Un attacco informatico alla Jaguar Land Rover sta causando un disastro nella catena di approvvigionamento

Per quasi tre settimane, le linee di produzione del colosso automobilistico mondiale Jaguar Land Rover sono rimaste ferme. Solitamente impegnate a produrre circa 1.000 veicoli al giorno, al personale di diversi stabilimenti JLR in tutta la Gran Bretagna è stato chiesto di rimanere a casa mentre l'azienda automobilistica risponde a un dannoso attacco informatico. Ma mentre la ripresa si è protratta da giorni a settimane, le conseguenze si stanno facendo sentire sulle centinaia di aziende che forniscono a JLR componenti e materiali, rischiando di trasformare l'attacco in una crisi a tutti gli effetti.

Venerdì, il governo del Regno Unito ha ammesso che l'attacco informatico contro JLR stava avendo un "impatto significativo" sull'azienda e sulla "più ampia catena di fornitura automobilistica". La concessione è arrivata mentre sindacati e funzionari hanno avvertito sempre più che migliaia di posti di lavoro nella tentacolare catena di fornitura di JLR potrebbero andare persi e alcune aziende più piccole potrebbero fallire. Secondo alcune fonti, la stessa JLR potrebbe perdere fino a 50 milioni di sterline (67 milioni di dollari) a settimana a causa della chiusura. Alcune aziende avrebbero già licenziato personale, con il sindacato Unite che sostiene che i lavoratori della catena di fornitura di JLR "vengono licenziati con retribuzione ridotta o nulla". Ad alcuni è stato chiesto di "sottoscrivere" i sussidi governativi, sostiene il sindacato.

"Sembra senza precedenti nel Regno Unito avere un tale livello di interruzione a causa di un attacco informatico o ransomware", afferma Jamie MacColl , ricercatore senior del gruppo di ricerca su cyber e tecnologia presso il think tank sulla sicurezza e la difesa RUSI. Il fatto che migliaia di posti di lavoro possano essere messi a rischio, temporaneamente o permanentemente, è "di un ordine di grandezza diverso" rispetto agli incidenti precedenti, afferma MacColl.

JLR, di proprietà dell'indiana Tata Motors, è uno dei maggiori datori di lavoro del Regno Unito, con circa 32.800 dipendenti diretti. Le statistiche pubblicate sul sito web dell'azienda affermano inoltre che l'azienda sostiene altri 104.000 posti di lavoro attraverso la sua catena di fornitura nel Regno Unito e altri 62.900 posti di lavoro "attraverso la spesa indotta dai salari". Molti altri fornitori hanno sede anche al di fuori del Regno Unito, così come alcune fabbriche all'estero.

All'inizio di settembre, JLR ha confermato di essere stata "colpita" da un attacco informatico e che l'azienda stava adottando "misure immediate" e "chiudendo proattivamente i nostri sistemi", bloccando di fatto i suoi stabilimenti e i processi produttivi. Mentre l'azienda indagava sull'attacco, ha rivelato che "alcuni dati" erano stati "colpiti", ma non ha specificato di quali dati si trattasse.

Nonostante gli sforzi per ripristinare la funzionalità dei sistemi, mercoledì l'azienda ha confermato che la "pausa" produttiva è stata estesa a mercoledì 24 settembre. "Abbiamo preso questa decisione mentre proseguono le indagini forensi sull'incidente informatico e mentre valutiamo le diverse fasi della ripresa controllata delle nostre operazioni globali, che richiederà tempo", ha dichiarato JLR in una nota di mercoledì. "Siamo profondamente dispiaciuti per i continui disagi causati da questo incidente e continueremo ad aggiornarvi man mano che le indagini procedono".

JLR non ha risposto alle domande di WIRED sui sistemi interrotti, sui costi finanziari dell'attacco informatico per i fornitori, né sulle misure che l'azienda stava prendendo in considerazione per supportare le aziende.

Quasi subito dopo l'attacco informatico, un gruppo su Telegram chiamato Scattered Lapsus$ Hunters ha rivendicato la responsabilità dell'attacco. Il nome del gruppo suggerisce una potenziale collaborazione tra tre collettivi di hacker indipendenti – Scattered Spider , Lapsus$ e Shiny Hunters – che sono stati dietro alcuni degli attacchi informatici più importanti degli ultimi anni. Sono spesso composti da giovani criminali informatici di lingua inglese che prendono di mira grandi aziende .

Costruire veicoli è un processo estremamente complesso. Centinaia di aziende diverse forniscono componenti, materiali, componenti elettronici e altro ancora ai produttori di veicoli, e queste ampie reti di supply chain spesso si basano sulla produzione "just-in-time". Ciò significa che ordinano componenti e servizi da consegnare nelle quantità specifiche necessarie e esattamente quando ne hanno bisogno: è improbabile che le case automobilistiche detengano grandi scorte di componenti.

