K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / evidence-board

Evidence Board — Tablica dowodowa

Warstwa dowodowa systemu. Każdy incydent istnieje operacyjnie tylko na tyle, na ile jest udowodniony. Tablica rozkłada zgłoszenia na kolumny wg statusu dowodowego, prowadzi łańcuch nadzoru (chain of custody) i wylicza % GAP jako wskaźnik ryzyka systemowego — im więcej twierdzeń bez dowodu, tym słabsza pozycja audytowa i procesowa organizacji.

SYMULACJA / dane demonstracyjne. Wszystkie identyfikatory incydentów, dowody, wartości confidence i wpisy chain of custody na tej stronie są przykładowe (demo). Nie odzwierciedlają realnych naruszeń. Ramka statusów dowodowych jest metodyczna i produkcyjna — dane w niej są symulowane.
Doktryna: claim ≤ proof

Twierdzenie o incydencie nie może być „mocniejsze" niż stojący za nim dowód. Zgłoszenie bez dowodu ma status GAP, nie CONFIRMED. Klasyfikacja, priorytet i raport prawny dziedziczą po najsłabszym ogniwie dowodowym.

ZGŁOSZENIEDOWÓDSTATUSKLASYFIKACJARYZYKOPLAYBOOKWALIDACJARAPORT

Wskaźnik ryzyka systemowego — % GAP SYMULACJA

Miara: udział incydentów bez wystarczającego dowodu w całości otwartych spraw. Wysoki % GAP = organizacja „widzi" zdarzenia, ale nie potrafi ich udokumentować — słaba pozycja wobec audytora, regulatora i w postępowaniu.

42
Incydenty otwarte
wszystkie statusy dowodowe
31%
% GAP (bez dowodu)
13 / 42 — próg alertu >25%
45%
% CONFIRMED
19 / 42 — dowód pełny
7
Do weryfikacji
kolejka analityka

Pasek: udział GAP w portfelu incydentów. Cel operacyjny: utrzymać poniżej 25% (żółty próg), poniżej 10% (cel dojrzały).

Tablica kolumnowa — status dowodowy

GAP — bez dowodu 13

INC-2041 GAP P1Zgłoszony phishing na dział kredytów — brak zebranego maila/nagłówków.
INC-2038 GAP P2Podejrzenie prompt injection w asystencie — brak logu promptu/odpowiedzi.
INC-2033 GAP P2Sygnał o „wycieku" z kanału zewn. — brak próbki danych.

Dowód słaby 3

INC-2040 MEDIA P1Sygnał medialny o kampanii ransomware w sektorze — brak IOC lokalnych.
INC-2036 PUBLIC P2Publiczne twierdzenie o podatności dostawcy — bez potwierdzenia w env.
INC-2029 DISPUTED P2Sporny alert DDoS — możliwy false positive WAF.

CONFIRMED 19

INC-2044 CONFIRMED P0Credential theth — log 4625/4624, zrzut sesji, IOC potwierdzony.
INC-2039 CONFIRMED P1Exploited CVE na bramie VPN — PCAP + wersja + patch diff.
INC-2031 CONFIRMED P2Misconfig S3-like bucket — snapshot polityki + audyt dostępu.

Do weryfikacji 7

EVD-5102 INTERNALLog SIEM do korelacji z INC-2041 — czeka na analityka.
EVD-5099 INTERNALPCAP 240 MB — sprawdzenie integralności hash.
EVD-5093 INTERNALZrzut promptu agenta — walidacja źródła i czasu.

Chain of custody aktywne

INC-2044 CONFIRMED4 transfery · hash spójny · brak luk czasowych.
INC-2039 CONFIRMED3 transfery · podpis analityka · integralność OK.
INC-2029 DISPUTEDLuka 14 min w custody — obniża wagę dowodu.

Tabela dowodów (evidence_layer) SYMULACJA

evidence_idincident_idtypconfidencecollected_byvisibilitystatus
EVD-5110INC-2044log auth (4624/4625)96SOC-analyst-2internalCONFIRMED
EVD-5108INC-2044zrzut sesji RDP92DFIR-leadrestrictedCONFIRMED
EVD-5104INC-2039PCAP bramy VPN88NetSec-1internalCONFIRMED
EVD-5102INC-2041nagłówki e-mail41reporter@bankinternalDO WERYFIKACJI
EVD-5099INC-2040artykuł/OSINT28threat-intelpublicMEDIA
EVD-5093INC-2038log promptu agenta35ai-safety-off.restrictedDO WERYFIKACJI
EVD-5090INC-2029metryki WAF52SOC-analyst-1internalDISPUTED
INC-2033(brak próbki danych)0GAP

confidence 0–100: waga dowodu = f(typ źródła, integralność custody, powtarzalność, korelacja). Progi: <40 słaby · 40–74 częściowy · ≥75 mocny. Incydent może być CONFIRMED tylko przy co najmniej jednym dowodzie ≥75 i spójnym łańcuchu nadzoru.

Chain of custody — przykład rekordu

Łańcuch nadzoru dokumentuje każdy transfer dowodu: kto, kiedy, hash przed/po, cel. Luka czasowa lub niezgodność hash obniża confidence i może przenieść incydent do DISPUTED.

{
  "evidence_id": "EVD-5108",              // SYMULACJA
  "incident_id": "INC-2044",
  "type": "rdp_session_capture",
  "sha256": "9f2a...c71e",
  "confidence": 92,
  "sealed": true,
  "chain_of_custody": [
    { "seq": 1, "ts": "2026-07-04T08:12:03Z", "actor": "SOC-analyst-2",
      "action": "collect", "from": "host WKS-114", "hash_after": "9f2a...c71e" },
    { "seq": 2, "ts": "2026-07-04T08:19:40Z", "actor": "DFIR-lead",
      "action": "transfer", "to": "evidence-vault-01", "hash_before": "9f2a...c71e",
      "hash_after": "9f2a...c71e", "integrity": "OK" },
    { "seq": 3, "ts": "2026-07-04T09:02:11Z", "actor": "Analyst-review",
      "action": "review", "verdict": "supports_incident", "confidence_delta": +6 },
    { "seq": 4, "ts": "2026-07-04T09:40:55Z", "actor": "Legal/DPO",
      "action": "legal_hold", "reason": "possible NIS2/RODO reporting", "integrity": "OK" }
  ],
  "gaps": [],                              // brak luk czasowych → waga utrzymana
  "status": "CONFIRMED"
}

Zasady tablicy dowodowej

1. Brak dowodu = GAP, nie fakt. Zgłoszenie bez artefaktu pozostaje w kolumnie GAP i nie może podnieść priorytetu ponad P2 bez dodatkowego uzasadnienia analityka.
2. Integralność > ilość. Jeden dowód z hash i spójnym custody waży więcej niż pięć niepodpisanych zrzutów ekranu.
3. Widoczność sterowana rolą. visibility (public/internal/restricted) decyduje, kto widzi artefakt — Public Viewer nigdy nie widzi restricted.
4. % GAP jest metryką zarządczą. Raportowany do Executive Overview jako miara dojrzałości dowodowej, nie tylko liczba incydentów.

Powiązania

Legal Board →

Dowód CONFIRMED zasila decyzje o terminach raportowania (AI Act art.73, NIS2, RODO art.33/34).

Response Board →

Zamknięcie działania wymaga dowodu naprawy — walidacja przez evidence_id.

Incident Intake →

Nowe zgłoszenie trafia domyślnie do kolumny GAP do czasu zebrania dowodu.

Classification Engine →

Klasyfikacja dziedziczy po najsłabszym ogniwie dowodowym incydentu.