Ison-Britannian jättiläiset kärsivät kyberhyökkäyksistä: kuinka Co-op, MandS, JLR -häiriöt paljastavat haavoittuvuuksia

Vuonna 2025 merkittäviin brittiläisiin yrityksiin – muun muassa Co-operative Groupiin (Co-op), Marks and Spenceriin (MandS) ja Jaguar Land Roveriin (JLR) – iski voimakkaita kyberhyökkäyksiä, jotka häiritsivät toimintaa, paljastivat asiakastietoja ja aiheuttivat suuria taloudellisia tappioita.

Nämä tietomurrot paljastavat uusia hyökkäysstrategioita, aukkoja yritysten puolustuksessa ja sitä, miten kyberriskit voivat nyt heijastua toimitusketjuihin ja kansantalouksiin.

Tapahtumat eivät vaikuttaneet vain taseisiin. Osuuskunnan asiakkaat kohtasivat tyhjiä hyllyjä, MandS-ostajat suljettiin verkkopalveluista kuukausiksi ja JLR:n tehdaslinjat pysähtyivät, mikä uhkasi tuhansia toimittajien työpaikkoja.

Tutkijat yhdistivät nämä tapaukset myöhemmin hakkeriryhmiin, jotka käyttivät sosiaalista manipulointia ja kiristysohjelmia, mikä paljasti IT-tukijärjestelmien systeemiset heikkoudet ja ulkoistamiskäytännöt.

Satojen miljoonien puntien tappioiden ansiosta näistä kyberhyökkäyksistä on tullut jyrkkä muistutus siitä, että digitaaliset haavoittuvuudet voivat levitä nopeasti reaalitalouteen, mikä lisää paineita epävarmoina maailmanlaajuisina aikoina.

Mikä meni pieleen: tapahtumat ja niiden vaikutukset

• Osuuskunta (huhtikuu 2025)

Huhtikuussa Co-op paljasti, että "haitallinen" kyberhyökkäys pakotti sen sulkemaan osia IT-verkostaan tietomurron hillitsemiseksi.

Tämä siirto lamautti tilaus- ja varastojärjestelmät ja aiheutti laajoja häiriöitä sen yli 2 000 Ison-Britannian ruokakaupassa ja 800 hautaustoimistossa.

Yhtiö arvioi 206 miljoonan punnan liikevaihdon menetystä vuoden ensimmäisellä puoliskolla ja 80 miljoonan punnan osumaa liikevoittoon. Se kääntyi vaatimattomasta voitosta 50 miljoonan punnan tappioon ennen veroja samalla ajanjaksolla.

Lisäksi Co-op vahvisti myöhemmin, että kaikkien 6,5 miljoonan jäsenen henkilötiedot (nimet, osoitteet, yhteystiedot) varastettiin. Heidän mukaansa taloudellisiin tietoihin ei päästy käsiksi.

• Marks & Spencer (huhti–elokuu 2025)

Pääsiäisen 2025 tienoilla MandS joutui poistamaan verkkotilaus-, mobiilisovellus- ja click-and-collect-palvelunsa käytöstä merkittävän kiristysohjelmahyökkäyksen jälkeen.

Häiriö kesti useita viikkoja – osa verkkopalveluista palautettiin kesäkuussa, mutta click and collect palasi vasta elokuun puolivälissä.

MandS varoitti, että hyökkäys voi vähentää sen liikevoittoa noin 300 miljoonalla punnalla vuoden aikana. Se myönsi, että käyttäjätietoihin (nimet, osoitteet, sähköpostit) oli päästy käsiksi, mutta sanoi, että maksutietoja ei ollut vaarantunut.

Ison-Britannian poliisi pidätti neljä henkilöä (teini-ikäisiä ja parikymppisiä) liittyen MandS:iin, Co-opiin ja Harrodsiin kohdistuneisiin hyökkäyksiin. Heitä epäillään tietokoneiden väärinkäyttöä, kiristystä ja rahanpesua koskevien lakien nojalla.

• Jaguar Land Rover (elokuun lopulla / syyskuussa 2025)

JLR ilmoitti, että kyberhyökkäys oli häirinnyt sen maailmanlaajuista toimintaa, pysäyttänyt nopeasti tuotannon sen Ison-Britannian tehtailla ja poistanut käytöstä varaosien hallinnan, ajoneuvojen rekisteröinnin, myynnin ja logistiikan järjestelmät.

Tuotannon keskeytyksen odotetaan kestävän ainakin 1. lokakuuta asti, ja JLR:n raportoidaan menettävän 50 miljoonaa puntaa viikossa keskeytetyistä tuloista.

Koska monet toimittajat ovat riippuvaisia oikea-aikaisista toimituksista, kymmenet toimittajayritykset selviävät peruutetuista tilauksista, keskeytetyistä töistä, lomautuksista ja kassavirtastressistä. Joidenkin arvioiden mukaan tuhannet työpaikat autoteollisuuden toimitusketjussa voivat olla vaarassa.

Syyt: taktiikat, ryhmät ja järjestelmän heikkoudet

Tutkimukset ja toimiala-analyysit viittaavat siihen, että näiden hyökkäysten takana on yhteinen toimintatapa. Hakkerointikollektiivi, jota usein kutsutaan nimellä Scattered Spider, on sekaantunut Co-op- ja MandS-rikkomuksiin.

Ryhmän tiedetään erikoistuneen sosiaaliseen manipulointiin, usein esiintyen IT-henkilöstönä tai käyttämällä tukipalvelun hyväksikäyttöä saadakseen sisäisen pääsyn.

