K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / playbooks

Playbooki reagowania — indeks

Katalog gotowych procedur reagowania na incydenty cyber (poziom 1), incydenty AI/agentowe (poziom 2), naruszenia prawne (poziom 3) oraz zdarzenia ciągłości/odporności (poziom 4). Każdy playbook ma jednolitą strukturę i jest sprzężony z silnikiem klasyfikacji, warstwą dowodową i silnikiem prawnym.

Playbook = deterministyczna ścieżka od zgłoszenia do zamkniętego, udokumentowanego incydentu.

Uruchamiany automatycznie przez silnik klasyfikacji na podstawie typu zdarzenia i flag prawnych, lub ręcznie przez operatora. Każdy krok generuje ślad dowodowy (hash, znacznik czasu, wykonawca), a zakończenie wymusza walidację i raport.

ZGŁOSZENIEDOWÓDSTATUSKLASYFIKACJAPLAYBOOKDZIAŁANIEWALIDACJARAPORTODPORNOŚĆ +1
12
Grup playbooków (A–L)
poziomy 1–4
10
Sekcji w każdym playbooku
jednolita struktura
4h
SLA reakcji P0
P1 24h · P2 72h · P3 7–30d
9
Flag prawnych
wyzwalają Legal Engine

Katalog grup A–L

A · Phishing / socjotechnika P1

Phishing, smishing, vishing, podszycie pod bank/urząd/kuriera, fałszywe logowanie, deepfake głosowy. Dominujący wektor wg CERT PL PUBLIC CLAIM.

→ playbook-phishing

B · Ransomware P0

Szyfrowanie i podwójne wymuszenie. Top zagrożenie wg ENISA PUBLIC CLAIM. Wymaga izolacji, backupu immutable i oceny NIS2/RODO.

→ playbook-ransomware

C · DDoS / dostępność P1

Wolumetryczne i aplikacyjne ataki na dostępność usług. Ochrona CDN/WAF, rate limiting, failover, status page.

→ playbook-ddos

D · Podatności / CVE P1

Exploited CVE, zero-day, niezałatane systemy brzegowe (VPN, firewall, serwery pocztowe). Priorytet rośnie przy aktywnej eksploatacji.

→ playbook-podatnosci

E · Wyciek danych / RODO P0

Ujawnienie danych osobowych. Wyzwala RODO art. 33 (72h do PUODO) i art. 34 (zawiadomienie podmiotów).

→ playbook-wyciek-danych

F · Supply chain P1

Kompromitacja dostawcy, biblioteki, aktualizacji, MSP. Efekt kaskadowy — jedno źródło, wiele ofiar.

→ playbook-supply-chain

G · Prompt injection P1

Wstrzyknięcie instrukcji do modelu/agenta (direct + indirect przez dokumenty/RAG). Obejście barier, eksfiltracja przez narzędzia.

→ playbook-prompt-injection

H · Agent hijack P0

Przejęcie agenta z dostępem do narzędzi/API. Serious AI incident — może wyzwolić AI Act art. 73.

→ playbook-agent-hijack

I · Halucynacja / GAP P2

Model twierdzi fakty bez pokrycia. Ryzyko decyzji na fałszywej przesłance. Domena doktryny claim ≤ proof.

→ playbook-halucynacja

J · Deepfake P1

Syntetyczne audio/wideo podszywające się pod zarząd/klienta (CEO fraud, obejście weryfikacji głosowej).

→ playbook-deepfake

K · AI Act / high-risk P2

Naruszenia obowiązków AI Act: art. 50 (transparentność), Aneks III (high-risk), art. 73 (serious incident).

→ playbook-ai-act

L · Ciągłość / backup / PQC P2

DR, Punkt Zero, segmentacja, odtwarzanie, migracja post-kwantowa. Poziom odporności/ciągłości.

