K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / hackaton-regulamin

Regulamin hackatonu krajowego

Ramy programu „K0NSULT POLSKA — Atak/Obrona Narodowa". Dokument opisuje uprawnienia, zakres, bezpieczeństwo, RODO, scoring, nagrody i klauzulę etyczną. To ramy do zatwierdzenia — wdrożenie po akceptacji koordynatorów i organów; nazwy partnerów po potwierdzeniu.

UWAGA — dokument w planowaniu. To projekt regulaminu (staging, NOINDEX). Program nie został uruchomiony; brak rejestracji => status GAP. Zapisy wchodzą w życie po zatwierdzeniu przez organizatora i uzgodnieniu z CERT Polska / NASK / MC. Partnerzy wskazani anonimowo (systemowo istotnej instytucji finansowej), status PUBLIC_CLAIM — nazwy po potwierdzeniu. Wszelkie działania ofensywne wyłącznie na izolowanym cyber-range (SYMULACJA).

§1 · Uprawnieni uczestnicy

1.1 Wiek. Tor juniorski: 16+ (z pisemną zgodą opiekuna prawnego). Tor główny i finał krajowy: 18+. Weryfikacja wieku na etapie rejestracji.
1.2 Rezydencja. Tier krajowy: obywatele lub rezydenci RP. Uczestnicy zagraniczni dopuszczani w torze open/ŚWIAT poza klasyfikacją krajową.
1.3 Zespoły. 1–5 osób. Jedna osoba w jednym zespole. Kapitan zespołu odpowiada za akceptację regulaminu i RoE w imieniu członków.
1.4 Wykluczenia. Osoby objęte zakazem uczestnictwa (np. czynny konflikt interesów z organizatorem, karalność za przestępstwa komputerowe wg decyzji komisji) — bez prawa startu.

§2 · Rejestracja i weryfikacja

2.1 Rejestracja online: dane kontaktowe, tier, track, skład zespołu. GAP — system rejestracji jeszcze nie uruchomiony.
2.2 Weryfikacja tożsamości przed półfinałem on-site (dokument tożsamości do wglądu komisji, minimalizacja danych).
2.3 Akceptacja regulaminu, klauzuli RODO i podpisanie Rules of Engagement (RoE) jest warunkiem dopuszczenia.

§3 · Zakres (scope)

3.1 In scope. Wyłącznie izolowany cyber-range i sandbox przydzielony zespołowi. Sztuczne cele ćwiczebne, odseparowane od Internetu i produkcji.
3.2 Out of scope. Realne systemy (organizatora, partnerów, osób trzecich, infrastruktura publiczna) są bezwzględnie poza zakresem. Atak na cel spoza rangu = natychmiastowa dyskwalifikacja i zgłoszenie.
3.3 Bez payloadów. Zakaz publikowania działających payloadów, exploitów 0-day i danych realnych ofiar w materiałach konkursowych. Metodyka — tak; broń — nie.

§4 · Safe harbor i autoryzacja pisemna

4.1 Safe harbor. Uczestnik działający w zakresie, zgodnie z RoE i wyłącznie defensywnie/na autoryzowanych celach, jest chroniony przed roszczeniami organizatora z tytułu działań ćwiczebnych.
4.2 Autoryzacja pisemna. Bez podpisanej zgody i RoEzakaz jakiegokolwiek działania ofensywnego (status GAP). Brak dokumentu = brak safe harbor.
4.3 Utrata ochrony. Wyjście poza zakres, atak na innych uczestników lub infrastrukturę poza rangiem znosi safe harbor i uruchamia procedurę dyscyplinarną oraz — w razie potrzeby — zawiadomienie organów.

§5 · Ochrona danych (RODO)

5.1 Administrator. Organizator (K0NSULT Sp. z o.o.) jako administrator danych uczestników; szczegóły w klauzuli informacyjnej przy rejestracji.
5.2 Minimalizacja. Zbierane wyłącznie dane niezbędne do przeprowadzenia zawodów, weryfikacji i rekrutacji. Bez profilowania marketingowego bez odrębnej zgody.
5.3 Retencja. Dane przechowywane przez okres trwania programu i uzasadniony okres rekrutacyjny, następnie usuwane lub anonimizowane. Prawa: dostęp, sprostowanie, usunięcie, sprzeciw.
5.4 Bezpieczeństwo. Dane w środowisku odseparowanym; logi rangu nie zawierają realnych danych osobowych osób trzecich.

