Weblate incidenskezelési terve

Hatókör és célkitűzések

Ez az incidenskezelési terv (IRP) azokat az eseményeket fedi le, amelyek hatással vannak egy Weblate telepítés bizalmasságára, sértetlenségére vagy rendelkezésre állására.

Megjegyzés

A tervet elsősorban a Weblate s.r.o. által üzemeltetett példányokra dolgozták ki, de más telepítések esetén is alkalmazható.

Szerepkörök és felelősségek

  • Incidenskezelési vezető (IRL): Koordinálja az incidenskezelési folyamat minden szakaszát.

  • Rendszer adminisztrátor: Végrehajtja az elszigetelési és helyreállítási intézkedéseket.

  • Biztonsági tisztviselő: Értékeli a biztonsági hatásokat és a szabályozási következményeket.

  • Data Protection Officer (DPO): Evaluates if personal data (PII) was compromised and manages mandatory GDPR notifications.

  • Kommunikációs vezető: Kezeli a belső szereplők és – szükség esetén – külső felek felé irányuló értesítéseket.

Communication logistics

  • Internal Communication:

    • Primary channel is Signal for human-to-human coordination.

    • Technical alerts remain outside of Signal to avoid noise.

  • External Communication:

    • E-mail is used to reach customers.

    • Customer contact lists are maintained in several locations to ensure access during service outages.

  • Public Disclosure:

Incident categories and severity

Incidenskategóriák

  • Category 1 – Unauthorized Access

  • Category 2 – Data Integrity Violation

  • Category 3 – Service Outage or Degradation

  • Category 4 – Misconfiguration or Deployment Error

Severity levels and SLAs

Súlyosság

Definition

Target Acknowledge

Target Initial Action

Critical

Total outage; Admin compromise; Active data breach.

< 30 Minutes

4 Hours

Magas

Core feature failure; PII leak of single user.

< 2 Hours

12 Hours

Közepes

Performance degradation; Minor security issue.

1 Business Day

3 Business Days

Alacsony

UI bugs; Staging issues; Non-security errors.

Best Effort

Best Effort

Incidenskezelési életciklus

Felkészülés

  • Ensure regular daily backups of the PostgreSQL database and the data directory using Weblate’s built-in backup with rotation, see Weblate biztonsági mentése és áthelyezése.

  • Ensure Weblate uses a properly configured reverse proxy (e.g., NGINX) with HTTPS (TLS 1.2+).

  • Enable 2FA for all admin-level accounts.

  • A Weblate példány és függőségeinek (Python, Django, Celery, adatbázis stb.) naprakészen tartása.

  • Integráció SIEM rendszerekkel a GELF protokoll segítségével az audit- és alkalmazásnaplók továbbításához.

Azonosítás

  • A rendszer- és alkalmazásnaplók figyelése (journalctl, fordított proxy naplók, Weblate-alkalmazás naplói, audit naplók).

  • Bejelentkezési események, webhook-végrehajtások, valamint a feltöltési (push) és letöltési (pull) műveletek elemzése.

  • Configure alerting (via Prometheus, Zabbix, or SIEM) for multiple login failures, unexpected restarts, or irregular VCS actions.

Elhatárolás

  • Forensic Preservation: For Category 1 or 2 incidents, create a manual Hetzner Cloud Snapshot before taking disruptive action.

    • Name format: IRP-[CaseID]-[YYYYMMDD]-Evidence.

    • These are separate from standard rotating backups and must be preserved for analysis.

  • Hozzáférés ideiglenes korlátozása (például tűzfalszabályokkal vagy a szolgáltatás elkülönítésével).

  • Külső integrációk (például Git vagy webhook) letiltása, ha szerepet játszanak a támadásban.

  • Az érintett felhasználói fiókok azonnali felfüggesztése.

Megszüntetés

  • Minden jogosulatlan kód vagy adat eltávolítása.

  • Ismert sérülékenységek javítása Weblate- vagy kiszolgálói komponensfrissítéssel.

  • A bináris fájlok és tárolók épségének ellenőrzése SHA‑256 ellenőrzőösszegek vagy Git-naplók alapján.

Helyreállítás

  • Restore affected services or data from the latest known-good Weblate backups.

  • PII Assessment: DPO determines if the breach requires a 72-hour GDPR notification.

  • Az érintett szolgáltatások fokozatos visszakapcsolása.

  • A naplók és a rendszer viselkedésének figyelése legalább 72 órán át a helyreállítás után.

Incidens utáni áttekintés

  • Timeline: Hold a review meeting within 5 business days of incident closure.

  • A teljes eseményidővonal és a végrehajtott intézkedések dokumentálása.

  • Perform Root Cause Analysis (RCA) and document it within 10 business days.

  • Update security policies and IRP documentation based on findings.

  • A felismerési és elhatárolási mechanizmusok hatékonyságának értékelése.