K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / response-board

Response Board — Tablica reagowania

Warstwa działania (Playbook Engine w ruchu). Tablica typu kanban prowadzi każdy incydent przez cykl reagowania: uruchomiony playbook, działania otwarte, przekroczenia terminu (SLA), zamknięcia i testy po naprawie. Twarda zasada: żadne działanie nie zamyka się bez walidacji — potrzebny jest dowód, że naprawa faktycznie działa.

SYMULACJA / dane demonstracyjne. Wszystkie działania, właściciele, terminy due_at i statusy na tej stronie są przykładowe (demo). Nie odzwierciedlają realnych operacji reagowania. Cykl statusów i zasada walidacji są produkcyjne — dane są symulowane.
Zamknięcie tylko po walidacji: contained ≠ verified ≠ closed

Powstrzymanie zagrożenia (contained) to nie to samo co naprawa (remediated), a naprawa to nie to samo co potwierdzenie skuteczności (verified). Dopiero verified z przypiętym evidence_id pozwala przejść w closed.

PLAYBOOKDZIAŁANIEopentriagecontainedremediatedverifiedclosed

Stan reagowania SYMULACJA

11
Playbooki aktywne
incydenty w toku
27
Działania otwarte
open + triage + contained
4
Po terminie (SLA)
due_at przekroczony
9
Zamknięte (30d)
verified → closed

Kanban reagowania

Playbook aktywny 11

INC-2044 P0PB-Wyciek danychowner: DFIR-lead · uruchomiony 08:20
INC-2039 P1PB-Podatności (CVE)owner: NetSec-1
INC-2038 P2PB-Prompt injectionowner: AI Safety Off.

Działania otwarte 27

ACT-7712 triageIzolacja hosta WKS-114owner: SOC-2 · due 10:00
ACT-7708 containedReset poświadczeń przejętego kontaowner: IAM · due 11:30
ACT-7701 openZebranie logów SIEM do korelacjiowner: SOC-1 · due 12:00

Po terminie 4

ACT-7695 SLA+3hPatch bramy VPN (CVE)owner: NetSec-1 · due 06:00 ⚠
ACT-7690 SLA+9hBlokada IOC na WAFowner: SOC-1 · due wczoraj ⚠
ACT-7682 SLA+1dZgłoszenie 72h NIS2 (raport właściwy)owner: Legal ⚠ eskalacja

Zamknięcia 9

ACT-7640 closedUsunięcie webshell + hardeningverified: EVD-5077 · SOC-lead
ACT-7631 closedRotacja kluczy API dostawcyverified: EVD-5069 · DevSecOps

Testy po naprawie 6

TST-3120 verifyRe-skan podatności bramy VPNoczek. dowodu: 0 CVE krytycznych
TST-3116 verifyTest odtworzenia z backupu (DR)RTO/RPO w normie?
TST-3110 verifyRegresja filtra prompt-injectionzestaw testowy 40 promptów

Tabela działań (response_actions) SYMULACJA

action_idincidentaction_typeownerstatusdue_atevidence_id
ACT-7712INC-2044izolacja hostaSOC-2triage2026-07-04 10:00
ACT-7708INC-2044reset poświadczeńIAMcontained2026-07-04 11:30EVD-5111
ACT-7695INC-2039patch / updateNetSec-1po terminie2026-07-04 06:00
ACT-7690INC-2039blokada IOC (WAF)SOC-1po terminie2026-07-03 22:00
ACT-7682INC-2044raport NIS2 72hLegalpo terminie2026-07-03 18:00
ACT-7640INC-2010usunięcie webshellSOC-leadclosed2026-07-02 14:00EVD-5077
TST-3120INC-2039re-skan podatnościDevSecOpsverified?2026-07-04 16:00oczek.
TST-3116INC-2001test DR / restoreOpsverified?2026-07-04 18:00oczek.

status ∈ {open, triage, contained, remediated, verified, closed}. Przejście do closed jest zablokowane, dopóki kolumna evidence_id nie wskazuje dowodu naprawy w statusie CONFIRMED (patrz Evidence Board).

Cykl statusu działania

open — działanie utworzone z playbooka lub ręcznie; przypisany owner, ustawiony due_at wg priorytetu (P0≤4h, P1≤24h, P2≤72h, P3 7–30 dni).
triage — potwierdzony zakres i wykonalność; działanie w realizacji.
contained — zagrożenie powstrzymane (izolacja, blokada), ale przyczyna nie usunięta. Nie jest to zamknięcie.
remediated — przyczyna źródłowa usunięta (patch, rekonfiguracja, rotacja). Wymaga dowodu wykonania.
verifiedtest po naprawie potwierdza skuteczność (re-skan, regresja, test DR). Dowód wyniku przypięty jako evidence_id.
closed — zamknięcie dozwolone tylko z verified + dowodem. Zapis nieusuwalny, zasila raport i AKTUALIZACJĘ ODPORNOŚCI.

Reguła zamknięcia (walidacja) — pseudo-guard

function canClose(action) {                 // SYMULACJA
  if (action.status !== "verified") return false;   // brak testu = brak zamknięcia
  const evd = evidence(action.evidence_id);
  if (!evd || evd.status !== "CONFIRMED") return false; // dowód naprawy wymagany
  if (evd.confidence < 75) return false;             // dowód musi być mocny
  if (action.type === "legal_report" && !action.filed_receipt)
      return false;                                  // zgłoszenie do organu = potwierdzenie złożenia
  return true;                                        // dopiero teraz → closed
}

Zasady tablicy reagowania

1. Contained to nie closed. Powstrzymanie kupuje czas; sprawa pozostaje otwarta do usunięcia przyczyny i walidacji.
2. Zamknięcie wymaga dowodu naprawy. Test po naprawie (re-skan, regresja, test DR) z wynikiem przypiętym jako evidence_id CONFIRMED.
3. SLA jest widoczne i eskalowane. Przekroczony due_at automatycznie ląduje w kolumnie „Po terminie" i podnosi priorytet zarządczy.
4. Reagowanie zamyka pętlę odporności. Zweryfikowane zamknięcia zasilają AKTUALIZACJĘ ODPORNOŚCI (backup/DR/segmentacja/Punkt Zero) i lekcje wyciągnięte.

Powiązania

Playbooki →

Źródło działań — każdy krok playbooka generuje wpis w response_actions.

Evidence Board →

Walidacja zamknięcia dziedziczy z dowodu naprawy (evidence_id CONFIRMED).

Legal Board →

Działania typu „raport do organu" mają termin i wymagają potwierdzenia złożenia.

Playbook Ciągłość →

Testy DR/backup zamykają pętlę odporności po incydencie.