteria)
Detection: <metrics/alerts/log signatures/sources>
Start triggers: <conditions and thresholds>
RACI: IC / Tech Lead / Sec Lead / Comms / Legal / Payments / CS / Data
Response steps:
0-15 min: <start actions, war room, holding statement>
15-60 min: <stabilization/bypasses/reserves/first external message>
1-4 hours: <in-depth diagnostics/fixes/targeted notifications>
Up to 24 hours: <final update/compensation/reports/retro slot>
Communications: <templates for status, players, partners, regulators, media>
Artifacts: <timeline, logs, dumps, screenshots, tickets, reports>
Legal: <to/when to notify, formats, languages>
Exit criteria: <conditions for closing the incident>
MTTD/MTTA/MTTR targets: <numerical benchmarks>
Prevention: <CAPA and backlog links to epics>
Last workout: <date/results/remarks>

3) სერიოზულობისა და ტრაჟის მატრიცა (რეზიუმე)

S1 (კრიტიკული): გლობალური Core/საფულე, PII/findanes გაჟონვა, მასობრივი მიუწვდომლობა, მარეგულირებელი გამოძიება.
Apdaty: პირველი 15 წუთი; ყოველ 30-60 წუთის შემდეგ.
S2 (მაღალი): რეგიონალური სისწრაფე, გადახდის კონვერტაციის ვარდნა> 10%, დადასტურებული დაუცველობა გაჟონვის გარეშე.
S3 (საშუალო): ინდივიდუალური პროვაიდერების/ფიგურების დეგრადაცია, CS ზარების ზრდა> ბაზის 30%.
S4 (დაბალი): ადგილობრივი დეფექტები, ერთჯერადი საჩივრები.

სამჯერ (სწრაფი შემოწმება): ფაქტი? მასშტაბები? სახსრების/მონაცემების უსაფრთხოება? იურიდიული ვადები? სარეზერვო მარშრუტები? პირველი შეტყობინებების არხი და შემდეგი აფთიაქის დრო?

4) როლები და კომუნიკაციები

IC (Incident Commander): დროის/გადაწყვეტილების მფლობელი.
Tech Lead (SRE/Platform): დიაგნოზი/ფიქსაცია/შემოვლითი გზები.
Security Lead (AppSec/Blue Team): საჭიროების შემთხვევაში IB ორგანოების წინსვლა/კონტეინერი/შეტყობინებები.
Payments Lead: PSP/ბანკები, მულტფილმის მარშრუტები, სახელმძღვანელო დამუშავება.
Legal/Compliance: მარეგულირებელი შეტყობინებები, ფორმულირება, ვადები.
Comms Lead: სტატუსის გვერდი, ელექტრონული ფოსტა/SMS/push, აფილიატები, მედია.
CS/CRM Lead: მაკროები, კომპენსაცია, მიზნობრივი სეგმენტები.
Data/Analytics: გავლენის შეფასება, მოხსენებები, MTT კონტროლი.

ერთი ხმა: ნებისმიერი გარე კომუნიკაცია - Comms + Legal- ის საშუალებით.

5) უნივერსალური შემოწმების ფურცლები

5. 1 პლეიბუკის გაშვება (0-15 წუთი)

  • დაინიშნა IC, გაიხსნა ომის ოთახი, დაინიშნა სტენოგრაფი.
  • იდენტიფიცირებულია სერიოზულობა (S1-S4), გავლენის სხივი.
  • მიღებულია დამცავი ზომები (ძაფები, ლიმიტები, რისკების შეჩერების დასკვნები).
  • მომზადებულია holding statement და ETA შემდეგი განახლება.
  • შეიქმნა თიკეტები არტეფაქტების ფიქსაციისთვის (logs/damps/skrinshots).

5. 2 პირველი გარე კომუნიკაციამდე

  • დადასტურებულია ფაქტები, გამორიცხულია საიდუმლოებები/PII.
  • ფორმულირების იურიდიული შემოწმება.
  • მკაფიო მითითებები მომხმარებლებისთვის „რა უნდა გააკეთოს ახლა“.
  • შემდეგი გაფართოების დრო ნათლად არის მითითებული.

