Por quase três semanas, as linhas de produção da gigante automobilística Jaguar Land Rover, com sede no Reino Unido, estiveram paradas. Normalmente ocupadas produzindo cerca de 1.000 veículos por dia, funcionários de diversas fábricas da JLR em toda a Grã-Bretanha foram orientados a ficar em casa enquanto a empresa automotiva responde a um ciberataque prejudicial. Mas à medida que sua recuperação se estende de dias para semanas, os impactos colaterais estão sendo sentidos nas centenas de empresas que fornecem peças e materiais para a JLR, corrompendo o ataque em uma crise completa.
Na sexta-feira, o governo do Reino Unido admitiu que o ciberataque contra a JLR estava causando um “impacto significativo” na empresa e na “cadeia de suprimentos automotiva mais ampla.” A concessão ocorreu à medida que sindicatos e autoridades alertam que milhares de empregos na vasta cadeia de suprimentos da JLR poderiam ser perdidos, e algumas empresas menores poderiam falir. Relatórios afirmam que a JLR pode estar perdendo até £ 50 milhões (US$ 67 milhões) por semana devido à paralisação. Algumas empresas já relataram demissões, com o sindicato Unite afirmando que trabalhadores na cadeia de suprimentos da JLR “estão sendo demitidos com pagamento reduzido ou zero.” Alguns foram orientados a “se inscrever” para benefícios do governo, afirma o sindicato.
“Parece sem precedentes no Reino Unido ter esse nível de interrupção devido a um ciberataque ou ataque de ransomware,” diz Jamie MacColl, pesquisador sênior no grupo de pesquisa de cibersegurança e tecnologia do think tank de segurança e defesa RUSI. O fato de que milhares de empregos possam estar em risco, temporariamente ou permanentemente, é “uma ordem de magnitude diferente” em comparação com incidentes anteriores, diz MacColl.
A JLR, que é de propriedade da Tata Motors da Índia, é um dos maiores empregadores do Reino Unido, com cerca de 32.800 pessoas empregadas diretamente no país. Estatísticas no site da empresa também afirmam que ela apoia outros 104.000 empregos através de sua cadeia de suprimentos no Reino Unido e outros 62.900 empregos “através de gastos induzidos por salários.” Muitos outros fornecedores também estão baseados fora do Reino Unido, assim como algumas fábricas no exterior.
No início de setembro, a JLR confirmou que havia sido “impactada” por um ciberataque e que a empresa estava tomando “ação imediata” e “desligando proativamente nossos sistemas,” efetivamente paralisando suas fábricas e processos de produção. Enquanto a empresa investigava o ataque, revelou que “alguns dados” foram “afetados,” mas não especificou quais dados eram esses.
Apesar dos esforços para colocar os sistemas de volta online, a empresa confirmou na quarta-feira que sua “pausa” na produção foi estendida até quarta-feira, 24 de setembro. “Tomamos essa decisão enquanto nossa investigação forense do incidente cibernético continua, e conforme consideramos os diferentes estágios do reinício controlado de nossas operações globais, o que levará tempo,” disse a JLR em uma declaração na quarta-feira. “Pedimos desculpas pela contínua interrupção que este incidente está causando e continuaremos a atualizar conforme a investigação avança.”
A JLR não respondeu a perguntas da WIRED sobre quais sistemas foram interrompidos, o custo financeiro do ciberataque para os fornecedores, nem quaisquer medidas que a empresa estava considerando para apoiar os negócios.
Quase imediatamente após o ciberataque, um grupo no Telegram chamado Scattered Lapsus$ Hunters assumiu a responsabilidade pelo hack. O nome do grupo implica uma possível colaboração entre três coletivos de hackers soltos— Scattered Spider, Lapsus$, e Shiny Hunters—que estiveram por trás de alguns dos ciberataques mais proeminentes nos últimos anos. Eles costumam ser compostos por jovens cibercriminosos de língua inglesa que visam grandes empresas.
Construir veículos é um processo altamente complexo. Centenas de empresas diferentes fornecem peças, materiais, eletrônicos e muito mais para os fabricantes de veículos, e essas extensas redes de suprimentos muitas vezes dependem da fabricação “just-in-time.” Isso significa que elas pedem partes e serviços para serem entregues em quantidades específicas e exatamente quando precisam—grandes estoques de peças são improváveis de serem mantidos pelos fabricantes de automóveis.
