Реакція на інциденти та витоки

1) Мета, принципи та охоплення

Мета: знизити збитки і юридичні ризики, забезпечити безперервність операцій і доказовість дій при інцидентах безпеки/комплаєнсу.
Принципи: «швидко стримати → точно підтвердити → прозоро задокументувати → законно повідомити → запобігти повтор».
Охоплення: кіберінциденти (DDoS, ATO, злами, вразливості), витоки PII/платіжних даних, порушення AML/KYC/санкцій, збої провайдерів (KYC/PSP), інциденти реклами/відповідальної гри (RG), компрометовані партнери.

2) Класифікація і тригери серйозності

3) SLA ескалацій і «інцидент-бридж»

Ініціація: при High/Critical створюється war-room (чат/дзвінок), призначається Incident Commander (IC).
SLA: Info — n/a; Low - 24 год; Medium — 4 ч; High - 1 год; Critical - 15 хв.
Ролі на бриджі: IC, Security Lead, SRE/Ops, Compliance (Deputy IC по законности), Legal/DPO, Payments/FRM, Support/VIP, PR/Comms, Data/Forensics.

4) Процес реагування (SANS/NIST-стек в адаптації)

1. Підготовка: runbooks, контакто-листи, резервні провайдери, тестові алерти, доступи «за замовчуванням закриті».
2. Ідентифікація: кореляції SIEM/SOAR, антифрод-правила, KRI-сигнали; підтвердження факту/обсягу.
3. Стримування (Containment): сегментація, відключення вразливої фічі/ендпоінта, гео-обмеження, feature-flags, тимчасові ліміти/холди.
4. Усунення (Eradication): патч/ротація ключів, блок облікових/пристроїв, чищення шкідливих артефактів, перезбирання образів.
5. Відновлення (Recovery): валідація цілісності, поступове включення трафіку (канарські пули), моніторинг регресій.
6. Уроки (Post-Incident): пост-мортем ≤72 ч, CAPA-план, оновлення політик/порогів/моделей.

5) Юридичні повідомлення та зовнішні комунікації

• Нагляд за даними (DPA): підтверджений витік PII → повідомлення (опис інциденту, категорії даних, заходи, контакт DPO).
• Регулятор азартних ігор: масові порушення RG/рекламних правил/збої, що впливають на гравців/звітність.
• Банки/PSP: підозріла активність/SAR-кейси, масові chargebacks, компрометація платіжного потоку.
• Користувачі: витік їх даних/високий ризик шкоди; шаблони листів і FAQ.
• Партнери/вендори: інциденти у них або у нас, що зачіпають загальні потоки/дані.

Комм-правила: єдиний спікер, факти без здогадок, чіткі дії/рекомендації, зберігати всі версії повідомлень і відповіді.

6) Форензіка і «ланцюжок зберігання доказів» (Chain of Custody)

Зафіксувати хто/коли/що зібрав; використовувати WORM/незмінне сховище.
Знімки томів/логів, експорт артефактів через хешування (SHA-256).
Доступи «тільки читання», робота через дублікати.
Документувати всі команди/кроки; зберігати таймлайн.
Узгодити з Legal/DPO умови передачі артефактів третім особам.

7) Контрольовані комунікації (внутрішні/зовнішні)

Do: коротко, фактологічно, погоджено з IC/Legal; вказувати слід. апдейт-слот (напр., кожні 60 хв).
Don’t: гіпотези як факти, розкриття PII, звинувачення, обіцянки термінів без контролю.

• Що сталося ?/Серйозність/Область впливу/Вжиті заходи/Наступні кроки/Наступний апдейт в...

8) Типові доменні playbook'і

A) Витік PII (додаток/бекенд/вендор)

1. Бридж ≤15 хв → заморозити підозрілі end-points/ключі → включити підвищений аудит доступу до даних.
2. Форензика: визначити джерело/об'єм/типи PII, таймлайн.
3. Дії: ротація секретів, фікси, ревізія прав, ізоляція вендора.
4. Сповіщення: DPA/регулятор/користувачі/партнери (за вимогами).
5. Підтримка гравців: FAQ, канал підтримки, рекомендації (зміна пароля/шахрайство).
6. Пост-мортем і CAPA.

B) Компрометація облікових записів гравців (ATO/credential stuffing)

1. Spike в ATO-сигналах → посилити rate limit/2FA-enforce/WebAuthn, тимчасові блоки виведення.
2. Кластеризація пристроїв/IP, розсилка повідомлень порушеним, скидання токенів.
3. Перевірка фінансових операцій, SAR при необхідності.

