Автомобилестроитель Jaguar Land Rover (JLR), входящий в состав индийской Tata Motors, продолжает восстанавливаться после вымогательской атаки, обнаруженной в начале сентября 2025 года. Компания сообщила о существенных нарушениях розничной и производственной деятельности и оценивает ежедневные потери в 5–10 млн фунтов стерлингов, что делает инцидент одним из самых заметных в истории британского автопрома и потенциально влияющим на темпы роста экономики Великобритании.
Хронология инцидента и масштаб перебоев
По данным JLR, из-за киберинцидента были контролируемо отключены ряд корпоративных систем. Сбой затронул дилерскую сеть в Великобритании, лишив партнеров возможности регистрировать новые автомобили и оперативно отгружать запчасти. На производстве наиболее ощутимые последствия пришлись на завод в Солихалле, где собираются Land Rover Discovery, Range Rover и Range Rover Sport, а также на площадку в Хейлвуде, сотрудникам которой рассылали уведомления о приостановке выхода на смены.
Параллельно с британскими активами временную остановку переживали зарубежные предприятия JLR в Китае, Индии и Словакии. Компания подтвердила, что в ходе атаки были скомпрометированы «некоторые данные», не уточняя их характер и затронуты ли клиенты. JLR уведомила регуляторов и продолжает расследование совместно с внешними специалистами, поэтапно проводя «контролируемое восстановление операций».
16 сентября 2025 года JLR продлила «паузу» до 24 сентября 2025 года, объяснив решение необходимостью тщательной валидации и перезапуска глобальных приложений в безопасном режиме.
Версии о злоумышленниках и характер атаки
Официальной атрибуции компания не дает. Между тем участники объединения Scattered Lapsus$ Hunters (связанного с группами Scattered Spider, LAPSUS$ и Shiny Hunters), по данным BleepingComputer, заявили в Telegram о причастности и опубликовали якобы сделанные в JLR скриншоты внутренней SAP-системы, утверждая, что развернули вымогательское ПО в скомпрометированной инфраструктуре. Эти заявления не подтверждены JLR.
Компрометация ERP-ландшафта (например, SAP) типично нарушает планирование материалов (MRP), управление цепями поставок, логистику и финансовые операции. В сочетании с попыткой шифрования это приводит к параличу интегрированных процессов: от заказа компонентов до отгрузки и сервисной поддержки — даже при наличии изоляции производственных сетей.
Воздействие на цепочки поставок и экономику
Эффект домино быстро задел партнеров JLR. По данным Sky News, около 6000 рабочих мест в Evtec, WHS Plastics, SurTec и OPmobility оказались под риском из‑за временных сокращений. Профсоюз Unite призвал правительство сформировать пакет поддержки для сотрудников смежных предприятий, включая частичную компенсацию зарплат.
С учетом официального закрытия производств 2 сентября 2025 года (при том, что фактический простой начался, по сообщениям СМИ, 31 августа), совокупные потери уже могли превысить 170 млн фунтов стерлингов. Хотя выручка JLR за 2024 год составила около 29 млрд фунтов, для малых поставщиков кассовые разрывы и срыв контрактов несут непропорционально высокие риски, вплоть до банкротств. The Telegraph со ссылкой на источники писала, что простой может затянуться до ноября, однако JLR эту информацию опровергает.
Экономический контекст усиливает значимость инцидента: на долю JLR, одного из крупнейших производителей страны, в прошлом году пришлось около 4% всего экспорта товаров Великобритании.
Киберуроки для производственных компаний
Приоритизация устойчивости бизнес-процессов
Инцидент JLR подчеркивает критичность киберустойчивости интегрированных IT/OT‑ландшафтов.
Рекомендуемые меры:
— Жесткая сегментация между IT, ERP и производственными сетями; блокировка «транзитных» путей из корпоративных приложений в OT, Zero Trust для удаленного доступа поставщиков.
— Усиление управления идентичностями: MFA для привилегированных учетных записей, контроль сессий, мониторинг аномалий, быстрое выявление эскалации прав.
— EDR/XDR с возможностями изоляции узлов, телеметрия журналов в SIEM, моделирование атак и «tabletop»‑учения с участием ИБ, ИТ, производства и PR.
— Резервное копирование «immutable» и среда изолированного восстановления; регулярные тесты восстановления ERP (включая SAP) и критических интеграций.
— Твердение SAP/ERP: ограничение RFC/IDoc‑интерфейсов, контроль транспортов, строгие роли и мониторинг системных пользователей.
— Управление рисками третьих сторон: минимум прав, временные токены, аудит действий поставщиков и механизм быстрого отключения доступов.
Кибератака на Jaguar Land Rover демонстрирует, как единый удар по ERP и смежным системам способен остановить глобальное производство и ударить по экономике. Комплексная сегментация, дисциплина по резервному копированию и управлению учетными данными, а также отработанные планы реагирования — ключ к снижению ущерба. Следите за обновлениями официальных источников и пересмотрите свои планы киберустойчивости уже сегодня, чтобы защитить цепочки поставок и сохранить непрерывность бизнеса.