Cyberaanval op Jaguar Land Rover veroorzaakt ramp in toeleveringsketen

22 sep. 2025 02:00 uur

De Britse autofabrikant zag zich door de aanval gedwongen de productie van zijn voertuigen stop te zetten. De aanval kostte JLR tientallen miljoenen dollars en zorgde ervoor dat zijn onderdelenleveranciers werknemers moesten ontslaan.

Foto: John Keeble/Getty Images

De productielijnen van de wereldwijde autogigant Jaguar Land Rover liggen al bijna drie weken stil. Normaal gesproken draaien ze naar schatting 1000 auto's per dag, maar het personeel van meerdere JLR-fabrieken in Groot-Brittannië is gevraagd thuis te blijven nu het autobedrijf reageert op een schadelijke cyberaanval. Maar nu het herstel van de fabriek dagen tot weken heeft geduurd, worden de gevolgen voelbaar bij de honderden bedrijven die JLR van onderdelen en materialen voorzien. Het risico bestaat dat de aanval uitmondt in een regelrechte crisis.

Vrijdag gaf de Britse regering toe dat de cyberaanval op JLR een "aanzienlijke impact" had op het bedrijf en op de "bredere toeleveringsketen voor de automobielindustrie". Deze toegeving kwam nadat vakbonden en functionarissen steeds vaker waarschuwden dat duizenden banen in de uitgebreide toeleveringsketen van JLR verloren zouden kunnen gaan en dat sommige kleinere bedrijven failliet zouden kunnen gaan. Volgens berichten zou JLR zelf tot wel £ 50 miljoen ($ 67 miljoen) per week kunnen verliezen door de sluiting. Sommige bedrijven zouden al personeel hebben ontslagen. De vakbond Unite beweert dat werknemers in de toeleveringsketen van JLR "worden ontslagen met een lager of zelfs nulloon". Sommigen is verteld zich aan te melden voor overheidsuitkeringen, beweert de vakbond.

"Het lijkt ongekend in het Verenigd Koninkrijk om zulke grote verstoringen te ervaren als gevolg van een cyberaanval of ransomware-aanval", zegt Jamie MacColl , senior onderzoeker bij de cyber- en technologieonderzoeksgroep van de denktank voor veiligheid en defensie RUSI. Dat duizenden banen op de tocht kunnen staan, tijdelijk of permanent, is "van een andere orde van grootte" dan eerdere incidenten, zegt MacColl.

JLR, eigendom van het Indiase Tata Motors, is een van de grootste werkgevers in het Verenigd Koninkrijk, met zo'n 32.800 mensen die rechtstreeks in het land werken. Volgens statistieken op de website van het bedrijf ondersteunt het bedrijf nog eens 104.000 banen via zijn Britse toeleveringsketen en nog eens 62.900 banen "door loonkosten". Veel andere leveranciers zijn ook buiten het Verenigd Koninkrijk gevestigd, evenals enkele fabrieken in het buitenland.

Begin september bevestigde JLR dat het was "getroffen" door een cyberaanval en dat het bedrijf "onmiddellijk actie" ondernam en "onze systemen proactief uitschakelde", waardoor de fabrieken en productieprocessen in feite tot stilstand kwamen. Tijdens het onderzoek van het bedrijf naar de aanval onthulde het dat "enkele gegevens" waren "getroffen", maar specificeerde niet om welke gegevens het ging.

Ondanks pogingen om de systemen weer online te krijgen, bevestigde het bedrijf woensdag dat de productiepauze is verlengd tot woensdag 24 september. "We hebben deze beslissing genomen terwijl ons forensisch onderzoek naar het cyberincident voortduurt en we de verschillende fasen van de gecontroleerde herstart van onze wereldwijde activiteiten overwegen, wat tijd zal kosten", aldus JLR woensdag in een verklaring. "Het spijt ons zeer voor de aanhoudende verstoring die dit incident veroorzaakt en we zullen u blijven informeren naarmate het onderzoek vordert."

JLR reageerde niet op vragen van WIRED over welke systemen verstoord waren, wat de financiële kosten van de cyberaanval voor leveranciers waren en welke maatregelen het bedrijf overweegt om bedrijven te ondersteunen.

Vrijwel direct na de cyberaanval eiste een groep op Telegram, Scattered Lapsus$ Hunters, de verantwoordelijkheid op voor de hack. De groepsnaam suggereert een mogelijke samenwerking tussen drie losse hackerscollectieven – Scattered Spider , Lapsus$ en Shiny Hunters – die achter enkele van de meest spraakmakende cyberaanvallen van de afgelopen jaren zaten. Ze bestaan vaak uit jonge, Engelstalige cybercriminelen die het op grote bedrijven gemunt hebben .

Het bouwen van voertuigen is een enorm complex proces. Honderden verschillende bedrijven leveren onderdelen, materialen, elektronica en meer aan autofabrikanten, en deze uitgebreide toeleveringsketens zijn vaak afhankelijk van just-in-time-productie. Dat betekent dat ze onderdelen en diensten bestellen die in de specifieke hoeveelheden en precies op het juiste moment worden geleverd – het is onwaarschijnlijk dat autofabrikanten grote voorraden onderdelen aanhouden.