5. 3 ინციდენტის დახურვა

  • ფესვი აღმოიფხვრა/კომპენსაციის ზომები დაინერგა.
  • ანაზღაურებულია კომპენსაცია, დამუშავებულია სადავო გარიგებები.
  • საბოლოო ანგარიში/სტატუსი განახლებულია; რეტრო დაგეგმილია 7 დღის განმავლობაში.
  • CAPA წერტილები იქმნება მფლობელებთან და ვადებთან.

6) ტიპიური ფლეიბუკები (კატალოგი)

PB-SEC-01: მონაცემთა გაჟონვა/ანგარიშების კომპრომისი (S1)

გამოვლენა: შესასვლელი ანომალიები, EDR/WAF მოქმედება, საჩივრები ანგარიშების გატაცების შესახებ, ფორუმზე გაჟონვა.
0-15 წუთი: დაზარალებული სისტემების იზოლაცია; საიდუმლოების როტაცია; კომპრომეტირებული ნიშნების გათიშვა; MFA კამპანიის ჩართვა.
15-60 წუთი: განხილული შეტყობინებების მიზნები; პირველი საჯარო შეტყობინება; ფორთოხლის არტეფაქტების ფიქსაცია.
1-4 საათი: PII- ზე წვდომის აუდიტი; მოთხოვნები პროვაიდერებს/ღრუბელს; მარეგულირებელი შეტყობინებების მომზადება.
24 საათამდე: დეტალური ანგარიში, კლავიშების შეცვლა, პაროლების განახლება, მონიტორინგის გაფართოება.
კომუნიკაციები: სტატუსის გვერდი, ელექტრონული ფოსტით დაზარალებული პარტნიორები, საჭიროების შემთხვევაში - მედია Q & A.
ლეგალურად: რეგულატორების/ბანკების შეტყობინებები/PSP დროულად.
გასვლის კრიტერიუმები: რისკი ლოკალიზებულია; შეიცვალა ყველა ნიშანი; ფეხბურთელებს გაუგზავნეს ინსტრუქციები; დადასტურებულია დაკარგული/შეზღუდული ზიანი.
პრევენცია: bug bounty, hardening, DLP, საიდუმლო მენეჯმენტი.

PB-PAY-02: გადახდის კრიზისი (PSP/ბანკი მიუწვდომელია) (S1/S2)

დეტექტივი: auth-rate- ის ვარდნა, წარუმატებლობის ზრდა, დასკვნების ხაზი.
0-15 წუთი: გადართვა სარეზერვო PSP/მარშრუტებზე; მანქანის დასკვნების რბილი შეჩერება; ბანერი სალაროებში „ალტერნატიული მეთოდები“.
15-60 წუთი: პირველი გარე კომუნიკაცია (სალარო/სტატუსი); VIP/დაუცველი ჯგუფების სახელმძღვანელო პრიორიტეტი; კავშირი PSP- სთან.
1-4 საათი: ლიმიტების გადაანგარიშება; კომპენსაცია უხერხულობის გამო; ანგარიში პარტნიორებთან.
24 საათამდე: დასკვნითი ანგარიში; SLA- ს დაბრუნება; ტრაფიკის დაბალანსების წესების განახლება.
პროფილაქტიკა: მულტფილმის შეძენა, ჯანმრთელობის შემოწმება მეთოდების მიხედვით, ავტომობილების რბოლა.

PB-NET-03: DDoS/ქსელის მასიური დეგრადაცია (S1)

0-15 წუთი: ჩართეთ anti-DDoS პროფილები; rate-limits/capping; CDN/WAF დამცავი წესები; დროებით გამორთეთ მძიმე ენდოინები.
15-60 წუთი: გეო ფილტრები/შავი სიები; კომუნიკაცია პროვაიდერთან; პირველი შეტყობინება ETA- ს მომხმარებლებისთვის.
1-4 საათი: ფრონტების მასშტაბები; კანარის შემოწმება; თავდასხმის ტელემეტრიის ანალიზი.
პრევენცია: რეგულარული DDoS სწავლებები; ადაპტირებული პროფილები; სათადარიგო ASN/CDN.

PB-GAME-04: თამაშის პროვაიდერის მარცხი (S2/S3)

გამოვლენა: პროვაიდერის API შეცდომების ზრდა, CS ზარების ზრდა კონკრეტულ ტაიტებზე.
ნაბიჯები: დროებით დამალვა დაზარალებული თამაშები; მინიშნება/ჩანაცვლება; ბალანსის სინქრონიზაცია; პროვაიდერი და მოთამაშეთა შეტყობინება.
პრევენცია: fail-Open/close სტრატეგია, კატალოგის ქეშირება, თამაშების ჯანმრთელობის ეტიკეტი.

