Brittiläinen autonvalmistaja Jaguar Land Rover (JLR) joutui elokuun lopulla kyberhyökkäyksen kohteeksi, ja tästä seurasi dominoefekti, joka vaikutti myös kansallisella tasolla. Brittihallitus päätyi myöntämään Jaguar Land Roverille 1,5 miljardin punnan lainatakauksen. Kyseessä on ensimmäinen kerta, kun Briteissä toimiva yritys saa valtion taloudellista tukea kyberiskun vuoksi.
Tämä on kiinnostava ennakkotapaus ja nostaa kysymyksiä kyberturvallisuuden kansallisesta merkityksestä ja vaikutuksista.
Käyn lyhyesti läpi, mitä Briteissä tapahtui.
Tuotantokatkoksen mittavat vaikutukset
Kyberhyökkäys alkoi 31. elokuuta 2025 ja pysäytti JLR:n tuotannon täysin. Iskun ajoitus ei ollut sattumaa: hyökkäys tapahtui päivää ennen Britannian ’New Plate Day’ (1.9.), joka on yksi vuoden tärkeimmistä autonmyyntipäivistä. Yhtiö joutui sulkemaan kaikki autotehtaansa järjestelmineen. Tehtaiden tuotanto on ollut tätä kirjoitettaessa pysähdyksissä koko syyskuun, mutta avaamista valmistellaan.
Järjestelmien alasajo viittaa siihen, että hyökkääjät pääsivät käsiksi arkaluonteiseen infrastruktuuriin. Se voi vihjata IT-OT (operational technology) -integraation mahdolliseen haavoittuvuuteen. Autoteollisuuden tuotanto on vahvasti riippuvainen integroiduista valmistuksen ohjausjärjestelmistä, logistiikkajärjestelmistä ja toimittajaportaaleista.
Jaguar Land Roveria kohdanneen totaalisen tuotantoseisokin on arvioitu maksavan yhtiölle 50 miljoonaa puntaa viikossa, eli noin 200 miljoonaa puntaa (noin 230M€) kuukaudessa. Joidenkin arvioiden mukaan toteutunut liikevaihdon menetys voi kuitenkin nousta jopa 1,7–2,6 miljardiin puntaan kuukaudessa, jos tappioihin lasketaan myös käteisvarojen nopea käyttö sekä toteutumatta jäänyt myynti. Financial Times on arvioinut, että jos tuotantoseisokki jatkuu marraskuulle, kokonaisvaikutus voi olla jopa 4,7 miljardia dollaria.
Hyökkäys aiheutti toimitusketjussa kansallisesti erittäin vakavan tilanteen. Yhtiön 700 toimittajasta monet ovat pk-yrityksiä, joista osa toimittaa komponentteja yksinomaan JLR:lle. Osalla näistä toimittajista kassavarat ovat loppumassa. Toimitusketju työllistää suoraan noin 100 000 ihmistä ja lisäksi vaikutukset ulottuvat välillisesti kymmeniin tuhansiin työpaikkoihin.
Huolestuttavaa on myös se, että maaliskuussa 2025 Jaguar Land Rover joutui HELLCAT‑ryhmän tietomurron kohteeksi. Tällöin heiltä varastettiin 700+ sisäistä dokumenttia, lähdekoodia ja työntekijätietoja käyttäen varastettuja Jira-tunnuksia.
Hyökkäyksen takana oli nyt Scattered Lapsus$ Hunters -ryhmä, jolla on yhteyksiä useisiin tunnettuihin hakkerikollektiiveihin. Sama ryhmä on iskenyt aiemmin tänä vuonna muun muassa vähittäiskauppaketju Marks & Spenceriin, jolle aiheutui merkittäviä häiriöitä.
Kuusi tietoturvallisuusnäkökulmaa pohdittavaksi
Listasin tapauksen inspiroimana joitakin näkökulmia suomalaisille yrityksille ja organisaatioille, ja kaikille tietoturvasta päättäville pohdittavaksi:
1. Kyberturva on vahvasti myös kansallisen turvallisuuden kysymys
Kun kriittinen teollisuudenala halvaantuu viikoiksi, vaikutukset ulottuvat kansantalouteen. JLR:n tapaus käsiteltiin Britannian parlamentissa ja kansanedustajat vertasivat sitä muihin merkittäviin kyberiskuihin, kuten kesäkuun 2024 Synnovis-hyökkäykseen. Tuolloin venäläinen hakkeriryhmä lamaannutti Lontoon sairaaloiden mm. verikokeita
tarjoavan yksikön (osa NHS:aa, National Health Service). Se johti yli 10 000 tutkimuksen ja ajanvarauksen peruuntumiseen sekä herätti huolen potilasturvallisuudesta. Tällaiseen varautuminen edellyttää päättäjiltä terävää ja laaja-alaista ajattelua.
2. Kriisimekanismit on laadittava etukäteen
Kyberkriisissä tarvitaan ennalta määriteltyjä tukimekanismeja sekä organisaation että valtiollisella tasolla. JLR:n tapauksessa Britannian hallitus reagoi nopeasti lainatakauksella. Suomessa tulisikin pohtia, miten vastaavassa tilanteessa toimittaisiin: onko meillä valmiina riittäviä tukimekanismeja kriittisten yritysten tai julkishallinnon yksikön auttamiseksi? Kuka tekee päätökset ja millä aikajänteellä?
