Katalog gotowych procedur reagowania na incydenty cyber (poziom 1), incydenty AI/agentowe (poziom 2), naruszenia prawne (poziom 3) oraz zdarzenia ciągłości/odporności (poziom 4). Każdy playbook ma jednolitą strukturę i jest sprzężony z silnikiem klasyfikacji, warstwą dowodową i silnikiem prawnym.
Uruchamiany automatycznie przez silnik klasyfikacji na podstawie typu zdarzenia i flag prawnych, lub ręcznie przez operatora. Każdy krok generuje ślad dowodowy (hash, znacznik czasu, wykonawca), a zakończenie wymusza walidację i raport.
Phishing, smishing, vishing, podszycie pod bank/urząd/kuriera, fałszywe logowanie, deepfake głosowy. Dominujący wektor wg CERT PL PUBLIC CLAIM.
Szyfrowanie i podwójne wymuszenie. Top zagrożenie wg ENISA PUBLIC CLAIM. Wymaga izolacji, backupu immutable i oceny NIS2/RODO.
Wolumetryczne i aplikacyjne ataki na dostępność usług. Ochrona CDN/WAF, rate limiting, failover, status page.
Exploited CVE, zero-day, niezałatane systemy brzegowe (VPN, firewall, serwery pocztowe). Priorytet rośnie przy aktywnej eksploatacji.
Ujawnienie danych osobowych. Wyzwala RODO art. 33 (72h do PUODO) i art. 34 (zawiadomienie podmiotów).
Kompromitacja dostawcy, biblioteki, aktualizacji, MSP. Efekt kaskadowy — jedno źródło, wiele ofiar.
Wstrzyknięcie instrukcji do modelu/agenta (direct + indirect przez dokumenty/RAG). Obejście barier, eksfiltracja przez narzędzia.
Przejęcie agenta z dostępem do narzędzi/API. Serious AI incident — może wyzwolić AI Act art. 73.
Model twierdzi fakty bez pokrycia. Ryzyko decyzji na fałszywej przesłance. Domena doktryny claim ≤ proof.
Syntetyczne audio/wideo podszywające się pod zarząd/klienta (CEO fraud, obejście weryfikacji głosowej).
Naruszenia obowiązków AI Act: art. 50 (transparentność), Aneks III (high-risk), art. 73 (serious incident).
DR, Punkt Zero, segmentacja, odtwarzanie, migracja post-kwantowa. Poziom odporności/ciągłości.
| Grupa | Poziom | Priorytet typowy | Flagi prawne wyzwalane | SLA reakcji |
|---|---|---|---|---|
| A · Phishing | 1 · cyber | P1 | GDPR_PERSONAL_DATA (gdy wyciek), NIS2_RELEVANT | 24h |
| B · Ransomware | 1 · cyber | P0 | GDPR_BREACH, NIS2_RELEVANT, KSC_RELEVANT | 4h |
| C · DDoS | 1 · cyber | P1 | NIS2_RELEVANT (usługa kluczowa), CRITICAL_INFRA | 24h |
| D · Podatności | 1 · cyber | P1 | NIS2_RELEVANT, KSC_RELEVANT | 24h |
| E · Wyciek danych | 3 · prawny | P0 | GDPR_PERSONAL_DATA, GDPR_BREACH | 4h → 72h zgłoszenie |
| F · Supply chain | 1 · cyber | P1 | NIS2_RELEVANT, CRITICAL_INFRA | 24h |
| G · Prompt injection | 2 · AI | P1 | AI_ACT_RELEVANT, GDPR_PERSONAL_DATA | 24h |
| H · Agent hijack | 2 · AI | P0 | AI_SERIOUS_INCIDENT, AI_HIGH_RISK | 4h |
| I · Halucynacja | 2 · AI | P2 | AI_ACT_RELEVANT, AI_HIGH_RISK | 72h |
| J · Deepfake | 2 · AI | P1 | AI_ACT_RELEVANT (art. 50), LAW_ENFORCEMENT | 24h |
| K · AI Act | 3 · prawny | P2 | AI_ACT_RELEVANT, AI_HIGH_RISK, AI_SERIOUS_INCIDENT | 72h |
| L · Ciągłość | 4 · odporność | P2 | NIS2_RELEVANT, CRITICAL_INFRA | 72h |
Każdy playbook w katalogu ma tę samą, dziesięcioczęściową strukturę. Ujednolicenie umożliwia audyt, porównywalność i automatyzację przez silnik playbooków.
Typ zdarzenia + flagi + priorytet decydują, który playbook (A–L) uruchomić. Silnik klasyfikacji.
Każdy krok playbooka dopisuje artefakt z hashem. Evidence Board.
Krok 7 wywołuje obowiązki zgłoszeniowe. Compliance · Legal Board.
Status wykonania playbooka na żywo. Response Board.