GH GambleHub

Incydent i reakcja na wyciek

1) Cel, zasady i zakres

Cel: ograniczenie szkód i ryzyka prawnego, zapewnienie ciągłości działań i udokumentowania działań w przypadku incydentów związanych z bezpieczeństwem/przestrzeganiem przepisów.
Zasady: „szybko zawierają → dokładnie potwierdzić → przejrzysty dokument → zgodnie z prawem powiadom → zapobiec powtarzaniu”.
Zasięg: incydenty cybernetyczne (DDoS, ATO, haki, luki), wycieki danych PII/płatniczych, naruszenia AML/KYC/sankcje, awarie dostawców (KYC/PSP), incydenty reklamowe/odpowiedzialne gry (RG), partnerzy zagrożeni.

2) Klasyfikacja dotkliwości i wyzwalacze

PoziomOpisPrzykłady wyzwalaczyDziałania obowiązkowe
InformacjeSygnał/anomalia bez potwierdzenia1-2 ATO alert, pojedyncze CVE mediumPozyskiwanie drewna, obserwacja
NiskiAwaria lokalna bez PII/pieniądzeNiewielka degradacja KYC, krótkie terminy PSPBilet do właściciela, naprawić za zmianę
MediumRyzyko segmentu/jurysdykcjiWartość CBR na próg, potwierdzony klaster ATOEskalacja ≤ 4 h, ustawienie reguł/plaster
WysokaZnaczący wpływ na działalność gospodarcząOgraniczony wyciek PII, awaria dostawcy KYCMost awaryjny ≤ 1 h, zamknięcie
KrytyczneUszkodzenie masy/regulacjaWyciek masy PII, DDoS z niedostępnością, sans. naruszenie przepisówSala wojenna ≤ 15 minut, powiadomienia i plan publiczny

3) eskalacje SLA i „incydent-bridge”

Inicjacja: High/Critical tworzy pokój wojenny (czat/call), przypisuje dowódcę incydentu (IC).

SLA: Info - nie/a; Niski - 24 h; Średni - 4 rzędy; Wysoka - 1 h; Krytyczny - 15 min

Role mostowe: IC, Security Lead, SRE/Ops, Compliance (zastępca IC dla legalności), Legal/DPO, Payments/FRM, Support/VIP, PR/Comms, Data/Forensics.

4) Proces reagowania (stos SANS/NIST w adaptacji)

1. Przygotowanie: zakładki, listy kontaktowe, dostawcy kopii zapasowych, alerty testowe, „domyślnie zamknięte” dostęp.
2. Identyfikacja: korelacje SIEM/SOAR, zasady zwalczania nadużyć finansowych, sygnały KRI; potwierdzenie faktu/objętości.
3. Przechowywanie: segmentacja, wyłączanie wrażliwych funkcji/punktów końcowych, ograniczeń geograficznych, flag funkcji, limitów czasowych/uchwytów.
4. Eliminacja (Eliminacja): rotacja plastra/klucza, blok kont/urządzeń, czyszczenie złośliwych artefaktów, ponowna instalacja obrazów.
5. Odzyskiwanie: walidacja integralności, stopniowe włączanie ruchu (puli kanaryjskie), monitorowanie regresji.
6. Post-incydent: pośmiertnie ≤ 72 h, plan CAPA, aktualizacja polityk/progów/modeli.

5) Informacje prawne i komunikaty zewnętrzne

💡 Okna czasowe i miejsca docelowe różnią się w zależności od jurysdykcji/licencji; skoncentrować się na lokalnych wymaganiach i umowach. Częstym punktem odniesienia dla ochrony danych jest powiadomienie organu regulacyjnego w ciągu 72 godzin o zidentyfikowaniu znaczącego przecieku; powiadamianie użytkowników - „bez zbędnej zwłoki” zagrożonych ich prawami/interesami.
Macierz docelowa i przyczyny (przykład):
  • Nadzór nad danymi (DPA): potwierdzony wyciek PII → powiadomienie (opis incydentu, kategorie danych, środki, kontakt DPO).
  • Regulator hazardu: Masowe naruszenia zasad RG/reklam/awarie wpływające na graczy/raportowanie.
  • Banki/PSP: podejrzane działania/sprawy SAR, ogromne obciążenia zwrotne, kompromis w przepływie płatności.
  • Użytkownicy: wyciek swoich danych/wysokie ryzyko szkody; szablony listów i często zadawane pytania.
  • Partnerzy/sprzedawcy: incydenty z nimi lub z nami wpływające na wspólne przepływy/dane.

