K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / incident-response

Plan reagowania na incydenty (Incident Response)

To jest plan operacyjny K0NSULT jako operatora ipIII — jak reagujemy, gdy incydent bezpieczeństwa dotyczy naszej własnej infrastruktury lub produktu. To NIE jest opis funkcji produktu do obsługi incydentów klienta (tę rolę pełni moduł Response Board). Poniżej: role, sześć faz, kanał zgłoszeń, powiązanie z obowiązkami notyfikacyjnymi DORA/NIS2.

Status uczciwie: szkielet operacyjny, nie certyfikowana procedura. Ten dokument to SPEC / ROADMAP — struktura ról, faz i eskalacji do wdrożenia i przećwiczenia (tabletop), a nie zweryfikowany, przetestowany na żywym incydencie proces klasy enterprise. Elementy, które mają dowód działania dziś (kod+test+endpoint), są oznaczone LIVE; reszta to ROADMAP. Zgodnie z doktryną claim ≤ proof: nie ogłaszamy planu jako gotowej, przetestowanej procedury, dopóki nie ma dowodu z ćwiczenia.
6 faz, 5 ról, jeden kanał zgłoszeń.

Plan obejmuje pełny cykl: wykrycie → klasyfikacja → powstrzymanie → usunięcie przyczyny → odtworzenie usługi → wnioski. Kanał zgłoszeń zewnętrznych (security.txt) jest LIVE. Reszta procesu to szkielet organizacyjny wymagający przećwiczenia i podpisania przez osoby odpowiedzialne.

CYKL: DetectTriageContainEradicateRecoverLessons Learned

Role i odpowiedzialności

Szkielet ról (RACI uproszczony). Konkretne osoby/dane kontaktowe poza tą stroną publiczną — przypisanie i aktualizacja listy dyżurnej to zadanie operacyjne wymagające człowieka (lista on-call, nie kod).

RolaOdpowiedzialnośćKiedy angażowanaStatus
Incident Commander (IC) Właściciel incydentu end-to-end: koordynuje fazy, decyduje o eskalacji, zatwierdza zamknięcie. Od momentu klasyfikacji jako incydent (SEV1–SEV3). ROADMAP — rola zdefiniowana, brak formalnego wyznaczenia i zastępstwa 24/7.
Security Lead Analiza techniczna, powstrzymanie, koordynacja z konektorami evidence (import findings, evidence-package). Detect / Triage / Contain / Eradicate. ROADMAP — proces manualny, brak dedykowanego zespołu SOC 24/7.
Engineering On-Call Zmiany w kodzie/infrastrukturze, rollback, patch, potwierdzenie naprawy (retest). Contain / Eradicate / Recover. ROADMAP — brak formalnego harmonogramu dyżurów.
Comms / Legal Liaison Komunikacja z klientami/partnerami, ocena obowiązków notyfikacyjnych (DORA/NIS2/RODO), kontakt z DPO/prawnikiem. Triage (klasyfikacja) i każda decyzja o notyfikacji zewnętrznej. ROADMAPwymaga przeglądu prawnika/DPO przed każdą notyfikacją, nie automatyzujemy tej decyzji.
Reporter (zewnętrzny) Osoba/podmiot zgłaszający podatność lub incydent przez kanał publiczny. Detect (zgłoszenie zewnętrzne). LIVE — kanał security.txt działa, patrz sekcja Kontakt.

Sześć faz

1. Detect

Źródła: zgłoszenie zewnętrzne (security.txt), alert monitoringu infrastruktury, wynik importu skanera (konektory Burp/ZAP/Nessus), zgłoszenie wewnętrzne.

ROADMAP — brak scentralizowanego SIEM/alertingu 24/7 (patrz znane ograniczenia, pozycja SIEM).

2. Triage

Klasyfikacja ważności (SEV1–SEV4, patrz tabela niżej), wstępna ocena wpływu (dane, dostępność, integralność) i wstępna ocena obowiązku notyfikacyjnego.

ROADMAP — kryteria SEV zdefiniowane niżej, brak automatycznego triage.

3. Contain

Ograniczenie zasięgu: izolacja komponentu, rotacja sekretów/kluczy, tymczasowe wyłączenie dotkniętej funkcji, blokada dostępu.

ROADMAP — proces manualny, brak automatycznego kill-switcha.

4. Eradicate

Usunięcie przyczyny źródłowej: patch, poprawka konfiguracji, unieważnienie skompromitowanych poświadczeń.

ROADMAP — brak zdefiniowanego SLA napraw per SEV.

5. Recover

Przywrócenie usługi, weryfikacja poprawności (retest — funkcja response-retest jest LIVE na poziomie produktu dla incydentów klientów), monitorowanie po incydencie.

ROADMAP — dla incydentów własnej infrastruktury K0NSULT proces recovery jest dziś manualny.

6. Lessons Learned

Post-mortem bez obwiniania (blameless), aktualizacja rejestru znanych ograniczeń, decyzja o zmianach w planie.

ROADMAP — brak jeszcze przećwiczonego cyklu post-mortem na żywym incydencie.

Klasyfikacja ważności (SEV) — szkielet

Robocza klasyfikacja wewnętrzna. To nie jest formalna kwalifikacja regulacyjna „incydentu poważnego" w rozumieniu DORA ani „incydentu istotnego" w rozumieniu NIS2 — tę kwalifikację wykonuje Comms/Legal Liaison z udziałem prawnika/DPO, w oparciu o kryteria właściwe dla danego obowiązku.

