Jaguar Land Rover od prawie miesiąca zmaga się ze skutkami poważnego cyberataku, który zatrzymał produkcję, wywrócił do góry nogami łańcuch dostaw i mocno uderzył w finanse firmy. Fabryki Land Rovera stały bezczynnie, Jaguar nie produkował żadnych aut, a straty sięgały nawet 50 mln funtów tygodniowo. Jak to możliwe, że gigant motoryzacyjny został tak skutecznie sparaliżowany przez „zwykły” atak hakerski?

Atak, który wyłączył całe imperium

Na początku września zaczęły krążyć informacje o włamaniu do systemów JLR. Grupa hakerska Scattered Spider działająca wspólnie z LAPSUS$, występująca pod nazwą Scattered Spider Lapsus$ Hunters, przyznała się do ataku, publikując zrzuty ekranu z wewnętrznych systemów producenta. Firma z Halewood początkowo bagatelizowała problem, ale szybko okazało się, że sytuacja była na tyle poważna, iż konieczne było całkowite zatrzymanie operacji. Jak podało BBC, koszt przestoju fabryk sięgał nawet 286 mln zł tygodniowo.

Jak do tego doszło?

Eksperci ds. cyberbezpieczeństwa wskazali, że wyciekły fragmenty kodu odpowiadającego za logikę uwierzytelniania. W opinii firmy analitycznej Cyfirma:

Ujawnione fragmenty mogą wskazywać na potencjalne luki w powiązaniu profili użytkowników z pojazdami. To otwierało drogę do odtworzenia i wykorzystania usług połączonych, zwłaszcza w zakresie obsługi tokenów i mechanizmów walidacyjnych.

Hakerzy mogli wykorzystać typowe słabe punkty – od starych, nieaktualizowanych systemów, przez zbyt szerokie uprawnienia administracyjne, aż po zwykłą socjotechnikę. Jak zauważył ekspert ds. bezpieczeństwa, który wypowiedział się anonimowo:

W dużych firmach setki systemów są łączone na siłę w jedną sieć. Wystarczy jedno konto z dostępem administracyjnym i intruz może przejąć kontrolę nad wypłatami, fakturowaniem czy logistyką.

Paraliż, który kosztował miliardy

Brytyjskie Ministerstwo Biznesu i Handlu oficjalnie potwierdziło, że „niedawny incydent cybernetyczny miał znaczący wpływ na Jaguar Land Rover i całą branżę dostawców motoryzacyjnych”. Rozważano nawet tymczasowe wsparcie poprzez wykupywanie części od dostawców, aby ratować sytuację. Problem polegał na tym, że haker działał szybko, a międzynarodowa korporacja musiała podejmować decyzje z udziałem wielu działów. Dlatego zanim JLR zrozumiał skalę zagrożenia, intruzi mieli już czas, by rozprzestrzenić się po systemach.

Powrót do gry – krok po kroku

Firma rozpoczęła powolny restart, który objął przywrócenie kluczowych systemów. Rzecznik JLR poinformował:

W ramach kontrolowanego i etapowego przywracania działalności poinformowaliśmy współpracowników, dostawców i partnerów handlowych, że część naszej infrastruktury cyfrowej znów działa. Zwiększyliśmy wydajność przetwarzania IT dla fakturowania, odblokowaliśmy płatności dla dostawców, a centrum logistyczne części wróciło do pełnej operacyjności.

Powrócił także system finansowy odpowiedzialny za sprzedaż i rejestrację aut, co poprawiło płynność finansową firmy. Wsparcie zapewniały także brytyjskie służby bezpieczeństwa cybernetycznego i organy ścigania.

Kto zawinił?

Pojawiły się spekulacje, że winne mogą być outsourcing usług IT, brak wystarczających zabezpieczeń oraz chaos w zarządzaniu. Jak zauważył Forbes, problem mógł tkwić także w strukturze nadzorczej – niektórzy członkowie zarządu JLR pełnili jednocześnie funkcje w Tata Consultancy Services, co mogło sprzyjać nieprzejrzystym decyzjom.

Wnioski dla całej branży

Cyberatak na JLR pokazał, że nawet giganci motoryzacyjni nie są odporni na dobrze zorganizowane grupy hakerskie. Branża, mocno uzależniona od złożonych łańcuchów dostaw i zintegrowanych systemów informatycznych, stała się wyjątkowo podatna na ataki. Ekspert ds. cyberbezpieczeństwa podsumował:

To jest nowa granica, w którą wpychają nas przeciwnicy. Firmy będą musiały inwestować ogromne środki w bezpieczeństwo i przygotowanie na katastrofy cyfrowe, jeśli nie chcą przeżywać tego, co dziś spotkało JLR.

Jaguar Land Rover powoli wraca na właściwe tory, ale odbudowa zaufania i przebudowa całej infrastruktury cyfrowej mogą potrwać miesiące. A w tle pozostaje pytanie: czy inne koncerny wyciągną z tego wnioski, czy też dopiero kolejny kryzys zmusi ich do działania?

O autorze