Doktryna defense-in-depth dla bezpieczeństwa państwa i sektora bankowego. Nie obiecujemy systemu nie do przejścia — projektujemy tak, by koszt, czas i wykrywalność ataku przekraczały opłacalność i możliwości obecnej technologii przeciwnika. Metryką jest ekonomia ataku, nie deklaracja „0%".
Zdanie „nikt u nas nie przejdzie" traktujemy jako kierunek inżynierski, a nie zapewnienie. Uczciwie: żaden system nie jest dowodliwie nieprzenikalny. Podnosimy poprzeczkę warstwa po warstwie, aż napastnik traci na atak więcej niż może zyskać — i zostaje wykryty, zanim skończy.
Doktryna „Ochrona Polski" odrzuca marketing bezpieczeństwa. Nie ma pola na zdanie „jesteśmy nie do zhakowania". Zamiast tego przyjmujemy założenie napastnika (assume breach) i budujemy przewagę ekonomiczną obrońcy.
Trzy metryki, którymi się rozliczamy (zamiast fałszywego „0% ryzyka"):
Budżet, sprzęt, exploity 0-day, insider, czas ekspercki. Cel: podnieść koszt skutecznego przejścia ponad wartość celu.
Ile godzin/dni od rozpoznania do eksfiltracji. Każda warstwa dokłada opóźnienie — a opóźnienie to okno detekcji.
Prawdopodobieństwo, że napastnik zostanie zauważony przed osiągnięciem celu. Cel: detekcja < czas ataku.
Gdy koszt × czas × ryzyko wykrycia przekracza wartość, jaką napastnik może uzyskać — atak staje się nieopłacalny. To jest nasze operacyjne „nikt nie przejdzie": nie fizyczna niemożliwość, lecz ekonomiczna nieopłacalność i wysoka wykrywalność.
Rozdzielenie red team i blue team na osobne, rzadko spotykające się światy to strata. W doktrynie ipIII czerwony i niebieski są jednym organizmem: purple-by-design. Czerwony rojem szuka luk w sposób ciągły; niebieski natychmiast utwardza znalezione ścieżki. Każda udana próba ataku jest paliwem, które czyni obronę silniejszą.
Ciągła symulacja przeciwnika (BAS — Breach and Attack Simulation): emulacja TTP wg MITRE ATT&CK, kampanie phishingu ćwiczebnego, próby prompt-injection na agentów. Bez realnych payloadów w tym portalu — poziom doktryny.
Detekcja i utwardzenie: SIEM/XDR, reguły korelacji, automatyczne utwardzenie konfiguracji po każdym potwierdzonym wektorze. Zamknięcie pętli = nowa reguła + test regresji.
Wspólny backlog: każda luka RED staje się zadaniem utwardzenia BLUE, a każde utwardzenie — nowym scenariuszem RED do weryfikacji. Wiedza nie ginie między zespołami.
Obrona nie jest murem — jest wielowymiarową siatką. Modelujemy ją jako tesserakt (hipersześcian 4D): każdy z wymiarów obrony istnieje jednocześnie w dwóch stanach — atak i obrona — a napastnik, by wygrać, musiałby przejść wszystkie wymiary równocześnie, zanim którykolwiek go wykryje.
Osiem wymiarów obrony, każdy w stanie atak/obrona, z playbookiem w ipIII:
| Wymiar (tesserakt) | Kontrola BLUE (obrona) | Wektor RED (atak) | Playbook ipIII |
|---|---|---|---|
| Perymetr / sieć | Segmentacja, mikrosegmentacja, WAF, anty-DDoS, EDR na brzegu | Skan, DDoS, ruch boczny (lateral) | DDoS · Supply chain |
| Tożsamość | MFA odporne na phishing (FIDO2), PAM, least-privilege, JIT-access | Kradzież poświadczeń, MFA-fatigue, pass-the-token | Phishing |
| Aplikacja | SAST/DAST, hardening, zarządzanie podatnościami, SBOM | Exploit CVE, injection, deserializacja | Podatności |
| Dane | Szyfrowanie at-rest/in-transit, DLP, tokenizacja, klasyfikacja | Eksfiltracja, ransomware, wyciek | Wyciek danych · Ransomware |
| AI / agenci | Guardraily, walidacja promptów, sandboxing narzędzi, human-in-the-loop | Prompt injection, agent hijack, data poisoning | Prompt injection · Agent hijack |
| Ciągłość | Backup 3-2-1, Punkt Zero, DR, immutable snapshots | Niszczenie backupów, wiper, sabotaż DR | Ciągłość |
| Prawo / zgodność | Zegary raportowe NIS2/AI Act/RODO, ślad audytowy, evidence chain | Ukrycie incydentu, brak zgłoszenia, presja czasu | AI Act · Compliance |
| Czas (4. wymiar) | Ciągły BAS, telemetria 24/7, crypto-agility, rotacja kluczy | Harvest-now-decrypt-later, APT długodystansowy | attack-sim · sentinel |
→ Interaktywny model tesseraktu 4D ROADMAP
Uczciwie: kryptografia postkwantowa (PQC) to redukcja konkretnego ryzyka — „harvest-now, decrypt-later" (napastnik zbiera zaszyfrowane dane dziś, licząc na komputer kwantowy jutro). PQC nie jest tarczą na wszystko i nie jest gwarancją. To zarządzanie ryzykiem kryptograficznym w czasie.
