GH GambleHub

რეაქცია ინციდენტებზე და გაჟონვაზე

1) მიზანი, პრინციპები და გაშუქება

მიზანი: შეამციროს ზიანი და იურიდიული რისკები, უზრუნველყოს ოპერაციების უწყვეტობა და მოქმედებების დადასტურება უსაფრთხოების/შესაბამისობის ინციდენტებში.
პრინციპები: „სწრაფად შეიკავოთ თავი, დაადასტუროთ ზუსტად და გამჭვირვალედ შეაფასეთ და კანონიერად აცნობეთ და თავიდან აიცილოთ გამეორება“.
გაშუქება: კიბერდანაშაულები (DDoS, ATO, ჰაკერები, დაუცველები), PII/გადახდის მონაცემების გაჟონვა, AML/KYC/სანქციების დარღვევა, პროვაიდერების უკმარისობა (KYC/PSP), რეკლამირების/საპასუხო თამაშის (RG G) ინციდენტები, კომპრომეტირებული პარტნიორები.

2) სერიოზულობის კლასიფიკაცია და გამომწვევი მიზეზები

დონეაღწერატრიგერების მაგალითებისავალდებულო მოქმედებები
Infoსიგნალი/ანომალია დადასტურების გარეშე1-2 ATO-Alarm, ერთეული CVE Mediumლოგიკა, დაკვირვება
Lowადგილობრივი გაუმართაობა PII/ფულის გარეშემცირე ზომის დეგრადაცია KYC, მოკლე PSP ტაიმაუტებიTiket მფლობელს, fix ჩანაცვლება
Mediumრისკი სეგმენტი/იურისდიქციაCBR- მა ATO- ს კლასტერის მიერ დადასტურებული ზღურბლამდე მიიყვანაესკალაცია - 4 საათი, წესების კონფიგურაცია/პატჩი
Highმნიშვნელოვანი ბიზნეს გავლენაშეზღუდული მოცულობის PII გაჟონვა, KYC გამყიდველის უკმარისობაინციდენტის ხიდი - 1 საათი, შინაარსი
Criticalმასობრივი ზიანი/მარეგულირებელიPII, DDoS მასობრივი გაჟონვა მიუწვდომელი, სანქცია. დარღვევაომის ოთახი - 15 წუთი, შეტყობინებები და საჯარო გეგმა

3) SLA ესკალაცია და „ინციდენტის ხიდი“

ინიციაცია: მაღალი/კრიტიკული საშუალებით იქმნება ომი-ოთახი (ჩატი/ზარი), ინიცირებული კომანდერი (IC) ინიცირებულია.

SLA: Info — n/a; დაბალი - 24 საათი; Medium — 4 ч; მაღალი - 1 საათი; კრიტიკული - 15 წთ

როლები Bridge: IC, Security Lead, SRE/Ops, Compliance (Deputy IC კანონიერი), Legal/DPO, Payments/FRM, SupporT port/vEP P P P P P UP P P P P P P P of, Pof, PEAIRRIVIaNaNIIOEaTaTEEEaT

4) რეაგირების პროცესი (SANS/NIST დასტის ადაპტაციაში)

1. მომზადება: runbooks, კონტაქტური ფურცლები, სარეზერვო პროვაიდერები, სატესტო ალერტები, წვდომა „ნაგულისხმევი დახურულია“.
2. იდენტიფიკაცია: SIEM/SOAR კორელაციები, ანტიფროგრამის წესები, KRI სიგნალები; ფაქტის/მოცულობის დადასტურება.
3. Containment: სეგმენტი, დაუცველი phice/endpoint- ის გათიშვა, გეო-შეზღუდვა, feature-flags, დროებითი შეზღუდვები/ჰოლები.
4. აღმოფხვრა: გასაღების პატჩი/როტაცია, სარეგისტრაციო/მოწყობილობების ბლოკი, მავნე არტეფაქტების გაწმენდა, სურათების გადაკეთება.
5. აღდგენა (აღდგენა): მთლიანობის შესაბამისობა, მოძრაობის თანდათანობითი ჩართვა (კანარის აუზები), რეგრესიების მონიტორინგი.
6. გაკვეთილები (Post-Incident): პოსტ-mortem - 72 საათი, CAPA გეგმა, პოლიტიკის/რეიდების/მოდელების განახლება.

