Реакция на инциденты и утечки

1) Цель, принципы и охват

Цель: снизить ущерб и юридические риски, обеспечить непрерывность операций и доказуемость действий при инцидентах безопасности/комплаенса.
Принципы: «быстро сдержать → точно подтвердить → прозрачно задокументировать → законно уведомить → предотвратить повтор».
Охват: киберинциденты (DDoS, ATO, взломы, уязвимости), утечки PII/платежных данных, нарушения AML/KYC/санкций, сбои провайдеров (KYC/PSP), инциденты рекламы/ответственной игры (RG), компрометированные партнеры.

2) Классификация и триггеры серьезности

3) SLA эскалаций и «инцидент-бридж»

Инициация: при High/Critical создается war-room (чат/звонок), назначается Incident Commander (IC).
SLA: Info — n/a; Low — 24 ч; Medium — 4 ч; High — 1 ч; Critical — 15 мин.
Роли на бридже: IC, Security Lead, SRE/Ops, Compliance (Deputy IC по законности), Legal/DPO, Payments/FRM, Support/VIP, PR/Comms, Data/Forensics.

4) Процесс реагирования (SANS/NIST-стек в адаптации)

1. Подготовка: runbooks, контакто-листы, резервные провайдеры, тестовые алерты, доступы «по умолчанию закрыты».
2. Идентификация: корреляции SIEM/SOAR, антифрод-правила, KRI-сигналы; подтверждение факта/объема.
3. Сдерживание (Containment): сегментация, отключение уязвимой фичи/эндпоинта, гео-ограничения, feature-flags, временные лимиты/холды.
4. Устранение (Eradication): патч/ротация ключей, блок учетных/устройств, чистка вредоносных артефактов, пересборка образов.
5. Восстановление (Recovery): валидация целостности, постепенное включение трафика (канареечные пулы), мониторинг регрессий.
6. Уроки (Post-Incident): пост-мортем ≤72 ч, CAPA-план, обновление политик/порогов/моделей.

5) Юридические уведомления и внешние коммуникации

• Надзор по данным (DPA): подтвержденная утечка PII → уведомление (описание инцидента, категории данных, меры, контакт DPO).
• Регулятор азартных игр: массовые нарушения RG/рекламных правил/сбои, влияющие на игроков/отчетность.
• Банки/PSP: подозрительная активность/SAR-кейсы, массовые chargebacks, компрометация платежного потока.
• Пользователи: утечка их данных/высокий риск вреда; шаблоны писем и FAQ.
• Партнеры/вендоры: инциденты у них или у нас, затрагивающие общие потоки/данные.

Комм-правила: единый спикер, факты без догадок, четкие действия/рекомендации, хранить все версии сообщений и ответы.

6) Форензика и «цепочка хранения доказательств» (Chain of Custody)

Зафиксировать кто/когда/что собрал; использовать WORM/неизменяемое хранилище.
Снимки томов/логов, экспорт артефактов через хэширование (SHA-256).
Доступы «только чтение», работа через дубликаты.
Документировать все команды/шаги; хранить таймлайн.
Согласовать с Legal/DPO условия передачи артефактов третьим лицам.

7) Контролируемые коммуникации (внутренние/внешние)

Do: кратко, фактологично, согласовано с IC/Legal; указывать след. апдейт-слот (напр., каждые 60 мин).
Don’t: гипотезы как факты, раскрытие PII, обвинения, обещания сроков без контроля.

• Что произошло? / Серьезность / Область влияния / Принятые меры / Следующие шаги / Следующий апдейт в …

8) Типовые доменные playbook’и

A) Утечка PII (приложение/бэкенд/вендор)

1. Бридж ≤15 мин → заморозить подозрительные end-points/ключи → включить повышенный аудит доступа к данным.
2. Форензика: определить источник/объем/типы PII, таймлайн.
3. Действия: ротация секретов, фиксы, ревизия прав, изоляция вендора.
4. Уведомления: DPA/регулятор/пользователи/партнеры (по требованиям).
5. Поддержка игроков: FAQ, канал поддержки, рекомендации (смена пароля/мошенничество).
6. Пост-мортем и CAPA.

B) Компрометация учетных записей игроков (ATO/credential stuffing)

1. Spike в ATO-сигналах → усилить rate limit/2FA-enforce/WebAuthn, временные блоки вывода.
2. Кластеризация устройств/IP, рассылка уведомлений затронутым, сброс токенов.
3. Проверка финансовых операций, SAR при необходимости.