Pełen spis użytej kryptografii: gdzie RSA/ECC, jakie długości kluczy, jakie protokoły. Nie da się migrować tego, czego się nie zinwentaryzowało.
Architektura, w której algorytm jest wymienny bez przepisywania aplikacji. Warunek konieczny każdej migracji PQC.
ML-KEM (Kyber) do wymiany kluczy, ML-DSA (Dilithium) do podpisów — w trybie hybrydowym (klasyka + PQC równolegle), by nie stawiać wszystkiego na jeden nowy algorytm.
Podpisy i hashe (SHA-256/SHA-3) łańcucha dowodowego incydentów — integralność evidence chain zgodna z doktryną claim ≤ proof.
Architektura zaufania zerowego (Zero Trust): „nigdy nie ufaj, zawsze weryfikuj". Żaden użytkownik, agent ani usługa nie dostaje domyślnego zaufania z tytułu położenia w sieci. Każde żądanie jest uwierzytelniane, autoryzowane i szyfrowane — także wewnątrz perymetru.
Weryfikacja tożsamości i kontekstu przy każdym dostępie, mikrosegmentacja, least-privilege, ciągła ocena ryzyka sesji.
Akcje o skutku nieodwracalnym (P0/P1) wymagają zatwierdzenia człowieka. Agent proponuje — człowiek autoryzuje. Zawsze jest ktoś odpowiedzialny.
Awaryjne zatrzymanie całego roju agentów jednym poleceniem: odcięcie uprawnień, zamrożenie działań, przejście w tryb read-only. Bezpiecznik ostatniej instancji.
Rój agentów AI to siła i ryzyko jednocześnie. Dlatego każdy agent działa z minimalnymi uprawnieniami, w sandboxie narzędzi, z pełnym śladem audytowym, a operator ma bezwarunkowy kill switch.
→ AI / Agent Security — pełna kontrola nadzoru
Doktryna skaluje się z pojedynczego banku do poziomu państwa. Nie zastępuje instytucji — spina się z nimi i dostarcza im dowodowego, ustandaryzowanego materiału.
Zgłaszanie i wymiana IoC z CERT Polska / NASK / MC (dziś: Ministerstwo Cyfryzacji). Evidence chain gotowy do przekazania organowi.
Podmioty kluczowe i ważne: zegary 24h/72h/raport końcowy, ślad audytowy, mapowanie obowiązków. Compliance.
Odporność operacyjna cyfrowa: testy odporności (TLPT-adjacent), rejestr incydentów ICT, ciągłość działania. Demo bankowe.
Uczciwa doktryna nazywa to, czego nie wie. Poniżej to, co pozostaje niepewne — i jak to monitorujemy. Status GAP oznacza otwarte ryzyko, nie porażkę: nazwane ryzyko jest zarządzalne.
| GAP | Ryzyko rezydualne | Jak monitorujemy | Priorytet |
|---|---|---|---|
| G1 | 0-day / nieznany exploit — z definicji brak sygnatury | Detekcja anomalii behawioralnych, ograniczenie zasięgu (blast radius) przez segmentację | P0 |
| G2 | Insider z uprawnieniami — omija perymetr | PAM, least-privilege, UEBA, rozdział obowiązków, audyt dostępów | P0 |
| G3 | Kryptografia dziś klasyczna — ryzyko harvest-now-decrypt-later | Plan migracji PQC, priorytet dla najwrażliwszych kanałów | P1 |
| G4 | Autonomia roju agentów — nowa klasa ryzyka | Human-in-the-loop dla P0/P1, kill switch, sandboxing, ślad audytowy | P1 |
| G5 | Łańcuch dostaw (supply chain) — zaufany komponent skażony | SBOM, weryfikacja podpisów, monitoring zależności | P1 |
| G6 | Człowiek — socjotechnika, zmęczenie, błąd | MFA odporne na phishing, szkolenia, ćwiczenia phishingowe (BAS) | P2 |