5) იურიდიული შეტყობინებები და გარე კომუნიკაციები

💡 დროებითი ფანჯრები და ადრესატები დამოკიდებულია იურისდიქციაზე/ლიცენზიაზე; ყურადღება გაამახვილეთ ადგილობრივ მოთხოვნებსა და ხელშეკრულებებზე. მონაცემთა დაცვის ხშირი სახელმძღვანელოა ზედამხედველის ინფორმირება მნიშვნელოვანი გაჟონვის გამოვლენიდან 72 საათამდე; მომხმარებლის შეტყობინება - „დაუსაბუთებელი შეფერხების გარეშე“ მათი უფლებების/ინტერესების რისკის ქვეშ.
ადრესატებისა და მიზეზების მატრიცა (მაგალითი):
  • ზედამხედველობა (DPA): დადასტურებული PII გაჟონვა (ინციდენტის აღწერა, მონაცემთა კატეგორია, ზომები, DPO კონტაქტი).
  • აზარტული თამაშების მარეგულირებელი: მასობრივი დარღვევები RG/სარეკლამო წესები/ჩავარდნები, რომლებიც გავლენას ახდენენ მოთამაშეებზე/ანგარიშებზე.
  • ბანკები/PSP: საეჭვო მოქმედება/SAR შემთხვევები, მასობრივი chargebacks, გადახდის ნაკადის კომპრომისი.
  • მომხმარებლები: მათი მონაცემების გაჟონვა/ზიანის მაღალი რისკი; წერილების შაბლონები და FAQ.
  • პარტნიორები/გამყიდველები: მათ აქვთ თუ არა ინციდენტები, რომლებიც გავლენას ახდენენ საერთო ნაკადებზე/მონაცემებზე.

კომის წესები: ერთი სპიკერი, ფაქტები დაშვების გარეშე, მკაფიო მოქმედებები/რეკომენდაციები, შეინახეთ შეტყობინებების ყველა ვერსია და პასუხი.

6) Forenzica და მტკიცებულებათა შენახვის ჯაჭვი (Chain of Custody)

დააფიქსირეთ ვინმე/როდის/რა შეგროვდა; გამოიყენეთ WORM/უცვლელი საცავი.
ტომების/ლოგების სურათები, ჰაშირების არტეფაქტების ექსპორტი (SHA-256).
ხელმისაწვდომია „მხოლოდ კითხვა“, მუშაობა დუბლიკატების საშუალებით.
ყველა ბრძანების/ნაბიჯის დოკუმენტაცია; შეინახეთ დრო.
მესამე პირებზე არტეფაქტების გადაცემის პირობების კოორდინაცია Legal/DPO.

7) კონტროლირებადი კომუნიკაციები (შიდა/გარე)

დო: მოკლედ, ტექსტოლოგიურად, შეთანხმებულია IC/Legal- სთან; მიუთითეთ კვალი. apdate-slot (მაგ., ყოველ 60 წუთში).
ნუ: ჰიპოთეზები, როგორც ფაქტები, PII- ის გამჟღავნება, ბრალდება, ვადების დაპირებები კონტროლის გარეშე.

შიდა აპდეიტის შაბლონი (ყოველ 30-60 წუთში):
  • რა მოხდა ?/სერიოზულობა/გავლენის სფერო/მიღებული ზომები/შემდეგი ნაბიჯები/შემდეგი განახლება...

