Кибератака на Jaguar Land Rover приводит к катастрофе в цепочке поставок

Производственные линии мирового автогиганта Jaguar Land Rover почти три недели не работают. Сотрудники нескольких заводов JLR по всей Великобритании, обычно занятые выпуском около 1000 автомобилей в день, получили распоряжение оставаться дома, пока автомобильная компания борется с разрушительной кибератакой. Однако, поскольку восстановление растянулось с нескольких дней до нескольких недель, последствия атаки ощущаются сотнями компаний, поставляющих JLR детали и материалы, и существует риск, что атака перерастет в полномасштабный кризис.

В пятницу правительство Великобритании признало , что кибератака на JLR оказала «значительное влияние» на компанию и «всю цепочку поставок автомобильной промышленности». Это признание последовало на фоне растущих предупреждений профсоюзов и чиновников о возможной потере тысяч рабочих мест в разветвлённой цепочке поставок JLR, а также о банкротстве некоторых более мелких компаний. Согласно сообщениям, сама JLR может еженедельно терять до 50 миллионов фунтов стерлингов (67 миллионов долларов США) из-за приостановки производства. Некоторые компании, как сообщается, уже уволили сотрудников, а профсоюз Unite утверждает, что работники цепочки поставок JLR «увольняются с пониженной или нулевой заработной платой». Некоторым, по словам профсоюза, было предложено «подписаться» на государственные пособия.

«Для Великобритании это беспрецедентный случай, когда из-за кибератаки или атаки вируса-вымогателя произошел такой масштаб сбоев», — говорит Джейми Макколл , старший научный сотрудник исследовательской группы по кибербезопасности и технологиям аналитического центра RUSI, занимающегося вопросами безопасности и обороны. По словам Макколла, тот факт, что тысячи рабочих мест могут оказаться под угрозой, как временной, так и постоянной, — это «совсем другой масштаб» по сравнению с предыдущими инцидентами.

Компания JLR, принадлежащая индийской Tata Motors, является одним из крупнейших работодателей Великобритании, имея около 32 800 сотрудников, напрямую занятых в стране. Согласно статистике на сайте компании, она также поддерживает ещё 104 000 рабочих мест через свою британскую цепочку поставок и ещё 62 900 рабочих мест «за счёт расходов на заработную плату». Многие другие поставщики, а также некоторые зарубежные заводы, также находятся за пределами Великобритании.

В начале сентября компания JLR подтвердила, что подверглась кибератаке, и что компания принимает «немедленные меры» и «заблаговременно отключает свои системы», фактически останавливая свои заводы и производственные процессы. В ходе расследования атаки компания сообщила , что «некоторые данные» были «пострадали», но не уточнила, какие именно.

Несмотря на усилия по восстановлению работы систем, компания подтвердила в среду, что её «пауза» в работе продлена до среды, 24 сентября. «Мы приняли это решение в связи с продолжением расследования киберинцидента и рассмотрением различных этапов контролируемого возобновления нашей глобальной деятельности, которое займёт время», — говорится в заявлении JLR в среду. «Мы очень сожалеем о продолжающихся сбоях, вызванных этим инцидентом, и будем продолжать информировать вас по мере продвижения расследования».

JLR не ответила на вопросы WIRED о том, какие системы были нарушены, каковы финансовые последствия кибератаки для поставщиков и какие меры компания рассматривает для поддержки бизнеса.

Почти сразу после кибератаки группа в Telegram под названием Scattered Lapsus$ Hunters взяла на себя ответственность за взлом. Название группы намекает на возможное сотрудничество трёх независимых хакерских групп — Scattered Spider , Lapsus$ и Shiny Hunters , — стоящих за некоторыми из самых громких кибератак последних лет. В их состав часто входят молодые англоговорящие киберпреступники, нацеленные на крупные компании .

Производство автомобилей — невероятно сложный процесс. Сотни компаний поставляют автопроизводителям детали, материалы, электронику и многое другое, и эти обширные сети поставок часто полагаются на принцип производства «точно вовремя». Это означает, что они заказывают детали и услуги в нужном количестве и именно тогда, когда это необходимо — автопроизводители вряд ли могут хранить большие запасы деталей.

