Playbooks incydentów i skryptów

1) Cel sekcji

Tworzyć pojedynczy, wersjonowany zestaw odtwarzaczy, aby szybko i konsekwentnie reagować na incydenty w ramach pętli operacji i zgodności, od wykrywania do odzyskiwania, komunikacji, powiadomień prawnych i ulepszeń.

2) Standard Playbook (karta skryptowa)

ID: PB- <code >/Version: v <MAJOR. MINOR >/Owner: <role/name>
Title: <short and unambiguous>
Scope: <technology/payments/information security/compliance/PR>
Severity: S1    S2    S3    S4 (activation criteria)
Detection: <metrics/alerts/log signatures/sources>
Start triggers: <conditions and thresholds>
RACI: IC / Tech Lead / Sec Lead / Comms / Legal / Payments / CS / Data
Response steps:
0-15 min: <start actions, war room, holding statement>
15-60 min: <stabilization/bypasses/reserves/first external message>
1-4 hours: <in-depth diagnostics/fixes/targeted notifications>
Up to 24 hours: <final update/compensation/reports/retro slot>
Communications: <templates for status, players, partners, regulators, media>
Artifacts: <timeline, logs, dumps, screenshots, tickets, reports>
Legal: <to/when to notify, formats, languages>
Exit criteria: <conditions for closing the incident>
MTTD/MTTA/MTTR targets: <numerical benchmarks>
Prevention: <CAPA and backlog links to epics>
Last workout: <date/results/remarks>

3) Seria i matryca Triage (Podsumowanie)

S1 (krytyczny): globalny czas przestoju rdzenia/portfela, wyciek danych PII/finansowych, masowa niedostępność płatności, dochodzenia regulacyjne.
Aktualizacje: ≤ 15 min pierwszy; co 30-60 minut.
S2 (wysoki): przestoje regionalne, spadek konwersji płatności> 10%, potwierdzona luka bez wycieku.
S3 (średnia): degradacja poszczególnych dostawców/funkcji, wzrost połączeń CS> 30% do bazy danych.
S4 (niskie): lokalne wady, pojedyncze reklamacje.

Triage (szybkie sprawdzenie): fakt? skali? bezpieczeństwo środków/danych? terminów prawnych? szlaki zapasowe? kanał pierwszej wiadomości i czas następnej aktualizacji?

4) Role i komunikacja

IC (Incydent Commander): właściciel linii czasowej/rozwiązania.
Tech Lead (SRE/Platform): diagnostyka/fixes/workarounds.
Ołów bezpieczeństwa (AppSec/Blue Team): w razie potrzeby powiadomienia o bezpieczeństwie medycyny sądowej/przechowywania/informacji.
Płatności Lead: PSP/banki, multi-routes, ręczne przetwarzanie.
Ustawa/Zgodność: Ogłoszenia regulacyjne, Język, Terminy.
Komunikatory Dowództwo: strona stanu, e-mail/SMS/push, partnerzy, media.
CS/CRM Lead: makro, kompensacje, segmenty docelowe.
Dane/analizy: ocena wpływu, sprawozdania, kontrola MTT.

Pojedynczy głos: wszelkie wiadomości zewnętrzne - za pośrednictwem komunikatów + Legal.

5) Listy kontrolne uniwersalne

5. 1 Start Playbook (0-15 min)

• Przydzielone IC, sala wojenna otwarta, przydzielony stenograf.
• Nasilenie (S1-S4), promień zidentyfikowanego wpływu.
• Podejmowane są środki ochronne (ficheflagi, limity, wnioski o zaprzestaniu ryzyka).
• Przygotowano zestawienie posiadania i ETA dotyczące następnej aktualizacji.
• Stworzone bilety do mocowania artefaktów (logi/dumps/screenshots).

5. 2 Przed pierwszym zewnętrznym przesłaniem

• Potwierdzone fakty, tajemnice wyłączone/PII.
• Przegląd prawny sformułowań.
• Wyczyść instrukcje dla użytkowników, co zrobić teraz.
• Czas następnej aktualizacji jest wyraźnie określony.

5. 3 Zakończenie incydentu

• Wyeliminowane korzenie/wdrożone środki wyrównawcze.
• Narosłe odszkodowania, przetwarzane transakcje sporne.
• Sprawozdanie końcowe/aktualizacja statusu; retro przypisane ≤ 7 dni.
• Pozycje CAPA są tworzone z właścicielami i daty.

