K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / skuteczność i samoobrona (dogfooding)

Skuteczność i samoobrona — dogfooding

Uczciwa strona o „100%". Nie sprzedajemy nieprzenikalności — sprzedajemy audytowalne inwarianty. Pokazujemy, gdzie 100% jest prawdą matematyczną (pokrycie dowodowe i proceduralne), a gdzie 100% jest kłamstwem (odporność na atak). K0NSULT stosuje własny system ipIII do własnych aktywów — to jest dogfooding, i zdajemy z niego raport.

RDZEŃ UCZCIWOŚCI. Nie twierdzimy 100% nieprzenikalności. Twierdzimy 100% pokrycia dowodowego i proceduralnego — każde zdarzenie zostawia dowód i przechodzi procedurę. Reszta = mierzalne ryzyko rezydualne, wykazane jawnie niżej. Kto obiecuje „100% bezpieczny system", składa fałszywy claim (GAP) i naraża się prawnie. My tego nie robimy.
„100%" ≠ nieprzenikalność. „100%" = każdy incydent ma dowód, każde działanie ma procedurę.

Skuteczność bezpieczeństwa nie jest liczbą „0% włamań" — takiej liczby nikt uczciwie nie zagwarantuje. Skuteczność to funkcja mierzalnych składników, z których część można doprowadzić do 100% (bo są inwariantami procesu), a część nigdy nie osiągnie 100% (bo zależy od nieznanego).

SKUTECZNOŚĆ = pokrycie dowodowe×pokrycie proceduralne×wykrywalność znanych TTP×1 / (MTTD · MTTR) — a NIE „0% włamań"

1 · Teza uczciwa — dwie definicje „100%"

Rynek cyberbezpieczeństwa jest zatruty obietnicą nieprzenikalności. My rozdzielamy dwa znaczenia „100%", żeby zgłoszony podmiot nie składał claimu, którego nie udowodni. Poniżej dwie kolumny: co może być 100% (bo to inwarianty proceduralne, weryfikowalne) i co nie może być 100% (bo to zależy od przeciwnika i świata).

A) CO MOŻE być 100% DANE / CEL

Inwarianty procesu. Weryfikowalne w trace i evidence-layer. Jeśli spadają poniżej 100% — to defekt naszego procesu, nie przeciwnika.

InwariantStatus
100% incydentów ma status dowodowy (evidence-layer)DANE
100% działań P0/P1 z human-in-the-loopDANE
100% zamknięć wymaga dowodu naprawy (closure gate)DANE
100% akcji agentów w trace/audit-logDANE
100% pokrycia playbookiem grup A–LDANE
100% wykrywalności ZNANYCH TTP (MITRE ATT&CK) w ćwiczeniuCEL — mierzone

B) CO NIE MOŻE być 100% GAP / rezydualne

Zależy od przeciwnika, dostawców i nieznanego. Deklarowanie tu 100% = fałszywy claim. Mówimy o tym otwarcie i redukujemy w czasie.

WymiarStatus
Nieprzenikalność (żaden atak się nie uda)GAP — niemożliwe
Brak 0-day w komponentach zewnętrznychGAP
Insider / socjotechnikaGAP
Łańcuch dostaw (supply chain)GAP
Skuteczność wobec NIEZNANYCH zagrożeńGAP
Dojrzałość PQC u dostawców zewnętrznychGAP
Definicja operacyjna. „Skuteczność" na tym portalu = pokrycie dowodowe × pokrycie proceduralne × wykrywalność znanych TTP × szybkość (1/MTTD·MTTR). Każdy z tych czynników jest mierzony i raportowany. Żaden nie jest zastąpiony słowem „bezpieczny".

2 · Dogfooding — ipIII na aktywach K0NSULT

Nie sprzedajemy narzędzia, którego sami nie używamy. K0NSULT Sp. z o.o. stosuje system ipIII do ochrony własnych aktywów: portalu, bazy dowodów, rejestru agentów, kopii zapasowych i warstwy scoringu. Poniżej mapowanie aktywu na wymiar tesseraktu, kontrolę i status. Model 4-wymiarowy opisuje strona Tesserakt; zakres ochrony sektorowej — Ochrona Polski.

