Il rapporto tra data breach e filiera di fornitori è spesso sottovalutato nonostante, da oltre un decennio, le buone prassi stabiliscano metodi e approcci utili a regolarlo. Di recente c’è stato un data breach piuttosto imponente che ha rimesso al centro del dibattito la questione.
Il caso Jaguar – Land Rover
Nei primi giorni di settembre, la casa automobilistica Jaguar – Land Rover è stata colpita da un data breach molto pervasivo. Oltre ai “canonici” problemi che ormai sono noti a chi s’interessa del settore, il caso JLR è importante perché dal momento dell’attacco, la produzione di auto si è interrotta e non è ripartita. In un articolo di Wired, pubblicato il 28 settembre, l’autore Matt Burgess scrive:
Se normalmente gli impianti dell’azienda producono circa mille veicoli al giorno, ora migliaia di dipendenti sono rimasti a casa in attesa che l’azienda risolva un grave attacco informatico.
Il caso è così tanto impattante che il danno derivante da questo attacco è annoverabile a circa 58 milioni di euro settimanali (circa 50 milioni di sterline). È una cifra sconsideratamente elevata, soprattutto alla luce dei danni secondari che vedono in prima fila sindacati e operai al momento senza lavoro. L’attacco è stato considerato “senza precedenti” da Jamie MacColl ricercatore del gruppo di ricerca su tecnologia e sicurezza informatica presso il Royal United Services Institute (R.U.S.I.) e ha messo in allarme gli apparati governativi e istituzionali inglesi. Tuttavia questo attacco è particolarmente pericoloso anche per un altro motivo: ad esser stata colpita non è solo la JLR ma l’intera filiera produttiva e quindi anche i fornitori che, di riflesso, hanno subito danni di diversa caratura. L’attacco, apparentemente rivendicato da Scattered Lapsus$ Hunters ha comportato quindi un’interruzione del processo di dipendenza critica dai fornitori. Di seguito si riportano tutti i comunicati in ordine cronologico con testo originale e traduzione.
| Data | Comunicato | Traduzione |
|---|---|---|
| 29/09/2025 | A spokesperson for JLR said: ” As the controlled, phased restart of our operations continues, we are taking further steps towards our recovery and the return to manufacture of our world-class vehicles. Today we are informing colleagues, retailers and suppliers that some sections of our manufacturing operations will resume in the coming days. We continue to work around the clock alongside cybersecurity specialists, the UK Government’s NCSC and law enforcement to ensure our restart is done in a safe and secure manner. We would like to thank everyone connected with JLR for their continued patience, understanding and support. We know there is much more to do but the foundational work of our recovery is firmly underway, and we will continue to provide updates as we progress.” | Un portavoce di JLR ha dichiarato: “Mentre continua il riavvio controllato e graduale delle nostre operazioni, stiamo compiendo ulteriori passi verso la nostra ripresa e il ritorno alla produzione dei nostri veicoli di livello mondiale. Oggi informiamo colleghi, rivenditori e fornitori che alcune sezioni delle nostre operazioni di produzione riprenderanno nei prossimi giorni. Continuiamo a lavorare 24 ore su 24 insieme agli specialisti della sicurezza informatica, all’NCSC del governo britannico e alle forze dell’ordine per garantire che la nostra ripartenza avvenga in modo sicuro e protetto. Vorremmo ringraziare tutti coloro che sono collegati a JLR per la loro continua pazienza, comprensione e supporto. Sappiamo che c’è ancora molto da fare, ma il lavoro fondamentale della nostra ripresa è saldamente in corso e continueremo a fornire aggiornamenti man mano che progrediamo.” |
| 25/09/2025 | As part of the controlled, phased restart of our operations, today we have informed colleagues, suppliers and retail partners that sections of our digital estate are now up and running. The foundational work of our recovery programme is firmly underway. We have significantly increased IT processing capacity for invoicing. We are now working to clear the backlog of payments to our suppliers as quickly as we can.Our Global Parts Logistics Centre, which supplies the parts distribution centres for our retailer partners in the UK and around the world, is now returning to full operations.This will enable our retail partners to continue to service our clients’ vehicles and keep our customers mobile.The financial system we use to process the wholesales of vehicles has been brought back online and we are able to sell and register vehicles for our clients faster, delivering important cash flow.These are important initial steps as our dedicated teams work around the clock alongside cybersecurity specialists, the UK Government’s NCSC and law enforcement to ensure we restart in a safe and secure manner. Our focus remains on supporting our customers, suppliers, colleagues and our retailers. We fully recognise this is a difficult time for all connected with JLR and we thank everyone for their continued support and patience. | Come parte del riavvio controllato e graduale delle nostre operazioni, oggi abbiamo informato colleghi, fornitori e