יועץ אבטחת מידע   |   דצמבר 2, 2025

לקחים מאירוע הסייבר ששיתק את יגואר לנד־רובר (נזק מוערך: כ-2 מיארד ליש"ט)

המתקפה ששיתקה את יגואר לנד-רובר: מפעלים הושבתו למשך שבועות, עם נזק של כמעט 2 מיליארד ליש"ט. מה יכול כל ארגון ללמוד מכך?

מה קרה בפועל?

השבתה גלובלית, יום המכירות הגדול והפסד מצטבר

בספטמבר 2025 ספגה יגואר לנד־רובר (JLR) מתקפת סייבר חמורה שהובילה לכיבוי מערכות המידע (IT) הגלובליות ולעצירת הייצור במפעלים מרכזיים בבריטניה ובעולם.
האירוע התרחש ביום מכירות רגיש ביותר ("יום לוחית הרישוי החדשה") בבריטניה, מה שהחריף את ההפסדים: סוכנויות לא יכלו לרשום או למסור רכבים חדשים. המרכז הבריטי לביטחון סייבר (CMC) העריך השפעה כלכלית של כ־£1.9 מיליארד על המשק, בעיקר בשל אובדן תפוקת הייצור וההשלכות לשרשרת האספקה.

מי עומד מאחורי זה – ואיך הצליחו לחדור?

גניבת זהויות, הונאה קולית וקוד שדלף

במהלך 2025 זוהו כמה תוקפים מרכזיים:
• קבוצת HELLCAT אחראית לדליפת קבצים, קוד ומאגרי עובדים, ככל הנראה בעקבות גניבת פרטי גישה (Jira) ושימוש בתוכנות גניבת מידע (Info-Stealer).
• בהמשך, קבוצה המכונה Scattered Lapsus$ Hunters / ShinyHunters טענה לחדירה והציגה צילומי מסך של רשתות פנימיות ולוגים של מערכות הרכב.
התמונה שעלתה: לא מדובר בהכרח במתקפות Zero-Day מתוחכמות, אלא בכשלים בסיסיים – הנדסה חברתית, כגון הונאה קולית, Vishing, ודיוג, ניצול הרשאות רחבות מדיי, אימות רב־שלבי (MFA) לא עקבי, והפרדה (סגמנטציה) חלשה בתוך הרשת.
התוקפים ניצלו מפתחות גישה גנובים כדי לנוע בתוך הרשת ולשתק מערכות.

מדוע האירוע חשוב לכל ארגון – גם אם אינו יצרן רכב?

הסיכון הגדול: לא דליפת נתונים – אלא עצירת פעילות

אירוע JLR ממחיש שהסיכון הדומיננטי כיום הוא שיבוש תפעולי: עצירת קווי ייצור, פגיעה בספקים ובמפיצים והפסדי רווח.
טשטוש הגבולות: ב־JLR כל המערכות מחוברות: IT (מערכות המידע הרגילות) ו־OT (מערכות השליטה והבקרה של המפעלים והמכונות). כאשר הגבולות ביניהן מטושטשים, חדירה לחשבונות ארגוניים עלולה להוביל לעצירה גלובלית של מפעלים.
הקשר: גם ארגונים שאינם תעשייתיים פועלים בסביבה מקושרת (ממשקי API, צדדים שלישיים, שירותי ענן – SaaS) – ולכן ניהול זהויות, גישה ושרשרת האספקה הוא קו ההגנה העסקי האמיתי.

המלצות מאת מומחי אבטחת מידע של IPV Security (לדרגי IT, OT וההנהלה)

אסטרטגיה וממשל (דירקטוריון/הנהלה בכירה)

  1. להגדיר את סף הסיכון התפעולי ולמדוד מדדים קבועים, כגון זמני השבתה וזמן החזרה לתפוקת ייצור מלאה.
  2. לאשר תוכנית עמידות IT/OT הכוללת זיהוי נכסים קריטיים, תרחישי פגיעה ותוכנית התאוששות שמרנית.
  3. יש לזהות את נקודות התלות בשרשרת האספקה, ולבחון פתרונות ביטוח שיכסו שיבושים אצל קונים/לקוחות, ולא רק כשלים של ספק.

טכני־הגנתי  (CISO/CTO)

  1. זהויות וגישה: חובה להטמיע אימות רב־שלבי (MFA) לכל נכס רגיש, שימוש בגישת Just-In-Time, גישה ממוקדת מטרה ולזמן מוגבל.
  2. הפרדה והקשחה: סגמנטציה (הפרדה) בין רשתות IT לרשתות OT, מיקרו־סגמנטציה (הפרדה ברמת שרת), הקשחת מערכות ניהול בסיסיות.
  3. גילוי מוקדם: שימוש במערכות גילוי ותגובה (XDR/EDR) עם סף התרעות אגרסיבי לזיהוי חריגות בנפחי נתונים ובפעילות API לא שגרתית.
  4. ניהול ובקרת ממשקי API והגנה על מפתחות גישה (Secrets): מיפוי ממשקי API, כולל אלו שלא מדווחים (Shadow API), הגנה על מפתחות גישה ובקרה הדוקה על גישת צדדי ג' (כגון Jira/VPN).
  5. גיבויים ובדיקות שחזור: גיבוי מבודד ובלתי ניתן לשינוי (Immutable), בדיקות שחזור תכופות, תוכנית התאוששות "על הנייר" למצב ניתוק רשת מלא.

תפעול ותגובה  (SOC/OT)

  1. תרגול: תרגילי Red-Team דו־תחומיים (IT+OT) ותרגול תנועה רוחבית.
  2. מרכז פיקוד: תרגול "חדר מלחמה" (War Room) ותרחיש "עצירה מדורגת" של קווי ייצור.
  3. מודעות עובדים: הדרכה מתמשכת לגבי הונאות ותרגול דיווח מיידי על אירועים חשודים.

ביטוח ורגולציה:

  1. סקירת כיסויי ביטוח לשיבוש תפעולי (ולא רק לדליפת מידע).
  2. בניית קווי תקשורת מול הרגולטורים לקביעת פרמטרים לתמיכה באירוע מערכתי.

לסיכום,

מתקפת JLR אינה רק דליפת נתונים, אלא מכה תפעולית מערכתית. הלקח המרכזי הוא: יש להעדיף עמידות תפעולית על פני עמידה בתקנים בלבד, לחזק ולמגן את זהויות וגישת המשתמשים, לבודד את רשתות ה־IT וה־OT ולהתייחס ל־APIs ולצדדי ג' כאל נתיבי ייצור קריטיים. ארגונים שישקיעו בגילוי מוקדם, תרגול משותף ומוכנות שרשרת האספקה יצמצמו את הנזק הפיננסי וישמרו על אמון השוק בעת משבר.

למידע נוסף: https://cybermonitoringcentre.com/2025/10/22/cyber-monitoring-centre-statement-on-the-jaguar-land-rovercyber-incident-october-2025/

https://treblle.com/blog/jlr-breach-breakdown-analysis

https://www.cyfirma.com/research/investigation-report-on-jaguar-land-rover-cyberattack/

 

מעוניינים לבצע מבדקי חדירה תשתיתיים ואפליקטיביים? פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון
077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים
ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה