K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / war-room

Incident War Room (F10) — tryb kryzysowy w jednym widokuMVP

Gdy incydent eskaluje, zespół nie ma czasu przełączać się między dziesięcioma narzędziami. War Room zbiera w jednym układzie paneli to, czego kryzys potrzebuje jednocześnie: timeline, ownerów, wyzwolone obowiązki prawne (legal triggers), evidence, komunikację, aktualizację dla zarządu, szkic pisma do regulatora oraz decision log. Wszystkie dane na tej stronie są syntetyczne (demonstracja układu), a warstwa łącząca panele to ROADMAP — poniżej rozdzielamy, co jest gotowe, a co dopiero planowane.

Status i uczciwość. War Room jest dziś MVP na danych syntetycznych — pokazuje docelowy układ pracy podczas incydentu. Elementy dowodliwe w innych modułach (import findings, evidence-package z hash, decision log) są oznaczone LIVE tam, gdzie mają kod, test i endpoint. Automatyczne spięcie paneli na żywym incydencie, powiadomienia i eksport pakietu jednym kliknięciem to ROADMAP. Mapowania obowiązków prawnych to wsparcie decyzji, nie porada prawna — każdy szkic wymaga przeglądu radcy przed wysyłką.
Jeden układ paneli zamiast dziesięciu okien.

W trybie kryzysowym liczy się wspólny obraz sytuacji: kto jest ownerem, co już wiemy (evidence), jakie terminy prawne zaczęły biec, co komunikujemy na zewnątrz i jaką decyzję właśnie podjęliśmy — wszystko z jednym znacznikiem czasu. War Room porządkuje to w osiem paneli i utrzymuje decision log jako źródło prawdy o przebiegu.

PRZEPŁYW: eskalacjaowner + timelinelegal triggersevidencecomms + boarddraft regulatordecision log

Incydent (kontekst)

ID: INC-SYN-2026-0042 SYNTETYCZNE

Tytuł: Podejrzenie eksfiltracji danych — segment płatności

Severity: P0 / SEV-1

Wykryto: 2026-07-05 08:14 CEST

Status: CONTAINMENT

Ownerzy (RACI)

Incident Commander: A. Kowalska

Tech lead: M. Nowak

Legal: radca (kancelaria zewn.)

Comms: zespół PR

Sponsor: CISO

Zegar terminów

RODO 72h: do 2026-07-08 08:14 T-64h

DORA raport wstępny: orientacyjnie do 4h od klasyfikacji pilne

NIS2 wczesne ostrzeżenie: orientacyjnie 24h monitoruj

Terminy orientacyjne — wsparcie decyzji, weryfikacja prawna wymagana.

Panel 1 — Timeline incydentu

Chronologia zdarzeń (dane syntetyczne)
08:14 — Alert korelacyjny: nietypowy wolumen ruchu wychodzącego z segmentu płatności. Klasyfikacja wstępna P0.
08:22 — Incident Commander powołany, kanał kryzysowy otwarty, bridge uruchomiony.
08:35 — Izolacja podejrzanego hosta (containment). Zebrano zrzut logów jako evidence #E-01.
08:51 — Legal Trigger Engine sygnalizuje potencjalny obowiązek RODO 72h + ścieżkę DORA. Skierowano do radcy.
09:10 — Draft aktualizacji dla zarządu przygotowany (board update v1).
09:34 — Decyzja: nie wyłączać całego segmentu; izolacja punktowa. Wpis do decision log DL-03.

Panel 2 — Legal triggers (wsparcie decyzji)

Sygnalizacja potencjalnie wyzwolonych obowiązków. To wsparcie decyzji, nie porada prawna — kwalifikację potwierdza radca. Powiązania i pełna oś terminów: /legal-timeline.

ReżimMożliwy obowiązekOrientacyjny terminStatus
RODOZgłoszenie naruszenia do organu nadzorczego, jeśli potwierdzone ryzyko dla osób.≤ 72h od stwierdzeniaDO WERYFIKACJI
DORARaport wstępny incydentu ICT (podmiot finansowy), jeśli spełnia progi istotności.orientacyjnie kilka godzin od klasyfikacjiDO WERYFIKACJI
NIS2Wczesne ostrzeżenie do właściwego CSIRT/organu.orientacyjnie 24hMONITORUJ
Umowy / kontraktyNotyfikacja klientów/partnerów wg klauzul SLA.wg umowyDO SPRAWDZENIA
Granica narzędzia. Legal Trigger Engine mapuje przesłanki na możliwe obowiązki, ale nie zastępuje radcy. Terminy powyżej są orientacyjne — ostateczną kwalifikację i decyzję o zgłoszeniu podejmuje zespół prawny.

Panel 3 — Evidence

Materiał dowodowy z chain-of-custody i sumą kontrolną integralności. Import findings oraz evidence-package (z sha256) są dowodliwe w module orchestratora; ich automatyczne dociągnięcie do War Room to ROADMAP.