partner commerciali che sezioni del nostro patrimonio digitale sono ora operative. Il lavoro fondamentale del nostro programma di ripristino è saldamente in corso. Abbiamo aumentato significativamente la capacità di elaborazione IT per la fatturazione. Stiamo ora lavorando per eliminare il più rapidamente possibile l’arretrato dei pagamenti ai nostri fornitori. Il nostro Global Parts Logistics Centre, che fornisce i centri di distribuzione ricambi per i nostri partner commerciali nel Regno Unito e in tutto il mondo, sta tornando a pieno regime. Ciò consentirà ai nostri partner commerciali di continuare a fornire assistenza ai veicoli dei nostri clienti e di mantenere i nostri clienti mobili. Il sistema finanziario che utilizziamo per elaborare la vendita all’ingrosso dei veicoli è stato rimesso online e siamo in grado di vendere e immatricolare i veicoli per i nostri clienti più velocemente, garantendo un importante flusso di cassa. Questi sono importanti passi iniziali mentre i nostri team dedicati lavorano 24 ore su 24 insieme a specialisti di sicurezza informatica, il NCSC del governo del Regno Unito e le forze dell’ordine per garantire un riavvio in modo sicuro e protetto. La nostra attenzione rimane sul supporto ai nostri clienti, fornitori, colleghi e ai nostri rivenditori. Riconosciamo pienamente che questo è un momento difficile per tutti coloro che sono collegati a JLR e ringraziamo tutti per il loro continuo supporto e pazienza. |
| 23/09/2025 | Today we have informed colleagues, suppliers and partners that we have extended the current pause in production until Wednesday 1 October 2025, following the cyber incident. We have made this decision to give clarity for the coming week as we build the timeline for the phased restart of our operations and continue our investigation. Our teams continue to work around the clock alongside cybersecurity specialists, the NCSC and law enforcement to ensure we restart in a safe and secure manner. Our focus remains on supporting our customers, suppliers, colleagues, and our retailers, who remain open. We fully recognise this is a difficult time for all connected with JLR and we thank everyone for their continued support and patience. | Oggi abbiamo informato colleghi, fornitori e partner che abbiamo esteso l’attuale sospensione della produzione fino a mercoledì 1° ottobre 2025, a seguito dell’incidente informatico. Abbiamo preso questa decisione per dare chiarezza per la prossima settimana mentre costruiamo la tempistica per il riavvio graduale delle nostre operazioni e continuiamo la nostra indagine. I nostri team continuano a lavorare 24 ore su 24 insieme a specialisti di sicurezza informatica, il NCSC e le forze dell’ordine per garantire un riavvio in modo sicuro e protetto. La nostra attenzione rimane sul supporto ai nostri clienti, fornitori, colleghi e ai nostri rivenditori, che rimangono aperti. Riconosciamo pienamente che questo è un momento difficile per tutti coloro che sono collegati a JLR e ringraziamo tutti per il loro continuo supporto e pazienza. |
| 16/09/2025 | Today we have informed colleagues, suppliers and partners that we have extended the current pause in our production until Wednesday 24th September 2025. We have taken this decision as our forensic investigation of the cyber incident continues, and as we consider the different stages of the controlled restart of our global operations, which will take time. We are very sorry for the continued disruption this incident is causing and we will continue to update as the investigation progresses. | Oggi abbiamo informato colleghi, fornitori e partner che abbiamo esteso l’attuale sospensione della nostra produzione fino a mercoledì 24 settembre 2025. Abbiamo preso questa decisione mentre la nostra indagine forense sull’incidente informatico continua, e mentre consideriamo le diverse fasi del riavvio controllato delle nostre operazioni globali, che richiederà tempo. Siamo molto dispiaciuti per la continua interruzione che questo incidente sta causando e continueremo ad aggiornare man mano che l’indagine progredisce. |
| 10/09/2025 | Since we became aware of the cyber incident, we have been working around the clock, alongside third‑party cybersecurity specialists, to restart our global applications in a controlled and safe manner. As a result of our ongoing investigation, we now believe that some data has been affected and we are informing the relevant regulators. Our forensic investigation continues at pace and we will contact anyone as appropriate if we find that their data has been impacted. We are very sorry for the continued disruption this incident is causing and we will continue to update as the investigation progresses. | Dalla data in cui siamo venuti a conoscenza dell’incidente informatico, abbiamo lavorato 24 ore su 24, insieme a specialisti di sicurezza informatica di terze parti, per riavviare le nostre applicazioni globali in modo controllato e sicuro. A seguito della nostra indagine in corso, riteniamo ora che alcuni dati siano stati compromessi e stiamo informando le autorità di regolamentazione competenti. La nostra indagine forense prosegue rapidamente e contatteremo chiunque sia opportuno se scopriremo che i loro dati sono stati coinvolti. Siamo molto dispiaciuti per la continua interruzione causata da questo incidente e continueremo a fornire aggiornamenti man mano che l’indagine progredisce. |