→ playbook-ciaglosc

Mapowanie grup na poziomy i priorytety

GrupaPoziomPriorytet typowyFlagi prawne wyzwalaneSLA reakcji
A · Phishing1 · cyberP1GDPR_PERSONAL_DATA (gdy wyciek), NIS2_RELEVANT24h
B · Ransomware1 · cyberP0GDPR_BREACH, NIS2_RELEVANT, KSC_RELEVANT4h
C · DDoS1 · cyberP1NIS2_RELEVANT (usługa kluczowa), CRITICAL_INFRA24h
D · Podatności1 · cyberP1NIS2_RELEVANT, KSC_RELEVANT24h
E · Wyciek danych3 · prawnyP0GDPR_PERSONAL_DATA, GDPR_BREACH4h → 72h zgłoszenie
F · Supply chain1 · cyberP1NIS2_RELEVANT, CRITICAL_INFRA24h
G · Prompt injection2 · AIP1AI_ACT_RELEVANT, GDPR_PERSONAL_DATA24h
H · Agent hijack2 · AIP0AI_SERIOUS_INCIDENT, AI_HIGH_RISK4h
I · Halucynacja2 · AIP2AI_ACT_RELEVANT, AI_HIGH_RISK72h
J · Deepfake2 · AIP1AI_ACT_RELEVANT (art. 50), LAW_ENFORCEMENT24h
K · AI Act3 · prawnyP2AI_ACT_RELEVANT, AI_HIGH_RISK, AI_SERIOUS_INCIDENT72h
L · Ciągłość4 · odpornośćP2NIS2_RELEVANT, CRITICAL_INFRA72h

Struktura playbooka (jednolity szablon)

Każdy playbook w katalogu ma tę samą, dziesięcioczęściową strukturę. Ujednolicenie umożliwia audyt, porównywalność i automatyzację przez silnik playbooków.

1. Warunki uruchomienia — reguły klasyfikacji, które aktywują playbook (typ zdarzenia + flagi + próg pewności). Automatyczne lub ręczne przez operatora.
2. Właściciel i role — kto prowadzi incydent (Analyst / Operator / DevSecOps / AI Safety Officer) i kto jest eskalacją (Legal/DPO, Admin, Auditor).
3. Priorytet i SLA — P0–P3 z zegarem reakcji; warunki podbicia priorytetu (aktywna eksploatacja, dane osobowe, infrastruktura krytyczna).
4. Działania natychmiastowe — pierwsze minuty: powstrzymanie (containment), izolacja, ograniczenie zasięgu, zamrożenie stanu do analizy.
5. Działania techniczne — eradykacja przyczyny, łatanie, rotacja poświadczeń, przywracanie z zaufanego źródła, hardening.
6. Działania dowodowe — zabezpieczenie artefaktów (logi, obrazy, nagłówki, próbki), hash, znacznik czasu, łańcuch nadzoru (chain of custody).
7. Działania prawne — ocena flag, obowiązki zgłoszeniowe (RODO 72h, NIS2 24h/72h/final, AI Act art. 73), zawiadomienie organów i osób.
8. Komunikacja — wewnętrzna (zarząd, SOC) i zewnętrzna (klienci, regulator, media) — kto, kiedy, jaki komunikat, kto zatwierdza.
9. Walidacja i zamknięcie — potwierdzenie eradykacji, brak persystencji, przywrócona usługa, kompletny ślad dowodowy przed zamknięciem.
10. Lessons learned — analiza post-mortem, aktualizacja reguł detekcji, zmiana konfiguracji, podniesienie poziomu odporności (+1).

Powiązania systemowe

← Classification Engine

Typ zdarzenia + flagi + priorytet decydują, który playbook (A–L) uruchomić. Silnik klasyfikacji.

← Evidence Layer

Każdy krok playbooka dopisuje artefakt z hashem. Evidence Board.

→ Legal / Compliance Engine

Krok 7 wywołuje obowiązki zgłoszeniowe. Compliance · Legal Board.

→ Response Board

Status wykonania playbooka na żywo. Response Board.

Zasada: playbook nie zamyka incydentu — zamyka go walidacja i raport. Krok bez śladu dowodowego jest traktowany jak niewykonany.
Uwaga metodyczna: odwołania do CERT Polska / ENISA to publicznie znane sygnały o krajobrazie zagrożeń (PUBLIC CLAIM), nie potwierdzone naruszenia w środowisku odbiorcy. Ramki RODO / NIS2 / AI Act opierają się na treści regulacji (norma), nie na konkretnym incydencie. Wszelkie liczby przykładowe w podstronach są oznaczone SYMULACJA.