K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / doktryna

Evidence-first — claim ≤ proof

Doktryna, na której stoi cały system: żadne twierdzenie faktowe nie może przekroczyć siły swojego dowodu. To nie hasło marketingowe — to reguła klasyfikacji, egzekwowana przez schemat danych, silnik klasyfikacji i kryteria zamknięcia incydentu.

claim ≤ proof

Każde zdanie, które nazywa coś „naruszeniem", „atakiem" albo „wyciekiem", ma przypięty status dowodowy. Panel nigdy nie renderuje twierdzenia mocniej, niż pozwala na to zgromadzony materiał. Gdy dowodu brak — zdarzenie żyje jako GAP, nie znika, ale też nie awansuje do rangi faktu.

7 statusów dowodowych

Status jest atrybutem incydentu (evidence_status) oraz pojedynczego dowodu. Definiuje, jak mocno wolno o zdarzeniu mówić i jakie działania są dozwolone.

BadgeStatusDefinicjaPrzykład
CONFIRMED Potwierdzony Istnieje weryfikowalny dowód techniczny lub urzędowy: log, hash, IoC, komunikat CERT, UPO. Twierdzenie może być wyrażone wprost jako fakt. Log SIEM + hash próbki + korelacja z advisory vendora dla exploitowanego CVE.
MEDIA SIGNAL Sygnał medialny Doniesienie prasowe/branżowe bez pierwotnego dowodu technicznego. Traktowane jako wskaźnik do weryfikacji, nie jako ustalony fakt. Artykuł o rzekomym ransomware w sektorze — bez potwierdzenia u podmiotu.
PUBLIC CLAIM Deklaracja publiczna Oświadczenie strony (grupy ransomware, podmiotu, dostawcy). Znany autor, nieznana prawdziwość. Wpis grupy na leak-site deklarujący posiadanie danych.
GAP Luka dowodowa Zdarzenie zgłoszone lub podejrzewane, ale bez wystarczającego dowodu. Nie zamykać, nie eskalować jako fakt — zbierać dowody. Zgłoszenie „coś jest nie tak z agentem" bez trace i logów.
DISPUTED Sporny Dowody sprzeczne lub kwestionowane przez wiarygodne źródło. Wymaga rozstrzygnięcia przed decyzją. Podmiot dementuje wyciek, który deklaruje grupa; brak rozstrzygnięcia.
SIMULATION Symulacja / demo Dane ćwiczeniowe lub demonstracyjne. Nigdy nie mylić z operacyjnymi. Każda liczba przykładowa nosi ten status. Ćwiczenie red-team, dane pokazowe na tym portalu.
INTERNAL Wewnętrzny Materiał z systemów własnych organizacji, poufny, o ograniczonej widoczności. Dowód realny, ale nie do publikacji. Log wewnętrznego EDR, notatka SOC, ticket.
Brak dowodu ≠ incydent nie istnieje. Status GAP nie oznacza „nic się nie dzieje". Oznacza: zdarzenie może być realne, ale nie wolno go jeszcze przedstawiać jako fakt ani zamknąć. To ochrona przed dwoma błędami naraz — fałszywym alarmem i przeoczeniem.

Typy dowodów

Warstwa Evidence przyjmuje różne rodzaje materiału. Każdy dowód ma typ, źródło, poziom pewności (0–100) i wpis w łańcuchu nadzoru.

Techniczne — cyber

URL (referencja/artefakt) · screenshot (z hashem) · hash SHA-256 (próbki/pliku) · log (SIEM/EDR/WAF) · IoC (IP, domena, hash, mutex) · CVE (identyfikator podatności) · vendor advisory.

Urzędowe / instytucjonalne

Komunikat CERT (CSIRT NASK/GOV/MON) · raport ENISA · UPO / e-Doręczenie (dowód doręczenia do organu) · decyzja/wezwanie organu nadzoru.

AI / agentowe

Prompt i odpowiedź modelu (para wejście/wyjście) · trace agenta (ślad wywołań narzędzi) · decyzja human-in-the-loop (kto zatwierdził/odrzucił) · log guardrail/policy engine · artefakt data poisoning.

Poziom pewności (confidence 0–100)

Niezależnie od statusu, dowód niesie liczbowy poziom pewności. Pozwala odróżnić słaby log od twardego korelatu. Reguła: severity i priorytet incydentu nie mogą wynikać wyłącznie z dowodów o niskim confidence.

90–100
Twardy
hash + log + korelacja
60–89
Mocny
pojedynczy wiarygodny artefakt
30–59
Poszlaka
wymaga potwierdzenia
0–29
Słaby
sam nie uzasadnia eskalacji

Chain of custody (łańcuch nadzoru)

Każdy dowód ma nieusuwalny, dopisywany rejestr zdarzeń — kto, kiedy, co zrobił z materiałem. Przechowywany jako chain_of_custody (JSONB). Zapewnia integralność wobec audytora i organu.

POZYSKANIEHASHREJESTRACJAANALIZAWERYFIKACJAPRZEKAZANIEARCHIWIZACJA
Wpis łańcucha — atomowy rekord: {ts, actor, action, hash_before, hash_after, note}. Modyfikacja materiału bez wpisu = utrata wartości dowodowej.
Integralność — hash liczony w chwili pozyskania i weryfikowany przy każdym dostępie. Rozbieżność hasha podnosi status do DISPUTED do czasu wyjaśnienia.
Widoczność (visibility) — dowód INTERNAL nie wychodzi do widoku publicznego; ekspozycja tylko wg roli (patrz Role i priorytety).

Zamknięcie incydentu tylko po dowodzie naprawy

Symetria doktryny: skoro otwarcie jako fakt wymaga dowodu, to i zamknięcie wymaga dowodu. Incydentu nie wolno oznaczyć jako closed/resolved na podstawie samego przekonania, że „już nie występuje".

Warunek zamknięciaWymagany dowód
Usunięto przyczynę źródłowąLog/patch potwierdzający remediację; potwierdzenie wersji/konfiguracji.
Brak nawrotu w oknie obserwacjiTelemetria z okresu monitoringu (np. 7–30 dni) bez wskaźników.
Spełniono obowiązki prawneUPO / e-Doręczenie zgłoszenia do organu, jeśli flaga NIS2/RODO/AI Act aktywna.
Zaktualizowano odpornośćWpis do rejestru wzmocnień (reguła detekcji, segmentacja, backup zweryfikowany).
Pętla domyka się na odporności. Incydent nie jest „zamknięty", dopóki organizacja nie jest mierzalnie mniej podatna na jego powtórkę. To ostatnie ogniwo łańcucha: ZGŁOSZENIE → … → ODPORNOŚĆ.
Ramki regulacyjne. Odwołania do AI Act (art. 73), NIS2 (24h/72h/raport końcowy) i RODO (art. 33/34) opisują publicznie znaną treść przepisów jako normę/ramkę. Nie są opisem konkretnego naruszenia. Konkretne incydenty na portalu, o ile nie mają statusu CONFIRMED z dowodem, są danymi SYMULACJA.