K0NSULT // ipIII · raport
System analizy · mapowania · przeciwdziałania · cyber + AI

K0NSULT ipIII — evidence-first warstwa obsługi incydentów cyber/AI + demonstrator ćwiczeń purple-team

Portal, który zamienia incydent cyber/AI w łańcuch: zgłoszenie → dowód → status → klasyfikacja → ryzyko → playbook → działanie → walidacja → raport. Zbudowany w doktrynie claim ≤ proof. 57 stron, żywy na k0nsult.cloud/ai-truth/ipIII/.

Publiczny prototyp · controlled demo57 stron (moduł ipIII) 11 fal (F0–F11)evidence-first interaktywny Sentinel + tesserakt 4Ddemo/SYMULACJA oznaczone
Zastrzeżenie. To publiczny demonstrator i architektura referencyjna, nie system operacyjny ani produkt produkcyjny. Dane oznaczone SYMULACJA są demonstracyjne i nie opisują realnych incydentów ani realnych celów. Treść nie stanowi certyfikacji, opinii prawnej ani formalnej oceny zgodności (AI Act / NIS2 / RODO / DORA / KNF) — mapowania są ramowe i edukacyjne. Formalne zgłoszenia do organów odbywają się wyłącznie właściwymi kanałami, po decyzji DPO/prawnika/organu. Realne testy bezpieczeństwa — wyłącznie po podpisanym RoE/NDA. „57 stron" dotyczy modułu ipIII, nie całego portalu AI Truth.

Czym to jest i po co

ipIII to nie katalog naruszeń, lecz mechanizm decyzyjno-dowodowy. Każdy wpis działa według zasady Claim ≤ Proof: bez dowodu wpis to GAP, nie fakt. Portal łączy cztery poziomy: klasyczny cyber, incydenty AI/agentowe, obowiązki prawne (AI Act/NIS2/KSC/RODO) oraz odporność/ciągłość (backup, Punkt Zero, PQC).

ZGŁOSZENIEDOWÓDSTATUSKLASYFIKACJA RYZYKOPLAYBOOKDZIAŁANIEWALIDACJA RAPORTODPORNOŚĆ

Przeznaczenie

Rejestracja, klasyfikacja, mapowanie i przeciwdziałanie incydentom; gotowe raporty zgodności; interaktywne ćwiczenia purple-team; brama współpracy ze środowiskiem pentesterów.

Kontekst biznesowy

Powierzchnia demonstracyjna do ćwiczenia atak/obrona z zespołem pentesterów banku (systemowo istotnej instytucji finansowej). Nazwa banku dopiero po podpisanym RoE.

Zasada nadrzędna

„100%” oznacza pokrycie dowodowe i proceduralne, nie nieprzenikalność. Rój ≠ rejestr. Ofensywa = metodyka/symulacja, nigdy realny cel.

Architektura i moduły

Statyczne strony public/envois/ait-ip3-*.html serwowane przez Express (sendHtmlWithNonce, CSP nonce wstrzykiwany do inline JS). Sześć modułów systemu:

1 · Incident Intake

Przyjmowanie zgłoszeń (user/operator/CERT/ENISA/OSINT/AI/regulator).

2 · Evidence Layer

Każdy incydent ma dowód albo status luki. 7 statusów, chain of custody.

3 · Classification Engine

6 osi: warstwa, typ, aktor, wektor, skutek, obowiązki prawne. MITRE ATT&CK.

4 · Threat Map

Geografia, sektory, typy, sprawcy, dowody, reakcje, czas.

5 · Playbook Engine

12 grup A–L: od uruchomienia do lessons learned.

6 · Legal/Compliance

Flagi AI Act art.73 / NIS2 24-72h / RODO art.33-34 / DORA.

