K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / case-studies / case-study-bank

Case study (syntetyczny): bank SIFI — pentest → Board Pack → dowód DORA

Ilustracja przepływu ipIII na jednym scenariuszu: od surowego raportu pentestu, przez pakiet dla zarządu (Board Pack), po pakiet dowodowy gotowy do przeglądu prawnego pod DORA. To materiał demonstracyjny — pokazuje mechanikę procesu, nie wynik realnego wdrożenia.

Status i zakres. Poniższy scenariusz opisuje mechanikę przepływu (dane wejściowe → przetwarzanie ipIII → dane wyjściowe) na przykładzie fikcyjnej instytucji „Bank Przykładowy S.A." (nazwa syntetyczna). Elementy przepływu, które istnieją dziś jako działający kod, oznaczone są LIVE; elementy planowane — ROADMAP. Klasyfikacja incydentu i terminy raportowania to wsparcie decyzji, nie porada prawna — wymagają przeglądu radcy/kancelarii i właściwego organu nadzoru.
Jeden przepływ: raport pentestu → Board Pack → pakiet dowodowy DORA.

Scenariusz demonstracyjny odtwarza typową sytuację działu bezpieczeństwa dużej instytucji finansowej: zespół pentesterów zamyka testy penetracyjne, wynik trzeba przełożyć na język zrozumiały dla zarządu, a jednocześnie zachować ślad dowodowy na wypadek obowiązku zgłoszenia poważnego incydentu ICT do organu nadzoru. ipIII spina te trzy kroki w jednym łańcuchu, z hashem integralności na każdym etapie.

PRZEBIEG: import raportu skaneranormalizacja findingsBoard Pack (CISO)klasyfikacja incydentuevidence-package DORAprzegląd prawny → decyzja zgłoszenia

Tło scenariusza (syntetyczne)

„Bank Przykładowy S.A." (nazwa fikcyjna, dane demonstracyjne) zleca zewnętrznemu zespołowi pentesterów test aplikacji bankowości internetowej w ramach rutynowego cyklu bezpieczeństwa. Test odbywa się w granicach pisemnych Rules of Engagement, a zakres i harmonogram ustala zespół klienta z pentesterami — ipIII nie inicjuje ani nie wykonuje żadnych czynności testowych. Rola ipIII zaczyna się w momencie, gdy zespół pentesterów dostarcza wynik.

Parametr scenariuszaWartość (przykładowa)
Instytucja„Bank Przykładowy S.A." — nazwa syntetyczna, nie realny podmiot fikcyjne
Zakres testuAplikacja bankowości internetowej (środowisko testowe) przykład
Źródło findingsEksport skanera (format zgodny z parserem Burp/ZAP/Nessus) przykład
Liczba findings (przykładowa)34 pozycje, w tym 3 krytyczne, 8 wysokich przykładowe liczby
Odbiorca Board PackCISO + komitet ryzyka (fikcyjne role) przykład

Krok 1 — import i normalizacja findings

Punktem wejścia jest plik eksportu ze skanera (np. Burp Suite, OWASP ZAP, Nessus) lub raport CSV od zespołu pentesterów. Konektor importu parsuje i normalizuje findings do wspólnego modelu (tytuł, dotknięty zasób, CVSS/CWE, dowód — zrzut ekranu lub payload), a każdemu rekordowi nadawany jest identyfikator i znacznik czasu importu.

Wejście: plik eksportu skanera lub CSV (dane w tym scenariuszu — syntetyczne).
Wyjście: lista findings znormalizowanych w jednym modelu danych, gotowa do dalszego przetwarzania.

Krok 2 — Board Pack: raport pentestu w języku zarządu

Surowy raport pentestu (dziesiątki stron technicznego żargonu) rzadko trafia bezpośrednio przed zarząd lub komitet ryzyka. Pentest Report → Board Pack przekłada findings na skrót decyzyjny: ile krytycznych/wysokich, jaki jest status naprawy, jakie jest ryzyko rezydualne — w formacie czytelnym dla CISO Board Pack.

Wejście

34 findings (przykładowe), w tym 3 krytyczne dot. autoryzacji API, 8 wysokich dot. konfiguracji TLS.

