Procedury reagowania K0-CST dla sześciu klas incydentów bezpieczeństwa.
Każdy playbook definiuje pierwsze 15 minut, rozpoznanie, powstrzymanie, obowiązki prawne
oraz przypisanie dowodu i ownera. Żadna akcja bez ownera. Żaden zarzut bez dowodu.
No action without owner. No blame without evidence.
Playbooki K0-CST są procedurami operacyjnymi — nie zastępują audytu, certyfikacji
ani porady prawnej. Każdy incydent wymaga weryfikacji triggerów regulacyjnych
w Regulatory Trigger Engine.
Zasada ogólna: każdy incydent zgłoś przez
/Common-Source-of-Truth/report/incident
niezwłocznie po wykryciu. Nie czekaj na pełne rozpoznanie — zgłoś to co wiesz, uzupełnij później.
1. Phishing / spear-phishing
Atak socjotechniczny e-mail / SMS / chat mający na celu
wyłudzenie danych uwierzytelniających, instalację złośliwego oprogramowania lub
przekierowanie płatności.
Pierwsze 15 minut
Izolacja skrzynki / konta
Zawieś dostęp do konta, które kliknęło link lub podało dane. Zresetuj hasło i sesje OAuth. NIE usuwaj wiadomości.
Owner + dowód:
Owner: Dev Lead / CTO.
Archiwizuj: lista dotkniętych komponentów i wersji, historia deployów (kiedy skompromitowana wersja była na prod), log zmian w lock files, dowód rollbacku / zastąpienia, komunikacja z dostawcą / maintainerem.
evidence_id z prefiksem EVD-SCH.
6. Prompt injection / atak na system AI
Atak polegający na manipulacji modelem językowym
poprzez złośliwe instrukcje w danych wejściowych (direct injection) lub treści zewnętrznej
(indirect injection), w celu ominięcia guardrails, wycieku danych lub wykonania
nieautoryzowanych akcji.
Czy ujawnił dane systemowe / inne użytkowniki? Czy wykonał nieautoryzowane akcje (tool calls, API calls)? Oceń zakres szkody.
Powiadomienie ownera systemu AI
Owner: AI Product Lead / CTO. Jeśli system AI przetwarza dane osobowe — powiadom też IOD.
Tymczasowe wyłączenie lub ograniczenie funkcji
Jeśli wektor jest aktywny i exploitowalny — rozważ wyłączenie dotkniętej funkcji AI do czasu wdrożenia patcha.
Rozpoznanie — sygnały i wskaźniki
Odpowiedź modelu zawiera dane systemowego promptu (system prompt leakage)
Model wykonał działanie spoza zakresu autoryzowanego (nieautoryzowany tool call)
Użytkownik zgłosił że model "zachowuje się inaczej" / wykonuje dziwne polecenia
Log tool calls zawiera nieoczekiwane wywołania zewnętrznych API lub funkcji
Dane innego użytkownika pojawiły się w odpowiedzi (cross-user contamination)
Model ignoruje instrukcje systemowe po wprowadzeniu specyficznego inputu
Powstrzymanie i eradykacja
Wdróż input sanitization — filtrowanie instrukcji w danych wejściowych
Wzmocnij system prompt — explicit guardrails, privilege separation
Ogranicz tool calls — zasada least privilege dla agentów AI
Wdróż output filtering — wykrywanie wycieku danych w odpowiedziach modelu
Przegląd RAG / kontekstu zewnętrznego pod kątem indirect injection
Audyt logów — czy atak był izolowany czy kampania?
Obowiązki prawne:
AI Act art. 9 — systemy AI wysokiego ryzyka: obowiązek zarządzania ryzykiem i logowania incydentów; incydenty poważne zgłaszane do organu nadzoru (art. 73)
AI Act art. 62 — dostawcy modeli ogólnego przeznaczenia (GPAI): obowiązek zgłoszenia poważnych incydentów Komisji Europejskiej
RODO — jeśli prompt injection spowodował wyciek danych osobowych: triggery art. 33/34 (72h UODO)
NIS2 — jeśli system AI jest częścią infrastruktury krytycznej: standardowe triggery NIS2
Dokumentuj jako incydent bezpieczeństwa AI — wymagane przez AI Act do rejestru zdarzeń
Owner + dowód:
Owner: AI Product Lead / CTO, wsparcie IOD jeśli dotknięte dane osobowe.
Archiwizuj: pełny prompt (input), odpowiedź modelu, logi tool calls, system prompt (redacted jeśli poufny — ale zachowaj oryginal), timeline incydentu, dowód wdrożenia mitygacji.
evidence_id z prefiksem EVD-PRI.
Zgłoszenie incydentu: każdy incydent zgłoś przez
/Common-Source-of-Truth/report/incident
niezwłocznie po wykryciu. Nie czekaj na pełne rozpoznanie ani na zamknięcie incydentu.
Zgłoszenie wstępne (status TRIAGE) jest wystarczające — uzupełniaj w miarę postępu.
Reguła K0-CST: No action without owner. No blame without evidence.
Każda akcja podjęta w ramach playbooka musi mieć wskazanego ownera i musi być udokumentowana
w tiksecie incydentu z przypisanym evidence_id. Działania bez dokumentacji nie są uznawane
za podjęte w procedurze K0-CST.
Tabela przeglądowa — triggery regulacyjne
Playbook
RODO (72h UODO)
NIS2 (24h/72h)
AI Act
evidence_id prefix
Phishing
Jeśli wyciek danych osobowych
Jeśli usługi istotne
—
EVD-PHI
Ransomware
Jeśli exfiltracja danych
Tak (systemy krytyczne)
—
EVD-RNS
DDoS
Rzadko
Jeśli wpływ na dostępność
—
EVD-DDS
Wyciek danych
Tak — zawsze ocenić
Jeśli systemy krytyczne
—
EVD-BRH
Supply chain
Jeśli dostęp do danych
Jeśli ciągłość usług
Art. 9 (sys. AI HR)
EVD-SCH
Prompt injection
Jeśli wyciek danych osobowych
Jeśli infrastruktura krytyczna
Art. 9, 62, 73
EVD-PRI
Zastrzeżenie. Playbooki K0-CST mają charakter operacyjno-procedurowy i informacyjny.
Nie stanowią certyfikacji, nie są opinią jednostki notyfikowanej ani konkluzją prawną
(not a certification · not a notified body · not a legal conclusion).
Obowiązki prawne należy każdorazowo weryfikować z prawnikiem i w
Regulatory Trigger Engine.
Wersje playbooków podlegają aktualizacji — zawsze stosuj bieżącą wersję.