C) Отказ провайдера KYC/санкций

1. Переключение на fallback-провайдера, ограничение быстрых выводов, ручной поток для VIP.
2. Комм для саппорта и VIP-менеджеров; при затяжке — информирование регулятора/банков (если влияет на проверки).

D) PSP/платежный инцидент (chargebacks/компрометация)

1. Включить строгий 3DS/AVS, уронить лимиты и velocity-правила; холд риск-групп.
2. Сообщить PSP/банк; при признаках отмывания — EDD/SAR.
3. Восстановление и аудит отклоненного трафика.

E) DDoS/недоступность

1. Активировать WAF/гео-отрезание/скруббинг; «мороз» релизов.
2. Канареечное включение регионов, контроль SLO; пост-мортем по устойчивости.

9) Инструменты и артефакты

SIEM/SOAR, IDS/IPS, WAF, EDR, DLP, секрет-менеджер, vault-ротации, обнаружение аномалий в антифроде, реестр инцидентов, шаблоны уведомлений.
Артефакты: реестр инцидента, протокол бриджа (таймлайн), отчет форензики, пакет уведомлений (регулятор/пользователи/банки), пост-мортем, CAPA-трекер.

10) Метрики и целевые ориентиры

MTTD (время до обнаружения), MTTC (до сдерживания), MTTR (до восстановления).
% инцидентов с установленной первопричиной ≥ 90%.
% выполнения CAPA в срок ≥ 95%.
Доля повторных инцидентов по той же причине ≤ 5%.
Доля инцидентов, закрытых в SLA: Medium ≥ 90%, High ≥ 95%, Critical ≥ 99%.

11) RACI (укрупненно)

Incident Commander (Ops/Sec): A за управление, принятие решений, таймлайн.
Security Lead (R): тех. анализ, форензика, containment/eradication.
Compliance/DPO (R/A за законность): квалификация утечки, уведомления, лист рассылки.
Legal (C): правовая оценка, контракты/договоры, формулировки писем.
SRE/Engineering (R): фиксы, откаты, стабильность.
Payments/FRM (R): холды, антифрод-порог, взаимодействие с PSP/банками.
PR/Comms (R): внешние сообщения, Q&A для саппорта.
Support/VIP (I/C): фронт коммуникаций с игроками.

12) Шаблоны (минимальный набор)

12.1 Карточка инцидента (реестр)

ID · Время обнаружения · Класс/серьезность · Затронуто (системы/данные/юрисдикции) · IC · Владелец тех/бизн · Первые меры · Объем/оценка ущерба · Уведомления (кому/когда) · Ссылки на артефакты · Статус/CAPA/сроки.

12.2 Уведомление пользователям (выжимка)

Что случилось; какие данные могли быть затронуты; что мы сделали; что рекомендуем вам; контакты; ссылка на политику/FAQ.

12.3 Пост-мортем (структура)

Факты/таймлайн · Импакт · Первопричина (5 Whys) · Что сработало/не сработало · CAPA (владелец/дедлайн) · Проверка эффективности через N недель.

13) Интеграция с операциями и комплаенсом

CAB/Change: опасные изменения — только через фича-флаги/канареек; в каждом релизе — план отката.
Данные и отчетность: автоматическая сборка дашбордов инцидентов; связь с KRIs (санкции/PEP, KYC, CBR, ATO).
Риски: обновление матрицы рисков и реестра, калибровка порогов после каждого major-инцидента.

14) Учения и готовность

Tabletop раз в квартал (утечка PII, отказ KYC, ATO-волна, PSP-инцидент).
Red/Blue/Purple-team проверки; совместные учения с вендорами и PSP.
KPI готовности: доля сотрудников, прошедших тренинг; успешность учений; среднее время «поднятия бриджа».

15) Дорожная карта внедрения

1–2 недели: актуализация ролей/контактов, шаблоны, резервные провайдеры.
3–4 недели: SOAR-плейбуки, каналы бриджа, тестовые уведомления, WORM-архив.
Месяц 2+: регулярные учения, аудит журналов, автоматизация отчетности по инцидентам.

TL;DR

Готовность = заранее согласованные роли и пороги + быстрый бридж + жесткий containment + законные и своевременные уведомления + форензика с цепочкой доказательств + обязательные пост-мортемы и CAPA. Это минимизирует ущерб, снижает штрафные риски и укрепляет доверие игроков и партнеров.