3. Järjestelmien segmentointi on välttämätöntä
Tapaus nostaa esiin kysymyksen järjestelmien segmentoinnista: hyökkääjät onnistuivat liikkumaan laajasti verkossa, mikä viittaa siihen, ettei eriytys ollut riittävä. Kun hakkerit pääsivät yhteen järjestelmään, he pääsivät kaikkialle – JLR ei kyennyt eristämään tehtaita tai toimintoja toisistaan. Kriittisten järjestelmien eriyttäminen olisi osaltaan voinut rajata vahinkoja.
4. Toimitusketjun haavoittuvuus on aliarvioitu riski – muista NIS2
Yksi onnistunut kyberisku voi vaikuttaa satoihin yrityksiin dominoefektin tavoin. Erityisesti autoteollisuuden kaltaisilla toimialoilla, joissa ns. ‘just-in-time’ -tuotanto on tavallista, keskeytykset voivat olla katastrofaalisia. Yritysten tulisi kartoittaa kriittiset riippuvuutensa ja miettiä varasuunnitelmia: mitä tapahtuu, jos keskeinen kumppani joutuu kyberhyökkäyksen kohteeksi?
Euroopassa kasvaviin kyberuhkiin on vastattu NIS2-direktiivillä. Direktiivi velvoittaa kriittiset toimialat, kuten terveydenhuollon, energiasektorin ja liikenteen, toteuttamaan vahvaa riskienhallintaa, järjestelmien selkeää eriyttämistä sekä toimitusketjujen turvallisuuden varmistamista – juuri niitä toimenpiteitä, joiden puuttuminen kostautui JLR:lle ja NHS:lle. (Lue kirjoitukseni NIS2:sta.)
5. Huolehdi ulkoistusten turvallisuudesta
Vaikka JLR:llä oli 800 miljoonan punnan kyberturvallisuus‑ ja IT‑tukisopimus Tata Consultancy Servicesin kanssa, tapaus osoittaa, että merkittävätkään investoinnit eivät yksin riitä estämään kohdennettuja hyökkäyksiä. Ulkoistus ei saa tarkoittaa vastuun siirtämistä: organisaation on varmistettava, että kumppanit ylläpitävät riittävää turvallisuustasoa.
6. Vakuutusturva kannattaa varmistaa ajoissa
Tapaus muistuttaa myös siitä, että kybervakuutuksen puuttuminen voi tulla kalliiksi. Jos toimialanne tätä edellyttää, kannattaa hankkia tämä lisäturva. Vakuutusta ei tietenkään voi saada kriisin jo käynnistyttyä. Huomioi, että monet vakuutusyhtiöt antavat alennuksia, jos yrityksellä on esimerkiksi ISO 27001 -sertifikaatti.
Kansallinen turvallisuus edellyttää panostuksia resilienssiin
Briteissä kansallinen kyberturvallisuus nousi nopeasti poliittiselle agendalle. Jaguar Land Roverin tapaus muistuttaa, että kyberhyökkäykset eivät ole vain CISOjen ja tietohallinnon ongelma. Ne ovat myös kansallinen uhka, joka voi pysäyttää toimialoja ja horjuttaa taloutta.
Muistetaan ylläpitää kaikkia kolmea:
- Oman organisaation kyberturvallisuuden tasoa,
- Toimitusketjun turvallisuutta ja resilienssiä sekä
- Kansallista turvallisuutta ja varautumista.
Britannian 1,5 miljardin punnan tukipaketti on Euroopassa ennakkotapaus, joka toi uuden näkökulman keskusteluun valtion roolista kyberturvallisuuden varmistamisessa.
Meillä Suomessakin on syytä nostaa aihe vahvemmin yhteiskunnalliseen keskusteluun ja tehdä toimenpiteitä digitaalisen resilienssin vahvistamiseksi. Suomessa valmistellaan paraikaa turvallisuusarviointeja koskevaan lainsäädäntöön muutoksia, jotka saattavat vaikuttaa kriittisten järjestelmien laadunvarmistukseen ja siten järjestelmien turvallisuuteen. Aiheesta lisää tulevissa blogikirjoituksissamme.
Ville
Into Security seuraa tiiviisti kansainvälistä kyberturvallisuuskeskustelua ja -kehitystä. Autamme suomalaisyrityksiä ja julkishallintoa rakentamaan digitaalista resilienssiä ja korkeatasoista kyberturvaa.
PS. Tapauksista lisää muun muassa täällä:
Industrial Cyber →
https://industrialcyber.co/manufacturing/jaguar-land-rover-cyberattack-deepens-with-prolonged-production-outage-supply-chain-fallout/
The Cyber Security News →
https://cybersecuritynews.com/jaguar-land-rover-breached-by-hellcat/
BBC → https://www.bbc.com/news/articles/cgl15ykerlro
The Guardian → https://www.theguardian.com/business/2025/sep/29/jaguar-land-rover-cyber-attack-whats-the-latest-news