k0nsult.cloud / ai-truth / ipIII / hackaton-regulamin
Regulamin hackatonu krajowego
Ramy programu „K0NSULT POLSKA — Atak/Obrona Narodowa". Dokument opisuje uprawnienia, zakres, bezpieczeństwo, RODO, scoring, nagrody i klauzulę etyczną. To ramy do zatwierdzenia — wdrożenie po akceptacji koordynatorów i organów; nazwy partnerów po potwierdzeniu.
UWAGA — dokument w planowaniu. To projekt regulaminu (staging, NOINDEX). Program nie został uruchomiony; brak rejestracji => status GAP. Zapisy wchodzą w życie po zatwierdzeniu przez organizatora i uzgodnieniu z CERT Polska / NASK / MC. Partnerzy wskazani anonimowo (systemowo istotnej instytucji finansowej), status PUBLIC_CLAIM — nazwy po potwierdzeniu. Wszelkie działania ofensywne wyłącznie na izolowanym cyber-range (SYMULACJA).
§1 · Uprawnieni uczestnicy
1.1 Wiek. Tor juniorski: 16+ (z pisemną zgodą opiekuna prawnego). Tor główny i finał krajowy: 18+. Weryfikacja wieku na etapie rejestracji.
1.2 Rezydencja. Tier krajowy: obywatele lub rezydenci RP. Uczestnicy zagraniczni dopuszczani w torze open/ŚWIAT poza klasyfikacją krajową.
1.3 Zespoły. 1–5 osób. Jedna osoba w jednym zespole. Kapitan zespołu odpowiada za akceptację regulaminu i RoE w imieniu członków.
1.4 Wykluczenia. Osoby objęte zakazem uczestnictwa (np. czynny konflikt interesów z organizatorem, karalność za przestępstwa komputerowe wg decyzji komisji) — bez prawa startu.
§2 · Rejestracja i weryfikacja
2.1 Rejestracja online: dane kontaktowe, tier, track, skład zespołu. GAP — system rejestracji jeszcze nie uruchomiony.
2.2 Weryfikacja tożsamości przed półfinałem on-site (dokument tożsamości do wglądu komisji, minimalizacja danych).
2.3 Akceptacja regulaminu, klauzuli RODO i podpisanie Rules of Engagement (RoE) jest warunkiem dopuszczenia.
§3 · Zakres (scope)
3.1 In scope. Wyłącznie izolowany cyber-range i sandbox przydzielony zespołowi. Sztuczne cele ćwiczebne, odseparowane od Internetu i produkcji.
3.2 Out of scope. Realne systemy (organizatora, partnerów, osób trzecich, infrastruktura publiczna) są bezwzględnie poza zakresem. Atak na cel spoza rangu = natychmiastowa dyskwalifikacja i zgłoszenie.
3.3 Bez payloadów. Zakaz publikowania działających payloadów, exploitów 0-day i danych realnych ofiar w materiałach konkursowych. Metodyka — tak; broń — nie.
§4 · Safe harbor i autoryzacja pisemna
4.1 Safe harbor. Uczestnik działający w zakresie, zgodnie z RoE i wyłącznie defensywnie/na autoryzowanych celach, jest chroniony przed roszczeniami organizatora z tytułu działań ćwiczebnych.
4.2 Autoryzacja pisemna. Bez podpisanej zgody i RoE — zakaz jakiegokolwiek działania ofensywnego (status GAP). Brak dokumentu = brak safe harbor.
4.3 Utrata ochrony. Wyjście poza zakres, atak na innych uczestników lub infrastrukturę poza rangiem znosi safe harbor i uruchamia procedurę dyscyplinarną oraz — w razie potrzeby — zawiadomienie organów.
§5 · Ochrona danych (RODO)
5.1 Administrator. Organizator (K0NSULT Sp. z o.o.) jako administrator danych uczestników; szczegóły w klauzuli informacyjnej przy rejestracji.
5.2 Minimalizacja. Zbierane wyłącznie dane niezbędne do przeprowadzenia zawodów, weryfikacji i rekrutacji. Bez profilowania marketingowego bez odrębnej zgody.
5.3 Retencja. Dane przechowywane przez okres trwania programu i uzasadniony okres rekrutacyjny, następnie usuwane lub anonimizowane. Prawa: dostęp, sprostowanie, usunięcie, sprzeciw.
