JLR Siber Saldırısı: Akıllı Fabrikalar Durdu

Haber Tarihi

20.09.25

Yazar

Sedat Onat

JLR Siber Saldırısı: Akıllı Fabrikalar Durdu

Britanya’nın en büyük otomotiv işvereni Jaguar Land Rover (JLR), Ağustos ayının son Pazar gününde başlayan ve Pazartesi sabahı ciddiyeti anlaşılan geniş çaplı bir siber saldırı sonrasında Birleşik Krallık, Slovakya, Brezilya ve Hindistan’daki fabrikalarında üretimi durdurdu. Üç haftayı aşan duruş, şirketin bilgi sistemlerini kapatmasına, CAD/PLM/ERP/SAP dahil kritik uygulamaların devre dışı kalmasına ve “her şeyin bağlı olduğu” akıllı fabrika mimarisinin izole edilememesi nedeniyle kademeli değil topyekûn bir kapanmaya yol açtı. Çin’deki ortak girişimin çalışmaya devam ettiği değerlendirildi, ancak JLR’nin ana küresel üretim ağı fiilen kilitlendi.

Mali etki ağır oldu: Saldırının yüz milyonlarca sterlin düzeyinde maliyete yol açacağı öngörüldü; CreditSights analisti Jim Williamson, yalnızca Eylül ayındaki nakit yanmasının ~£900 milyon olabileceğini, çalışma sermayesindeki düşüşün ~£1,7 milyara çıkabileceğini hesapladı; bunun bir kısmının ileride telafi satışları ile geri kazanılabileceği not edildi. JLR’nin ~£6 milyar nakit tamponu bulunduğu, borçlanma, banka kredileri veya UK Export Finance gibi araçların da masada olduğu aktarıldı.

Tedarik zinciri West Midlands başta olmak üzere 700+ tedarikçiyi kapsayan geniş ekosistemde nakit akışı riski yarattı. Autins Group, Brose gibi tedarikçiler banked hours ile ücret ödemelerini köprülemeye çalıştı; Dana, Lear, Webasto gibi firmalarda geçici/kalıcı istihdam riski gündeme geldi. Unite sendikası ücret destekli bir kısa çalışma talep etti. Hükümette Business & Trade ve NCSC ile günlük temasların sürdüğü, Bakan Chris Bryant/Chris McDonald düzeyinde JLR ile görüşmeler yapıldığı bildirildi; toptan bir furlough olasılığı düşük görülse de seçici tedarikçi desteği ihtimal dışı bırakılmadı.

Saldırının operasyonel etkisi, JLR’nin Tata Consultancy Services (TCS) ile 2023’te imzaladığı £800 milyon/5 yıllık dış kaynak anlaşması üzerinden outsourcing modelini kamuoyu gündemine taşıdı. TCS, JLR’nin ağ, veri bağlantıları ve siber güvenlik dahil çekirdek BT yığınını işletiyor; ayrıca SAP yükseltmeleri ve tedarikçilerle “el sıkışma” arayüzleri TCS sorumluluğunda bulunuyor. Reuters daha önce Marks & Spencer (M&S) ve Co-op olaylarında TCS bağlantısı iddialarını gündeme getirmişti; JLR vakasında TCS yorum yapmadı. “Her şey bağlı” prensibi verimlilik sağlıyordu; ancak saldırıda bölüm/fabrika izolasyonu yapılamadı, çoğu sistem eşzamanlı kapatıldı.

Saldırının niteliği JLR tarafından açıklanmadı. M&S olayında fidye yazılımı (ransomware) doğrulanmıştı; JLR olayında Scattered Spider, Lapsus$, ShinyHunters gibi İngilizce konuşan tehdit grupları ile ilişkilendirilen Telegram paylaşımları görüldü; ancak kanıt netleşmedi ve ilgili kanal kapandı. Hellcat ile bağlantılı olduğu iddia edilen “Rey” takma adlı bir kullanıcının daha önce JLR verisi sızdırdığını öne sürdüğü ileri sürüldü; emniyet kaynakları bu tip kanallara temkinli yaklaşılması uyarısı yaptı.

