Jaguar Land Rover (JLR), що входить до складу Tata Motors, продовжує відновлення після кібератаки з вимаганням, виявленої на початку вересня 2025 року. Компанія повідомила про суттєві порушення роздрібних та виробничих процесів і попередньо оцінює щоденні втрати у £5–10 млн, що робить інцидент одним із найпомітніших для британського автопрому та потенційно значущим для темпів зростання економіки Великобританії.
Хронологія та масштаб: зупинки в Британії та за кордоном
У відповідь на інцидент JLR контрольовано відключила низку корпоративних систем. Відмова сервісів зачепила дилерську мережу у Великобританії, позбавивши партнерів можливості реєструвати нові авто та оперативно відвантажувати запчастини. На виробництві найбільш відчутний ефект спостерігався на заводі в Соліхаллі (Land Rover Discovery, Range Rover, Range Rover Sport) та на майданчику в Хейлвуді, де працівникам надсилали повідомлення про призупинення змін.
Паралельно тимчасові зупинки торкнулися закордонних підприємств JLR у Китаї, Індії та Словаччині. Компанія підтвердила компрометацію «деяких даних», не розкриваючи деталей та переліку постраждалих сторін, поінформувала регуляторів і проводить розслідування із залученням зовнішніх фахівців. 16 вересня 2025 року «паузу» подовжено до 24 вересня 2025 року задля поетапної валідації та безпечного перезапуску глобальних застосунків.
Можлива атрибуція та характер атаки на ERP/SAP
Офіційної атрибуції JLR не надає. Водночас учасники об’єднання Scattered Lapsus$ Hunters (пов’язаного зі Scattered Spider, LAPSUS$ і Shiny Hunters), за даними BleepingComputer, заявили у Telegram про свою причетність, опублікувавши нібито внутрішні скриншоти SAP та стверджуючи, що розгорнули ransomware в інфраструктурі JLR. Ці твердження компанія не підтвердила.
Компрометація ERP-ландшафту на кшталт SAP зазвичай порушує планування матеріальних ресурсів (MRP), логістику, управління ланцюгами постачання та фінансові операції. Якщо зловмисники намагаються здійснити шифрування, інтегровані процеси «від замовлення до відвантаження і сервісу» можуть бути паралізовані, навіть за наявності сегментації виробничих мереж (OT).
Вплив на постачальників та економіку Великобританії
Ефект доміно швидко відчули партнери JLR. За даними Sky News, близько 6000 робочих місць у Evtec, WHS Plastics, SurTec та OPmobility опинилися під ризиком через тимчасові скорочення. Профспілка Unite закликала уряд запровадити пакет підтримки для працівників суміжних підприємств, включно з частковою компенсацією зарплат.
З урахуванням офіційного зупинення виробництва з 2 вересня 2025 року (за повідомленнями ЗМІ, фактичний простій стартував 31 серпня), сукупні втрати вже могли перевищити £170 млн. Хоча виручка JLR за 2024 рік становила приблизно £29 млрд, для малих постачальників касові розриви та зрив контрактів несуть непропорційні ризики — аж до банкрутств. The Telegraph писала, що простій може тривати до листопада, але JLR цю інформацію спростовує. Минулого року на частку JLR припадало близько 4% усього товарного експорту Великобританії, що підсилює макроекономічну значущість інциденту.
Уроки кіберстійкості для виробничих компаній
Пріоритизація безперервності IT/OT та захист ERP
Сегментація та Zero Trust: чітко відокремлюйте IT, ERP і OT, блокуйте транзитні шляхи з корпоративних застосунків в OT; впроваджуйте Zero Trust для підрядників і віддаленого доступу.
Управління ідентифікаціями: MFA для привілейованих обліковок, керування сеансами, моніторинг аномалій і швидке виявлення ескалації прав.
EDR/XDR і видимість: засоби ізоляції вузлів, централізація телеметрії у SIEM, моделювання атак і «tabletop»-навчання за участю ІБ, ІТ, виробництва та PR.
Резервне копіювання та відновлення: незмінні (immutable) бекапи, ізольоване середовище відновлення, регулярні тести відновлення ERP/SAP і критичних інтеграцій.
Твердження ERP: обмеження RFC/IDoc-інтерфейсів, контроль транспортів, принцип мінімальних привілеїв і моніторинг системних користувачів.
Ризики третіх сторін: мінімальний доступ, тимчасові токени, аудит операцій підрядників і механізми швидкого відкликання доступів.
Інцидент із JLR демонструє, як атака на ERP та пов’язані системи здатна зупинити глобальне виробництво і вдарити по ланцюгах постачання. Компаніям варто невідкладно переглянути плани реагування, протестувати відновлення критичних процесів і підтвердити дієвість сегментації та контролів доступу. Слідкуйте за офіційними оновленнями JLR і використайте цей кейс, щоб підвищити кіберстійкість власних операцій.
