רק היום אמורה להתחיל יגואר-לנד רובר (JLR) להתחיל שוב ייצור מוגבל, חודש ושבוע אחרי שמתקפת סייבר מסתורית שיתקה את מי שהיא כיום יצרנית הרכב הבריטית הגדולה ביותר, אף שהיא בבעלות טאטא ההודית. המפעל הראשון שאמור לשוב לפעולה הוא מפעל המנועים בוולברהאמפטון.
לפי ההערכות גורם האירוע לחברה הפסד ישירה של כ-50 מיליון ליש"ט ביום, מאובדן ייצור של כ-1,000 מכוניות ביום. אבל מדובר בדרמה גדולה יותר למשק הבריטי: יגואר ולנד-רובר מעסיקות ישירות 33 אלף איש בממלכה ועוד כ-100 אלף באופן עקיף אצל ספקים ונותני שירותים.
אחרי שספקים הזהירו מפשיטת רגל עקב עצירת ההזמנות, הודיעה ממשלת בריטניה שתעניק ערבות להלוואה בסך 1.5 מיליארד דולר לחברה, שרובה מיועדת לתשלומים לספקים. יגואר ממילא הקפיאה את הייצור עוד בשנה שעברה כחלק ממהלך שנוי במחלוקת לשוב כיצרנית פאר על שתתחרה ברולס רויס ובבנטלי. אבל לנד רובר דווקא נהנית מגאות במכירות בשנים האחרונות, ועובדת על כמה דגמים מסקרנים כמו ריינג' רובר חשמלי ובייבי דיפנדר.
ואת האירוע הזה היה מי שניסה למנוע. השבוע נחשף בבלומברג שחברת הסייבר הישראלית דיפ ספקטר העבירה ל-JLR אזהרה כחודשיים וחצי לפני שדיווחה על האירוע, על סימנים מקדימים למתקפה נגדה. דיפ ספקטר היא חברת סייבר צעירה, שהוקמה רק השנה בידי שייע פידמן, לשעבר ראש תחום אבטחת סייבר בפורשה דיגיטל, הזרוע הטכנולוגית של קבוצת פורשה.
בשיחה עם וואלה רכב מנסה פידמן להעריך מה בדיוק השתבש ב-JLR, מי מייחד את המתקפה, ומי היא מהווה סיוט שהתממש. "הטכנולוגיה שברשותנו מאפשרת לנו לזהות כוונה של קבוצות תקיפה לפרוץ לחברה ספציפית", אומר פידמן. "מדובר בטכנולוגיה יחודית שאינה מתבססת על מודיעין סייבר בלבד. דיפ ספקטר יודעת לאתר מבעוד מועד קמפיינים של האקרים אשר שמים לעצמם חברה מסוימת כמטרה. במקביל לכך מה שחיזק את הערכתנו היה שראינו קורלציה בין כמות המידע הרגיש שדלף מיגואר ולנד רובר לדארקנט, מה שמחזק את הערכתנו שלא מדובר בקמפיין נקודתי".
בעולם האבטחה מקובל ש'האקרים לבנים', כלומר מומחי אבטחה שעוסקים בזיהוי פרצות ואיומים מהצד ההגנתי, ולא הפלילי, נוהגים להתריע אודותיהם לחברות ולאירגונים שנמצאים על הכוונת. הרגולציה האירופית מחייבת חברות ביבשת להחזיק תיבות דואר אלקטרוני מאובטחות בדיוק עבור אזהרות כאלה.
"פנינו למייל הזה ושאלנו כיצד הם רוצים לקבל את הפרטים. עד היום לא קיבלנו תשובה. גם אחרי שפורסם על השבתת החברה פנינו שוב. אנחנו עדיין ממתינים. חברות אחרות שפנינו אליהן עם מידעים כאלה חזרו אלינו תוך עשר דקות", אומר פידמן. JLR סירבה להגיב לבקשת בלומברג לתגובה מדוע התעלמה מההתרעות שקיבלה.
מה כל כך חריג במתקפה הזאת? כל הזמן יש מתקפות וניסיונות להוציא מידע מחברות עסקיות.
"זה בדיוק העניין. לא מדובר במתקפה של כמה פושעים שרוצים לגנוב פרטי כרטיסי אשראי. זה גם לא נראה כמו מתקפת כופרה, שבה בדרך כלל מכוונים לחלקים בארגון שמחזיקים מידע קריטי, משתלטים עליו, מצפינים אותו ודורשים כופר כדי לשחרר אותו. כאן מדובר במתקפה שעומד מאחוריה גוף מממומן היטב, שיכול היה להשקיע באיסוף המידע ובהכנות, בלעבור ממחשב למחשב בלי שיזהו אותו. השקעה של מיליונים עם הכנות שכנראה נמשכו שנה-שנתיים, לא חודש-חודשיים. זה לא אירוע פלילי רגיל".
איך האקרים יכולים לגרום למפעל רכב, שלושה פסי ייצור למעשה, להיעצר?
"הדבר הכי רגיש אצל יצרן רכב הוא פס הייצור. משאיות מובילות אליו רכיבים, ממשטחי פלדה ועד כסאות ודשבורדים, ומהצד השני יוצאות מכוניות מוגמרות. הכל מתואם ומדויק, קונצרט של עשרות חברות ואלפי עובדים. פס הייצור עובד רצוף כל השנה, ומושבת רק לשבועיים לאחזקת המכונות, אלא אם מזוהה אירוע בטיחותי חמור שההשלכות של לא לעצור בגללו יהיו חמורות מאשר של להמשיך.
"יצרני רכב מחזיקים 'צוות אדום' שיתקוף את מכונות הייצור, לפעמים כאלה משנות ה-80 הרבה לפני שהמציאו הגנת סייבר, ויחפש פרצות. האקרים שעובדים מטעמו כדי למנוע מהאקרים חורשי רעות לפרוץ. היצרן חייב לדעת לנתק את הרשת של פס הייצור משאר הפעילות, או לנטר באופן חסר טעויות כל מידע שמגיע אליה, כדי להבטיח שאינו זדוני. זאת החולשה של היצרנים, ובדרך כלל הם מתייחסים אליה בשיא הרצינות".
איפה הרגולטורים בעניין הזה?
"לרגולטור באירופה יש דרישות מאוד ברורות מהיצרנים, וחזון מה הוא מצפה מהם לעשות. אבל יש כאלה שרק מסמנים 'וי', ולא ממש יורדים לנבכי הבעיה".
זה יכול לקרות גם ליצרנים אחרים?
"זה קורה ברגעים אלה. יש גל של קמפיינים נגד תעשיית הרכב, שלא ברור מה מקורו. העברנו אזהרות על דברים שזיהינו לב.מ.וו, וגם ליצרנים אחרים. לכן יצרני הרכב רועדים עכשיו. עד היום פסי ייצור נעצרו באירועים כמו מלחמות עולם. עכשיו זה קורה בפעם הראשונה בגלל מתקפת סייבר".