breakpilot-compliance/ai-compliance-sdk/internal/iace/hazard_patterns_cyber.go

package iace

// builtinCyberPatterns returns HP035-HP039: cyber and network hazard patterns.
func builtinCyberPatterns() []HazardPattern {
	return []HazardPattern{
		{
			ID: "HP035", NameDE: "Unbefugter Netzwerkzugriff", NameEN: "Unauthorized network access",
			RequiredComponentTags: []string{"networked"},
			RequiredEnergyTags:    []string{"cyber"},
			GeneratedHazardCats:   []string{"unauthorized_access"},
			SuggestedMeasureIDs:   []string{"M111", "M112", "M113", "M140"},
			SuggestedEvidenceIDs:  []string{"E01", "E16", "E17"},
			Priority:              90,
			ScenarioDE:      "Angreifer erlangt ueber Netzwerkzugang Kontrolle ueber Maschinensteuerung oder Sicherheitsfunktionen.",
			TriggerDE:       "Ausnutzung offener Ports, Standardpasswoerter oder ungepatchter Schwachstellen im Steuerungsnetz.",
			HarmDE:          "Unkontrollierte Maschinenbewegung durch manipulierte Steuerbefehle, Produktionsstoerung.",
			AffectedDE:      "Bedienpersonal, gesamte Produktionsumgebung",
			ZoneDE:          "Netzwerkschnittstellen, Steuerungs-LAN, Remote-Zugaenge, OPC-UA-Endpoints",
			DefaultSeverity: 4, DefaultExposure: 3,
		},
		{
			ID: "HP036", NameDE: "Kommunikationsausfall", NameEN: "Communication failure",
			RequiredComponentTags: []string{"networked", "it_component"},
			RequiredEnergyTags:    []string{},
			GeneratedHazardCats:   []string{"communication_failure"},
			SuggestedMeasureIDs:   []string{"M113", "M106", "M119", "M141"},
			SuggestedEvidenceIDs:  []string{"E01", "E17"},
			Priority:              80,
			ScenarioDE:      "Netzwerkverbindung zwischen Steuerungskomponenten faellt aus; Maschine verliert Synchronisation.",
			TriggerDE:       "Kabelbruch, Switch-Ausfall, Paketverslust im Industrial Ethernet oder Busfehler.",
			HarmDE:          "Asynchrone Achsbewegung, Verlust der Positionsrueckmeldung, unkontrollierter Stillstand mit Last.",
			AffectedDE:      "Bedienpersonal, automatisierte Nachbaranlagen",
			ZoneDE:          "Netzwerk-Switches, Profinet/EtherCAT-Leitungen, Feldbus-Stecker",
			DefaultSeverity: 3, DefaultExposure: 2,
		},
		{
			ID: "HP037", NameDE: "Firmware-Manipulation", NameEN: "Firmware manipulation",
			RequiredComponentTags: []string{"has_software", "networked"},
			RequiredEnergyTags:    []string{"cyber"},
			GeneratedHazardCats:   []string{"firmware_corruption"},
			SuggestedMeasureIDs:   []string{"M116", "M138", "M146"},
			SuggestedEvidenceIDs:  []string{"E01", "E16", "E18"},
			Priority:              85,
			ScenarioDE:      "Angreifer spielt manipulierte Firmware auf Steuerung oder Antriebsregler, die Sicherheitsgrenzen deaktiviert.",
			TriggerDE:       "Zugriff ueber ungesicherte Update-Schnittstelle, fehlende Signaturpruefung der Firmware.",
			HarmDE:          "Deaktivierung von Sicherheitsfunktionen, Aenderung von Achsgrenzen, verdeckte Manipulation.",
			AffectedDE:      "Bedienpersonal, gesamte Anlage",
			ZoneDE:          "Steuerungshardware, Antriebsregler, Sicherheits-SPS, IoT-Gateways",
			DefaultSeverity: 5, DefaultExposure: 1,
		},
		{
			ID: "HP038", NameDE: "Drahtlos-Angriff (WiFi/Bluetooth)", NameEN: "Wireless attack (WiFi/Bluetooth)",
			RequiredComponentTags: []string{"wireless"},
			RequiredEnergyTags:    []string{"cyber"},
			GeneratedHazardCats:   []string{"unauthorized_access"},
			SuggestedMeasureIDs:   []string{"M111", "M113", "M140"},
			SuggestedEvidenceIDs:  []string{"E01", "E16"},
			Priority:              80,
			ScenarioDE:      "Angreifer nutzt drahtlose Schnittstelle zum Einschleusen von Befehlen oder zum Abhoeren der Kommunikation.",
			TriggerDE:       "Schwache WLAN-Verschluesselung, ungepatchte Bluetooth-Schwachstelle oder offener Wartungszugang.",
			HarmDE:          "Uebernahme der Steuerung, Manipulation von Prozessdaten, Denial-of-Service.",
			AffectedDE:      "Bedienpersonal, angebundene Systeme",
			ZoneDE:          "Funkreichweite der drahtlosen Schnittstelle, HMI-Tablets, IoT-Sensoren",
			DefaultSeverity: 4, DefaultExposure: 2,
		},
		{
			ID: "HP039", NameDE: "Supply-Chain-Angriff auf IT-Komponenten", NameEN: "Supply chain attack on IT components",
			RequiredComponentTags: []string{"it_component", "has_software"},
			RequiredEnergyTags:    []string{},
			GeneratedHazardCats:   []string{"unauthorized_access", "firmware_corruption"},
			SuggestedMeasureIDs:   []string{"M186", "M188", "M141"},
			SuggestedEvidenceIDs:  []string{"E01", "E18", "E19"},
			Priority:              75,
			ScenarioDE:      "Kompromittierte Komponente oder Bibliothek wird in der Lieferkette eingeschleust.",
			TriggerDE:       "Bezug manipulierter Hardware/Software vom Zulieferer, fehlende Integritaetspruefung bei Wareneingang.",
			HarmDE:          "Verdeckte Hintertuer in Steuerung, langfristige Kompromittierung, schwer detektierbar.",
			AffectedDE:      "Bedienpersonal, IT-Sicherheitsverantwortliche, Betreiber",
			ZoneDE:          "Alle IT-Komponenten (SPS, IPC, Switches, Sensoren mit Firmware)",
			DefaultSeverity: 4, DefaultExposure: 1,
		},
	}
}