§6 · Kodeks postępowania

6.1 Zakaz ataku na innych uczestników, ich sandbox, infrastrukturę organizatora i wszelkie cele poza rangiem.
6.2 Zakaz sabotażu, DoS wobec platformy zawodów, kradzieży flag przez dostęp do cudzego środowiska.
6.3 Fair play: współpraca w zespole, brak plagiatu rozwiązań, brak nieujawnionej pomocy z zewnątrz w torze indywidualnym.
6.4 Szacunek: zero nękania, mowy nienawiści, dyskryminacji. Naruszenie = dyskwalifikacja.

§7 · Scoring i rozstrzyganie sporów

7.1 Rubryka evidence-first. Punkty za udowodniony efekt: dowód detekcji, pokrycie ATT&CK, MTTD/MTTR, kompletność dowodów, liczba GAP (0 = cel).
7.2 Komisja. Sędziowie techniczni + obserwator etyczny. Decyzje protokołowane, wynik z chain-of-custody.
7.3 Odwołania. Zespół może złożyć protest w oknie czasowym po rundzie; komisja rozstrzyga, decyzja ostateczna. Wyniki demonstracyjne = SYMULACJA.

→ Leaderboard (demo)

§8 · Nagrody i ścieżka rekrutacyjna

8.1 Nagrody: pula regulaminowa + wyróżnienia per track/tier. Wysokość i fundatorzy — po potwierdzeniu partnerów (PUBLIC_CLAIM).
8.2 Ścieżka rekrutacyjna: najlepsi z udowodnionym wynikiem wchodzą do rosteru specjalistów (cel 50 000 ROADMAP).

§9 · Koordynacja z organami

9.1 Program zgłaszany do CERT Polska / NASK i koordynowany co do zakresu i bezpieczeństwa.
9.2 Zgłoszenie ramowe do MC (Ministerstwo Cyfryzacji) dla spójności z NIS2/KSC. Status PUBLIC_CLAIM — do potwierdzenia.

§10 · Dyskwalifikacja

10.1 Natychmiastowa dyskwalifikacja: wyjście poza zakres, atak na uczestników/infra poza rangiem, publikacja payloadów, oszustwo, naruszenie kodeksu.
10.2 W przypadkach naruszenia prawa — zawiadomienie właściwych organów zgodnie z przepisami.

§11 · Tabela kar i nagród

ZdarzenieTypSkutekPriorytet
Pełny dowód detekcji + chain-of-custodyNagroda+punkty, bonus evidenceP3
Wysokie pokrycie ATT&CK (udowodnione)Nagroda+punkty proporcjonalneP3
Niska MTTD/MTTRNagroda+bonus czasowyP3
Twierdzenie bez dowodu (GAP)Karabrak punktów za pozycjęP2
Wyjście poza zakres ranguKarautrata safe harbor + ostrzeżenieP1
Atak na uczestnika / infra poza rangiemKaradyskwalifikacjaP0
Publikacja payloadu / danych realnychKaradyskwalifikacja + zgłoszenieP0
Działanie bez podpisanego RoEKarazakaz startu (GAP)P0

§12 · Klauzula etyczna

Defensive & authorized only. Program służy wyłącznie budowie zdolności obronnych. Wszelkie działania ofensywne są dopuszczalne tylko jako ćwiczenie autoryzowane, na izolowanym rangu, w celu wykrycia i naprawy. Wiedza zdobyta w programie nie może być użyta do ataku na realne systemy. Naruszenie tej klauzuli znosi wszelkie prawa uczestnika i może skutkować zawiadomieniem organów.
Status dokumentu. To ramy programu. Wejdą w życie po zatwierdzeniu; nazwy partnerów, pula nagród i daty zostaną uzupełnione po potwierdzeniu. Do tego czasu każda liczba i partner mają status GAP / PUBLIC_CLAIM.