Moduł 3 systemu K0NSULT. Deterministyczny silnik, który zamienia surowe zgłoszenie w ustrukturyzowany rekord po 6 niezależnych osiach. Klasyfikacja jest wejściem dla oceny ryzyka, doboru playbooka i wyliczenia obowiązków regulacyjnych — a każda oś jest audytowalna i wersjonowana.
Osie są ortogonalne: ten sam typ incydentu może mieć różnych aktorów, wektory i skutki. Dopiero komplet osi daje wagę ryzyka i zestaw obowiązków.
Gdzie w stosie technologicznym rozgrywa się incydent. Determinuje zespół prowadzący i zestaw kontroli.
| Warstwa | Zakres | Typowe incydenty | Rola prowadząca |
|---|---|---|---|
| Człowiek | socjotechnika, świadomość | Phishing, vishing, BEC | SOC / awareness |
| Tożsamość | konta, MFA, tokeny, sesje | Credential theft, przejęcie sesji | IAM / SOC |
| Aplikacja | web, API, mobile | Podatność, misconfig, injection | DevSecOps |
| Dane | bazy, backupy, PII | Wyciek, ransomware, exfiltracja | Legal/DPO + SOC |
| AI / agent | modele, agenci, pluginy | Prompt injection, agent hijack, poisoning | AI Safety Officer |
| Infrastruktura | sieć, chmura, endpointy | DDoS, malware, lateral movement | SOC / NetOps |
| Ciągłość | backup, DR, segmentacja | Utrata backupu, awaria DR | BCM / DevSecOps |
| Typ | Warstwa | Domyślny P | Sugerowany playbook |
|---|---|---|---|
| Ransomware | Dane / infra | P0 | playbook-ransomware |
| Wyciek danych | Dane | P0 | playbook-wyciek-danych |
| Agent hijack | AI / agent | P1 | playbook-agent-hijack |
| Prompt injection | AI / agent | P1 | playbook-prompt-injection |
| Phishing (aktywny) | Człowiek / tożsamość | P1 | playbook-phishing |
| DDoS | Infrastruktura | P1 | playbook-ddos |
| Exploited CVE | Aplikacja | P1 | playbook-podatnosci |
| Supply chain | Aplikacja / infra | P2 | playbook-supply-chain |
| Halucynacja szkodliwa | AI / agent | P2 | playbook-halucynacja |
| Misconfiguration | Aplikacja / infra | P3 | playbooks |
Motyw finansowy, oportunistyczny. Skala masowa.
Ransomware-as-a-Service. Afilianci + operatorzy, model podziału zysku.
Phishing-as-a-Service. Gotowe zestawy, kity AiTM.
Aktor sponsorowany / uporczywy. Cel: dostęp długoterminowy, wywiad.
Motyw ideologiczny. Często DDoS / defacement.
Osoba wewnętrzna — złośliwa lub przypadkowa.
Misconfiguration, błędna zmiana, brak procesu.
Zhijackowany lub złośliwy agent działający autonomicznie.
Domyślne przy braku atrybucji — status GAP.
actor = nieznany, status GAP. Nie podnoś do CONFIRMED na podstawie samego TTP.| Wektor | ATT&CK Tactic | Przykładowa Technique |
|---|---|---|
| E-mail (załącznik/link) | Initial Access | T1566 Phishing |
| SMS (smishing) | Initial Access | T1566.002 Spearphishing Link |
| Strona / watering hole | Initial Access | T1189 Drive-by Compromise |
| API | Initial Access / Credential Access | T1190 Exploit Public-Facing App |
| VPN / zdalny dostęp | Initial Access | T1133 External Remote Services |
| Podatność (CVE) | Initial Access | T1190 Exploit Public-Facing App |
| Token / sesja | Credential Access | T1528 Steal Application Access Token |
| Prompt (wejście AI) | Initial Access (AI) | Prompt Injection (ATLAS AML.T0051) |
| Plugin / narzędzie agenta | Execution (AI) | Nadużycie narzędzia / tool poisoning |
| Konektor / integracja | Lateral Movement | T1210 Exploit Remote Services |
| Zależność (dependency) | Initial Access / Supply Chain | T1195 Supply Chain Compromise |
Wektory AI mapowane pomocniczo na MITRE ATLAS (adversarial ML). Powyższe identyfikatory to przykład mapowania referencyjnego, nie przypisanie do realnego zdarzenia.
Ujawnienie / exfiltracja danych. Trigger dla RODO / tajemnicy bankowej.
Modyfikacja danych, poisoning modelu, sfałszowana transakcja.
DDoS, ransomware, awaria usługi. Trigger dla NIS2 (zakłócenie usługi).
Strata bezpośrednia, fraud, koszt odtworzenia.
Obowiązki notyfikacyjne, kary, postępowanie nadzorcze.
Utrata zaufania klientów, presja medialna.
Przerwa procesów, obciążenie zespołów, roll-back.
Wpływ na OT / infrastrukturę krytyczną / bezpieczeństwo osób.
| Warunek klasyfikacji | Flaga | Obowiązek (ramka regulacyjna) | Zegar |
|---|---|---|---|
| Dane osobowe naruszone | GDPR_BREACH | RODO art. 33 — zgłoszenie do organu; art. 34 — zawiadomienie osób gdy wysokie ryzyko | 72h do organu |
| Podmiot/usługa w zakresie NIS2 | NIS2_RELEVANT | NIS2 — wczesne ostrzeżenie, zgłoszenie, raport końcowy | 24h / 72h / 1 mies. |
| Podmiot KSC (PL) | KSC_RELEVANT | Krajowy System Cyberbezpieczeństwa — zgłoszenie do właściwego CSIRT | zgodnie z KSC |
| System AI wysokiego ryzyka | AI_HIGH_RISK | AI Act — wymogi dla systemów Aneks III | — |
| Poważny incydent AI | AI_SERIOUS_INCIDENT | AI Act art. 73 — zgłoszenie poważnego incydentu do organu nadzoru rynku | bez zbędnej zwłoki |
| Infrastruktura krytyczna | CRITICAL_INFRA | Reżimy sektorowe + KSC; możliwy udział organów | sektorowo |
Rekord demonstracyjny — dane przykładowe, nie operacyjne.
{
"id": "INC-DEMO-2026-0417",
"evidence_status": "st-confirmed", // artefakt: log AiTM proxy
"axis_1_layer": "tożsamość",
"axis_2_type": "phishing (AiTM)",
"axis_3_actor": "PhaaS", // hipoteza, TTP zgodne
"axis_4_vector": "email → strona",
"attack": { "tactic": "Initial Access", "technique": "T1566.002" },
"axis_5_impact": ["C", "finansowy", "reputacyjny"],
"axis_6_legal": ["GDPR_PERSONAL_DATA", "NIS2_RELEVANT"],
"priority": "P1", // aktywny phishing, sesje przejmowane
"sla_h": 24,
"playbook": "playbook-phishing"
}
Powiązane: ← Incident Intake · Threat Map → · Legal Board → · Role i priorytety P0–P3 →