Zasady comm: jeden głośnik, fakty bez zgadywania, jasne działania/zalecenia, przechowywać wszystkie wersje wiadomości i odpowiedzi.

6) Technicy sądowi i „łańcuch aresztowania” (Chain of Custody)

Zapisz, kto/kiedy/co zebrane; używać magazynu WORM/niepodlegającego modyfikacji.
Migawki głośności/dziennika, eksport artefaktów poprzez hashing (SHA-256).
Dostęp tylko do odczytu, praca przez duplikaty.
Dokumentuj wszystkie polecenia/kroki; przechowywać linię czasu.
Uzgodnić z Legalnym/Inspektorem Ochrony Danych warunki przekazywania artefaktów osobom trzecim.

7) Łączność kontrolowana (wewnętrzna/zewnętrzna)

Zrobić: zwięzłe, faktyczne, uzgodnione z IC/Legal; Określ następny slot aktualizacji (np. co 60 minut).
Nie: hipotezy jako fakty, ujawnienia PII, zarzuty, obietnice terminów bez kontroli.

Wewnętrzny szablon aktualizacji (co 30-60 minut):
  • Co się stało ?/Dotkliwość/Obszar wpływu/Podjęte środki/Następne kroki/Następna aktualizacja w...

8) Typowe odtwarzanie domeny "oraz

A) wyciek PII (aplikacja/backend/sprzedawca)

1. Most ≤ 15 min → zamrożenie podejrzanych punktów końcowych/klawiszy → umożliwienie zwiększonego audytu dostępu do danych.
2. Szybkość: określić źródło/objętość/typy PII, linię czasu.
3. Działania: rotacja tajemnic, poprawki, zmiana praw, izolacja sprzedawcy.
4. Powiadomienia: DPA/regulator/użytkownicy/partnerzy (zgodnie z wymaganiami).
5. Wsparcie dla graczy: FAQ, kanał wsparcia, zalecenia (zmiana hasła/oszustwo).
6. Pośmiertnie i CAPA.

B) Kompromis w zakresie kont graczy (ATO/nadziewanie wiarygodne)

1. Kolec w sygnałach ATO → wzmacnianie szybkości limit/2FA-enforce/WebAuthn, tymczasowe bloki wyjściowe.
2. Klastrowanie urządzeń/IP, wysyłanie powiadomień do zainteresowanych, resetowanie żetonów.
3. Sprawdź transakcje finansowe, w razie potrzeby SAR.

C) Odmowa CUS/dostawcy sankcji

1. Przełącz na dostawcę awaryjnego, ograniczyć szybkie wyjścia, przepływ ręczny dla VIP.
2. Comm dla menedżerów wsparcia i VIP; podczas dokręcania - informowanie regulatora/banków (jeśli ma to wpływ na kontrole).

D) PSP/incydent płatniczy (obciążenia zwrotne/kompromis)

1. Włączyć ścisłe 3DS/AVS, ograniczenia spadku i zasady prędkości; posiadać grupy ryzyka.
2. Informuj PSP/bank; z oznakami prania - EDD/SAR.
3. Odzyskać i audyt odrzucony ruch.

E) DDoS/niedostępność

1. Aktywować WAF/geo-cięcie/szorowanie; „mróz” wypuszcza.
2. Włączenie regionów kanaryjskich, kontrola SLO; pośmiertnie o odporności.