Aktyw K0NSULTWymiar tesseraktuKontrolaStatus
Portal ai-truth / ipIII (publiczny)Powierzchnia + CzasCSP bez zasobów zewn., brak inline-eval, wersjonowanie, closure-gate na treśćDANE
Baza dowodów (evidence-layer)DowódHash SHA-256, chain of custody, poziom pewności 0–100, status obowiązkowyDANE
Rejestr agentów (tożsamość)Tożsamość + NadzórDID/ID agenta, trace każdej akcji, human-in-the-loop dla P0/P1DANE
Kopie zapasowe / DRCzas + CiągłośćBackup, Punkt Zero, test odtworzenia (retest)DANE / CEL
Warstwa scoringu / panel sędziówNadzórJudge panel wielodostawcowy, próg zgodności, log decyzjiDANE
Poczta / kanał zgłoszeń organówPowierzchniaAntyspam, weryfikacja nadawcy, ślad doręczeniaDANE / CEL
Kryptografia tranzytowa dostawcówDowód (przyszłość)Migracja PQC — zależna od dostawców zewn.GAP
Reguła dogfoodingu. Jeśli kontrola nie działa na naszych aktywach, nie mamy prawa oferować jej klientowi jako „100%". Dlatego wiersz PQC jawnie nosi GAP — nie udajemy dojrzałości, której nie ma po stronie dostawców.

3 · Scorecard skuteczności

Słupki poniżej to inline SVG/CSS — bez zasobów zewnętrznych. Każdy słupek jest oznaczony źródłem wartości: DANE = realny mechanizm w systemie, CEL = wartość docelowa do zdobycia, SYMULACJA = wynik z ćwiczenia (BAS), nie z produkcji. Metryki grupy A siedzą na/blisko 100% bo to inwarianty. Metryki grupy B są uczciwie poniżej 100% i noszą GAP.

DANE — inwariant / realny mechanizm CEL — wartość docelowa, mierzona SYMULACJA — ćwiczenie BAS GAP — ryzyko rezydualne

Grupa A — inwarianty proceduralne (na/blisko 100%)

Incydenty ze statusem dowodowym100% DANE
Działania P0/P1 z human-in-the-loop100% DANE
Zamknięcia z dowodem naprawy (closure gate)100% DANE
Akcje agentów w trace/audit100% DANE
Pokrycie playbookiem grup A–L100% DANE
Wykrywalność znanych TTP (MITRE) w ćwiczeniu88% → 100% CEL

Grupa B — wymiary zależne od przeciwnika (uczciwie < 100%)

Odporność na nieznane zagrożenia (0-day)~ GAP
Odporność na insider / socjotechnikę~ GAP
Pewność łańcucha dostaw (supply chain)~ GAP
Dojrzałość PQC u dostawców zewnętrznych~ GAP

Wartości grupy B celowo nie są „%skuteczności" tylko wskaźnikiem redukcji ryzyka — bo pełnej pewności tu nie ma i deklarowanie 100% byłoby fałszem. Słupki grupy B oznaczone SYMULACJA/CEL ilustrują kierunek redukcji, nie gwarancję.

4 · Zgłoszony podmiot i należyta staranność

Za tym portalem stoi zidentyfikowany podmiot prawny, a nie anonim. To warunek wiarygodności wobec regulatora: evidence chain jest naszym dowodem należytej staranności.