8) ტიპიური აფეთქების ღუმელის playbook 'და

ა) PII გაჟონვა (აპლიკაცია/უკანა/გამყიდველი)

1. Bridge 15 წუთი - გაყინვა საეჭვო end-points/გასაღებები და ჩართოთ მონაცემების წვდომის გაზრდილი აუდიტი.
2. Forenzic: განსაზღვროთ წყარო/მოცულობა/ტიპები PII, დრო.
3. მოქმედებები: საიდუმლოებების როტაცია, ფიქსაცია, უფლებების გადასინჯვა, გამყიდველის იზოლაცია.
4. შეტყობინებები: DPA/რეგულატორი/მომხმარებლები/პარტნიორები (მოთხოვნების შესაბამისად).
5. მოთამაშეთა მხარდაჭერა: FAQ, დამხმარე არხი, რეკომენდაციები (პაროლის შეცვლა/თაღლითობა).
6. პოსტ-mortem და CAPA.

ბ) მოთამაშეთა ანგარიშების კომპრომეტირება (ATO/credential stuffing)

1. ATO სიგნალებში spike- ს შეუძლია გააძლიეროს rate limit/2FA-enforce/WebAuthn, დროებითი გამომავალი ბლოკები.
2. მოწყობილობების/IP კლასტერიზაცია, დაზარალებული შეტყობინებების გაგზავნა, ნიშნების გადინება.
3. ფინანსური ოპერაციების შემოწმება, SAR, საჭიროების შემთხვევაში.

C) ICC- ის მიმწოდებლის უარი

1. გადართვა fallback პროვაიდერზე, სწრაფი დასკვნების შეზღუდვა, სახელმძღვანელო ნაკადი VIP- სთვის.
2. Comm of sapport და VIP მენეჯერები; გაჭიანურებისას - რეგულატორის/ბანკების ინფორმირება (თუ ეს გავლენას ახდენს შემოწმებაზე).

D) PSP/გადახდის ინციდენტი (chargebacks/კომპრომისი)

1. ჩართეთ მკაცრი 3DS/AVS, ჩამოაგდეთ ლიმიტები და ველური წესები; რისკის ჯგუფების ყინული.
2. შეატყობინეთ PSP/Bank- ს; გათეთრების ნიშნით - EDD/SAR.
3. უარყოფითი ტრაფიკის აღდგენა და აუდიტი.

E) DDoS/მიუწვდომლობა

1. გააქტიურეთ WAF/გეო-მონაკვეთი/scrubbing; „ყინვაგამძლე“ გამოშვებები.
2. რეგიონების კანარის ჩართვა, SLO კონტროლი; პოსტ-mortem სტაბილურობით.

9) ხელსაწყოები და ნივთები

SIEM/SOAR, IDS/IPS, WAF, EDR, DLP, საიდუმლო მენეჯერი, vault როტაცია, ანომალიების აღმოჩენა ანტიფროდში, ინციდენტების რეესტრი, შეტყობინებების შაბლონები.
არტეფაქტები: ინციდენტის რეესტრი, ხიდის პროტოკოლი (დრო), პროფილაქტიკის ანგარიში, შეტყობინებების პაკეტი (მარეგულირებელი/მომხმარებლები/ბანკები), პოსტ-მორტემი, CAPA ტრეკერი.

10) მეტრიკა და მიზნები

MTTD (აღმოჩენამდე დრო), MTTC (შესანახად), MTTR (გამოჯანმრთელებამდე).
დადგენილი მიზეზით ინციდენტების% 90% -ს შეადგენს.
CAPA- ს შესრულების% 95% -ს შეადგენს.
განმეორებითი ინციდენტების წილი იმავე მიზეზით 5% -ს შეადგენს.
SLA- ში დახურული ინციდენტების წილი: საშუალო - 90%, მაღალი - 95%, Critical - 99%.