5.4 Bezpieczeństwo. Dane w środowisku odseparowanym; logi rangu nie zawierają realnych danych osobowych osób trzecich.
§6 · Kodeks postępowania
6.1 Zakaz ataku na innych uczestników, ich sandbox, infrastrukturę organizatora i wszelkie cele poza rangiem.
6.2 Zakaz sabotażu, DoS wobec platformy zawodów, kradzieży flag przez dostęp do cudzego środowiska.
6.3 Fair play: współpraca w zespole, brak plagiatu rozwiązań, brak nieujawnionej pomocy z zewnątrz w torze indywidualnym.
6.4 Szacunek: zero nękania, mowy nienawiści, dyskryminacji. Naruszenie = dyskwalifikacja.
§7 · Scoring i rozstrzyganie sporów
7.1 Rubryka evidence-first. Punkty za udowodniony efekt: dowód detekcji, pokrycie ATT&CK, MTTD/MTTR, kompletność dowodów, liczba GAP (0 = cel).
7.2 Komisja. Sędziowie techniczni + obserwator etyczny. Decyzje protokołowane, wynik z chain-of-custody.
7.3 Odwołania. Zespół może złożyć protest w oknie czasowym po rundzie; komisja rozstrzyga, decyzja ostateczna. Wyniki demonstracyjne = SYMULACJA.
→ Leaderboard (demo)
§8 · Nagrody i ścieżka rekrutacyjna
8.1 Nagrody: pula regulaminowa + wyróżnienia per track/tier. Wysokość i fundatorzy — po potwierdzeniu partnerów (PUBLIC_CLAIM).
8.2 Ścieżka rekrutacyjna: najlepsi z udowodnionym wynikiem wchodzą do rosteru specjalistów (cel 50 000 ROADMAP).
§9 · Koordynacja z organami
9.1 Program zgłaszany do CERT Polska / NASK i koordynowany co do zakresu i bezpieczeństwa.
9.2 Zgłoszenie ramowe do MC (Ministerstwo Cyfryzacji) dla spójności z NIS2/KSC. Status PUBLIC_CLAIM — do potwierdzenia.
§10 · Dyskwalifikacja
10.1 Natychmiastowa dyskwalifikacja: wyjście poza zakres, atak na uczestników/infra poza rangiem, publikacja payloadów, oszustwo, naruszenie kodeksu.
10.2 W przypadkach naruszenia prawa — zawiadomienie właściwych organów zgodnie z przepisami.
§11 · Tabela kar i nagród
| Zdarzenie | Typ | Skutek | Priorytet |
| Pełny dowód detekcji + chain-of-custody | Nagroda | +punkty, bonus evidence | P3 |
| Wysokie pokrycie ATT&CK (udowodnione) | Nagroda | +punkty proporcjonalne | P3 |
| Niska MTTD/MTTR | Nagroda | +bonus czasowy | P3 |
| Twierdzenie bez dowodu (GAP) | Kara | brak punktów za pozycję | P2 |
| Wyjście poza zakres rangu | Kara | utrata safe harbor + ostrzeżenie | P1 |
| Atak na uczestnika / infra poza rangiem | Kara | dyskwalifikacja | P0 |
| Publikacja payloadu / danych realnych | Kara | dyskwalifikacja + zgłoszenie | P0 |
| Działanie bez podpisanego RoE | Kara | zakaz startu (GAP) | P0 |
§12 · Klauzula etyczna
Defensive & authorized only. Program służy wyłącznie budowie zdolności obronnych. Wszelkie działania ofensywne są dopuszczalne tylko jako ćwiczenie autoryzowane, na izolowanym rangu, w celu wykrycia i naprawy. Wiedza zdobyta w programie nie może być użyta do ataku na realne systemy. Naruszenie tej klauzuli znosi wszelkie prawa uczestnika i może skutkować zawiadomieniem organów.
Status dokumentu. To ramy programu. Wejdą w życie po zatwierdzeniu; nazwy partnerów, pula nagród i daty zostaną uzupełnione po potwierdzeniu. Do tego czasu każda liczba i partner mają status GAP / PUBLIC_CLAIM.