İş sürekliliği tarafında JLR, ödeme/teslimat için geçici workaround’lar kurdu, yedek parça akışına öncelik verdi ve müşteri memnuniyetini korumaya çalıştı. Buna karşın e-posta erişimi sınırlı da olsa sağlanırken CAD/PLM/ERP/SAP haftalarca devreye alınamadı. Yeniden başlatma zorluğu hatlar üzerindeki binlerce yarım araç nedeniyle daha da arttı: Ya araç bazında eksik parça planı yapılacak ya da yarım araçlar hat dışına manuel alınacak ve sistem geri yüklenince tekrar entegre edilecek. Tedarikçi çevrelerinde “haftalar mı, aylar mı?” sorusuna verilen yanıt “haftalar kesin, aylar olabilir” olarak özetlendi.

“Reimagine” stratejisi kapsamında daha az araç, daha yüksek fiyat politikası ve elektrikli Range Rover / yeni Jaguar takvimi, saldırı nedeniyle ek gecikme riski ile karşılaştı. Yine de JLR’nin son 11 çeyrektir kâr açıkladığı, Trump tarifeleri ve Rusya’nın Ukrayna’yı işgali gibi şoklara rağmen dönüşümün sürdürüldüğü hatırlatıldı; mevcut olay CEO Adrian Mardell’in görev finaline gölge düşürdü.

Dersler ve paydaş aksiyonları:

Ağ segmentasyonu ve zero-trust olmadan akıllı fabrika mimarileri tek nokta başarısızlığa açık kaldı.
Siber olgunluk dış kaynak ile devredildiğinde “müşteri-tedarikçi” güvenlik sınırı bulanıklaştı; SOC, IAM, EDR/XDR, yama/konfigürasyon yönetimi, yedeklemelerin offline/immutable tutulması ve tabletop tatbikatları şirket içinde sahiplenilmeliydi.
Operasyonel teknoloji (OT) tarafında ISA/IEC 62443, network micro-segmentation, deterministic iletişim, çift yönlü veri diyotları ve fabrika bazlı izolasyon playbook’ları ile “kısmi üretim” sürdürme kabiliyeti tesis edilmeliydi.
Tedarik zinciri sürekliliği için çok katmanlı nakit destek mekanizmaları, standby üretim anlaşmaları, esnek vardiya/“banked hours”, malzeme tahsis kuralları ve şeffaf kapasite iletişimi kritik oldu.
Kurtarma aşamasında parça başı doğrulama, seri-lot izlenebilirliği, siber hijyen kontrolleri ve GxP/otomotiv kalite gerekliliklerine uygun kademeli devreye alma şart oldu.

Son tablo: JLR, NCSC ile birlikte soruşturmayı sürdürdü; hükümet, toptan ücret desteği yerine kritik tedarikçilerin ayakta kalmasına odaklanan hedefli önlemleri değerlendirdi. Şirket içinde sistemleri yeniden inşa ve adli analiz paralel yürütüldü; net yeniden başlama tarihi kısa vadede verilemedi. Saldırı, otomotivde “her şey bağlı” vizyonunun siber dayanıklılık olmaksızın anti-kırılganlığa dönüşemeyeceğini sert biçimde gösterdi.

Önemli Notlar:

JLR, küresel fabrikalarında üretimi durdurdu; BT/OT sistemleri kapatıldı; yedek parça ve ödeme/teslimat için geçici çözümler devreye alındı.
TCS üzerinden yürüyen outsourcing ve SAP modernizasyonu, olayda sorgulandı; ağ segmentasyonu eksikliği izolasyonu engelledi.
Nakit yanması için ~£900m/ay tahmini yapıldı; çalışma sermayesi ~£1,7bn azaldı; JLR’nin ~£6bn nakdi ve ek finansman opsiyonları bulundu.
700+ tedarikçi etkilendi; banked hours ve geçici istihdam önlemleri uygulandı; hedefli devlet desteği gündeme geldi.
Tehdit aktörleri konusunda somut doğrulama paylaşılmadı; Scattered Spider/Lapsus$/ShinyHunters spekülasyonları kanıtlanmadı.
Dersler: Zero-trust, OT güvenlik standartları, immutable yedekleme, tatbikatlı kriz planları, kısmi üretim stratejileri ve tedarikçi nakit tamponları kritik hale geldi.