Niedawna kradzież klejnotów koronnych z paryskiego Luwru ujawniła problem znacznie głębszy niż tylko fizyczne luki w ochronie. Uwagę sektora IT przykuły doniesienia o fundamentalnych zaniedbaniach w cyberbezpieczeństwie, które latami ignorowano w jednej z najważniejszych instytucji kultury na świecie.

Francuski dziennik Libération, powołując się na poufne dokumenty, ujawnił ustalenia brzmiące jak scenariusz filmu o hakerach z lat 90. Hasło dostępowe do serwera zarządzającego całym systemem nadzoru wideo muzeum brzmiało „LOUVRE”. Inne raporty wskazują, że do oprogramowania dostarczonego przez firmę zbrojeniową Thales używano hasła „THALES”.

To nie są nowe problemy. Już w 2014 roku audyt przeprowadzony przez francuską narodową agencję ds. cyberbezpieczeństwa (ANSSI) alarmował, że systemy muzeum wykazują liczne luki i opierają się na niezwykle słabych hasłach.

Kluczowym problemem okazał się głęboki dług technologiczny. Wewnętrzne sieci Luwru miały opierać się na systemach operacyjnych takich jak Windows 2000 czy Windows XP. Oba te systemy od ponad dekady nie otrzymują od Microsoftu żadnych aktualizacji bezpieczeństwa, co czyni je trywialnym celem dla atakujących.

Choć nie ma jeszcze oficjalnego potwierdzenia, czy te konkretne luki w oprogramowaniu zostały wykorzystane przez złodziei, sytuacja obnaża porażkę w zarządzaniu ryzykiem IT. Fakt, że podstawowe zasady higieny cyfrowej były ignorowane przez lata, pokazuje, że nawet najbardziej prestiżowe instytucje nie są odporne na skutki lekceważenia modernizacji swojej infrastruktury technologicznej.