“As redes de fornecedores que estão fornecendo para essas plantas de manufatura, estão todas configuradas para eficiência—eficiência econômica e também eficiência logística,” diz Siraj Ahmed Shaikh, professor de segurança de sistemas na Universidade de Swansea. “Há uma cadeia de suprimentos cuidadosamente orquestrada,” acrescenta Shaikh, falando sobre a manufatura automotiva em geral. “Há uma dependência crítica para esses fornecedores que fornecem para esse tipo de operação. Assim que há uma interrupção em uma instalação desse tipo, todos os fornecedores são afetados.”
Uma empresa que fabrica tetos solares de vidro começou a demitir trabalhadores, de acordo com um relatório do Telegraph. Enquanto isso, outra empresa informou à BBC que já demitiu cerca de 40 pessoas até agora. A empresa automobilística francesa OPmobility, que emprega 38.000 pessoas em 150 locais, disse à WIRED que está fazendo algumas mudanças e monitorando os eventos. “A OPmobility está reconfigurando sua produção em determinados locais como consequência da paralisação da produção por um de seus clientes com sede no Reino Unido e dependendo da evolução da situação,” disse um porta-voz da empresa.
Embora não esteja claro quais sistemas específicos da JLR foram impactados pelos hackers e quais sistemas a JLR desligou proativamente, muitos provavelmente foram desligados para evitar que o ataque se agravasse. “É muito desafiador garantir contenção enquanto você ainda tem conexões entre vários sistemas,” diz Orla Cox, chefe de comunicações em cibersegurança da EMEA na FTI Consulting, que responde a ciberataques e trabalha em investigações. “Frequentemente também haverá dependências em diferentes sistemas: você desliga um, então isso significa que isso tem um efeito colateral em outro.”
Sempre que há um hack em qualquer parte de uma cadeia de suprimentos—seja um fabricante no topo da pirâmide ou uma empresa mais abaixo no pipeline—conexões digitais entre empresas podem ser severamente cortadas para impedir que atacantes se espalhem de uma rede para a outra. Conexões via VPNs ou APIs podem ser paradas, diz Cox. “Alguns podem até tomar medidas mais drásticas, como bloquear domínios e endereços IP. Então, coisas como e-mail não são mais utilizáveis entre as duas organizações.”
A complexidade das cadeias de suprimentos digitais e físicas, que se estendem por dezenas de empresas e sistemas de produção just-in-time, significa que é provável que trazer tudo de volta online e a plena capacidade leve tempo. MacColl, o pesquisador da RUSI, diz que questões de cibersegurança frequentemente não são debatidas no mais alto nível da política britânica—mas acrescenta que desta vez pode ser diferente devido à escala da interrupção. “Este incidente tem o potencial de cortá-lo porque as perdas de empregos e o fato de que os deputados em distritos afetados estarão recebendo chamadas,” diz ele. Essa mudança já começou.
“Este ciberataque não é apenas uma mera luz no painel, está se tornando uma onda de choque cibernética que despedaça nossas terras industriais,” disse Liam Byrne, membro do Parlamento e presidente do comitê de Comércio e Indústria da Câmara dos Comuns, no X. “Se o governo não intervir, essa onda de choque vai destruir empregos, negócios e salários em toda a Grã-Bretanha.” Outros legisladores também expressaram preocupações após conversarem com fornecedores da JLR impactados, e o sindicato Unite disse que o governo britânico deveria intervir com um esquema de “férias” para apoiar os trabalhadores.
“O recente incidente cibernético está tendo um impacto significativo na Jaguar Land Rover e na cadeia de suprimentos automotiva mais ampla,” disse o Departamento de Negócios e Comércio do Reino Unido em um comunicado na sexta-feira, após uma reunião com grupos da indústria automotiva. “O governo, incluindo especialistas em cibersegurança do governo, está em contato com a empresa para apoiar a tarefa de restauração das operações de produção, e está trabalhando em estreita colaboração com a JLR para entender quaisquer impactos na cadeia de suprimentos.”
O ataque provavelmente é mais um incidente que demonstra quão frágeis podem ser as cadeias de suprimentos quando enfrentam interrupções. “Precisamos mudar para uma cadeia de suprimentos mais resiliente e uma operação resiliente quando se trata de coisas como manufatura,” diz Shaikh, da Universidade de Swansea.
Enquanto isso, MacColl diz que, à medida que as tensões globais estão altas—com vários países tomando medidas para se preparar para a guerra—o ataque indica como a produção pode ser forçada a parar. “Se este é o efeito que criminosos podem ter em nossas cadeias de suprimentos, então é bem preocupante pensar em quão despreparados estamos, por exemplo, para um ataque mais coordenado e sustentado de um adversário estatal potencial,” diz MacColl.