| 06/09/2025 | We continue to work around the clock to restart our global applications in a controlled and safe manner following the recent cyber incident. We are working with third‑party cybersecurity specialists and alongside law enforcement. We want to thank all our customers, partners, suppliers and colleagues for their patience and support. We are very sorry for the disruption this incident has caused. Our retail partners remain open and we will continue to provide further updates. | Continuiamo a lavorare 24 ore su 24 per riavviare le nostre applicazioni globali in modo controllato e sicuro a seguito del recente incidente informatico. Stiamo collaborando con specialisti di sicurezza informatica di terze parti e con le forze dell’ordine. Vogliamo ringraziare tutti i nostri clienti, partner, fornitori e colleghi per la loro pazienza e il loro supporto. Siamo molto dispiaciuti per l’interruzione causata da questo incidente. I nostri partner di vendita al dettaglio rimangono aperti e continueremo a fornire ulteriori aggiornamenti. |
| 02/09/2025 | JLR has been impacted by a cyber incident. We took immediate action to mitigate its impact by proactively shutting down our systems. We are now working at pace to restart our global applications in a controlled manner. At this stage there is no evidence any customer data has been stolen but our retail and production activities have been severely disrupted. | JLR è stata colpita da un incidente informatico. Abbiamo agito immediatamente per mitigarne l’impatto spegnendo proattivamente i nostri sistemi. Stiamo lavorando rapidamente per riavviare le nostre applicazioni globali in modo controllato. In questa fase non ci sono prove che siano stati rubati dati dei clienti, ma le nostre attività di vendita al dettaglio e di produzione sono state gravemente interrotte. |
I costi che Jaguar Land Rover sta sostenendo sono altissimi. Un primo prestito da 1,7 miliardi di euro (con garanzia del Regno Unito) è necessario per fronteggiare le conseguenze dell’attacco hacker mentre un secondo prestito da 2,3 miliardi di euro è stato usato per alleggerire la pressione finanziaria sulla compagnia. È bene tenere presente che se JLR sta uscendo dal periodo più difficile, Renauld e Dacia stanno entrando in queste ore nella gestione di un nuovo attacco che, si spera, non sia di uguale impatto.
La dipendenza critica
La dipendenza critica si verifica quando l’intera catena di produzione o una sua parte fondamentale dipende in maniera significativa da un singolo fornitore (o da un ristretto gruppo di fornitori) per un componente, un materiale o un servizio senza i quali l’assemblaggio o la consegna del veicolo non possono procedere. Le caratteristiche della dipendenza critica, generalmente sono le seguenti:
- Unicità del fornitore: se solo un’azienda produce un determinato componente (es. un microchip per la centralina, un airbag, un catalizzatore), l’OEM (Original Equipment Manufacturer, cioè la casa automobilistica) è legato a quel fornitore in modo critico.
- Assenza di alternative immediate: la mancanza di fornitori alternativi con la stessa capacità, qualità o certificazione comporta che un’interruzione (sciopero, incendio, fallimento, guerra, crisi geopolitica, shortage di materie prime) blocchi la produzione.
- Effetto a cascata: se il componente è necessario per l’assemblaggio finale e non può essere sostituito o bypassato, l’intero processo si ferma anche se tutti gli altri fornitori consegnano
Il problema della dipendenza critica è che la riorganizzazione richiesta per far fronte all’emergenza, potrebbe avere tempi e costi troppo elevati rispetto alle risorse disponibili. Inoltre, come spiegato nell’effetto a cascata è facile che questo generi “colli di bottiglia” nel processo produttivo.
Filiera produttiva, guerre e dominio cyber
Nel febbraio del 2014 una Mercedes procedeva spedita su una strada americana, alla guida un imprenditore locale. All’improvviso e senza nessuna avvisaglia, il voltante gli esplode in faccia: l’aribag si gonfia, il guidatore perde la presa dal volante, la macchina sbanda, si capovolge, l’uomo muore. A distanza di pochissime settimane si cominciano a sommare incidenti simili, ma non ci sono solo Mercedes ma anche Toyota, BMW, Volkswagen. Sembrava che le auto fossero impazzite tutte assieme e invece tutto era collegato da un unico fornitore: la Takata Corporation. Nel 2015 in USA vengono richiamati 34 milioni di autovetture. La Takata dovrà pagare lo storico risarcimento di 940 milioni di dollari e, di conseguenza, nel 2017 la Takata Corporation dichiarerà bancarotta. Tutto questo ha avuto un impatto devastante sulla produzione automobilistica mondiale: dalla Germania agli Stati Uniti, passando per il Giappone. La Takata è il classico esempio di cosa accade quando vi è una dipendenza critica in una filiera produttiva delicata come quella automobilistica o quella aeronautica.