K0NSULT Sp. z o.o.
Zgłoszony podmiot
osoba prawna, PL
5253089872
NIP
identyfikacja podatkowa
0001239441
KRS
rejestr przedsiębiorców
ReżimRola K0NSULTObowiązekDowód (evidence chain)
NIS2 / KSCDostawca usług bezpieczeństwa dla podmiotów kluczowychZgłoszenia 24h/72h/raport końcowy, zarządzanie ryzykiemZegary raportowe + trace w Response Board CEL/gdy dotyczy
RODO art. 32Administrator / procesor danychŚrodki techniczne i organizacyjne adekwatne do ryzykaRejestr kontroli, hash dowodów, log dostępu DANE
DORADostawca ICT dla banków (ICT third-party)Odporność operacyjna, testy, RoE, zgłaszalnośćBAS/Sentinel + RoE z partnerem CEL
AI ActDostawca / operator systemów AIArt. 73 — zgłoszenie poważnego incydentu; nadzór człowiekaFlaga AI_SERIOUS_INCIDENT + human-in-the-loop DANE
Należyta staranność ≠ nieprzenikalność. Regulator nie wymaga, byśmy byli niepokonani. Wymaga, byśmy działali adekwatnie do ryzyka i mogli to udowodnić. Evidence chain = dowód. To dlatego stawiamy na 100% pokrycia dowodowego, a nie na fikcyjne 100% odporności.

5 · Jak to weryfikujemy — dowód, nie deklaracja

PĘTLA WERYFIKACJI: ciągły BASaudyt zewnętrznyRoE z partneremretestzaktualizowany scorecard
Ciągły BAS (Sentinel / Exercise). Symulacja znanych TTP w trybie ćwiczebnym. Mierzy wykrywalność (grupa A, metryka CEL 88%→100%). Wyniki oznaczone SYMULACJA — nie mylić z produkcją. Szczegóły: Sentinel.
Audyt zewnętrzny. Niezależny podmiot weryfikuje inwarianty grupy A (czy closure-gate faktycznie blokuje, czy trace jest kompletny). Bez tego 100% jest naszym słowem — z tym staje się dowodem.
RoE z partnerem (Rules of Engagement). Uzgodniony zakres testów ofensywnych. Pentester atakuje w granicach RoE; luki trafiają do GAP-register. Szczegóły umowy: engagement.
Retest. Po naprawie luka jest atakowana ponownie. Zamknięcie GAP wymaga dowodu, że retest przeszedł — to ten sam closure-gate co dla incydentów.
Dowód, nie deklaracja. Każdy punkt tej pętli produkuje artefakt (log BAS, raport audytu, wynik retestu). Skuteczność jest tak dobra, jak jej ostatni zweryfikowany artefakt — dlatego scorecard ma datę i wersję, a nie wieczną gwiazdkę „100% bezpieczny".

6 · GAP-register — ryzyko rezydualne jawnie

To jest sekcja, której nie ma na stronach sprzedających nieprzenikalność. Wymieniamy własne luki, ich priorytet i sposób redukcji w czasie. Jawny GAP-register jest dowodem uczciwości, nie słabości.

GAPPriorytetStatusRedukcja w czasie
0-day w komponentach zewnętrznychP1rezydualneWąska powierzchnia (CSP, brak zależności zewn.), szybkie łatanie, monitoring CVE
Insider / socjotechnikaP1rezydualneLeast-privilege, human-in-the-loop na P0/P1, trace każdej akcji, rozdział ról
Łańcuch dostawP2rezydualneMinimalizacja dostawców, weryfikacja artefaktów, hash i wersjonowanie
Skuteczność wobec nieznanych zagrożeńP0rezydualneNie da się usunąć — redukcja przez BAS, defense-in-depth, szybki MTTD/MTTR i closure-gate
Dojrzałość PQC dostawcówP2rezydualnePlan migracji PQC, hybrydowe schematy, presja na dostawców, monitoring standardów
Wykrywalność znanych TTP < 100%P1CEL 88%→100%Rozszerzanie reguł playbooków A–L, kolejne cykle BAS, retest po każdej luce
Podsumowanie uczciwe. Oferujemy 100% pokrycia dowodowego i proceduralnego — to jest twierdzenie, które udowadniamy artefaktem. Nie oferujemy 100% nieprzenikalności — to jest twierdzenie, którego nikt uczciwie nie udowodni. Różnica między tymi dwoma zdaniami to różnica między zgłoszonym podmiotem z evidence chain a sprzedawcą strachu. Wybieramy pierwsze.