IDArtefaktIntegralnośćŹródło
E-01Zrzut logów segmentu płatności (08:35)sha256:9f2a…c71bSYNTETYCZNE
E-02Eksport reguł korelacyjnych / alertsha256:41de…08a4SYNTETYCZNE
E-03Snapshot konfiguracji zapory (pre/post izolacja)sha256:b0c7…12efSYNTETYCZNE

Panel 4 — Comms (zewnętrzne)

Holding statement: gotowy do zatwierdzenia przez PR + legal.

Klienci: szablon powiadomienia w kolejce (wstrzymany do decyzji).

Kanały: status page, e-mail, kontakt z kluczowymi partnerami.

Treść zatwierdza legal przed publikacją.

Panel 5 — Board update

Wersja: v1 (09:10)

Zakres: co wiemy, co robimy, jakie ryzyka, następny update.

Kadencja: co 60 min lub przy zmianie statusu.

Odbiorca: zarząd + sponsor (CISO).

Panel 6 — Draft do regulatora

Szkic pisma budowany z pól incydentu i mapowań legal. Generowany jako draft do przeglądu prawnego — nie jest wysyłany automatycznie. Gotowe pakiety i szablony: /regulatory-packs.

DRAFT — WYMAGA PRZEGLĄDU PRAWNEGO PRZED WYSYŁKĄ

Do:            [właściwy organ nadzorczy]
Dotyczy:       Wstępne zgłoszenie incydentu — INC-SYN-2026-0042
Data zdarzenia: 2026-07-05, wykrycie 08:14 CEST
Charakter:     Podejrzenie nieuprawnionego dostępu / eksfiltracji (w toku ustaleń)
Zakres:        Segment płatności — analiza trwa, ostateczny zakres do potwierdzenia
Podjęte kroki: Izolacja hosta, zebranie materiału dowodowego, powołanie zespołu
Ryzyko:        Ocena w toku; klasyfikacja i decyzja o pełnym zgłoszeniu — po weryfikacji prawnej
Kontakt:       [IOD / punkt kontaktowy]

[Pola uzupełniane z rekordu incydentu. Treść orientacyjna — wsparcie decyzji, nie porada prawna.]

Panel 7 — Decision log

Źródło prawdy o tym, co i dlaczego zdecydowano, z ownerem i znacznikiem czasu. Trwały ślad audytowy przebiegu incydentu.

IDCzasDecyzjaOwnerUzasadnienie
DL-0108:22Powołanie Incident Commandera, otwarcie bridge'aCISOP0 wymaga jednego punktu koordynacji
DL-0208:35Izolacja punktowa hostaTech leadOgraniczenie rozprzestrzeniania bez przerywania usługi
DL-0309:34Brak wyłączenia całego segmentuIncident CommanderBilans ryzyka: ciągłość usługi vs. izolacja punktowa wystarczająca
DL-0409:40Skierowanie do radcy przed jakimkolwiek zgłoszeniemLegalKwalifikacja obowiązków wymaga weryfikacji prawnej

Panel 8 — Skrót stanu

P0
Severity incydentu
SEV-1 · CONTAINMENT
3
Aktywne legal triggers
RODO · DORA · NIS2 (do weryfikacji)
4
Wpisy decision log
z ownerem i uzasadnieniem
8
Panele w jednym widoku
timeline → decision log

Co jest LIVE, a co ROADMAP

ElementStanUwaga
Układ paneli War Room (ten widok)MVPDemonstracja na danych syntetycznych
Import findings / evidence-package z hashLIVEDowodliwe w module orchestratora
Decision log jako trwały śladLIVEWzorzec audytowy (zapis + owner + czas)
Legal Trigger Engine (sygnalizacja obowiązków)LIVEWsparcie decyzji, nie porada prawna
Automatyczne spięcie paneli na żywym incydencieROADMAPWiązanie danych w czasie rzeczywistym
Powiadomienia i eskalacje ownerówROADMAPKanały comms, kadencja board update
Eksport pakietu incydentu jednym kliknięciemROADMAPEvidence + decision log + draft w jednym pliku
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność. War Room deklaruje dokładnie tyle, ile potrafimy pokazać: dziś to udokumentowany układ pracy na danych syntetycznych plus dowodliwe moduły źródłowe. Warstwa automatyzacji jest jawnie oznaczona jako ROADMAP, zgodnie z doktryną claim ≤ proof.
Granica etyczna i prawna. War Room to narzędzie koordynacji obrony i zgodności (GRC/blue) w trybie incydentu. Legal Trigger Engine oraz mapowania obowiązków to wsparcie decyzji, nie porada prawna — każdy szkic wymaga przeglądu radcy przed wysyłką do organu. Dane na tej stronie są syntetyczne i służą wyłącznie prezentacji układu.

Powiązane: rejestr i klasyfikacja incydentów → /ai-incident · oś terminów obowiązków → /legal-timeline · pakiety i szablony do regulatora → /regulatory-packs · granice systemu → /known-limitations.