K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / dora-timeline

Oś czasu ćwiczenia DORA / TIBER — od scope do lessons learned

Wizualny przebieg testu penetracyjnego opartego na zagrożeniach (TLPT — Threat-Led Penetration Testing) w reżimie DORA / TIBER-EU, etap po etapie. Dla każdego kroku pokazujemy jeden konkret: jaki rekord, dowód lub hash powstaje w ipIII i przez jaki mechanizm. To nie deklaracja gotowości — to mapa łańcucha dowodowego. Doktryna: claim ≤ proof.

Status strony: LIVE (wizualizacja osi czasu). Status mechanizmów: mieszany — jawnie oznaczony przy każdym etapie. Ta strona porządkuje przebieg ćwiczenia; nie wykonuje testu. Realnie działający dziś rdzeń to engagement + report-package (status LIVE MVP wg status-matrix) oraz import findings → incydent → evidence i reguła close-with-evidence (LIVE). Pozostałe etapy noszą status MVP lub ROADMAP — bez ukrywania. Kanon liczby testów: Evidence Matrix /roadmap-dev. Kanon statusu komponentów: status-matrix. Zegary terminów regulacyjnych: deadline-clock.
Granica zakresu. ipIII nie wykonuje testów TLPT samodzielnie na produkcji — nie prowadzi nieautoryzowanych skanów, eksploatacji ani hack-backu poza pisemnym Rules of Engagement (RoE). Etap wykonawczy (faza red/blue/white) realizuje autoryzowany dostawca TLPT / wewnętrzny Red Team. Rola ipIII na całej osi to orkiestracja dowodowa i workflow. Zero payloadów, zero technik ofensywnych na tej stronie.
Każdy etap zostawia dowód. Bez dowodu — etap nie jest zamknięty.

Oś czasu odwzorowuje fazy TIBER-EU: przygotowanie (scope, RoE, crown jewels), testowanie (faza red/blue/white, finding, evidence) i zamknięcie (remediation, retest, final-report, lessons learned). W każdym punkcie powstaje weryfikowalny artefakt — rekord w bazie, hash SHA-256 albo wpis w rejestrze — spięty w jeden łańcuch (Common Source of Truth). Bank widzi nie „że przetestowano", lecz co, na jakich zasadach, z jakim dowodem i czy retest to potwierdził.

OŚ TLPT: SCOPERoECROWN JEWELSRED/BLUE/WHITEFINDINGEVIDENCEREMEDIATIONRETESTFINAL REPORTLESSONS LEARNED

Oś czasu — 10 etapów (rekord w ipIII + mechanizm)

Legenda krawędzi: LIVE zielona · MVP bursztynowa · ROADMAP fioletowa. Endpointy pokazane jako ścieżki v1 warstwy zapisu /api/ip3/v1.

