Um ataque cibernético à Jaguar Land Rover está causando um desastre na cadeia de suprimentos

Por quase três semanas, as linhas de produção da gigante automobilística global Jaguar Land Rover estão paralisadas. Normalmente ocupadas produzindo cerca de 1.000 veículos por dia, os funcionários de diversas fábricas da JLR em toda a Grã-Bretanha foram instruídos a ficar em casa enquanto a montadora responde a um ataque cibernético devastador. Mas, como sua recuperação se estendeu de dias para semanas, os impactos indiretos estão sendo sentidos nas centenas de empresas que fornecem peças e materiais para a JLR, correndo o risco de transformar o ataque em uma crise generalizada.

Na sexta-feira, o governo do Reino Unido admitiu que o ataque cibernético contra a JLR estava tendo um "impacto significativo" na empresa e na "cadeia de suprimentos automotiva mais ampla". A concessão veio em um momento em que sindicatos e autoridades têm alertado cada vez mais que milhares de empregos na extensa cadeia de suprimentos da JLR podem ser perdidos, e algumas empresas menores podem falir. Reportagens afirmam que a própria JLR pode estar perdendo até £ 50 milhões (US$ 67 milhões) por semana com a paralisação. Algumas empresas já teriam demitido funcionários, com o sindicato Unite alegando que os trabalhadores da cadeia de suprimentos da JLR "estão sendo demitidos com salários reduzidos ou zero". Alguns foram instruídos a "se inscrever" para receber benefícios do governo, afirma o sindicato.

“Parece sem precedentes no Reino Unido ter esse nível de interrupção devido a um ataque cibernético ou ransomware”, afirma Jamie MacColl , pesquisador sênior do grupo de pesquisa cibernética e tecnológica do think tank de segurança e defesa RUSI. O fato de milhares de empregos poderem estar em risco, temporária ou permanentemente, é “uma ordem de magnitude diferente” de incidentes anteriores, afirma MacColl.

A JLR, de propriedade da indiana Tata Motors, é uma das maiores empregadoras do Reino Unido, com cerca de 32.800 pessoas empregadas diretamente no país. Estatísticas no site da empresa também afirmam que ela sustenta outros 104.000 empregos por meio de sua cadeia de suprimentos no Reino Unido e outros 62.900 empregos "por meio de gastos induzidos por salários". Muitos outros fornecedores também estão sediados fora do Reino Unido, assim como algumas fábricas no exterior.

No início de setembro, a JLR confirmou ter sido "impactada" por um ataque cibernético e que a empresa estava tomando "medidas imediatas" e "desligando proativamente nossos sistemas", paralisando efetivamente suas fábricas e processos de produção. Ao investigar o ataque, a empresa revelou que "alguns dados" foram "afetados", mas não especificou quais dados eram.

Apesar dos esforços para recolocar os sistemas em operação, a empresa confirmou na quarta-feira que sua "pausa" na produção foi estendida até quarta-feira, 24 de setembro. "Tomamos esta decisão enquanto nossa investigação forense do incidente cibernético continua e consideramos as diferentes etapas do reinício controlado de nossas operações globais, o que levará tempo", disse a JLR em um comunicado na quarta-feira. "Lamentamos profundamente a interrupção contínua que este incidente está causando e continuaremos a nos atualizar conforme a investigação avança."

A JLR não respondeu às perguntas da WIRED sobre quais sistemas foram interrompidos, o custo financeiro do ataque cibernético para os fornecedores, nem quaisquer medidas que a empresa estivesse considerando para dar suporte aos negócios.

Quase imediatamente após o ataque cibernético, um grupo no Telegram chamado Scattered Lapsus$ Hunters assumiu a responsabilidade pelo ataque. O nome do grupo sugere uma potencial colaboração entre três coletivos de hackers — Scattered Spider , Lapsus$ e Shiny Hunters — que estão por trás de alguns dos ataques cibernéticos de maior repercussão dos últimos anos. Eles geralmente são formados por jovens cibercriminosos, falantes de inglês, que têm como alvo grandes empresas .

A fabricação de veículos é um processo extremamente complexo. Centenas de empresas diferentes fornecem peças, materiais, eletrônicos e muito mais para os fabricantes de veículos, e essas extensas redes de cadeia de suprimentos frequentemente dependem da fabricação "just-in-time". Isso significa que elas encomendam peças e serviços para serem entregues nas quantidades específicas necessárias e exatamente quando precisam — é improvável que grandes estoques de peças sejam mantidos pelas montadoras.

