A Libération információi szerint a nemrég kirabolt Louvre biztonsági rendszereinek egy része évek óta súlyos hiányosságokat mutatott, és az ANSSI kiberbiztonsági szakértői még 2014-ben is "triviális" jelszavakról számoltak be. Egy kutatás feltárta, hogy a videómegfigyelő szerverekhez elég volt beütni: LOUVRE. Igen, sikerült jelszónak megadni konkrétan a múzeum nevét. Egyes rendszerekbe pedig a THALES jelszóval is be lehetett jutni.
A rablás napja egyébként meglehetősen kaotikus volt: a múzeum ékszerkészletéből eltulajdonított kincsek értékét a sajtó százmilliós tételben említi, a tettesek menekülés közben elejtettek egy koronát, és elbukott a nagy elterelési kísérletük is - fel akartak gyújtani egy mechanikus emelőt, de ez nem sikerült. A hatóságok szerint a négyfős csapat nem profi bűnözőkből állt, hanem a párizsi külvárosból származó, korábban többszörösen elítélt helyi szereplőkből, akik amatőr hibákkal tették egyszerűvé a nyomozók dolgát.
A dokumentumok arra is rávilágítanak, hogy a Louvre több ponton elavult rendszerekre támaszkodott: egyes szoftverek 2003-as verziójúak voltak, hardverek régi szerverekhez csatlakoztak, és nem ritkán Windows Server 2003 alatt üzemeltek olyan védelmi elemek, amelyeket a gyártó már nem támogat. Egy 2015-ben indított vizsgálat során negyven oldalas ajánláscsomagot állítottak össze, amely súlyos hiányosságokról, rosszul kezelt látogatói forgalomról és az építési munkálatok során könnyen megközelíthető tetőkről számolt be, sok javaslat pedig vagy csak késve, vagy részben sem valósult meg.
A történet nem csak a Louvre kínos pillanata, hiszen rávilágít arra is, mennyire elterjedt és veszélyes a laza informatikai OPSEC (működési biztonság) a kulturális intézmények körében. Amikor a biztonság egyik alapja a vacak vagy egészen triviális, egyben könnyen kitalálható jelszó, akkor a legbonyolultabb fizikai védelmi intézkedések is súlytalanok lesznek.
A múzeum vezetése mindenesetre bejelentette, hogy elkezdték megerősíteni a külső biztonsági intézkedéseket, és halad a behatolásgátló eszközök telepítése is. A kérdés azonban adott: meddig tart, míg az intézmények nemcsak a látható sérülékenységeket javítják, hanem a digitális alapoktól (erős jelszavak, naprakész szoftverek, rendszeres auditok) kezdve építik újra a védelmet?
