GH GambleHub

Olay ve sızıntı tepkisi

1) Amaç, ilkeler ve kapsam

Amaç: Hasar ve yasal riskleri azaltmak, operasyonların sürekliliğini ve güvenlik/uyum olaylarında eylemlerin kanıtlanabilirliğini sağlamak.
İlkeler: "Hızlı bir şekilde içermek, doğru bir şekilde onaylamak, şeffaf bir şekilde belgelemek, yasal olarak bildirmek, tekrarlamayı önlemek".
Kapsam: Siber olaylar (DDoS, ATO, hackler, güvenlik açıkları), PII/ödeme veri sızıntıları, AML/KYC/yaptırım ihlalleri, sağlayıcı arızaları (KYC/PSP), reklam/sorumlu oyun (RG) olayları, tehlikeye atılmış ortaklar.

2) Ciddiyet sınıflandırması ve tetikleyiciler

SeviyeAçıklamaTetikleyicilere örneklerZorunlu eylemler
BilgiOnay olmadan sinyal/anomali1-2 ATO uyarısı, tek CVE ortamıGünlüğe kaydetme, gözlem
DüşükPII/para olmadan yerel başarısızlıkHafif KYC bozulması, kısa PSP zaman aşımlarıSahibine bilet, vardiya başına düzeltme
OrtaSegment/Yargı Alanı RiskiCBR eşiğe ↑, ATO kümesi doğrulandıYükseltme ≤4 h, ayar kuralları/yama
YüksekÖnemli iş etkisiSınırlı PII sızıntısı, KYC satıcısı arızasıOlay köprüsü ≤1 h, muhafaza
KritikToplu hasar/düzenlemeToplu sızıntı PII, erişilemeyen DDoS, sans. ihlalSavaş odası ≤15 dakikaları, bildirimler ve genel plan

3) SLA yükselmeleri ve'olay köprüsü "

Başlatma: Yüksek/Kritik bir savaş odası (sohbet/çağrı) oluşturur, bir Olay Komutanı (IC) atar.

SLA: Bilgi - n/a; Düşük - 24 saat; Orta - 4 ч; Yüksek - 1 saat; Kritik - 15 dakika

Köprü rolleri: IC, Güvenlik Lideri, SRE/Ops, Uyumluluk (Yasallık için IC Yardımcısı), Yasal/DPO, Ödemeler/FRM, Destek/VIP, PR/İletişim, Veri/Adli Tıp.

4) Yanıt süreci (uyarlamada SANS/NIST yığını)

1. Hazırlık: runbooks, kişi listeleri, yedekleme sağlayıcıları, test uyarıları, "varsayılan kapalı" erişimler.
2. Tanımlama: SIEM/SOAR korelasyonları, sahtekarlık karşıtı kurallar, KRI sinyalleri; Gerçek/hacim onayı.
3. Çevreleme: segmentasyon, savunmasız özellik/uç nokta, coğrafi kısıtlamalar, özellik bayrakları, zaman sınırları/tutmaları devre dışı bırakma.
4. Eliminasyon (Eradikasyon): yama/anahtar rotasyonu, hesap/cihaz bloğu, kötü niyetli eserlerin temizlenmesi, görüntülerin yeniden birleştirilmesi.
5. Kurtarma: bütünlük doğrulama, trafiğin kademeli olarak dahil edilmesi (kanarya havuzları), regresyon izleme.
6. Olay Sonrası: Ölüm sonrası ≤72 h, CAPA planı, güncelleme politikaları/eşikleri/modelleri.

5) Yasal bildirimler ve dış iletişim

💡 Zaman pencereleri ve varış yerleri yargı/lisansa göre değişir; Yerel gereksinimlere ve sözleşmelere odaklanın. Sık kullanılan bir veri koruma ölçütü, önemli bir sızıntının tespit edilmesinden sonraki 72 saat içinde düzenleyici otoriteyi bilgilendirmektir; Kullanıcıları bilgilendirmek - haklarını/çıkarlarını riske atan "gereksiz gecikme olmaksızın".
Hedef matrisi ve nedenleri (örnek):
  • Veri gözetimi (DPA): Doğrulanmış PII sızıntısı - bildirim (olay açıklaması, veri kategorileri, önlemler, DPO teması).
  • Kumar düzenleyicisi: Oyuncuları/raporları etkileyen RG/reklam kurallarının/başarısızlıkların büyük ihlalleri.
  • Bankalar/PSP: şüpheli etkinlik/SAR vakaları, büyük ters ibrazlar, ödeme akışının tehlikeye atılması.
  • Kullanıcılar: Verilerinin sızması/yüksek zarar riski; Mektup şablonları ve SSS.
  • Ortaklar/satıcılar: onlarla veya bizimle ortak akışları/verileri etkileyen olaylar.