Przetwarzanie

Agregacja wg dotkliwości, mapowanie na właścicieli (owner) po stronie klienta, oś czasu naprawy (SLA przykładowe: krytyczne 15 dni, wysokie 30 dni).

Wyjście

Board Pack (1-2 strony): skrót ryzyka, status naprawy, rekomendacja decyzji — z odnośnikiem do pełnego raportu źródłowego i hasha integralności.

Wszystkie liczby w tym kroku (34, 3, 8, 15 dni, 30 dni) są przykładowe — służą wyłącznie ilustracji formatu, nie są wynikiem realnego testu.

Krok 3 — klasyfikacja: czy to kandydat na poważny incydent ICT?

W scenariuszu jedno z krytycznych findings (przykładowo: obejście autoryzacji na endpoincie transakcyjnym) zostaje w symulacji podniesione do rangi incydentu bezpieczeństwa — bo w warunkach produkcyjnych (nie w tym środowisku testowym) mogłoby spełniać kryteria „poważnego incydentu ICT" wg DORA art.19. To wyłącznie ćwiczenie klasyfikacyjne w ramach demonstracji, nie zgłoszenie realnego zdarzenia.

Ważne rozróżnienie. Klasyfikacja incydentu jako „poważny" w rozumieniu DORA jest decyzją, którą podejmuje instytucja finansowa (z udziałem compliance/prawnika), nie automat. ipIII pokazuje orientacyjne progi i oś czasu — to wsparcie decyzji, nie porada prawna ani automatyczne ustalenie obowiązku zgłoszenia.

Krok 4 — pakiet dowodowy pod DORA

Dla findingu podniesionego do rangi incydentu, ipIII generuje szkielet pakietu zgodny z przepływem DORA Pack: oś czasu raportowania (wstępne / pośrednie / końcowe), checklist kompletności pól oraz manifest dowodowy — z package_sha256 i chain-of-custody każdego elementu (finding źródłowy, Board Pack, notatka klasyfikacyjna).

Element pakietuZawartość (przykładowa)Dowód integralności
Finding źródłowyRekord z importu skanera (krok 1)sha256 pliku wejściowego
Board PackSkrót decyzyjny wygenerowany w kroku 2package_sha256 pakietu PDF/JSON
Notatka klasyfikacyjnaUzasadnienie progu „major" (do weryfikacji prawnej)wpis w chain-of-custody (DB)
Oś czasu zgłoszeniaTerminy orientacyjne wg art.19 DORAreferencja do DORA Pack

Krok 5 — przegląd prawny i decyzja o wysyłce

Pakiet nie trafia automatycznie do organu nadzoru. Zgodnie z zasadą decision-support, ostatnim krokiem w scenariuszu jest przekazanie kompletu (Board Pack + evidence-package + notatka klasyfikacyjna) do przeglądu przez radcę prawnego lub dział compliance instytucji — który podejmuje ostateczną decyzję o zgłoszeniu i jego treści. ipIII przygotowuje materiał do decyzji człowieka, nie zastępuje jej.

Co ten scenariusz pokazuje — i czego nie pokazuje

Pokazuje: mechanikę przepływu danych przez cztery moduły ipIII (import → Board Pack → klasyfikacja → evidence-package) oraz sposób, w jaki hash i chain-of-custody wiążą wszystkie etapy w jeden dowodliwy łańcuch.
Nie pokazuje: realnego wdrożenia u klienta, realnych podatności, realnej instytucji ani realnego zgłoszenia do organu. Nie jest to case study referencyjne w rozumieniu marketingowym — to materiał edukacyjno-demonstracyjny do rozmowy o architekturze procesu z zespołem bezpieczeństwa lub audytorem.

Powiązane strony

Granica etyczna i prawna. ipIII jest narzędziem obrony i zgodności (GRC/blue), nie wykonuje nieautoryzowanych skanów ani exploitacji. Wszelkie mapowania obowiązków regulacyjnych (DORA/NIS2/RODO/AI Act) to wsparcie decyzji, nie porada prawna — wymagają przeglądu radcy/kancelarii przed jakąkolwiek wysyłką do organu nadzoru. Ten scenariusz jest w całości syntetyczny i nie odnosi się do żadnej realnej instytucji.