Pełny wykaz stron (57) — żywe linki

LIVE działa/realne DANE oparte o zbiór ROADMAP cel SYMULACJA demo NOINDEX ofensywa/exercise, staging-gated
FalaStronaCo toStatus
F0 · rdzeń/ hubprzegląd systemu, mapa sekcjiLIVE
doktrynaevidence-first, 7 statusów, chain of custodyLIVE
model-danychSQL: incidents/evidence/response_actions/assets/agentsDANE
api17 endpointów, kontrakt request/responseROADMAP
role-priorytety9 ról + P0–P3 SLA + zasady nadrzędneLIVE
F1 · widokidashboardExecutive Overview + LIVE-hook /api/incidentsSYM
cyber-mapgeografia/sektor/typ/sprawca/skutekSYM
ai-risk-map8 ryzyk AI + test high-risk AI ActSYM
evidence-board% GAP jako miara ryzyka, chain of custodySYM
legal-boardAI Act/RODO/NIS2/KSC + terminyDANE
response-boardkanban reakcji, zamknięcie tylko z dowodemSYM
F2 · intakezglosformularz zgłoszenia (demo)LIVE
klasyfikacja6 osi + MITRE ATT&CK/ATLASDANE
mapamapa Polski (SVG), natężenie incydentówSYM
tabelarejestr + eksport CSV działa + sortowanieLIVE
F3 · playbookiplaybooks (index)12 grup A–L, struktura playbookaLIVE
A–D: phishing · ransomware · ddos · podatnościprocedury reakcji, MITRE, flagi prawneDANE
E–H: wyciek-danych · supply-chain · prompt-injection · agent-hijackRODO, SBOM, tool firewall, DID/kill switchDANE
I–L: halucynacja · deepfake · ai-act · ciągłośćGAP, provenance, art.73, RTO/RPO/PQCDANE
F4 · biznescomplianceszablony AI Act art.73 / NIS2 / RODO / DORADANE
agent-securityrejestr agentów, DID, tool firewall, kill switchSYM
banking-demodemo dla CISO/SOC banku, DORA/TIBER, scenariusz e2eSYM
F5 · civilizationcivilizationmanifest skali, rój≠rejestr, bramki dojrzałościDANE
specjalisciroster 50k (model) vs ~50 zaproszonychDANE
roje-cyklemodel wykonawczy, 15× metaGO, limity infryROADMAP
red-teamMITRE ATT&CK 14 taktyk, kill chain, purpleNOINDEX
pentestPTES/OWASP/OSSTMM, DORA TLPT/TIBER-EUNOINDEX
attack-simExercise Board — rundy atak/obrona, scoringNOINDEX
engagementRules of Engagement + rubryka ocenyNOINDEX
F6 · hackatonhackatonkrajowy, vs Polska vs świat, 5 ścieżekNOINDEX
hackaton-regulamin§1–§12, safe harbor, RODO, koordynacja CERTNOINDEX
hackaton-leaderboardtablica wyników, sortowanie, EF-scoreNOINDEX
F7 · sentinelsentinel ★★interaktywny symulator atak/obrona (RED/BLUE z każdego punktu)NOINDEX
F8 · wymiartesseractinteraktywny hipersześcian 4D, obrona w głąb, PQCDANE
ochrona-polskidoktryna defense-in-depth, GAP-registerROADMAP
F9 · skutecznośćskutecznoscdogfooding; „100%”=pokrycie dowodowe (tabele A/B)DANE
F10 · skala/naukaskalelokalny→krajowy→unijny→globalny→4D→RSCROADMAP
szkoleniaakademia + test 10 pytań (działa), tieringLIVE
F11 · global gatewaydisclosureVDP/CVD (ISO 29147/30111), safe harborLIVE
bug-bountyprogram + Hall of Fame (pusty=GAP, uczciwie)ROADMAP
threat-intelCTI/OSINT, STIX/TAXII, MISP, SIEM exportROADMAP
globalmanifest wejścia global, 5 bram, otwarte standardyROADMAP
ENen + doktryna/banking-demo/engagement/sentinel/hackaton /enflagowe strony po angielsku (świat)LIVE
maszyn.status.json · security.txtmetadane + RFC 9116 (Policy→disclosure)LIVE

★ = interaktywne · ★★ = flagowa gra atak/obrona

Instrukcja obsługi — jak używać

Sentinel — symulator atak/obrona (flagowy)

Otwórz /ai-truth/ipIII/sentinel w przeglądarce.

  1. Wybierz rolę u góry: ▲ RED — atak lub ▼ BLUE — obrona.
  2. Kliknij węzeł na mapie (Email GW, VPN, Tożsamość/AD, Endpoint, Baza, Backup, Agent AI, SIEM) — po prawej pojawi się panel akcji.
  3. RED: wybierz wektor (np. Phishing T1566). System liczy szansę; węzeł czerwienieje = skompromitowany. Atak bez monitoringu → GAP.
  4. BLUE: wybierz kontrolę (DMARC, EDR, tool firewall…) — węzeł zielenieje, włącza monitoring; przy skompromitowanym pojawia się „Opanuj”.
  5. ⏩ Auto-atak (kill-chain) — odpala sekwencję ataku; jako BLUE reagujesz. Najlepsze do pokazu.
  6. KPI po prawej liczą się na żywo: Wynik BLUE/RED, detekcje, GAP, dowody, MTTD. ↺ Reset czyści.

Tesserakt 4D

Obraca się sam. ⏸ Pauza · −/+ prędkość · obrót XW · obrót ZW. Niebieski=obrona, czerwony=atak, zielony=symbioza/PQC.

Szkolenia — test

Zaznacz odpowiedzi (radio) → „Sprawdź wynik” → %, poprawne/błędne + wyjaśnienia + tier (Associate/Practitioner/Expert).

Tabela incydentów

„Eksport CSV” realnie działa (plik generowany w przeglądarce). Sortowanie po kliknięciu nagłówka.

Exercise Board / Leaderboard

Scoring liczony z widocznych danych (% detekcji, MTTD/MTTR, EF-score). Sortowalne kolumny.

