Uczciwa strona o „100%". Nie sprzedajemy nieprzenikalności — sprzedajemy audytowalne inwarianty. Pokazujemy, gdzie 100% jest prawdą matematyczną (pokrycie dowodowe i proceduralne), a gdzie 100% jest kłamstwem (odporność na atak). K0NSULT stosuje własny system ipIII do własnych aktywów — to jest dogfooding, i zdajemy z niego raport.
Skuteczność bezpieczeństwa nie jest liczbą „0% włamań" — takiej liczby nikt uczciwie nie zagwarantuje. Skuteczność to funkcja mierzalnych składników, z których część można doprowadzić do 100% (bo są inwariantami procesu), a część nigdy nie osiągnie 100% (bo zależy od nieznanego).
Rynek cyberbezpieczeństwa jest zatruty obietnicą nieprzenikalności. My rozdzielamy dwa znaczenia „100%", żeby zgłoszony podmiot nie składał claimu, którego nie udowodni. Poniżej dwie kolumny: co może być 100% (bo to inwarianty proceduralne, weryfikowalne) i co nie może być 100% (bo to zależy od przeciwnika i świata).
Inwarianty procesu. Weryfikowalne w trace i evidence-layer. Jeśli spadają poniżej 100% — to defekt naszego procesu, nie przeciwnika.
| Inwariant | Status |
|---|---|
| 100% incydentów ma status dowodowy (evidence-layer) | DANE |
| 100% działań P0/P1 z human-in-the-loop | DANE |
| 100% zamknięć wymaga dowodu naprawy (closure gate) | DANE |
| 100% akcji agentów w trace/audit-log | DANE |
| 100% pokrycia playbookiem grup A–L | DANE |
| 100% wykrywalności ZNANYCH TTP (MITRE ATT&CK) w ćwiczeniu | CEL — mierzone |
Zależy od przeciwnika, dostawców i nieznanego. Deklarowanie tu 100% = fałszywy claim. Mówimy o tym otwarcie i redukujemy w czasie.
| Wymiar | Status |
|---|---|
| Nieprzenikalność (żaden atak się nie uda) | GAP — niemożliwe |
| Brak 0-day w komponentach zewnętrznych | GAP |
| Insider / socjotechnika | GAP |
| Łańcuch dostaw (supply chain) | GAP |
| Skuteczność wobec NIEZNANYCH zagrożeń | GAP |
| Dojrzałość PQC u dostawców zewnętrznych | GAP |
Nie sprzedajemy narzędzia, którego sami nie używamy. K0NSULT Sp. z o.o. stosuje system ipIII do ochrony własnych aktywów: portalu, bazy dowodów, rejestru agentów, kopii zapasowych i warstwy scoringu. Poniżej mapowanie aktywu na wymiar tesseraktu, kontrolę i status. Model 4-wymiarowy opisuje strona Tesserakt; zakres ochrony sektorowej — Ochrona Polski.
| Aktyw K0NSULT | Wymiar tesseraktu | Kontrola | Status |
|---|---|---|---|
| Portal ai-truth / ipIII (publiczny) | Powierzchnia + Czas | CSP bez zasobów zewn., brak inline-eval, wersjonowanie, closure-gate na treść | DANE |
| Baza dowodów (evidence-layer) | Dowód | Hash SHA-256, chain of custody, poziom pewności 0–100, status obowiązkowy | DANE |
| Rejestr agentów (tożsamość) | Tożsamość + Nadzór | DID/ID agenta, trace każdej akcji, human-in-the-loop dla P0/P1 | DANE |
| Kopie zapasowe / DR | Czas + Ciągłość | Backup, Punkt Zero, test odtworzenia (retest) | DANE / CEL |
| Warstwa scoringu / panel sędziów | Nadzór | Judge panel wielodostawcowy, próg zgodności, log decyzji | DANE |
| Poczta / kanał zgłoszeń organów | Powierzchnia | Antyspam, weryfikacja nadawcy, ślad doręczenia | DANE / CEL |
| Kryptografia tranzytowa dostawców | Dowód (przyszłość) | Migracja PQC — zależna od dostawców zewn. | GAP |
Słupki poniżej to inline SVG/CSS — bez zasobów zewnętrznych. Każdy słupek jest oznaczony źródłem wartości: DANE = realny mechanizm w systemie, CEL = wartość docelowa do zdobycia, SYMULACJA = wynik z ćwiczenia (BAS), nie z produkcji. Metryki grupy A siedzą na/blisko 100% bo to inwarianty. Metryki grupy B są uczciwie poniżej 100% i noszą GAP.
Wartości grupy B celowo nie są „%skuteczności" tylko wskaźnikiem redukcji ryzyka — bo pełnej pewności tu nie ma i deklarowanie 100% byłoby fałszem. Słupki grupy B oznaczone SYMULACJA/CEL ilustrują kierunek redukcji, nie gwarancję.
Za tym portalem stoi zidentyfikowany podmiot prawny, a nie anonim. To warunek wiarygodności wobec regulatora: evidence chain jest naszym dowodem należytej staranności.
| Reżim | Rola K0NSULT | Obowiązek | Dowód (evidence chain) |
|---|---|---|---|
| NIS2 / KSC | Dostawca usług bezpieczeństwa dla podmiotów kluczowych | Zgłoszenia 24h/72h/raport końcowy, zarządzanie ryzykiem | Zegary raportowe + trace w Response Board CEL/gdy dotyczy |
| RODO art. 32 | Administrator / procesor danych | Środki techniczne i organizacyjne adekwatne do ryzyka | Rejestr kontroli, hash dowodów, log dostępu DANE |
| DORA | Dostawca ICT dla banków (ICT third-party) | Odporność operacyjna, testy, RoE, zgłaszalność | BAS/Sentinel + RoE z partnerem CEL |
| AI Act | Dostawca / operator systemów AI | Art. 73 — zgłoszenie poważnego incydentu; nadzór człowieka | Flaga AI_SERIOUS_INCIDENT + human-in-the-loop DANE |
To jest sekcja, której nie ma na stronach sprzedających nieprzenikalność. Wymieniamy własne luki, ich priorytet i sposób redukcji w czasie. Jawny GAP-register jest dowodem uczciwości, nie słabości.
| GAP | Priorytet | Status | Redukcja w czasie |
|---|---|---|---|
| 0-day w komponentach zewnętrznych | P1 | rezydualne | Wąska powierzchnia (CSP, brak zależności zewn.), szybkie łatanie, monitoring CVE |
| Insider / socjotechnika | P1 | rezydualne | Least-privilege, human-in-the-loop na P0/P1, trace każdej akcji, rozdział ról |
| Łańcuch dostaw | P2 | rezydualne | Minimalizacja dostawców, weryfikacja artefaktów, hash i wersjonowanie |
| Skuteczność wobec nieznanych zagrożeń | P0 | rezydualne | Nie da się usunąć — redukcja przez BAS, defense-in-depth, szybki MTTD/MTTR i closure-gate |
| Dojrzałość PQC dostawców | P2 | rezydualne | Plan migracji PQC, hybrydowe schematy, presja na dostawców, monitoring standardów |
| Wykrywalność znanych TTP < 100% | P1 | CEL 88%→100% | Rozszerzanie reguł playbooków A–L, kolejne cykle BAS, retest po każdej luce |