SEVOpisPrzykładCel reakcji (orientacyjny)
SEV1 Krytyczny: utrata poufności/integralności danych, pełna niedostępność usługi, potencjalne naruszenie RODO. Wyciek danych klienta, kompromitacja poświadczeń administracyjnych. ROADMAP — cel do ustalenia i podpisania przez IC; orientacyjnie: reakcja w godzinach.
SEV2 Wysoki: częściowa niedostępność, podatność krytyczna bez potwierdzonej eksploatacji. Krytyczne CVE w komponencie z dostępem do produkcji. ROADMAP — orientacyjnie: reakcja w ciągu dnia roboczego.
SEV3 Średni: ograniczony wpływ, brak utraty danych, funkcjonalność zdegradowana. Błąd konfiguracji bez ekspozycji danych. ROADMAP — orientacyjnie: reakcja w kolejnym sprincie.
SEV4 Niski: obserwacja, brak wpływu na produkcję. Zgłoszenie teoretycznego ryzyka bez wektoru ataku. ROADMAP — do backlogu.

Kanał zgłoszeń — security.txt

Kontakt: security@k0nsult.cloud · plik zgodny z RFC 9116: /.well-known/security.txt · polityka ujawniania: /ai-truth/ipIII/disclosure · LIVE

Zgłoszenie zewnętrzne (podatność, incydent, obserwacja) trafia do fazy Detect tego planu. Preferowane języki: polski, angielski. Uznania badaczy: bug-bounty. Zasady zaangażowania dla testów bezpieczeństwa: Rules of Engagement — bez pisemnej autoryzacji nie prowadzimy ani nie akceptujemy testów ofensywnych na produkcji.

Powiązanie z DORA / NIS2

K0NSULT jako dostawca ipIII może występować jako podmiot ICT trzeciej strony w rozumieniu DORA (dla klientów finansowych) oraz podlegać obowiązkom NIS2 jako dostawca usług cyfrowych/ICT. Poniżej — orientacyjny szkielet terminów zgłoszeniowych, do potwierdzenia z prawnikiem dla każdej relacji kontraktowej.

RamyEtap notyfikacjiOrientacyjny terminStatus wsparcia w ipIII
DORA Wczesne powiadomienie (initial) Bez zbędnej zwłoki po klasyfikacji jako incydent poważny LIVE (draft) — Legal Trigger Engine generuje draft; wysyłka i kwalifikacja wymagają decyzji człowieka (prawnik/DPO/IC), patrz Legal Engine.
DORA Raport pośredni / końcowy Zgodnie z harmonogramem regulacyjnym (nie automatyzujemy tej oceny) ROADMAP — szkielet szablonu; treść merytoryczna zawsze do przeglądu prawnika.
NIS2 Wczesne ostrzeżenie Orientacyjnie 24h od powzięcia wiedzy o incydencie istotnym ROADMAP — kwalifikacja „incydentu istotnego" nie jest zautomatyzowana.
NIS2 Powiadomienie o incydencie Orientacyjnie 72h od powzięcia wiedzy ROADMAP.
NIS2 Raport końcowy Orientacyjnie 1 miesiąc od powiadomienia ROADMAP.

Szerszy kontekst mapowania DORA/TIBER-EU na cykl testów i dowodów: /ai-truth/ipIII/dora-tiber.

Skrót statusu

1/6
faza z żywym kanałem wejścia
Detect — security.txt LIVE
5/6
fazy jako ROADMAP
Triage/Contain/Eradicate/Recover/Lessons — do przećwiczenia
5
role zdefiniowane
przypisanie osób poza tą stroną
0
ukrytych deklaracji
status jawny w każdej sekcji

Czego ten plan NIE oznacza

To nie jest gotowa, przetestowana procedura enterprise. To szkielet organizacyjny do przyjęcia, przypisania osób i przećwiczenia (tabletop exercise). Dopóki nie ma dowodu z realnego przećwiczenia, fazy poza Detect pozostają oznaczone jako ROADMAP, zgodnie z doktryną claim ≤ proof.
Kwalifikacja regulacyjna incydentu to decyzja człowieka. Żaden mechanizm w ipIII nie klasyfikuje samodzielnie incydentu jako „poważny" (DORA) czy „istotny" (NIS2) w sposób wiążący — Legal Trigger Engine przygotowuje draft i sugestię terminu, ostateczna kwalifikacja i wysyłka należą do prawnika/DPO/Incident Commandera.
Granica prawna. Ten dokument to wsparcie decyzji operacyjnej (decision-support), nie porada prawna. Terminy DORA/NIS2 podane wyżej są orientacyjne i wymagają weryfikacji dla konkretnej jurysdykcji, sektora i relacji kontraktowej. Przed przyjęciem tego planu jako obowiązującej procedury wymagany jest przegląd przez radcę prawnego/kancelarię oraz — w zakresie danych osobowych — DPO. Testy bezpieczeństwa wyłącznie w granicach pisemnych Rules of Engagement.

Powiązane: rejestr znanych ograniczeń → /known-limitations · polityka ujawniania podatności → /disclosure · centrum zaufania → /trust-center · moduł produktu do incydentów klienta → /response-board.