01SCOPE — definicja zakresu testu (systemy, usługi krytyczne CIF, granice, wyłączenia) LIVE MVP
Powstaje w ipIII: rekord engagement (scope + wersja) w PostgreSQL — POST /api/ip3/v1/engagements. Start łańcucha CSoT.
Mechanizm: /engagement · /dora-tiber (moduł TLPT Scope). Bez zdefiniowanego scope kolejne etapy nie mają kontekstu.
02RoE — Rules of Engagement — pisemna autoryzacja, okna czasowe, cele dozwolone/zabronione, deconfliction, kill-switch MVP · bramka twardy podpis = ROADMAP
Powstaje w ipIII: pole RoE w rekordzie engagement (autoryzacja + zakres, wersjonowane). Reguła docelowa: bez podpisanego RoE żaden scenariusz nie przechodzi do statusu aktywnego.
Mechanizm: /engagement (kontrakt + checklist gotowości) · /roe-template. Egzekwowanie podpisu jako twarda bramka DB = ROADMAP.
03CROWN JEWELS — katalog klejnotów koronnych: najkrytyczniejsze aktywa / dane / funkcje = cel scenariusza LIVE MVP
Powstaje w ipIII: rejestr crown-jewels w engagement (mapowanie na usługi krytyczne, input od banku). Część tego samego rekordu engagement co scope i RoE.
Mechanizm: /dora-tiber (moduł Crown Jewels) · /engagement.
04FAZA RED / BLUE / WHITE — wykonanie scenariusza przez autoryzowanego dostawcę; White Team koordynuje i trzyma kill-switch white-team-log = MVP · wykonanie techniczne poza ipIII
Powstaje w ipIII: white-team-log (append-only, znaczniki czasu, decyzje, eskalacje) — POST /api/ip3/v1/engagements/:id/log. Wykonanie ofensywne (Red) i detekcja (Blue) dzieją się poza ipIII — w środowisku dostawcy TLPT / SOC banku.
Mechanizm: /engagement (role cell White/Red/Blue/Purple) · /dora-tiber (White Team Log). ipIII rejestruje przebieg, nie wykonuje techniki.
05FINDING — ustalenie z testu (podatność / słabość kontroli) importowane z narzędzia i znormalizowane LIVE
Powstaje w ipIII: rekord incydentu + evidence z hashem SHA-256 z importu (Burp XML · ZAP JSON/XML · Nessus/Qualys CSV · generic). Severity normalizowane do P0–P3. Import = MEDIA_SIGNAL (sygnał), nie dowód naprawy.
Mechanizm: /connectors · read-path /api-explorer. Zegary obowiązków regulacyjnych dla finding (DORA art.19 / NIS2 24h-72h / RODO art.33-34) — patrz /deadline-clock i /legal-engine.
06EVIDENCE — rejestr dowodów: artefakt, hash, znacznik czasu, źródło, poziom pewności LIVE · evidence-register w engagement = MVP
Powstaje w ipIII: evidence z sha256 + chain-of-custody w bazie; dla ćwiczenia — wpis w evidence-register engagementu. Integralność każdego artefaktu potwierdzona hashem.
Mechanizm: /evidence-layer · /evidence-board · report-package GET /api/ip3/v1/engagements/:id/report-package agreguje rejestr dowodów.
07REMEDIATION — plan naprawczy: ustalenie → działanie → właściciel → termin → status (P0–P3) częściowo v1 · orkiestracja SLA = ROADMAP
Powstaje w ipIII: powiązanie finding → działanie naprawcze z priorytetem. Reguła zamknięcia egzekwowana w DB: incydentu nie da się zamknąć bez dowodu (422 bez statusu CONFIRMED). Pełna orkiestracja (owner/SLA/workflow zatwierdzeń) = ROADMAP.
Mechanizm: /response-retest · /dora-tiber (Remediation Plan).
08RETEST — ponowna weryfikacja po naprawie; zamknięcie tylko z dowodem LIVE
Powstaje w ipIII: przejście statusu przez CONFIRMED → close. Reguła close-with-evidence: 422 bez dowodu, PATCH-bypass zamknięty (audyt F4 + testy regresyjne). Po reteście zmienia się package_sha256 — evidence-package odzwierciedla nowy stan.
Mechanizm: /response-retest · reguła zamknięcia potwierdzona integracją (kanon liczb: Evidence Matrix).
09FINAL REPORT — raport końcowy TLPT + Blue Team Report, gotowy dla zarządu / regulatora / TCT LIVE MVP
Powstaje w ipIII: final-report + report-package (JSON / PDF)GET /api/ip3/v1/engagements/:id/report-package?format=json|pdf: engagement + timeline zdarzeń + evidence-register + final-report + manifest + package_sha256. Reguła: raport końcowy wymaga rejestru dowodów (claim ≤ proof). Podpis PAdES/PQC + branding KNF = ROADMAP.
Mechanizm: /dora-tiber (Final Report) · report-package to realny, pobieralny PDF (bezzależnościowy generator).
10LESSONS LEARNED — wnioski, luki telemetrii, corrective actions z domknięciem dowodowym i retestem wybranych GAP ROADMAP
Powstaje w ipIII (docelowo): lista corrective actions (właściciel + termin + kryterium domknięcia) spięta z retestem GAP. Dziś: struktura opisana, egzekwowanie w kodzie = ROADMAP.
Mechanizm: /engagement (sekcja „Po ćwiczeniu", rubryka oceny) · /response-retest.