PB-REG-05: მარეგულირებელი ინციდენტი (S1/S2)

შემთხვევები: ბონუსის პირობების დარღვევა, KYC/KYB გაუმართაობა, რეკლამირების დარღვევა.
ნაბიჯები: საკამათო მექანიკის უფასო; კონსულტაცია Legal/Compliance; ნეიტრალური ფორმულირება; შაბლონების ანგარიში.

პროფილაქტიკა: pre-clearance პრომო, T & C. რეგულარული აუდიტი

PB-FRD-06: თაღლითური ბეჭედი/აბიუსი (S2)

გამოვლენა: მულტიკონტინგის ზრდა, ბონუს აბიუსი, საარბიტრაჟო ანომალიები.
ნაბიჯები: დეპოზიტების/დასკვნების დროებითი შეზღუდვები; სამიზნე KYC; მოწყობილობის/გადახდის ლიგატების ბლოკირება/IP; ანგარიში რისკების შესახებ.
კომუნიკაციები: ინდივიდუალური შეტყობინებები; ანტიფროდიული ლოგიკის გამჟღავნების თავიდან აცილება საჯაროდ.
პრევენცია: ქცევითი მოდელები, გრაფიკული ანალიტიკა, velocity ფილტრები.

PB-DATA-07: მონაცემთა მთლიანობა/ნაშთების რასინქრონიზაცია (S1/S2)

ნაბიჯები: საფულის გადაცემა „safe რეჟიმში“; საშიში ოპერაციების აკრძალვა; ჟურნალების/სნაიპშოტების აღდგენა; დანაყოფების შერიგება; პირადი შეტყობინებები.
პრევენცია: ორფაზიანი კომუნები/იდემპოტენტობა, ღონისძიება, ინვარიანტები.

PB-AFF-08: Affiliates- ის ტრეკინგის ვარდნა (S3)

ნაბიჯები: პიქსელების/პოსტბეკების შეკეთება; კომპენსაციის ანგარიშები; პარტნიორების შეტყობინებები; ატრიბუტის დროებითი კოეფიციენტები.
პრევენცია: კონვერტაციის მონიტორინგი, სარეზერვო კოლბეკები.

PB-PR-09: რეპუტაციის ქარიშხალი (S2/S3)

ნაბიჯები: ერთიანი პოზიცია; Factchek; Q&A; კომენტარებში კამათის თავიდან აცილება; მოამზადეთ გრძელი რიდი ფაქტებით.
პროფილაქტიკა: სპიკერების მედიატექნიკა, ფაქტების მქონე „dark site“.

PB-PHI-10: ფიშინგი/ყალბი საიტები (S2)

ნაბიჯები: მტკიცებულებების შეგროვება; რეგისტრატორების/მასპინძელთა შეტყობინება; გაფრთხილება მოთამაშეებს; ანტი-ფიშინგის გვერდის განახლება; DMARC/Brand Indicators.
პრევენცია: აფეთქების ღუმელის მსგავსი მონიტორინგი, პარტნიორობა პროვაიდერების მიერ ანტი-ფიშინგთან.

7) შეტყობინებების შაბლონები (სწრაფი ჩანართები)

Holding statement (გარეგანი, 2 სტრიქონი):
💡 ჩვენ აღვნიშნავთ შეფერხებებს [მომსახურებაში]. გუნდი უკვე აღადგენს წვდომას. შემდეგი განახლება - 30 წუთის შემდეგ. მომხმარებელთა სახსრები და მონაცემები დაცულია.
დეტალური განახლება (სტაბილიზაციის შემდეგ):
💡 მიზეზი: [კომპონენტი/პროვაიდერი]. გავლენა: [პროცენტი/გეოგრაფია/პერიოდი]. მიღებული ზომები: [რეზერვი/გამოტოვება/ვალდებულება]. ანაზღაურება: [ტიპი/კრიტერიუმები]. შემდეგი ნაბიჯები: [პრევენცია/ვადები].

პარტნიორები/აფფილიატები: მოკლე ბრიფინგი „რა/როგორ მოქმედებს/დროებითი ზომები/ETA“.

