K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / klasyfikacja

Classification Engine

Moduł 3 systemu K0NSULT. Deterministyczny silnik, który zamienia surowe zgłoszenie w ustrukturyzowany rekord po 6 niezależnych osiach. Klasyfikacja jest wejściem dla oceny ryzyka, doboru playbooka i wyliczenia obowiązków regulacyjnych — a każda oś jest audytowalna i wersjonowana.

TRYB DEMO. Wszystkie mapowania i przykłady poniżej są demonstracyjne. Ramki regulacyjne (AI Act art. 73, NIS2, RODO art. 33/34) opierają się na publicznie znanej treści regulacji i są oznaczone jako norma/ramka — nie jako opis realnego incydentu.
6 osi klasyfikacji + MITRE ATT&CK

Osie są ortogonalne: ten sam typ incydentu może mieć różnych aktorów, wektory i skutki. Dopiero komplet osi daje wagę ryzyka i zestaw obowiązków.

1 warstwa2 typ3 aktor4 wektor5 skutek6 obowiązki+ ATT&CK
6
osi klasyfikacji
ortogonalne, audytowalne
7
warstw technicznych
człowiek → ciągłość
9
klas aktora
cybercrime → agent
4
reżimy prawne
AI Act·NIS2·KSC·RODO

Oś 1 — Warstwa techniczna

Gdzie w stosie technologicznym rozgrywa się incydent. Determinuje zespół prowadzący i zestaw kontroli.

WarstwaZakresTypowe incydentyRola prowadząca
Człowieksocjotechnika, świadomośćPhishing, vishing, BECSOC / awareness
Tożsamośćkonta, MFA, tokeny, sesjeCredential theft, przejęcie sesjiIAM / SOC
Aplikacjaweb, API, mobilePodatność, misconfig, injectionDevSecOps
Danebazy, backupy, PIIWyciek, ransomware, exfiltracjaLegal/DPO + SOC
AI / agentmodele, agenci, pluginyPrompt injection, agent hijack, poisoningAI Safety Officer
Infrastrukturasieć, chmura, endpointyDDoS, malware, lateral movementSOC / NetOps
Ciągłośćbackup, DR, segmentacjaUtrata backupu, awaria DRBCM / DevSecOps

Oś 2 — Typ incydentu → domyślny priorytet

TypWarstwaDomyślny PSugerowany playbook
RansomwareDane / infraP0playbook-ransomware
Wyciek danychDaneP0playbook-wyciek-danych
Agent hijackAI / agentP1playbook-agent-hijack
Prompt injectionAI / agentP1playbook-prompt-injection
Phishing (aktywny)Człowiek / tożsamośćP1playbook-phishing
DDoSInfrastrukturaP1playbook-ddos
Exploited CVEAplikacjaP1playbook-podatnosci
Supply chainAplikacja / infraP2playbook-supply-chain
Halucynacja szkodliwaAI / agentP2playbook-halucynacja
MisconfigurationAplikacja / infraP3playbooks

Oś 3 — Sprawca / aktor

Cybercrime

Motyw finansowy, oportunistyczny. Skala masowa.

RaaS

Ransomware-as-a-Service. Afilianci + operatorzy, model podziału zysku.

PhaaS

Phishing-as-a-Service. Gotowe zestawy, kity AiTM.

APT

Aktor sponsorowany / uporczywy. Cel: dostęp długoterminowy, wywiad.

Hacktywista

Motyw ideologiczny. Często DDoS / defacement.

Insider

Osoba wewnętrzna — złośliwa lub przypadkowa.

Błąd operatora

Misconfiguration, błędna zmiana, brak procesu.

Wrogi agent AI

Zhijackowany lub złośliwy agent działający autonomicznie.

Nieznany

Domyślne przy braku atrybucji — status GAP.

Atrybucja ≠ dowód. Klasa aktora pozostaje hipotezą do czasu potwierdzenia artefaktem. Domyślnie actor = nieznany, status GAP. Nie podnoś do CONFIRMED na podstawie samego TTP.

