Jaguar Land Rovers utfordringer fremhever behovet for cyberrobusthet

Av Phil Muncaster • 2 oktober 2025

Produsenter har vært det mest populære målet for globale cyberangrep de siste fire årene. Sektoren var også nummer én for løsepengevirus i 2024, ifølge IBM-dataSå da Jaguar Land Rover (JLR) rapporterte at de hadde blitt angrepet av digitale utpressere i begynnelsen av september, kom det ikke som noen stor overraskelse. Men det ga en betimelig påminnelse om den potensielt kritiske virkningen slike angrep har på forretningskontinuiteten.

Sikkerhetsteam bør bruke dette som en mulighet til å argumentere overfor styret for større investeringer i cyberrobusthet.

Nedfallet fortsetter

Storbritannia har blitt rammet av en rekke cyberutpressingsangrep i år. Alle ser ut til å stamme fra et løst kollektiv av engelsktalende trusselaktører beskrevet som Scattered Spider, Shiny Hunters, og nå Scattered Lapsus$ Hunters. Først kom raidet mot forhandlere, inkludert M&S og Co-op. Så kom en forsyningskjedekampanje rettet mot Salesforce-instanser. Og deretter en rekke relaterte angrep på Salesforce-kunder som var rettet mot Salesloft Drift-integrasjonen deres. Gruppen er nå velig skryter på Telegram-kanalen sin om å ha hacket JLR.

Hvordan dette ble gjort er foreløpig ubekreftet, selv om noen rapporter nevner utnyttelse av en SAP NetWeaver-sårbarhet. En kritisk feil i programvaren ble oppdatert av SAP i april, og kjent for å ha blitt brukt av ransomware-grupper, med utnyttelseskode offentlig tilgjengelig. Bortsett fra taktikker, teknikker og prosedyrer (TTP-er), vet vi imidlertid nøyaktig hva som står på spill for JLR.

Fra dag én innrømmet selskapet at «detaljhandels- og produksjonsaktivitetene har blitt alvorlig forstyrret». En uke senere avslørte JLR: «noen data har blitt påvirket, og vi informerer de relevante regulatorene.» De ansatte ved firmaets anlegg i Solihull, Halewood, Wolverhampton og utenfor Storbritannia er fortsatt ikke i stand til å jobbe det er anslått at konsekvensene kan koste JLR så mye som 5 millioner pund per dag i tapt fortjeneste.

For ikke å snakke om virkningen på en utvidet forsyningskjede som er avhengig av JLR for sitt levebrød. Fagforeninger har ringt for statlig støtte etter rapporter at noen leverandører står overfor konkurs. For å gjøre dem enda mer forferdet er september en av de travleste månedene i året for bilprodusenter og deres partnere, ettersom det sammenfaller med utgivelsen av nye nummerskilt. JLR har utsatt gjenåpningen av anleggene sine flere ganger. I skrivende stund ville den siste produksjonspausen forlenge driftsstansen til 1. oktober.

Hva motstandskraft betyr

Alt dette bør fremheve noen viktige lærdommer om behovet for at organisasjoner fokuserer på å forbedre sin cyberrobusthet. Hva er robusthet? Ifølge NIST er det evnen til å «forutse, motstå, komme seg etter og tilpasse seg» cyberangrep. Det betyr å implementere beste praksis for å sikre at trusselaktører har færre muligheter til å få tilgang til kritiske nettverk og ressurser. Men også slik at organisasjonen kan gjenopprette seg raskt og fortsette å operere som normalt, selv om den skulle bli utsatt for et sikkerhetsbrudd.

Tim Grieveson, IT-sjef i ThingsRecon, hevder at sikkerhetsledere først må forstå organisasjonens viktigste forretningsfunksjoner og relaterte systemer for å oppnå dette. Dette vil gjøre det mulig for dem å prioritere investeringer basert på forretningsmessig innvirkning.

«I stedet for å snakke om teknisk sjargong som «sårbarhetspoeng», bør IT-sjefer oversette cyberrisiko til økonomiske termer som resonnerer med styret og toppledelsen. Dette kan bety å presentere de potensielle kostnadene for nedetid, datatap eller regulatoriske bøter», forteller Grieveson til ISMS.online.

