Doktryna, na której stoi cały system: żadne twierdzenie faktowe nie może przekroczyć siły swojego dowodu. To nie hasło marketingowe — to reguła klasyfikacji, egzekwowana przez schemat danych, silnik klasyfikacji i kryteria zamknięcia incydentu.
Każde zdanie, które nazywa coś „naruszeniem", „atakiem" albo „wyciekiem", ma przypięty status dowodowy. Panel nigdy nie renderuje twierdzenia mocniej, niż pozwala na to zgromadzony materiał. Gdy dowodu brak — zdarzenie żyje jako GAP, nie znika, ale też nie awansuje do rangi faktu.
Status jest atrybutem incydentu (evidence_status) oraz pojedynczego dowodu. Definiuje, jak mocno wolno o zdarzeniu mówić i jakie działania są dozwolone.
| Badge | Status | Definicja | Przykład |
|---|---|---|---|
| CONFIRMED | Potwierdzony | Istnieje weryfikowalny dowód techniczny lub urzędowy: log, hash, IoC, komunikat CERT, UPO. Twierdzenie może być wyrażone wprost jako fakt. | Log SIEM + hash próbki + korelacja z advisory vendora dla exploitowanego CVE. |
| MEDIA SIGNAL | Sygnał medialny | Doniesienie prasowe/branżowe bez pierwotnego dowodu technicznego. Traktowane jako wskaźnik do weryfikacji, nie jako ustalony fakt. | Artykuł o rzekomym ransomware w sektorze — bez potwierdzenia u podmiotu. |
| PUBLIC CLAIM | Deklaracja publiczna | Oświadczenie strony (grupy ransomware, podmiotu, dostawcy). Znany autor, nieznana prawdziwość. | Wpis grupy na leak-site deklarujący posiadanie danych. |
| GAP | Luka dowodowa | Zdarzenie zgłoszone lub podejrzewane, ale bez wystarczającego dowodu. Nie zamykać, nie eskalować jako fakt — zbierać dowody. | Zgłoszenie „coś jest nie tak z agentem" bez trace i logów. |
| DISPUTED | Sporny | Dowody sprzeczne lub kwestionowane przez wiarygodne źródło. Wymaga rozstrzygnięcia przed decyzją. | Podmiot dementuje wyciek, który deklaruje grupa; brak rozstrzygnięcia. |
| SIMULATION | Symulacja / demo | Dane ćwiczeniowe lub demonstracyjne. Nigdy nie mylić z operacyjnymi. Każda liczba przykładowa nosi ten status. | Ćwiczenie red-team, dane pokazowe na tym portalu. |
| INTERNAL | Wewnętrzny | Materiał z systemów własnych organizacji, poufny, o ograniczonej widoczności. Dowód realny, ale nie do publikacji. | Log wewnętrznego EDR, notatka SOC, ticket. |
Warstwa Evidence przyjmuje różne rodzaje materiału. Każdy dowód ma typ, źródło, poziom pewności (0–100) i wpis w łańcuchu nadzoru.
URL (referencja/artefakt) · screenshot (z hashem) · hash SHA-256 (próbki/pliku) · log (SIEM/EDR/WAF) · IoC (IP, domena, hash, mutex) · CVE (identyfikator podatności) · vendor advisory.
Komunikat CERT (CSIRT NASK/GOV/MON) · raport ENISA · UPO / e-Doręczenie (dowód doręczenia do organu) · decyzja/wezwanie organu nadzoru.
Prompt i odpowiedź modelu (para wejście/wyjście) · trace agenta (ślad wywołań narzędzi) · decyzja human-in-the-loop (kto zatwierdził/odrzucił) · log guardrail/policy engine · artefakt data poisoning.
Niezależnie od statusu, dowód niesie liczbowy poziom pewności. Pozwala odróżnić słaby log od twardego korelatu. Reguła: severity i priorytet incydentu nie mogą wynikać wyłącznie z dowodów o niskim confidence.
Każdy dowód ma nieusuwalny, dopisywany rejestr zdarzeń — kto, kiedy, co zrobił z materiałem. Przechowywany jako chain_of_custody (JSONB). Zapewnia integralność wobec audytora i organu.
{ts, actor, action, hash_before, hash_after, note}. Modyfikacja materiału bez wpisu = utrata wartości dowodowej.Symetria doktryny: skoro otwarcie jako fakt wymaga dowodu, to i zamknięcie wymaga dowodu. Incydentu nie wolno oznaczyć jako closed/resolved na podstawie samego przekonania, że „już nie występuje".
| Warunek zamknięcia | Wymagany dowód |
|---|---|
| Usunięto przyczynę źródłową | Log/patch potwierdzający remediację; potwierdzenie wersji/konfiguracji. |
| Brak nawrotu w oknie obserwacji | Telemetria z okresu monitoringu (np. 7–30 dni) bez wskaźników. |
| Spełniono obowiązki prawne | UPO / e-Doręczenie zgłoszenia do organu, jeśli flaga NIS2/RODO/AI Act aktywna. |
| Zaktualizowano odporność | Wpis do rejestru wzmocnień (reguła detekcji, segmentacja, backup zweryfikowany). |