«Сети поставщиков, поставляющих продукцию на эти производственные предприятия, полностью настроены на эффективность — как экономическую, так и логистическую», — говорит Сирадж Ахмед Шейх , профессор системной безопасности Университета Суонси. «Существует очень тщательно организованная цепочка поставок», — добавляет Шейх, говоря об автомобильном производстве в целом. «Существует критическая зависимость поставщиков, поставляющих продукцию на подобные предприятия. Как только на таком предприятии происходит сбой, это затрагивает всех поставщиков».

Согласно сообщению The Telegraph , одна компания, производящая стеклянные люки, начала увольнять сотрудников. Тем временем другая компания сообщила BBC , что уже уволила около 40 человек. Французская автомобильная компания OPmobility , на 150 производственных площадках которой работают 38 000 человек, сообщила WIRED, что вносит некоторые изменения и следит за развитием событий. «OPmobility перестраивает производство на некоторых площадках в связи с закрытием производства одним из своих клиентов в Великобритании и в зависимости от развития ситуации», — сообщил представитель компании.

Пока неясно, какие конкретно системы JLR пострадали от хакеров и какие системы JLR заблаговременно отключила, но многие из них, вероятно, были отключены, чтобы предотвратить дальнейшее развитие атаки. «Очень сложно обеспечить сдерживание, пока сохраняется связь между различными системами», — говорит Орла Кокс , руководитель отдела коммуникаций по кибербезопасности в регионе EMEA в компании FTI Consulting, которая занимается реагированием на кибератаки и расследованиями. «Кроме того, часто возникают зависимости между различными системами: если вы отключаете одну, это приводит к цепной реакции на другую».

При взломе любого звена цепочки поставок — будь то производитель на вершине пирамиды или компания, находящаяся ниже по цепочке — цифровые соединения между компаниями могут быть разорваны, чтобы предотвратить распространение злоумышленников из одной сети в другую. По словам Кокса, соединения через VPN или API могут быть заблокированы. «Некоторые могут даже принять более строгие меры, такие как блокировка доменов и IP-адресов. В этом случае, например, электронная почта, перестанет работать между двумя организациями».

Сложность цифровых и физических цепочек поставок, охватывающих десятки предприятий и систем производства «точно в срок», означает, что возвращение всего в строй и выход на полную мощность, вероятно, потребует времени. Макколл, исследователь RUSI, отмечает, что вопросы кибербезопасности часто не обсуждаются на самом высоком уровне британской политики, но добавляет, что на этот раз всё может быть иначе из-за масштаба сбоя. «Этот инцидент может иметь серьёзные последствия из-за сокращения рабочих мест и того факта, что депутатам в затронутых им округах будут звонить», — говорит он. Этот прорыв уже начался.

«Эта кибератака — не просто вспышка на экране, она быстро превращается в киберударную волну, которая прокатывается по нашим промышленным центрам», — заявил Лиам Бирн, член парламента и председатель комитета Палаты общин по бизнесу и торговле в программе X. «Если правительство отступит, эта ударная волна уничтожит рабочие места, предприятия и пакеты заработной платы по всей Великобритании». Другие законодатели также выразили обеспокоенность после разговоров с пострадавшими поставщиками JLR, а профсоюз Unite заявил, что британское правительство должно вмешаться и предоставить программу «отгулов» для поддержки работников .

«Недавний киберинцидент оказал значительное влияние на Jaguar Land Rover и всю цепочку поставок автомобильной продукции», — говорится в заявлении Министерства бизнеса и торговли Великобритании, опубликованном в пятницу после встречи с представителями автомобильной промышленности. «Правительство, включая правительственных экспертов по кибербезопасности, поддерживает связь с компанией, чтобы помочь ей восстановить производство, и тесно сотрудничает с JLR, чтобы оценить любые последствия для цепочки поставок».

Эта атака, вероятно, является очередным инцидентом , демонстрирующим, насколько хрупкими могут быть цепочки поставок, когда они сталкиваются с перебоями. «Нам действительно необходимо перейти к более устойчивой цепочке поставок и устойчивому функционированию, когда речь идёт о таких сферах, как производство», — говорит Шейх из Университета Суонси.

Между тем, Макколл утверждает, что на фоне высокой глобальной напряжённости, когда многие страны принимают меры для обеспечения готовности к войне , эта атака демонстрирует, как можно остановить производство. «Если преступники способны оказывать такое же воздействие на наши цепочки поставок, то весьма тревожно думать о том, насколько мы не готовы, скажем, к более скоординированной и продолжительной атаке со стороны потенциального государственного противника», — говорит Макколл.