Pod koniec sierpnia 2025 r. cyberatak zatrzymał produkcję w zakładach Jaguar Land Rover. To jeden z największych incydentów w historii brytyjskiego przemysłu – nie tylko przez rozgłos, ale przez realne straty: szacunki mówią o £1,9 mld kosztów i ponad 5 000 dotkniętych firm w łańcuchu dostaw.

Nie dziwi więc, że Cyber Monitoring Centre (CMC) zaklasyfikowało to zdarzenie jako kategorię 3 w swojej „cyfrowej skali huraganu” dla cyberataków.

Co się wydarzyło

W ostatnim tygodniu sierpnia zespół JLR nagle wyłączył systemy produkcyjne i logistyczne w kilku fabrykach w Wielkiej Brytanii. Produkcja stanęła na prawie pięć tygodni. W tym czasie JLR tracił ok. 5 000 pojazdów tygodniowo, a same koszty przestoju szacowano na ponad £100 mln tygodniowo.

Rząd UK udzielił firmie gwarancji kredytowej na £1,5 mld, by zabezpieczyć płynność, choć – według CMC – nie musiała być wykorzystana.

Kim jest CMC i po co ta „macierz”

Cyber Monitoring Centre to niezależna, non-profit organizacja z Wielkiej Brytanii, która klasyfikuje duże incydenty cybernetyczne. Stworzyła coś w rodzaju macierzy ryzyka – prosty wykres pokazujący:

  1. ile organizacji zostało dotkniętych,
  2. jakie były łączne koszty ekonomiczne.

Na tej podstawie przydziela kategorię od 1 (lokalne, małe zdarzenie) do 5 (systemowy kryzys).

W praktyce: oś X to procent firm w UK, które ucierpiały; oś Y – finansowy wpływ (np. 10 mln, 100 mln, 1 mld £).

Jaguar Land Rover wylądował dokładnie w środku macierzy – kategoria 3, czyli „systemowe zdarzenie o dużym wpływie”.

Jak do tego doszło

Oficjalnie JLR nie ujawnił, jaki był wektor ataku.

Ale z publicznych analiz i raportów branżowych wyłania się spójny obraz:

Ostrożne wnioski sugerują, że infrastruktura JLR została naruszona poprzez skradzione dane logowania, a wykorzystanie luki w oprogramowaniu SAP NetWeaver (CVE-2025-42999) mogło ułatwić późniejszą eskalację uprawnień i paraliż sieci.

Niektóre źródła (m.in. Treblle i IRM India) wskazują też na phishing i vishing – czyli podszywanie się pod pracowników i partnerów JLR w celu wyłudzenia poświadczeń.

Efekt: atak, który zaczął się jak „typowy incydent IT”, przerodził się w paraliż produkcji.

Co z tego wynika

Dla firm produkcyjnych to lekcja, że „cyber” i „operacje” to już jedno i to samo.

Luka w systemie ERP, jedno skradzione konto, czy zbyt płytka segmentacja sieci mogą zatrzymać linie montażowe.

Warto zapamiętać:

  1. Segmentuj sieć IT/OT – nawet jeśli „to tylko ERP”.
  2. Regularnie testuj plan odtworzeniowy (BCP, DRP).
  3. Weryfikuj dostawców – wiele firm ucierpiało nie bezpośrednio, tylko jako część łańcucha dostaw JLR.
  4. Edukacja użytkowników to nie banał. Phishing i socjotechnika wciąż wygrywają z technologią.

Na koniec – spojrzenie z naszej strony

W Security Mindset, jako partner KnowBe4, widzimy w tej historii coś więcej niż incydent – to przestroga o wartości świadomości i nawyków.
Technologia zawiodła dopiero wtedy, gdy człowiek dał się oszukać.

Chcesz sprawdzić, jak Twoja organizacja zareagowałaby na podobny scenariusz?
Skontaktuj się z nami – możemy zaproponować bezpłatny test phishingowy, aby sprawdzić realną sytuację w firmie.



Źródła: Cyber Monitoring Centre (Statement 22.10.2025), IRM India, Treblle, CSU UK, ExtraHop, Industrial Cyber.