Il caso JLR ha lasciato emergere molti commenti stupiti dalle conseguenze di un attacco cyber. È una reazione sprovveduta: chi non considera la filiera di produzione in ottica di cybersecurity, ha una visione semplicemente miope. In questo portale sono stati dedicati diversi articoli all’importanza della filiera dei fornitori (ad esempio “NIS 2 – Informazioni, sicurezza e fornitori“). Dobbiamo tenere in considerazione che l’economia europea è strettamente interconnessa e, tra l’altro, è carente di alcune tecnologie di settore che acquisisce per necessità da mercati esteri. La manipolazione della cosiddetta supply chain può produrre effetti di diversa portata con intensità tutt’altro che trascurabili; il caso della JLR dovrebbe essere un esempio più che sufficiente.
Apporto internazionale sulle buone prassi e punti di fallimento
Come scritto all’inizio dell’articolo, le buone prassi internazionali (gli standard) prevedono, da oltre un decennio, che venga posta doverosa attenzione ai rapporti con il fornitore. Questa attenzione si formalizza certamente all’interno di un contratto con i dovuti livelli di servizio ma non solo. Le strategie di comunicazione e di gestione degli incidenti sono l’aspetto centrale, inoltre è bene capire che non si può fare a meno di tenere in considerazione la dipendenza critica come fattore impattante nello scenario produttivo. In informatica i concetti di replica, deduplica e ridondanza sono essenziali ma richiedono opportune strategie attuative, senza le quali l’attivazione di queste capacità naufragherebbe. Questo ci porta ad approfondire un secondo aspetto d’interesse: il single point of failure. Il punto singolo di fallimento è quell’elemento che genera la dipendenza critica perché, alla sua compromissione, genera un’interruzione su vasta scala del servizio. AWS, Microsoft Azure e Google Cloud controllano la maggior parte del mercato; un’interruzione in una loro regione può fermare servizi globali con ripercussioni vaste e poco gestibili. Gran parte del mondo enterprise dipende da Microsoft Windows Server o da Linux Red Hat/Ubuntu certificati; problemi di licenze, vulnerabilità o policy di supporto errate possono bloccare interi ecosistemi. Alcune falle di prodotti sono in grado di produrre conseguenze su vasta scala in modo contemporaneo: s’immagini falle zero-day ad antivirus o apparati di sicurezza largamente diffusi.
- Nel luglio 2024, DigiCert ha scoperto un errore nel modo in cui verificava che un richiedente di certificato avesse effettivamente il controllo sul dominio (DCV). Sono stati erroneamente revocati decine di migliaia di certificati SSL (link di approfondimento).
- Fortinet ha rilasciato patch per due vulnerabilità in dispositivi firewall che sono state attivamente sfruttate in attacchi ransomware. Molte aziende che non avevano applicato le patch sono rimaste vulnerabili (circa 50.000), con esposizione via interfaccia management pubblica. Questo evidenzia quanto una singola falla in un vendor di sicurezza di rete possa compromettere decine di migliaia di dispositivi a cascata (link di approfondimento).
La dipendenza da un singolo soggetto può rivelarsi molto complicata da gestire quando il single point of failure viene colpito da un incidente, trascinando con se i suoi clienti. È quindi necessario agire in più modi:
- A monte: con una progettazione chiara dell’architettura, che possa garantire ridondanza, alta disponibilità e anche georidondanza se necessario.
- Nel durante: con la definizione di contratti di fornitura solidi e di strategie di monitoraggio e gestione degli incidenti aggiornate ed efficaci.
- A valle: con capacità di risposta agli incidenti, di ripristino adeguate e di gestione del disastro (disaster recovery) comprovate.
Conclusione
Il recente aumento di complessità geopolitica, favorisce la concentrazione di attacchi cyber in organizzazioni specializzate di settore. Queste aziende, fino ad oggi, hanno avuto ben pochi problemi di gestione degli incidenti informatici o, comunque, non si sono dovute preoccupare di curare gli aspetti di continuità operativa e disaster recovery. È bene che si capisca che queste organizzazioni potrebbero diventare, loro malgrado, direttamente o indirettamente parte di un incidente cyber teso a bloccare e alterare l’integrità dell’intera filiera di produzione e, in alcuni casi, danneggiare sensibilmente l’economia di un determinato paese. Sviluppare piani alternativi garantisce una risposta quanto più efficiente possibile, non permette di fare miracoli ma nemmeno di navigare ciecamente al buio.