İletişim kuralları: tek bir konuşmacı, varsayımsız gerçekler, açık eylemler/öneriler, mesajların ve cevapların tüm sürümlerini saklar.

6) Adli Tıp ve "gözetim zinciri" (Gözetim Zinciri)

Kimin/ne zaman/ne toplandığını kaydetmek; WORM/değiştirilemeyen depolama kullanın.
Birim/günlük anlık görüntüleri, nesneleri karma yoluyla dışa aktarma (SHA-256).
Salt okunur erişimler, kopyalarla çalışma.
Tüm komutları/adımları belgeleyin; Zaman çizelgesini sakla.
Eserleri üçüncü taraflara devretme koşulları konusunda Legal/DPO ile anlaşın.

7) Kontrollü iletişim (iç/dış)

Yap: özlü, olgusal, IC/Legal ile mutabık; Bir sonraki güncelleme yuvasını belirtin (örn. Her 60 dakikada bir).
Yapmayın: gerçekler olarak hipotezler, PII açıklamaları, iddialar, kontrol edilmeyen son teslim tarihlerinin vaatleri.

Dahili güncelleme şablonu (her 30-60 dakikada bir):
  • Ne oldu ?/Önem derecesi/Etki alanı/Alınan önlemler/Sonraki adımlar/Sonraki güncelleme...

8) Tipik etki alanı oyun kitabı've

A) PII sızıntısı (uygulama/arka uç/satıcı)

1. Bridge ≤15 min - şüpheli uç noktaların/anahtarların dondurulması - veri erişiminin daha fazla denetlenmesini sağlar.
2. Oran: PII'nin kaynağını/hacmini/tiplerini, zaman çizgisini belirler.
3. Eylemler: sırların döndürülmesi, düzeltmeler, hakların gözden geçirilmesi, satıcının izolasyonu.
4. Bildirimler: DPA/regülatör/kullanıcılar/ortaklar (gerektiği gibi).
5. Oyuncu desteği: SSS, destek kanalı, öneriler (şifre değişikliği/dolandırıcılık).
6. Ölüm sonrası ve CAPA.

B) Oyuncu hesaplarının tehlikeye atılması (ATO/kimlik bilgisi doldurma)

1. ATO sinyallerinde ani artış - hız limit/2FA-enforce/WebAuthn, geçici çıkış bloklarını yükseltin.
2. Cihazların/IP'nin kümelenmesi, etkilenenlere bildirim gönderilmesi, belirteçlerin sıfırlanması.
3. Finansal işlemleri, gerekirse SAR'ı kontrol edin.

C) CUS/yaptırım sağlayıcısının reddi

1. Fallback sağlayıcısına geçin, hızlı çıkışları sınırlayın, VIP için manuel akış.
2. Destek ve VIP yöneticileri için iletişim; sıkılaştırma sırasında - düzenleyiciyi/bankaları bilgilendirmek (çekleri etkiliyorsa).

D) PSP/ödeme olayı (ters ibraz/uzlaşma)

1. Katı 3DS/AVS, düşme limitleri ve hız kurallarını etkinleştirin; risk gruplarını tutun.
2. PSP/bankayı bilgilendirmek; Aklama belirtileri ile - EDD/SAR.
3. Reddedilen trafiği kurtarma ve denetleme.

E) DDoS/kullanılamaması

1. WAF/geo-cutting/scrubbing etkinleştirin; "Frost" serbest bırakır.
2. Bölgelerin kanarya dahil edilmesi, SLO kontrolü; Esneklik üzerine ölüm sonrası.