Ten sam łańcuch w tabeli — etap → artefakt → mechanizm → status

#EtapCo powstaje w ipIII (rekord / dowód / hash)MechanizmStatus
01Scoperekord engagement (scope, wersja)/engagementLIVE MVP
02RoEpole RoE w engagement; bramka podpisu (docelowo)/engagementMVP · bramka ROADMAP
03Crown jewelsrejestr crown-jewels w engagement/dora-tiberLIVE MVP
04Red/Blue/Whitewhite-team-log (append-only) · wykonanie poza ipIII/engagementlog MVP · exec poza ipIII
05Findingincydent + evidence sha256 (import znormalizowany)/connectorsLIVE
06Evidenceevidence sha256 + chain-of-custody / evidence-register/evidence-layerLIVE · register MVP
07Remediationfinding → działanie; reguła zamknięcia w DB/response-retestczęściowo v1
08RetestCONFIRMED → close; nowy package_sha256/response-retestLIVE
09Final reportreport-package JSON/PDF + manifest + package_sha256/dora-tiberLIVE MVP
10Lessons learnedcorrective actions + retest GAP (docelowo)/engagementROADMAP

Statusy w tej tabeli cytują status-matrix (kanon statusu). Liczby testów potwierdzających „LIVE" — Evidence Matrix /roadmap-dev. Ta strona nie wprowadza własnych liczników.

Rdzeń, który działa dziś: engagement + report-package

Wg status-matrix to jest LIVE MVP — realne rekordy w bazie, nie makieta. To on spina etapy 01–04, 06 i 09 w jeden pobieralny pakiet.

Engagement LIVE MVP

Rekord ćwiczenia: scope + crown-jewels + RoE + white-team-log + evidence-register + final-report jako rekordy DB. Reguła: raport końcowy wymaga rejestru dowodów.

→ /engagement · /api/ip3/v1/engagements

Report-package LIVE MVP

Raport TLPT: engagement + timeline zdarzeń + evidence-register + final-report + manifest + package_sha256. Format JSON lub realny PDF.

GET /api/ip3/v1/engagements/:id/report-package?format=json|pdf

Zegary incydentów osobny moduł

Terminy regulacyjne liczone od zdarzenia (DORA art.19 / NIS2 24h-72h / RODO art.33-34 / AI Act art.73) — nie na tej osi, lecz w dedykowanym module.

→ /deadline-clock · /legal-engine

Kanon liczb i statusu LIVE

Liczby testów: Evidence Matrix. Status komponentów: status-matrix. Ta strona wyłącznie cytuje — nie tworzy nowych metryk.

→ Evidence Matrix · → status-matrix

Mapowanie osi na fazy TIBER-EU i DORA

Faza TIBER-EUEtapy osiOdniesienie DORA
Przygotowanie (Preparation)01 Scope · 02 RoE · 03 Crown jewelsart. 24–27 — zakres i zasady testów odporności
Testowanie (Testing)04 Red/Blue/White · 05 Finding · 06 Evidenceart. 26 — TLPT dla podmiotów istotnych (metodyka TIBER-EU)
Zamknięcie (Closure)07 Remediation · 08 Retest · 09 Final report · 10 Lessons learnedart. 26–27 — raport, plan naprawczy, ślad audytowy dla organu

Wykonanie technik po stronie autoryzowanego dostawcy TLPT / wewnętrznego Red Team; nadzór metodyczny — TIBER Cyber Team (TCT) właściwego banku centralnego. ipIII = warstwa dowodowa i workflow. To nie certyfikacja zgodności ani gwarancja „nieprzenikalności" — to audytowalny łańcuch dowodowy ćwiczenia.

Zasada nadrzędna. Oś czasu nie jest deklaracją, że bank „przeszedł test". Jest zapisem prawdy o przebiegu: kto autoryzował, co objęto, jakie dowody zebrano, które kontrole zadziałały i czy retest potwierdził naprawę. Etap uznajemy za zamknięty dopiero z dowodem (rekord + hash). Bez kodu + testu + endpointu = nie LIVE (§16) — dlatego część etapów jawnie nosi MVP lub ROADMAP.
Granica etyczna i prawna. ipIII jest narzędziem obrony i zgodności (GRC/blue). Nie wykonuje nieautoryzowanych skanów, eksploatacji ani hack-back. Wszelkie działania o charakterze testu bezpieczeństwa wyłącznie w granicach pisemnych Rules of Engagement. „LIVE" oznacza: istnieje kod, test i endpoint — nie oznacza „systemu produkcyjnego gotowego dla banku", „pełnej zgodności" ani „nieprzenikalności". Ta strona nie zawiera payloadów ani instrukcji ofensywnych.