მარეგულირებელი/ბანკები/PSP: ოფიციალური შეტყობინება: ფაქტები, ზომები, კლიენტის გავლენა, პრევენციის გეგმა, საბოლოო ანგარიშის ვადა.

8) მეტრიკა და მიზნები

აღმოჩენა: MTTD, სიგნალი ხმაურის ალერტებისთვის.
რეაქცია: MTTA, TTS (დრო), appdates% SLA- ში.
აღდგენა: MTTR, RTO/RPO დაზარალებული სერვისებისთვის.
გავლენა: დაზარალებული მოთამაშეები/გარიგებები, დაკარგული GGR, chargeback ფრენა.
კომუნიკაციები: Open/click-rate, გაშუქება, განმეორებითი ზარების წილი, CSAT/DSAT.
შესაბამისობა: სავალდებულო შეტყობინებების დროულობა, არტეფაქტების სისრულე.

9) არტეფაქტები და მტკიცებულებები

მინიმალური ნაკრები ინახება ინციდენტის თიკეტ/საცავებში:
  • გადაწყვეტილებებისა და მოქმედებების დრო (წუთიერი სიზუსტე);
  • logs/damps/skrinshots/გრაფიკების ექსპორტი;
  • კონფიგურაციის/ბილეთების ვერსიები;
  • მიმღების შეტყობინებების ასლები და სიები;
  • განხილული ანგარიშების/გარიგების სიები;
  • იურიდიული შეტყობინებები (მონახაზები/გაგზავნა/პასუხები).

10) ინსტრუმენტები და ინტეგრაცია

ინციდენტის ბოტი: '/declare ', '/severity S1.. S4', '/განახლება <ტექსტი> ', '/close'.
სტატუსის გვერდი: საჯარო ლენტები; ინტეგრაცია aptime სენსორებთან.
კომპენსაცია: სეგმენტების სიხშირე (დროულად, გეო, თამაში, გადახდის მეთოდი).
Security steck: EDR/WAF/SIEM/IDS; playbuks in SOAR.
დაკვირვება: ლოგოები/მეტრიკა/ტრეისი, error budgets, SLO დაშბორდები.

11) გუბერნატორის დირექტორიის მენეჯმენტი

ვერსია: Git საცავი, PR პროცესი, სემანტიკური ვერსიები.
პასუხისმგებლობა: თითოეულ ფლეიბუკს აქვს მფლობელი და რეზერვი.
გადასინჯვა: მინიმუმ კვარტალური, თითოეული S1/S2 შემდეგ - დაუგეგმავი.
ტრენინგი: კვარტალში ერთხელ table-top, კრიტიკული სცენარების მიხედვით, ყოველ ექვს თვეში ერთხელ.
თავსებადობა: ბმულები BCP/DRP, ესკალაციის მატრიცა, პასუხისმგებელი თამაში, შეტყობინებების პოლიტიკა.

12) სწრაფი განხორციელების დაწყება (30 დღეში)

1. ჩამოაყალიბეთ ტოპ 10 სარისკო სცენარის სია და დანიშნეთ მფლობელები.
2. თითოეულისთვის - ბარათის გაცემა სტანდარტის შესაბამისად (ნაწილი 2) და საცავებში შესვლა.
3. პლეიბუკების დაკავშირება ინციდენტის ბოტთან (შორტკოდები და შეტყობინებების შაბლონები).
4. ჩაატარეთ 2 table-top სავარჯიშო (გადახდა + IB) და 1 live-drill (თამაშების პროვაიდერის დეგრადაცია).
5. დაიწყეთ dushboard metrick (MTTA/MTTA/MTTR, TTS,% apdates SLA- ში).
6. დაიწყეთ CAPA-baclog, შეთანხმდნენ ვადებსა და RACI- ს.
7. შაბლონების (მოთამაშეთა/პარტნიორების/რეგულატორების) „მშრალი“ გაგზავნა sandbox- ის საშუალებით.

დაკავშირებული სექციები:
  • კრიზისული მენეჯმენტი და კომუნიკაცია
  • ბიზნესის უწყვეტობის გეგმა (BCP)
  • Disaster Recovery Plan (DRP)
  • ესკალაციის მატრიცა
  • შეტყობინებების და ალერტების სისტემა
  • პასუხისმგებელი თამაში და მოთამაშეთა დაცვა
Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.