Oś 4 — Wektor wejścia → mapowanie MITRE ATT&CK

WektorATT&CK TacticPrzykładowa Technique
E-mail (załącznik/link)Initial AccessT1566 Phishing
SMS (smishing)Initial AccessT1566.002 Spearphishing Link
Strona / watering holeInitial AccessT1189 Drive-by Compromise
APIInitial Access / Credential AccessT1190 Exploit Public-Facing App
VPN / zdalny dostępInitial AccessT1133 External Remote Services
Podatność (CVE)Initial AccessT1190 Exploit Public-Facing App
Token / sesjaCredential AccessT1528 Steal Application Access Token
Prompt (wejście AI)Initial Access (AI)Prompt Injection (ATLAS AML.T0051)
Plugin / narzędzie agentaExecution (AI)Nadużycie narzędzia / tool poisoning
Konektor / integracjaLateral MovementT1210 Exploit Remote Services
Zależność (dependency)Initial Access / Supply ChainT1195 Supply Chain Compromise

Wektory AI mapowane pomocniczo na MITRE ATLAS (adversarial ML). Powyższe identyfikatory to przykład mapowania referencyjnego, nie przypisanie do realnego zdarzenia.

Oś 5 — Skutek

Poufność (C)

Ujawnienie / exfiltracja danych. Trigger dla RODO / tajemnicy bankowej.

Integralność (I)

Modyfikacja danych, poisoning modelu, sfałszowana transakcja.

Dostępność (A)

DDoS, ransomware, awaria usługi. Trigger dla NIS2 (zakłócenie usługi).

Finansowy

Strata bezpośrednia, fraud, koszt odtworzenia.

Prawny

Obowiązki notyfikacyjne, kary, postępowanie nadzorcze.

Reputacyjny

Utrata zaufania klientów, presja medialna.

Operacyjny

Przerwa procesów, obciążenie zespołów, roll-back.

Fizyczny

Wpływ na OT / infrastrukturę krytyczną / bezpieczeństwo osób.

Oś 6 — Obowiązki regulacyjne (norma / ramka)

Warunek klasyfikacjiFlagaObowiązek (ramka regulacyjna)Zegar
Dane osobowe naruszoneGDPR_BREACHRODO art. 33 — zgłoszenie do organu; art. 34 — zawiadomienie osób gdy wysokie ryzyko72h do organu
Podmiot/usługa w zakresie NIS2NIS2_RELEVANTNIS2 — wczesne ostrzeżenie, zgłoszenie, raport końcowy24h / 72h / 1 mies.
Podmiot KSC (PL)KSC_RELEVANTKrajowy System Cyberbezpieczeństwa — zgłoszenie do właściwego CSIRTzgodnie z KSC
System AI wysokiego ryzykaAI_HIGH_RISKAI Act — wymogi dla systemów Aneks III
Poważny incydent AIAI_SERIOUS_INCIDENTAI Act art. 73 — zgłoszenie poważnego incydentu do organu nadzoru rynkubez zbędnej zwłoki
Infrastruktura krytycznaCRITICAL_INFRAReżimy sektorowe + KSC; możliwy udział organówsektorowo
Uwaga metodyczna. Powyższe zegary to ramka oparta na publicznej treści regulacji, nie porada prawna dla konkretnego przypadku. Ostateczne terminy i adresatów potwierdza Legal/DPO na Legal Board. Zegary liczone od momentu, gdy podmiot dowiedział się o incydencie.

Przykład klasyfikacji end-to-end SYMULACJA

Rekord demonstracyjny — dane przykładowe, nie operacyjne.

{
  "id": "INC-DEMO-2026-0417",
  "evidence_status": "st-confirmed",       // artefakt: log AiTM proxy
  "axis_1_layer":  "tożsamość",
  "axis_2_type":   "phishing (AiTM)",
  "axis_3_actor":  "PhaaS",                 // hipoteza, TTP zgodne
  "axis_4_vector": "email → strona",
  "attack": { "tactic": "Initial Access", "technique": "T1566.002" },
  "axis_5_impact": ["C", "finansowy", "reputacyjny"],
  "axis_6_legal":  ["GDPR_PERSONAL_DATA", "NIS2_RELEVANT"],
  "priority": "P1",                         // aktywny phishing, sesje przejmowane
  "sla_h": 24,
  "playbook": "playbook-phishing"
}
KLASYFIKACJARYZYKO (P1)PLAYBOOK phishingOBOWIĄZKI: RODO 72h + NIS2 24hRAPORT
Reguła spójności. Silnik odrzuca rekord, jeśli oś 6 wskazuje obowiązek notyfikacji, a oś 5 nie zawiera odpowiadającego skutku (np. GDPR_BREACH bez skutku „C"). Niespójność → status DISPUTED i zwrot do Analysta.

Powiązane: ← Incident Intake · Threat Map → · Legal Board → · Role i priorytety P0–P3 →