6) Typowe playbooks (katalog)

PB-SEC-01: Naruszenie danych/kompromis na koncie (S1)

Wykrywanie: anomalie wejściowe, wyzwalacze EDR/WAF, reklamacje hakowania konta, wyciek forum.
0-15 min: izolacja systemów dotkniętych chorobą; rotacja tajemnic; wyłączanie zagrożonych żetonów; włączenie kampanii MSZ.
15-60 min: ukierunkowane powiadomienia dla poszkodowanych; pierwsza komunikacja publiczna; ustalanie artefaktów dla medycyny sądowej.
1-4 godziny: audyt dostępu PII; Dostawca/Cloud prosi o przygotowanie ogłoszeń regulacyjnych.
Do 24 godzin: szczegółowy raport, zmiana klucza, aktualizacja hasła, rozszerzenie monitorowania.
Komunikacja: strona stanu, e-mail do zainteresowanych, partnerów, jeśli to konieczne - media Q & A.
Prawo: Powiadomienia regulacyjne/bankowe/PSP w wyznaczonym terminie.
Kryteria wyjścia: zlokalizowane ryzyko; wszystkie żetony zastąpione; gracze wysłali instrukcje; brakujące/ograniczone uszkodzenia potwierdzone.
Zapobieganie: nagroda za błędy, utwardzanie, DLP, tajne zarządzanie.

PB-PAY-02: Kryzys płatniczy (PSP/bank niedostępny) (S1/S2)

Wykrywanie: automatyczny spadek prędkości, wzrost awarii, kolejka wyjściowa.
0-15 min: przejście na standby PSP/trasy; miękkie zawieszenie automatycznych wyjść; baner w kasie „alternatywne metody”.
15-60 min: pierwszy komunikat zewnętrzny (cash desk/status); ręczny priorytet grup VIP/grup wrażliwych; komunikacja z PSP.
1-4 godziny: ponowne obliczenie limitów; rekompensaty za niedogodności; zgłoś się do partnerów.
do 24 godzin: sprawozdanie końcowe; SLA zwraca aktualizację zasad bilansowania ruchu.
Zapobieganie: wielokrotne pozyskiwanie, kontrole zdrowotne metodami, automatyczne przywracanie równowagi.

PB-NET-03: degradacja DDoS/sieci masowej (S1)

0-15 min: włączyć profile anty-DDoS; ograniczenia stawek/ograniczenia; Zasady ochrony CDN/WAF tymczasowo wyłączają ciężkie punkty końcowe.
15-60 min: filtry geo-/czarne; komunikację z dostawcą; pierwsza wiadomość do użytkowników z ETA.
1-4 godziny: skalowanie frontów; kontrole kanaryjskie; analiza telemetrii ataku.
Zapobieganie: regularne ćwiczenia DDoS; profile adaptacyjne; zapasowe ASN/CDN.

PB-GAME-04: Awaria dostawcy gry (S2/S3)

Wykrywanie: wzrost błędów API dostawcy, przepięcie w CS wymaga konkretnych tytułów.
Kroki: Tymczasowo ukryć dotknięte gry; Pokaż wiersz/zamienniki Synchronizacja bilansu powiadomienia dostawcy i graczy.
Zapobieganie: strategie otwarte/zamknięte, buforowanie katalogów, znakowanie zdrowia.

PB-REG-05: incydentu regulacyjnego (S1/S2)

Przypadki: Naruszenie warunków premiowych, awarie KYC/KYB, naruszenie reklam.
Kroki: zamrozić kontrowersyjną mechanikę; Konsultacje prawne/w sprawie zgodności; neutralne brzmienie; sprawozdawczość szablonowa.

Zapobieganie: promocja przed rozliczeniem, regularne audyty T&C

PB-FRD-06: Oszukańczy pierścień/nadużycia (S2)

Wykrywanie: gwałtowny wzrost liczby osób, nadużycia bonusowe, anomalie arbitrażowe.
Kroki: terminy wpłat/wypłat; docelowe KYC; blokowanie pakietów urządzeń/płatności/IP; raport o ryzyku.
Komunikacja: powiadomienia indywidualne; unikać publicznego ujawniania logiki zwalczania nadużyć finansowych.
Zapobieganie: modele behawioralne, analizy wykresów, filtry prędkości.

PB-DATA-07: Integralność danych/balans Desynchronizacja (S1/S2)

Kroki: przeniesienie portfela do „trybu bezpiecznego”; zakaz niebezpiecznych operacji; Odzyskiwanie z kłód/migawek uzgadnianie jednostek; powiadomienia osobiste.
Zapobieganie: dwufazowe popełnia/idempotencja, event-sourcing, niezmienne.

PB-AFF-08: Spadek śledzenia powiązanego (S3)

Kroki: mocowanie pikseli/pleców; sprawozdania z odszkodowań; powiadomienia partnerów; czasowe współczynniki przypisania.
Zapobieganie: monitorowanie konwersji, rezerwowe kolbaty.

