Cyberatak na Jaguar Land Rover powoduje katastrofę łańcucha dostaw

Linie produkcyjne globalnego giganta motoryzacyjnego Jaguar Land Rover stoją w miejscu od prawie trzech tygodni. Zazwyczaj produkując około 1000 pojazdów dziennie, pracownicy wielu fabryk JLR w Wielkiej Brytanii zostali poproszeni o pozostanie w domach, ponieważ firma motoryzacyjna reaguje na groźny cyberatak. Jednak w miarę jak odbudowa firmy rozciągnęła się z dni do tygodni, skutki uboczne odczuwają setki firm dostarczających JLR części i materiały, co grozi przekształceniem ataku w prawdziwy kryzys.

W piątek rząd Wielkiej Brytanii przyznał , że cyberatak na JLR miał „znaczący wpływ” na firmę i „szerszy łańcuch dostaw w branży motoryzacyjnej”. Ustępstwo to nastąpiło w momencie, gdy związki zawodowe i urzędnicy coraz częściej ostrzegali, że tysiące miejsc pracy w rozległym łańcuchu dostaw JLR może zostać utraconych, a niektóre mniejsze firmy mogą zbankrutować. Doniesienia twierdzą, że sam JLR może tracić do 50 milionów funtów (67 milionów dolarów) tygodniowo w związku z zamknięciem. Niektóre firmy podobno już zwolniły pracowników, a związek zawodowy Unite twierdzi, że pracownicy w łańcuchu dostaw JLR „są zwalniani z obniżonym wynagrodzeniem lub bez wynagrodzenia”. Niektórym polecono „zapisać się” na świadczenia rządowe, twierdzi związek.

„Wydaje się, że w Wielkiej Brytanii skala zakłóceń spowodowanych cyberatakiem lub atakiem ransomware jest bezprecedensowa” – mówi Jamie MacColl , starszy pracownik naukowy w grupie badawczej ds. cyberbezpieczeństwa i technologii w think tanku RUSI, specjalizującym się w bezpieczeństwie i obronie. To, że tysiące miejsc pracy może zostać tymczasowo lub trwale zagrożonych, to „inny rząd wielkości” niż poprzednie incydenty, mówi MacColl.

JLR, firma należąca do indyjskiego koncernu Tata Motors, jest jednym z największych pracodawców w Wielkiej Brytanii, zatrudniając bezpośrednio około 32 800 osób. Statystyki na stronie internetowej firmy podają również, że utrzymuje ona kolejne 104 000 miejsc pracy poprzez swój brytyjski łańcuch dostaw i kolejne 62 900 miejsc pracy „poprzez wydatki związane z płacami”. Wielu innych dostawców ma również siedziby poza Wielką Brytanią, a także niektóre fabryki za granicą.

Na początku września JLR potwierdziło , że padło ofiarą cyberataku i że firma podejmuje „natychmiastowe działania” oraz „proaktywnie wyłącza swoje systemy”, co skutecznie sparaliżowało jej fabryki i procesy produkcyjne. W toku dochodzenia firma ujawniła , że ​​„niektóre dane” zostały „naruszone”, ale nie sprecyzowała, o jakie dane chodzi.

Pomimo wysiłków zmierzających do przywrócenia systemów, firma potwierdziła w środę, że „przerwa” w produkcji została przedłużona do środy, 24 września. „Podjęliśmy tę decyzję w związku z trwającym dochodzeniem w sprawie incydentu cybernetycznego i analizą kolejnych etapów kontrolowanego wznowienia naszych globalnych operacji, co zajmie trochę czasu” – poinformował JLR w oświadczeniu w środę. „Bardzo przepraszamy za ciągłe zakłócenia spowodowane tym incydentem i będziemy na bieżąco informować o postępach w dochodzeniu”.

JLR nie odpowiedziało na pytania WIRED dotyczące tego, które systemy zostały zakłócone, kosztów finansowych cyberataku dla dostawców ani żadnych działań, jakie firma rozważa w celu wsparcia przedsiębiorstw.

Niemal natychmiast po cyberataku, grupa na Telegramie o nazwie Scattered Lapsus$ Hunters przyznała się do włamania. Nazwa grupy sugeruje potencjalną współpracę trzech luźnych kolektywów hakerskich – Scattered Spider , Lapsus$ i Shiny Hunters – które stoją za jednymi z najgłośniejszych cyberataków ostatnich lat. Często składają się one z młodych, anglojęzycznych cyberprzestępców, którzy atakują duże firmy .

Budowa pojazdów to niezwykle złożony proces. Setki różnych firm dostarczają producentom pojazdów części, materiały, elektronikę i inne elementy, a te rozległe sieci dostaw często opierają się na produkcji „just-in-time”. Oznacza to, że zamawiają części i usługi, które mają być dostarczane w konkretnych, potrzebnych ilościach i dokładnie wtedy, gdy są potrzebne – producenci samochodów raczej nie będą posiadać dużych zapasów części.

„Sieci dostawców zaopatrujące te zakłady produkcyjne są nastawione na wydajność – zarówno ekonomiczną, jak i logistyczną” – mówi Siraj Ahmed Shaikh , profesor bezpieczeństwa systemów na Uniwersytecie w Swansea. „Istnieje bardzo starannie zorganizowany łańcuch dostaw” – dodaje Shaikh, mówiąc ogólnie o przemyśle motoryzacyjnym. „Dostawcy zaopatrujący tego typu zakłady są w krytycznej zależności. Gdy tylko w takim zakładzie nastąpią zakłócenia, wszyscy dostawcy zostaną dotknięci”.