«En ITSOs strategi må også være basert på antagelsen om at et brudd ikke er et spørsmål om 'hvis', men 'når'. Dette flytter fokuset fra å bygge en ugjennomtrengelig mur til å bygge et system som kan absorbere, motstå og raskt gjenopprette seg etter et angrep.»

IT-sjefer må også forstå viktigheten av kontinuerlig opplæring og utdanning av ansatte for å bygge en sikkerhetsbevisst kultur. «Dette gjør hver ansatt til en del av sikkerhetsforsvaret og lærer dem å gjenkjenne og rapportere potensielle trusler som phishing-forsøk», sier han.

Men selv med den beste opplæringen forekommer sikkerhetsbrudd. Det er her testing mot forhåndsbestemte scenarier kommer inn i bildet, ifølge William Wright, administrerende direktør i Closed Door Security.

«Hva er verst tenkelige situasjon? Hvis denne situasjonen oppstår, kan organisasjonen komme seg etter den? Hvis ikke, hvilke mangler finnes det, og hvordan kan de reduseres? Denne vurderingen bør dekke alle interne og eksterne eiendeler. For eksempel, hvordan kan brudd på leverandører påvirke driften min? Ikke alle angrep er direkte», forteller han ISMS.online.

«I disse miljøene, der det er mulig, vil alle angrepsscenarioer ha en ferdiglaget og innøvd strategi for avbøting, samtidig som det alltid vil være sikkerhetskopier på plass for å begrense den operative effekten av angrep.»

Nulltillit kan også være en nyttig måte å tenke på å bygge motstandskraft, legger Grieveson til.

«En nulltillitsstrategi forutsetter at nettverket allerede er kompromittert, og krever at alle brukere, enheter og applikasjoner verifiseres før tilgang gis», forklarer han. «Dette er spesielt relevant for produsenter som ofte er avhengige av en blanding av gamle driftsteknologisystemer og nyere IT.»

Standarder kan hjelpe

Grieveson legger til at standarder for beste praksis som ISO 27001 og SOC2 også kan bidra til å bygge robusthet ved å etablere et strukturert rammeverk for håndtering av informasjonssikkerhet.

«De tilbyr konkrete forventninger til hvordan det ser bra ut, som går utover bare å forhindre angrep», konkluderer han.

«I stedet for å tenke på sikkerhet som en reaktiv øvelse i å krysse av i boksene, oppfordrer det bedrifter til å ta en proaktiv, forretningsorientert tilnærming med styring, prosesser og kontroller som er nødvendige for å forhindre angrep. Og for å sikre at bedriften kan overleve og raskt gjenopprette seg når et uunngåelig brudd oppstår.»

Phil Muncaster

Phil Muncaster har vært IT-journalist i 20 år. Han startet som reporter på IT-bedriftstittelen IT Week i 2005 og gikk videre til rollen som nyhetsredaktør før han dro for å satse på en frilanskarriere. Siden den gang har Phil skrevet for titler inkludert The Register, hvor han jobbet som Asia-korrespondent mens han hadde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Les mer fra Phil Muncaster

Cyber sikkerhet 6 november 2025

NCSC sier «det er på tide å handle», men hvordan?

Det er uvanlig å se et åpent brev fra en næringslivsleder i begynnelsen av en statlig cybersikkerhetsrapport. Spesielt noen hvis selskap har j...

Phil Muncaster

Cyber sikkerhet 16 oktober 2025

Hva et npm-angrep sier om risikoen ved åpen kildekode-programvare

Historien om åpen kildekode-sikkerhet er full av eksempler på katastrofale feil og nestenulykker. En krypto-skadevarekampanje oppdaget i ...

Phil Muncaster

Cyber sikkerhet 9 oktober 2025

Kan Storbritannia opprette et sektorbanner for AI-forsikring verdt flere milliarder pund?

Kan Storbritannia opprette en AI-forsikringssektor verdt flere milliarder pund?

Regjeringen satser alt på AI. Handlingsplanen for AI-muligheter, som ble annonsert i januar, har som mål å drive økonomisk vekst, forbedre kvaliteten på...

Phil Muncaster