"De leveranciersnetwerken die aan deze productielocaties leveren, zijn allemaal ingericht op efficiëntie – economische efficiëntie en ook logistieke efficiëntie", zegt Siraj Ahmed Shaikh , hoogleraar systeembeveiliging aan de Universiteit van Swansea. "Er is een zeer zorgvuldig georkestreerde toeleveringsketen", voegt Shaikh eraan toe, sprekend over de autoproductie in het algemeen. "Er is een kritieke afhankelijkheid voor de leveranciers die aan dit soort activiteiten leveren. Zodra er een verstoring optreedt in dit soort fabrieken, worden alle leveranciers getroffen."

Een bedrijf dat glazen zonnedaken produceert, is begonnen met het ontslaan van werknemers, aldus een bericht in de Telegraph . Een ander bedrijf heeft de BBC laten weten tot nu toe zo'n 40 mensen te hebben ontslagen. Het Franse autobedrijf OPmobility , dat 38.000 mensen in dienst heeft op 150 locaties, vertelde WIRED dat het enkele veranderingen doorvoert en de ontwikkelingen in de gaten houdt. "OPmobility herconfigureert zijn productie op bepaalde locaties als gevolg van de productiestop bij een van zijn klanten in het Verenigd Koninkrijk en afhankelijk van de ontwikkeling van de situatie", aldus een woordvoerder van het bedrijf.

Hoewel het onduidelijk is welke specifieke JLR-systemen door de hackers zijn getroffen en welke systemen JLR proactief offline heeft gehaald, zijn veel systemen waarschijnlijk offline gehaald om te voorkomen dat de aanval erger werd. "Het is erg lastig om de beveiliging te waarborgen terwijl er nog steeds verbindingen zijn tussen verschillende systemen", zegt Orla Cox , hoofd EMEA cybersecuritycommunicatie bij FTI Consulting, dat reageert op cyberaanvallen en onderzoek doet. "Vaak zijn er ook afhankelijkheden tussen verschillende systemen: als je er één uitschakelt, heeft dat een domino-effect op een ander systeem."

Wanneer er een hack plaatsvindt in een onderdeel van een toeleveringsketen – of het nu een fabrikant aan de top van de piramide is of een bedrijf verderop in de pijplijn – kunnen digitale verbindingen tussen bedrijven worden verbroken om te voorkomen dat aanvallers zich van het ene netwerk naar het andere verspreiden. Verbindingen via VPN's of API's kunnen worden verbroken, zegt Cox. "Sommige bedrijven nemen mogelijk zelfs strengere maatregelen, zoals het blokkeren van domeinen en IP-adressen. Dan zijn zaken als e-mail niet meer bruikbaar tussen de twee organisaties."

De complexiteit van digitale en fysieke toeleveringsketens, die tientallen bedrijven en just-in-time productiesystemen beslaan, betekent dat het waarschijnlijk tijd kost om alles weer online en op volle toeren te laten draaien. MacColl, de RUSI-onderzoeker, zegt dat cybersecuritykwesties vaak niet op het hoogste niveau van de Britse politiek worden besproken, maar voegt eraan toe dat dit dit keer anders zou kunnen zijn vanwege de omvang van de verstoring. "Dit incident heeft de potentie om door te breken vanwege het banenverlies en het feit dat parlementsleden in de kiesdistricten die hierdoor getroffen worden, gebeld zullen worden", zegt hij. Die doorbraak is al begonnen.

"Deze cyberaanval is niet zomaar een flits op een scherm, het ontwikkelt zich snel tot een cyberschokgolf die door onze industriële kerngebieden raast", aldus Liam Byrne, parlementslid en voorzitter van de commissie Handel en Economie van het Lagerhuis, tijdens een interview met X. "Als de overheid zich terugtrekt, zal die schokgolf banen, bedrijven en salarissen in heel Groot-Brittannië vernietigen." Andere wetgevers hebben ook hun zorgen geuit na gesprekken met getroffen JLR-leveranciers, en vakbond Unite heeft gezegd dat de Britse overheid moet ingrijpen met een "furlough"-regeling om werknemers te ondersteunen .

"Het recente cyberincident heeft een aanzienlijke impact op Jaguar Land Rover en op de bredere toeleveringsketen van de automobielindustrie", aldus het Britse ministerie van Handel en Economie vrijdag in een verklaring , na een bijeenkomst met organisaties uit de auto-industrie. "De overheid, inclusief cyberexperts van de overheid, staat in contact met het bedrijf om de hervatting van de productie te ondersteunen en werkt nauw samen met JLR om de mogelijke gevolgen voor de toeleveringsketen in kaart te brengen."

De aanval is waarschijnlijk het zoveelste incident dat aantoont hoe kwetsbaar toeleveringsketens kunnen zijn wanneer ze te maken krijgen met verstoringen. "We moeten echt overstappen op een veerkrachtigere toeleveringsketen en een veerkrachtige bedrijfsvoering als het gaat om zaken als productie", aldus Shaikh van Swansea University.

Ondertussen zegt MacColl dat, nu de wereldwijde spanningen hoog oplopen – en meerdere landen maatregelen nemen om zich voor te bereiden op oorlog – de aanval laat zien hoe de productie tot stilstand kan worden gebracht. "Als dit het effect is dat criminelen alleen op onze toeleveringsketens kunnen hebben, dan is het behoorlijk verontrustend om te bedenken hoe slecht we voorbereid zijn op bijvoorbeeld een meer gecoördineerde en aanhoudende aanval van een potentiële vijand", aldus MacColl.