Ćwiczenie atak/obrona — wykonane na żywo na k0nsult.cloud

Przeprowadziłem realny przebieg RED→BLUE na stronie Sentinel (Playwright, przeglądarka). Historia w liczbach pokazuje sedno evidence-first: monitoring zamienia niewykryte ataki (GAP) w detekcje z dowodem.

100
Wynik BLUE (finał)
52
Wynik RED
6
Detekcje
6
Dowody
7
GAP (przed obroną)
3
Kompromitacje
Sentinel — stan początkowy: topologia sieci, role, KPI
1 · Start. Topologia 10 węzłów (Email GW, VPN, AD, Endpoint, Baza, Backup, Agent AI, SIEM). Wszystkie liczniki 0.
Auto kill-chain: 3 węzły skompromitowane, 7 GAP
2 · Atak (auto kill-chain). RED 52, 3 węzły skompromitowane, 7× GAP — ataki przeszły niewykryte (BLUE bierny).
Obrona BLUE: hardening + monitoring
3 · Obrona. BLUE wzmacnia węzły (hardening + monitoring). Wynik BLUE rośnie z 0.
Finał: druga fala ataku wykryta, BLUE 100, 6 dowodów
4 · Finał (2. fala ataku po utwardzeniu). Ataki teraz WYKRYTE: 6 detekcji, 6 dowodów, Wynik BLUE 10→100. To puenta: bez monitoringu = GAP; z monitoringiem = detekcja z dowodem.
Uczciwie: to model dydaktyczny (SYMULACJA), izolowany, bez realnych celów. Prawdziwe metryki zbiera Exercise Board; realne testy tylko po podpisanym RoE.

Dla kogo — ścieżki odbiorców

👩‍💻 Deweloperzy

Wzorzec: _ip3Pages w server.js + sendHtmlWithNonce. Zero zależności zewnętrznych (CSP nonce).

→ model danych (SQL) → API (17 endpointów) → statusy dowodowe

🛠️ Obsługujący / SOC

Zgłoś → sklasyfikuj → uruchom playbook → działania → zamknij tylko z dowodem naprawy. Human-in-the-loop dla P0/P1.

→ dashboard → zgłoś incydent → response board

🎯 Pentesterzy

MITRE ATT&CK, DORA TLPT/TIBER-EU, PTES/OWASP. Interaktywny Sentinel. RoE przed jakimkolwiek działaniem. VDP + security.txt.

→ Sentinel (gra atak/obrona) → Rules of Engagement → zgłoś podatność (VDP)

🏦 Firmy / banki

Mapowanie na DORA, NIS2, RODO, AI Act, KNF. Evidence chain audytowalny, gotowe raporty, tool firewall dla agentów AI.

→ demo dla banków → compliance → bezpieczeństwo agentów AI

🎓 Fachowcy / społeczność

Akademia + testy, ścieżka certyfikacji, roster, hackaton PL vs świat, bug bounty + Hall of Fame.

→ szkolenia + test → hackaton → brama global

⚖️ Regulatorzy / inni

Doktryna claim≤proof, terminy raportowania, ochrona kraju, model tesseraktu 4D, PQC/ciągłość.

→ legal board → ochrona Polski → tesserakt 4D

Wyniki testów (dowód, nie deklaracja)

TestWynikZnaczenie
Route smoke (lokalnie)57 / 57 = 200każda strona odpowiada
Smoke PROD k0nsult.cloud25 / 25 = 200 + /api/health healthyGO FULL LIVE CONTROLLED
Integralność linków wewn.52 unikalne, 0 martwychwszystkie kombinacje nawigacji
Skaner overclaimów0 realnych„nieprzenikalny/100% bezpieczny” tylko w zaprzeczeniu
Grounding (realna tech.)29× MITRE ID · RODO/NIS2/DORA/AI Act · PTES/OWASP/TIBERzakotwiczone w ustalonej wiedzy
Jest (unit, bez DB)12 / 12 PASSgateway-validator
Interaktywny JS (CSP nonce)6/6 stron nonce'owane, script-src 'nonce' 'strict-dynamic'symulacje faktycznie działają
Ćwiczenie Sentinel (Playwright)BLUE 10→100 po obronie, 6 dowodówzweryfikowane wizualnie (zrzuty wyżej)
Dojrzałość wdrożenia (dowód techniczny): prototyp opublikowany na staging (19/19) i na prod (25/25), wpięty w menu huba, kanon na GitHub 37f0f726. To znaczy: publiczny prototyp jest dostępny i działa — nie oznacza gotowości operacyjnej ani zgodności regulacyjnej. Statusy wewnętrzne „go-live" są doktryną K0NSULT, nie standardem rynkowym.

Dla dev — jak to zbudowane i jak rozwijać

Otwarte: podpięcie /api/incidents (dashboard LIVE-hook gotowy) · semantyczny audyt merytoryczny (swarm) · RoE przed nazwaniem banku · EN dla pozostałych stron · discoverability: hub-index nie linkuje jeszcze fal F5–F11.