Według doniesień „The Telegraph” firma produkująca szklane dachy zaczęła zwalniać pracowników. Tymczasem inna firma poinformowała BBC, że do tej pory zwolniła około 40 osób. Francuska firma motoryzacyjna OPmobility , zatrudniająca 38 000 osób w 150 lokalizacjach, poinformowała WIRED, że wprowadza pewne zmiany i monitoruje sytuację. „OPmobility reorganizuje swoją produkcję w niektórych lokalizacjach w związku z zamknięciem jej przez jednego ze swoich klientów z siedzibą w Wielkiej Brytanii i w zależności od rozwoju sytuacji” – mówi rzecznik firmy.

Chociaż nie jest jasne, które konkretnie systemy JLR ucierpiały na skutek ataków hakerów i które z nich JLR proaktywnie wyłączył, wiele z nich prawdopodobnie wyłączono, aby zapobiec dalszemu rozprzestrzenianiu się ataku. „Bardzo trudno jest zapewnić ochronę, mając jednocześnie połączenia między różnymi systemami” – mówi Orla Cox , dyrektor ds. komunikacji w zakresie cyberbezpieczeństwa w regionie EMEA w firmie FTI Consulting, która odpowiada na cyberataki i prowadzi dochodzenia. „Często występują również zależności między różnymi systemami: wyłączenie jednego z nich ma wpływ na kolejne”.

Za każdym razem, gdy dochodzi do włamania do dowolnego elementu łańcucha dostaw – niezależnie od tego, czy chodzi o producenta na szczycie piramidy, czy o firmę znajdującą się niżej w hierarchii – cyfrowe połączenia między firmami mogą zostać zerwane, aby uniemożliwić atakującym rozprzestrzenianie się z jednej sieci do drugiej. Połączenia za pośrednictwem sieci VPN lub interfejsów API mogą zostać zablokowane, mówi Cox. „Niektórzy mogą nawet podjąć silniejsze środki, takie jak blokowanie domen i adresów IP. Wtedy takie rzeczy jak poczta e-mail nie będą już użyteczne między obiema organizacjami”.

Złożoność cyfrowych i fizycznych łańcuchów dostaw, obejmujących dziesiątki firm i systemy produkcji just-in-time, oznacza, że ​​przywrócenie wszystkiego do działania i pełnej sprawności może zająć trochę czasu. MacColl, badacz z RUSI, twierdzi, że kwestie cyberbezpieczeństwa często nie są przedmiotem debaty na najwyższym szczeblu brytyjskiej polityki – dodaje jednak, że tym razem sytuacja może być inna ze względu na skalę zakłóceń. „Ten incydent ma potencjał, aby odnieść sukces, ze względu na utratę miejsc pracy i fakt, że posłowie z okręgów wyborczych, których to dotyczy, będą odbierać telefony” – mówi. Ten przełom już się rozpoczął.

„Ten cyberatak to nie tylko mignięcie na ekranie, to szybko zmieniająca się w cyberfalę wstrząsową, która przetacza się przez nasze przemysłowe centra” – powiedział w programie X Liam Byrne, członek parlamentu i przewodniczący komisji ds. biznesu i handlu Izby Gmin. „Jeśli rząd się cofnie, ta fala uderzeniowa zniszczy miejsca pracy, firmy i wynagrodzenia w całej Wielkiej Brytanii”. Inni ustawodawcy również wyrazili obawy po rozmowach z dostawcami JLR, których dotknęła awaria, a związek zawodowy Unite stwierdził, że brytyjski rząd powinien interweniować, wprowadzając program „furlough” w celu wsparcia pracowników .

„Niedawny incydent cybernetyczny ma znaczący wpływ na firmę Jaguar Land Rover i na cały łańcuch dostaw w branży motoryzacyjnej” – poinformował w piątek brytyjski Departament Biznesu i Handlu w oświadczeniu po spotkaniu z przedstawicielami branży motoryzacyjnej. „Rząd, w tym rządowi eksperci ds. cyberbezpieczeństwa, jest w kontakcie z firmą, aby wesprzeć działania mające na celu przywrócenie produkcji i ściśle współpracuje z JLR, aby zrozumieć ewentualny wpływ na łańcuch dostaw”.

Atak jest prawdopodobnie kolejnym incydentem , który pokazuje, jak kruche mogą być łańcuchy dostaw w obliczu zakłóceń. „Musimy przejść na bardziej odporny łańcuch dostaw i bardziej odporne operacje, na przykład w obszarze produkcji” – mówi Shaikh z Uniwersytetu w Swansea.

Tymczasem MacColl twierdzi, że w obliczu napięć na świecie – a wiele krajów podejmuje kroki, aby upewnić się, że są gotowe na wojnę – atak wskazuje, jak można wymusić wstrzymanie produkcji. „Jeśli taki wpływ mogą mieć tylko przestępcy na nasze łańcuchy dostaw, to dość niepokojące jest to, jak bardzo jesteśmy nieprzygotowani na przykład na bardziej skoordynowany i długotrwały atak ze strony potencjalnego przeciwnika państwowego” – mówi MacColl.