9) Narzędzia i artefakty

SIEM/SOAR, IDS/IPS, WAF, EDR, DLP, secret manager, rotacje skarbca, wykrywanie anomalii przed oszustwami, rejestr incydentów, szablony powiadomień.
Artefakty: rejestr incydentów, protokół pomostowy (linia czasowa), raport medycyny sądowej, pakiet zgłoszeń (regulator/użytkownicy/banki), pośmiertnie, tracker CAPA.

10) Wskaźniki i cele

MTTD (czas do wykrycia), MTTC (przed zamknięciem), MTTR (przed odzyskaniem).
% incydentów z ustaloną przyczyną korzenia ≥ 90%.
Wskaźnik ukończenia CAPA ≥ 95%.
Odsetek powtarzanych incydentów z tego samego powodu ≤ 5%.
Odsetek incydentów zamkniętych w SLA: średni ≥ 90%, wysoki ≥ 95%, krytyczny ≥ 99%.

11) RACI (rozszerzony)

Dowódca incydentu (Ops/Sec): A dla zarządzania, podejmowania decyzji, linii czasowej.
Security Lead (R): tech. analizy, badania sądowe, ograniczanie/zwalczanie.
Zgodność/DPO (R/A dla legalności): wyciek kwalifikacji, powiadomienia, lista mailingowa.
Ocena prawna (C): ocena prawna, umowy/umowy, brzmienie listów.
SRE/Engineering (R): poprawki, pullbacks, stabilność.
Płatności/FRM (R): posiadania, próg zwalczania nadużyć finansowych, interakcje z PSP/bankami.
PR/Comms (R): wiadomości zewnętrzne, Q&A do obsługi.
Wsparcie/VIP (I/C): przednia komunikacja z graczami.

12) Szablony (minimalny zestaw)

12. 1 Karta incydentu (rejestr)

ID· Czas odkrycia· Klasa/dotkliwość· Wpływ (systemy/dane/jurysdykcje)· IC· Właściciel technologii/biznesu· Pierwsze środki· Ocena objętości/szkody· Powiadomienia (do/kiedy)· Linki do artefaktów· Status/CAPA/terminy.

12. 2 Powiadomienie użytkowników (ściskanie)

Co się stało; jakie dane mogły zostać naruszone; to, co zrobiliśmy; to, co wam polecamy; informacje kontaktowe; odniesienie do polityki/FAQ.

12. 3 Pośmiertnie (struktura)

Fakty/Timeline· Impact· Root Cause (5 Whys)· Co działało/nie działało· CAPA (właściciel/termin)· Kontrola skuteczności po N tygodniach.

13) Integracja z operacjami i zgodność

CAB/Change: niebezpieczne zmiany - tylko dzięki flagom/kanarkom; każde wydanie ma plan rollback.
Dane i sprawozdawczość: automatyczny montaż desek rozdzielczych incydentów; komunikacja z KRI (sankcje/PEP, KYC, CBR, ATO).
Ryzyko: aktualizacja macierzy ryzyka i rejestru, kalibracja progów po każdym poważnym incydencie.

14) Ćwiczenia i gotowość

Tabletop raz na kwartał (wyciek PII, niewydolność KYC, fala ATO, incydent PSP).
kontrole zespołu Red/Blue/Purple; wspólne ćwiczenia ze sprzedawcami i PSP.
Gotowość KPI: odsetek pracowników, którzy ukończyli szkolenie; sukces ćwiczenia; średni czas „podnoszenia mostu”.

15) Plan działania w zakresie wdrażania

1-2 tygodnie: aktualizowanie ról/kontaktów, szablonów, dostawców kopii zapasowych.
3-4 tygodnie: SOAR playbooks, kanały mostowe, powiadomienia testowe, archiwum WORM.
Miesiąc 2 +: regularne ćwiczenia, dzienniki audytu, automatyzacja raportowania incydentów.

TL; DR

Gotowość = wstępnie uzgodnione role i progi + szybki most + twarde zamknięcie + legalne i terminowe powiadomienia + techniki sądowe z łańcuchem dowodów + obowiązkowe pośmiertne śmiertelniki i CAPA. Minimalizuje to szkody, zmniejsza ryzyko kar i zwiększa zaufanie graczy i partnerów.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.