"Le reti di fornitori che riforniscono questi stabilimenti produttivi sono tutte configurate per garantire l'efficienza, sia economica che logistica", afferma Siraj Ahmed Shaikh , professore di sicurezza dei sistemi presso la Swansea University. "C'è una catena di fornitura orchestrata con molta attenzione", aggiunge Shaikh, parlando della produzione automobilistica in generale. "C'è una dipendenza critica per i fornitori che riforniscono questo tipo di attività. Non appena si verifica un'interruzione in questo tipo di impianto, tutti i fornitori ne risentono".

Un'azienda produttrice di tettucci apribili in vetro ha iniziato a licenziare personale, secondo quanto riportato dal Telegraph . Nel frattempo, un'altra azienda ha dichiarato alla BBC di aver licenziato finora circa 40 persone. L'azienda automobilistica francese OPmobility , che impiega 38.000 persone in 150 sedi, ha dichiarato a WIRED di star apportando alcune modifiche e di monitorare gli eventi. "OPmobility sta riconfigurando la produzione in alcuni siti a seguito della chiusura della produzione da parte di uno dei suoi clienti con sede nel Regno Unito e in base all'evoluzione della situazione", ha dichiarato un portavoce dell'azienda.

Sebbene non sia chiaro quali sistemi JLR specifici siano stati colpiti dagli hacker e quali sistemi JLR abbia disattivato proattivamente, è probabile che molti siano stati disattivati ​​per impedire che l'attacco peggiorasse. "È molto difficile garantire il contenimento mentre si mantengono connessioni tra vari sistemi", afferma Orla Cox , responsabile delle comunicazioni sulla sicurezza informatica EMEA presso FTI Consulting, che risponde agli attacchi informatici e si occupa delle indagini. "Spesso, inoltre, si creano dipendenze tra sistemi diversi: se ne disattivi uno, significa che ha un effetto a catena su un altro".

Ogni volta che si verifica un attacco in qualsiasi parte della supply chain, che si tratti di un produttore al vertice della piramide o di un'azienda più in basso nella pipeline, le connessioni digitali tra le aziende possono essere interrotte per impedire agli aggressori di diffondersi da una rete all'altra. Le connessioni tramite VPN o API possono essere interrotte, afferma Cox. "Alcune potrebbero persino adottare misure più severe, come il blocco di domini e indirizzi IP. In questo caso, elementi come la posta elettronica non saranno più utilizzabili tra le due organizzazioni".

La complessità delle catene di fornitura digitali e fisiche, che interessano decine di aziende e sistemi di produzione just-in-time, implica che è probabile che riportare tutto online e alla piena operatività richieda tempo. MacColl, ricercatore del RUSI, afferma che le questioni di sicurezza informatica spesso non vengono discusse ai massimi livelli della politica britannica, ma aggiunge che questa volta potrebbe essere diverso a causa dell'entità dell'interruzione. "Questo incidente ha il potenziale per avere un impatto significativo a causa della perdita di posti di lavoro e del fatto che i parlamentari delle circoscrizioni interessate riceveranno chiamate", afferma. Questa svolta è già iniziata.

"Questo attacco informatico non è un semplice sfarfallio su uno schermo, sta rapidamente diventando un'onda d'urto informatica che sta travolgendo i nostri centri industriali", ha dichiarato Liam Byrne, membro del Parlamento e presidente della commissione Affari e Commercio della Camera dei Comuni, su X. "Se il governo fa un passo indietro, quell'onda d'urto distruggerà posti di lavoro, aziende e buste paga in tutta la Gran Bretagna". Anche altri legislatori hanno espresso preoccupazione dopo aver parlato con i fornitori JLR interessati, e il sindacato Unite ha affermato che il governo britannico dovrebbe intervenire con un programma di "congedo" per sostenere i lavoratori .

"Il recente incidente informatico sta avendo un impatto significativo su Jaguar Land Rover e sulla più ampia catena di fornitura automobilistica", ha dichiarato venerdì il Dipartimento per le Imprese e il Commercio del Regno Unito, in una nota , a seguito di un incontro con i gruppi dell'industria automobilistica. "Il Governo, compresi gli esperti governativi di sicurezza informatica, è in contatto con l'azienda per supportare il ripristino delle operazioni di produzione e sta lavorando a stretto contatto con JLR per comprendere eventuali impatti sulla catena di fornitura".

L'attacco è probabilmente un altro incidente che dimostra quanto possano essere fragili le catene di approvvigionamento quando si trovano ad affrontare interruzioni. "Dobbiamo passare a una catena di approvvigionamento più resiliente e a un'attività più resiliente quando si tratta di aspetti come la produzione", afferma Shaikh, della Swansea University.

Nel frattempo, MacColl afferma che, con le tensioni globali elevate – con diversi paesi che stanno adottando misure per assicurarsi di essere preparati alla guerra – l'attacco indica come la produzione possa essere costretta a fermarsi. "Se questo è l'effetto che i criminali possono avere sulle nostre catene di approvvigionamento, allora è piuttosto preoccupante pensare a quanto siamo impreparati, ad esempio, a un attacco più coordinato e prolungato da parte di un potenziale avversario statale", afferma MacColl.