11) RACI (გაფართოებული)

Incident Commander (Ops/Sec): A მენეჯმენტისთვის, გადაწყვეტილების მიღება, დრო.
Security Lead (R): ტექნოლოგია. ანალიზი, გაფართოება, შინაარსის/იდენტიფიკაცია.
კომპლექტი/DPO (R/A კანონიერებისთვის): გაჟონვის კვალიფიკაცია, შეტყობინებები, ფოსტის ფურცელი.
იურიდიული (C): იურიდიული შეფასება, კონტრაქტები/ხელშეკრულებები, წერილების ფორმულირება.
SRE/Engineering (R): ფიქსიები, გამოტოვება, სტაბილურობა.
Payments/FRM (R): ყინულები, ანტიფროგრამის ბარიერი, ურთიერთქმედება PSP/ბანკებთან.
PR/Comms (R): გარე შეტყობინებები, Q&A საფორტეპიანო.
მხარდაჭერა/VIP (I/C): კომუნიკაციის ფრონტი მოთამაშეებთან.

12) შაბლონები (მინიმალური ნაკრები)

12. 1 ინციდენტის ბარათი (რეესტრი)

ID· აღმოჩენის დრო· კლასი/სერიოზულობა· გავლენა მოახდინა (სისტემები/მონაცემები/იურისდიქციები)· IC· მეპატრონე/პირველი ზომები· მოცულობა/ზიანის შეფასება· შეტყობინებები (კომა/როდის)· ბმულები არტეფაქტებზე· სტატუსი/SARA/ვადები.

12. 2 შეტყობინებები მომხმარებლებისთვის

რა მოხდა; რა მონაცემებზე შეიძლება გავლენა იქონიოს; რაც გავაკეთეთ; რას გირჩევთ; კონტაქტები; პოლიტიკის ბმული/FAQ.

12. 3 პოსტ-მორტემი (სტრუქტურა)

ფაქტები/დრო· იმპაქტირება· პირველადი მიმღები (5 Whys)· რა მუშაობდა/არ მუშაობდა· CAPA (მფლობელი/ვადა)· ეფექტურობის შემოწმება N კვირის შემდეგ.

13) ინტეგრაცია ოპერაციებთან და შესაბამისობასთან

CAB/Change: საშიში ცვლილებები - მხოლოდ წინა დროშების/კანარის საშუალებით; თითოეულ გამოშვებაში - დაბრუნების გეგმა.
მონაცემები და მოხსენებები: ინციდენტების დაშბორდის ავტომატური შეკრება; კავშირი KRIs- სთან (სანქციები/RER, KYC, CBR, ATO).
რისკები: რისკებისა და რეესტრის მატრიცის განახლება, ბარიერების კალიბრაცია ყოველი მაიორი ინციდენტის შემდეგ.

14) სწავლებები და მზადყოფნა

Tabletop ჯერ კვარტალში (PII გაჟონვა, KYC, ATO ტალღა, PSP ინციდენტი).
Red/Blue/Purple team შემოწმება; ერთობლივი სავარჯიშოები ვენდორებთან და PSP.
KPI მზადყოფნა: დასაქმებულთა წილი, რომლებმაც გაიარეს ტრენინგი; სწავლების წარმატება; „ხიდის ამაღლების“ საშუალო დრო.

15) გზის განხორციელების რუკა

1-2 კვირა: როლების/კონტაქტების განახლება, შაბლონები, სარეზერვო პროვაიდერები.
3-4 კვირა: SOAR playbuks, ხიდის არხები, ტესტის შეტყობინებები, WORM არქივი.
თვე 2 +: რეგულარული წვრთნები, ჟურნალების აუდიტი, ინციდენტების ავტომატიზაცია.

TL; DR

მზადყოფნა = წინასწარ შეთანხმებული როლები და ბარიერები + სწრაფი ხიდის + მკაცრი შინაარსი + სამართლებრივი და დროული შეტყობინებები + წინსვლა მტკიცებულებათა ჯაჭვით + სავალდებულო პოსტმორტემი და CAPA. ეს ამცირებს ზიანს, ამცირებს ჯარიმებს და აძლიერებს მოთამაშეთა და პარტნიორთა ნდობას.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.