C) Відмова провайдера КУС/санкцій

1. Перемикання на fallback-провайдера, обмеження швидких виводів, ручний потік для VIP.
2. Комм для саппорту і VIP-менеджерів; при затягуванні - інформування регулятора/банків (якщо впливає на перевірки).

D) PSP/платіжний інцидент (chargebacks/компрометація)

1. Включити строгий 3DS/AVS, впустити ліміти і velocity-правила; холд ризик-груп.
2. Повідомити PSP/банк; при ознаках відмивання - EDD/SAR.
3. Відновлення та аудит відхиленого трафіку.

E) DDoS/недоступність

1. Активувати WAF/гео-відрізання/скруббінг; «мороз» релізів.
2. Канареечное включення регіонів, контроль SLO; пост-мортем по стійкості.

9) Інструменти та артефакти

SIEM/SOAR, IDS/IPS, WAF, EDR, DLP, секрет-менеджер, vault-ротації, виявлення аномалій в антифроді, реєстр інцидентів, шаблони повідомлень.
Артефакти: реєстр інциденту, протокол бриджу (таймлайн), звіт форензики, пакет повідомлень (регулятор/користувачі/банки), пост-мортем, CAPA-трекер.

10) Метрики та цільові орієнтири

MTTD (час до виявлення), MTTC (до стримування), MTTR (до відновлення).
% інцидентів зі встановленою першопричиною ≥ 90%.
% виконання CAPA в термін ≥ 95%.
Частка повторних інцидентів з тієї ж причини ≤ 5%.
Частка інцидентів, закритих в SLA: Medium ≥ 90%, High ≥ 95%, Critical ≥ 99%.

11) RACI (укрупнено)

Incident Commander (Ops/Sec): A за управління, прийняття рішень, таймлайн.
Security Lead (R): тех. тех. аналіз, форензика, containment/eradication.
Compliance/DPO (R/A за законність): кваліфікація витоку, повідомлення, лист розсилки.
Legal (C): правова оцінка, контракти/договори, формулювання листів.
SRE/Engineering (R): фікси, відкати, стабільність.
Payments/FRM (R): холди, антифрод-поріг, взаємодія з PSP/банками.
PR/Comms (R): зовнішні повідомлення, Q&A для саппорту.
Support/VIP (I/C): фронт комунікацій з гравцями.

12) Шаблони (мінімальний набір)

12. 1 Картка інциденту (реєстр)

ID· Час виявлення· Клас/серйозність· Порушено (системи/дані/юрисдикції)· IC· Власник тих/бізн· Перші заходи· Обсяг/оцінка збитку· Повідомлення (кому/коли)· Посилання на артефакти· Статус/САРА/терміни.

12. 2 Повідомлення користувачам (вичавка)

Що сталося; які дані могли бути порушені; що ми зробили; що рекомендуємо вам; контакти; посилання на політику/FAQ.

12. 3 Пост-мортем (структура)

Факти/таймлайн· Імпакт· Першопричина (5 Whys)· Що спрацювало/не спрацювало· CAPA (власник/дедлайн)· Перевірка ефективності через N тижнів.

13) Інтеграція з операціями та комплаєнсом

CAB/Change: небезпечні зміни - тільки через фіча-прапори/канарок; у кожному релізі - план відкату.
Дані та звітність: автоматичне складання дашбордів інцидентів; зв'язок з KRIs (санкції/РЕР, KYC, CBR, ATO).
Ризики: оновлення матриці ризиків і реєстру, калібрування порогів після кожного major-інциденту.

14) Навчання і готовність

Tabletop раз на квартал (витік PII, відмова KYC, ATO-хвиля, PSP-інцидент).
Red/Blue/Purple-team перевірки; спільні навчання з вендорами і PSP.
KPI готовності: частка співробітників, які пройшли тренінг; успішність навчань; середній час «підняття бриджу».

15) Дорожня карта впровадження

1-2 тижні: актуалізація ролей/контактів, шаблони, резервні провайдери.
3-4 тижні: SOAR-плейбуки, канали бриджа, тестові повідомлення, WORM-архів.
Місяць 2 +: регулярні навчання, аудит журналів, автоматизація звітності щодо інцидентів.

TL; DR

Готовність = заздалегідь узгоджені ролі і пороги + швидкий бридж + жорсткий containment + законні і своєчасні повідомлення + форензика з ланцюжком доказів + обов'язкові пост-мортеми і CAPA. Це мінімізує збитки, знижує штрафні ризики і зміцнює довіру гравців і партнерів.