Il gruppo hacker Scattered Lapsus$ Hunters ha colpito Jaguar Land Rover, sferrato un cyber attacco che è riuscito affermare le fabbriche da oltre dieci giorni, oltre al sospendere le attività.

“JLR ha subito l’attacco attraverso un fornitore esterno, le indagini sono ancora in corso ma si può ipotizzare si tratti di ransomware. Questo è un pattern comune”, commenta Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360.

Ecco come mitigare il rischio, scommettendo sulla cyber resilienza, perché, ricordando una verità scomoda Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0, “quando inciampa l’IT, l’OT si siede e la filiera trattiene il fiato“.

Jaguar Land Rover: cyber attacco blocca produzione ed attività

Nel Regno Unito, il personale degli stabilimenti produttivi di JLR a Solihull, Wolverhampton e Halewood nel Merseyside è stato invitato a rimanere a casa fino a martedì. Le ore di lavoro perse saranno recuperate in un secondo momento e la retribuzione rimarrà invariata.

Ma l’attacco hacker ha avuto impatto anche nei centri produttivi in Slovacchia, Cina e India.

“JLR è stata colpita da un incidente informatico. Abbiamo agito immediatamente per mitigarne l’impatto, chiudendo in modo proattivo i nostri sistemi”, ha confermato Jaguar Land Rover in un recente comunicato senza data pubblicato sul proprio sito web aziendale. Anche i suppliers, compresi SurTec, OPmobility, WHS Plastics, and Evtec, hanno chiesto allo staff di restayre a casa.

Secondo quanto riferito, la casa automobilistica ha comunicato al personale che fornirà ulteriori aggiornamenti lunedì.

“I criminali prendono di mira l’anello più debole della catena per colpire l’obiettivo principale”, spiega Dario Fadda.

I dettagli

“Stiamo ora lavorando alacremente per riavviare le nostre applicazioni globali in modo controllato. In questa fase, non vi sono prove che siano stati rubati dati dei clienti, ma le nostre attività di vendita al dettaglio e di produzione hanno subito gravi interruzioni”, ha dichiarato il marchio di proprietà del gruppo indiano Tata Motors.

Tuttavia questo caso “ha due aspetti significativi: sicuramente il furto di dati, ma anche la paralisi operativa. Si chiama Business Continuity e ci mostra come la resilienza informatica sia direttamente collegata alla continuità aziendale e alla catena di fornitura globale, è evidente che qualcosa in questo campo non ha funzionato, vista la lunga interruzione produttiva dell’azienda”, avverte Dario Fadda.

Come mitigare il rischio

“Un Incident Response Plan testato e aggiornato al giorno d’oggi è fondamentale per ridurre i tempi di recovery da mesi a giorni”, conclude Dario Fadda.

Occorre promuovere la cultura della resilienza, perno anche della normativa europea. Infatti il problema è soprattutto culturale ed organizzativo. Le aziende, inoltre, devono effettuare valutazioni sulla sicurezza dei partner e dei fornitori della supply chain, che spesso rappresentano l’anello più vulnerabile.

“La presenza del ‘some data’ sposta l’impatto dal solo fermo impianto alla fiducia di clienti e partner. In questa fase l’attribuzione è folklore”, evidenzia Sandro Sana: invece “contano ripristino sicuro, comunicazione chiara e tutela probatoria. Lezione operativa: segmentazione IT/OT reale, PAM+MFA sui domini che scottano, backup e runbook BCP provati sul campo, personale addestrato al ‘modo degradato‘ senza mandare l’azienda in apnea. Se la sicurezza resta un optional, il prezzo lo fa il fermo e il listino non è mai gentile”.

Con circa mille auto prodotte al giorno, un fermo prolungato ha un severo impatto sugli incassi e sulla reputazione, oltre che sui ritardi nelle consegne.