“As redes de fornecedores que abastecem essas fábricas estão todas preparadas para a eficiência — eficiência econômica e também logística”, afirma Siraj Ahmed Shaikh , professor de segurança de sistemas na Universidade de Swansea. “Há uma cadeia de suprimentos cuidadosamente orquestrada”, acrescenta Shaikh, falando sobre a fabricação automotiva em geral. “Há uma dependência crítica para os fornecedores que fornecem para esse tipo de operação. Assim que há uma interrupção nesse tipo de instalação, todos os fornecedores são afetados.”

Uma empresa que fabrica tetos solares de vidro começou a demitir funcionários, de acordo com uma reportagem do Telegraph . Enquanto isso, outra empresa informou à BBC que já demitiu cerca de 40 pessoas. A montadora francesa OPmobility , que emprega 38.000 pessoas em 150 unidades, informou à WIRED que está implementando algumas mudanças e monitorando os eventos. "A OPmobility está reconfigurando sua produção em determinadas unidades devido à paralisação da produção por um de seus clientes no Reino Unido e dependendo da evolução da situação", disse um porta-voz da empresa.

Embora não esteja claro quais sistemas específicos da JLR foram impactados pelos hackers e quais sistemas a JLR desativou proativamente, muitos provavelmente foram desativados para impedir que o ataque se agravasse. "É muito desafiador garantir a contenção enquanto ainda há conexões entre vários sistemas", afirma Orla Cox , chefe de comunicações de segurança cibernética da EMEA na FTI Consulting, que responde a ataques cibernéticos e trabalha em investigações. "Muitas vezes, também haverá dependências em diferentes sistemas: você desativa um, e isso significa que ele afeta o outro."

Sempre que ocorre um ataque cibernético em qualquer parte de uma cadeia de suprimentos — seja um fabricante no topo da pirâmide ou uma empresa mais abaixo no pipeline — as conexões digitais entre as empresas podem ser cortadas para impedir que os invasores se espalhem de uma rede para outra. Conexões via VPNs ou APIs podem ser interrompidas, diz Cox. "Alguns podem até tomar medidas mais rigorosas, como bloquear domínios e endereços IP. Assim, recursos como e-mail não serão mais utilizáveis ​​entre as duas organizações."

A complexidade das cadeias de suprimentos digitais e físicas, abrangendo dezenas de empresas e sistemas de produção just-in-time, significa que é provável que a reativação de tudo e a sua plena capacidade de trabalho levem algum tempo. MacColl, pesquisador do RUSI, afirma que as questões de segurança cibernética muitas vezes não são debatidas no mais alto nível da política britânica, mas acrescenta que desta vez pode ser diferente devido à escala da interrupção. "Este incidente tem o potencial de causar impacto devido às perdas de empregos e ao fato de que os parlamentares dos distritos eleitorais afetados receberão ligações", afirma. Esse avanço já começou.

"Este ataque cibernético não é apenas um piscar de olhos numa tela, está rapidamente se tornando uma onda de choque cibernético que atinge nossos centros industriais", disse Liam Byrne, membro do Parlamento e presidente do comitê de Negócios e Comércio da Câmara dos Comuns, no X. "Se o governo recuar, essa onda de choque destruirá empregos, empresas e salários em toda a Grã-Bretanha." Outros legisladores também expressaram preocupações após falar com fornecedores afetados da JLR, e o sindicato Unite disse que o governo britânico deveria intervir com um esquema de "licença" para apoiar os trabalhadores .

“O recente incidente cibernético está tendo um impacto significativo na Jaguar Land Rover e em toda a cadeia de suprimentos automotivos”, afirmou o Departamento de Negócios e Comércio do Reino Unido em um comunicado na sexta-feira, após uma reunião com grupos da indústria automotiva. “O governo, incluindo especialistas em cibersegurança, está em contato com a empresa para apoiar a tarefa de restaurar as operações de produção e está trabalhando em estreita colaboração com a JLR para entender quaisquer impactos na cadeia de suprimentos.”

O ataque é provavelmente mais um incidente que demonstra a fragilidade das cadeias de suprimentos quando enfrentam interrupções. "Precisamos migrar para uma cadeia de suprimentos e uma operação mais resilientes em áreas como a manufatura", afirma Shaikh, da Universidade de Swansea.

Enquanto isso, MacColl afirma que, com as tensões globais elevadas — com vários países tomando medidas para garantir que estejam preparados para a guerra — o ataque indica como a produção pode ser forçada a parar. "Se esse é o efeito que criminosos podem ter em nossas cadeias de suprimentos, é bastante preocupante pensar em quão despreparados estamos para, digamos, um ataque mais coordenado e sustentado de um potencial adversário estatal", diz MacColl.