MandS-tapauksessa hyökkääjien kerrotaan käyttäneen SIM-kortin vaihtoa ja helpdesk-imitaatiota, joka kohdistui kolmannen osapuolen palveluntarjoajiin kriittisten järjestelmien murtautumiseksi.

JLR-hyökkäyksen jälkeen Telegram-kanava, joka kutsui itseään Scattered Lapsus$ Huntersiksi, otti vastuun.

Nimi viittaa Scattered Spider-, Lapsus$- ja ShinyHunters-ryhmien yhteistyöhön tai päällekkäisyyteen. Kyseisellä kanavalla julkaistujen kuvakaappausten väitettiin näyttävän sisäisiä JLR-järjestelmiä.

Eräs analyytikko kertoi Computingille , että kyberturvallisuuden ulkoistaminen Tata Consultancy Servicesin (TCS) kaltaisiin palveluihin – jonka Co-op, MandS ja JLR tekivät sopimuksen – olisi saattanut luoda riskin yhdistämispisteen.

Miten yritykset reagoivat

Co-op reagoi nopeasti sulkemalla IT-verkkonsa osia, palauttamalla järjestelmät asteittain ja tekemällä yhteistyötä toimittajien kanssa toimitusten käynnistämiseksi uudelleen. Sen toimitusjohtaja pyysi julkisesti anteeksi ja sanoi olevansa "uskomattoman pahoillaan" tapauksesta ja sen vaikutuksista jäseniin.

Co-op sanoi, että sillä ei ole täyttä kattavuutta kybervakuutuksesta taustatappioiden varalta, mikä tarkoittaa, että se kattaa suuren osan kustannuksista itse.

MandS otti järjestelmänsä pois päältä varhain vaurioiden hillitsemiseksi ja otti sitten palvelut uudelleen käyttöön vaiheittain – ensin kotiinkuljetus, myöhemmin click and collect. Se otti yhteyttä lainvalvontaviranomaisiin, teki yhteistyötä sääntelyviranomaisten kanssa ja turvautui kybervakuutukseensa saadakseen osan menetyksestä takaisin.

JLR sulki tehtaat ja IT-järjestelmät välittömästi, toi kyberturvallisuusasiantuntijoita ja teki yhteistyötä Ison-Britannian hallituksen ja kansallisen kyberturvallisuuskeskuksen (NCSC) kanssa mahdollistaakseen "hallitun ja vaiheittaisen uudelleenkäynnistyksen".

JLR aloitti myös toimittajien maksujen, varaosalogistiikkajärjestelmien ja autojen rekisteröintikapasiteetin palauttamisen kassavirran säilyttämiseksi.

Ministerit neuvottelevat tukijärjestelmistä, joilla autetaan asianomaisia toimittajia, mukaan lukien lykätyt verot tai lainat – vaikka he korostavat, että JLR:n on itse kannettava ensisijaiset tappiot.

Asiantuntijoiden näkemykset ja systeeminen merkittävyys

Kyberturvallisuusasiantuntijat varoittavat , että viimeaikaiset hyökkäykset eivät ole yksittäisiä, vaan oireita hyökkääjien tavoitteiden muutoksesta. Rafe Pilling, Sophosin uhkatiedustelun johtaja, sanoi:

Martyn Thomas, tietotekniikan emeritusprofessori, esitti vakavoittavan varoituksen:

JLR:n kontekstissa Guardianin analyytikot päättelivät , että hakkerointi paljasti, kuinka "kaikki on yhteydessä toisiinsa" nykyaikaisissa älykkäissä tehtaissa – ja että monimutkaisuudesta itsessään voi tulla haavoittuvuus.

Se, että JLR ulkoisti kriittiset IT-järjestelmät ja että TCS-palvelut integroitiin useisiin yrityksiin, jotka ovat nyt hyökkäyksen kohteena, herättää kysymyksiä siitä, jätetäänkö keskeiset riippuvuuskohdat huomiotta.

Näiden tapahtumien laajempi merkitys on selvä: kyberhyökkäykset eivät enää rajoitu tietojen varastamiseen tai digitaalisten palvelujen häiritsemiseen, vaan ne voivat pysäyttää fyysisen tuotannon, uhata työllisyyttä, rasittaa toimitusketjuja ja heijastua alueellisiin talouksiin.

Maailmanlaajuisen epävarmuuden aikana – inflaation, toimitusketjun paineiden ja geopoliittisten jännitteiden vuoksi – tällaiset tietomurrot vahvistavat toisiinsa kytkeytyneiden järjestelmien haurautta.

Brittiläisille yrityksille nämä hyökkäykset korostavat kiireellisiä opetuksia: investoida uhkien havaitsemiseen ja reagointiin, vähentää liiallista riippuvuutta yksittäisistä palveluntarjoajista, rakentaa redundanssia ja varmistaa, että kybervakuutukset eivät ole pelkkää ikkunakoristetta.

Kun yhä useammat sektorit digitalisoituvat ja yhdistyvät, "hyökkäyspinta" vain kasvaa. Jos korkean profiilin yritykset ovat nyt vaarassa, toimitusketjujen pienemmistä yrityksistä voi tulla entistä haavoittuvampia.

Lyhyesti sanottuna Co-op-, MandS- ja JLR-tapaukset merkitsevät käännekohtaa: kyberrikollisuus on kypsynyt häiritsevästä hakkeroinnista systeemiseksi häiriöksi. Seuraava suuri rikkomus ei ehkä ilmoita itsestään lempeästi – mutta ne, jotka valmistautuvat, voivat vielä lieventää sen pahimpia seurauksia.