PB-PR-09: Reputacja Storm (S2/S3)

Kroki: pojedyncza pozycja; faktyczne; Q&A; unikać kontrowersji w komentarzach; przygotować długą lekturę z faktami.
Zapobieganie: szkolenie mediów prelegentów, „ciemne miejsce” z faktami.

PB-PHI-10: Phishing/fałszywe strony (S2)

Kroki: gromadzenie dowodów; powiadamianie rejestratorów/hostów; ostrzeżenie dla graczy; Aktualizacja strony anti-phishing DMARC/Wskaźniki marki.
Zapobieganie: monitorowanie podobieństwa domen, partnerstwo z dostawcami antyfishing.

7) Szablony wiadomości (szybkie wkładki)

• klucz> Powód: [komponent/dostawca]. Wpływ: [procent/geografia/okres]. Podjęte środki: [rezerwa/zwrot/walidacja]. Rekompensaty: [rodzaj/kryteria]. Następne kroki: [zapobieganie/czas].

Partnerzy/podmioty powiązane: krótki opis „co/jak wpływa na śledzenie/środki tymczasowe/ETA”.

Regulator/banki/PSP: formalne powiadomienie: fakty, środki, wpływ klienta, plan prewencji, termin sporządzenia sprawozdania końcowego.

8) Wskaźniki i cele

Wykrywanie: MTTD, alert-to-hałas.
Reakcja: MTTA, TTS (time-to-statement),% aktualizacji do SLA.
Odzyskiwanie: MTTR, RTO/RPO na dotkniętych usług.
Wpływ: dotknięci gracze/transakcje, utracony GGR, stawka obciążenia zwrotnego.
Komunikacja: szybkość otwarcia/kliknięcia, zasięg, szybkość wznowienia, CSAT/DSAT.
Zgodność: terminowość obowiązkowych powiadomień, kompletność artefaktów.

9) Artefakty i podstawa dowodowa

• linię czasową decyzji i działań (dokładność minut);
• dzienniki/dumpingi/zrzuty ekranu/wykresy eksportowe;
• Konfiguracja/budowa wersji
• Kopie wiadomości i listy odbiorców
• Listy rachunków/transakcji, których dotyczą
• ogłoszenia prawne (projekty/zgłoszenia/odpowiedzi).

10) Narzędzia i integracje

Incydent bot: '/declare ', '/severity S1.. S4 ', '/update <text>', '/close '.
Strona statusu: kanały publiczne; integracja z czujnikami uptime.
Kompensacja: kalkulator segmentu (według czasu, geo, gry, metody płatności).
Stosy bezpieczeństwa: EDR/WAF/SIEM/IDS; playbooks w SOAR.
Obserwowalność: dzienniki/mierniki/szlaki, budżety błędów, deski rozdzielcze SLO.

11) Zarządzanie katalogiem odtwarzania (zarządzanie)

Wersioning: repozytorium Git, proces PR, wersje semantyczne.
Odpowiedzialność: każdy playbook ma właściciela i rezerwę.
Audyty: co najmniej raz na kwartał, po każdym S1/S2 - nieplanowane.
Szkolenie: stół-top raz na kwartał, ćwiczenia na żywo dla scenariuszy krytycznych raz na pół roku.
Zgodność: linki do BCP/DRP, Escalation Matrix, Responsible Play, Polityka powiadamiania.

12) Szybkie rozpoczęcie realizacji (w 30 dni)

1. Przygotuj listę 10 najlepszych scenariuszy ryzyka i mianuj właścicieli.
2. Dla każdego - wystawić kartę zgodnie ze standardem (sekcja 2) i wpisać ją w repozytorium.
3. Podłącz playbooks do bot incydentu (skróty i szablony wiadomości).
4. Przeprowadzenie 2 ćwiczeń stołowych (płatności + bezpieczeństwo informacji) i 1 ćwiczenia na żywo (degradacja dostawcy gier).
5. Uruchom deskę rozdzielczą mierników (MTTD/MTTA/MTTR, TTS,% aktualizacji do SLA).
6. Tworzenie zaległości CAPA, uzgodnienie czasu i RACI.
7. Odwróć „suchą” dystrybucję szablonów (do graczy/partnerów/regulatorów) przez piaskownicę.

• Zarządzanie kryzysowe i komunikacja
• Plan ciągłości działania (BCP)
• Plan naprawy klęsk żywiołowych (DRP)
• Matryca eskalacji
• System powiadamiania i ostrzegania
• Odpowiedzialna gra i ochrona gracza