9) Araçlar ve eserler

SIEM/SOAR, IDS/IPS, WAF, EDR, DLP, gizli yönetici, kasa rotasyonları, dolandırıcılıkla mücadele anomali tespiti, olay kaydı, bildirim şablonları.
Artifaktlar: olay kaydı, köprü protokolü (zaman çizelgesi), adli tıp raporu, bildirim paketi (düzenleyici/kullanıcılar/bankalar), ölüm sonrası, CAPA izleyici.

10) Metrikler ve hedefler

MTTD (algılama zamanı), MTTC (muhafaza öncesi), MTTR (kurtarma öncesi).
Kök nedenli olayların %'si ≥ 90% neden olur.
CAPA tamamlanma oranı %95 ≥.
Aynı nedenden dolayı tekrarlanan olayların oranı %5 ≤.
SLA'da kapanan olayların oranı: Orta ≥ %90, Yüksek ≥ %95, Kritik ≥ %99.

11) RACI (büyütülmüş)

Olay Komutanı (Ops/Sec): A yönetim, karar verme, zaman çizelgesi için.
Güvenlik Lideri (R): teknoloji. Analiz, adli tıp, çevreleme/yok etme.
Uyumluluk/DPO (yasallık için R/A): sızıntı niteliği, bildirimler, posta listesi.
Yasal (C): yasal değerlendirme, sözleşmeler/sözleşmeler, mektup ifadeleri.
SRE/Mühendislik (R): düzeltmeler, geri çekilmeler, stabilite.
Ödemeler/FRM (R): tutar, dolandırıcılıkla mücadele eşiği, PSP/bankalarla etkileşim.
PR/Comms (R): harici mesajlar, destek için Q&A.
Destek/VIP (I/C): Oyuncularla iletişimin önü.

12) Şablonlar (minimum set)

12. 1 Olay kartı (kayıt)

ID· Keşif zamanı· Sınıf/önem· Etkilenen (sistemler/veriler/yargı bölgeleri)· IC· Teknoloji/işletme sahibi· İlk önlemler· Hacim/hasar değerlendirmesi· Bildirimler (ne zaman/ne zaman)· Eserlere bağlantılar· Durum/CAPA/son tarihler.

12. 2 Kullanıcılara bildirim (sıkma)

Ne oldu; Hangi veriler etkilenmiş olabilir; Ne yaptık; Size önerdiklerimiz; iletişim bilgileri; Politika referansı/SSS.

12. 3 Ölüm sonrası (yapı)

Gerçekler/Zaman Çizelgesi· Etki· Kök Neden (5 Whys)· Ne çalıştı/işe yaramadı· CAPA (sahibi/son tarih)· N hafta sonra etkinlik kontrolü.

13) Operasyonlarla entegrasyon ve uyumluluk

CAB/Change: tehlikeli değişiklikler - sadece özellik bayrakları/kanaryalar aracılığıyla; Her sürümün bir geri dönüş planı vardır.
Veri ve raporlama: Olay panolarının otomatik montajı; KRI'larla iletişim (yaptırımlar/PEP, KYC, CBR, ATO).
Riskler: Risk matrisinin ve kaydının güncellenmesi, her büyük olaydan sonra eşiklerin kalibrasyonu.

14) Alıştırmalar ve hazırlık

Dörtte bir kez masa üstü (PII sızıntısı, KYC arızası, ATO dalgası, PSP olayı).
Kırmızı/Mavi/Mor takım kontrolleri; Satıcılar ve PSP ile ortak alıştırmalar.
Hazırlık KPI: Eğitimi tamamlayan çalışanların yüzdesi; Egzersizin başarısı; Ortalama "köprü kaldırma" süresi.

15) Uygulama Yol Haritası

1-2 hafta: rolleri/kişileri, şablonları, yedekleme sağlayıcılarını güncellemek.
3-4 hafta: SOAR oyun kitapları, köprü kanalları, test bildirimleri, WORM arşivi.
Ay 2 +: düzenli egzersizler, denetim günlükleri, olay raporlamasının otomasyonu.

TL; DR

Hazırlık = önceden kararlaştırılmış roller ve eşikler + hızlı köprü + sert muhafaza + yasal ve zamanında bildirimler + kanıt zinciri ile adli tıp + zorunlu post mortemler ve CAPA'lar. Bu, hasarı en aza indirir, ceza risklerini azaltır ve oyuncuların ve ortakların güvenini güçlendirir.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.