Un audit interno ha rivelato che il Museo del Louvre di Parigi una volta utilizzava la password “Louvre” per proteggere il suo sistema di videosorveglianza, sollevando seri interrogativi sulle pratiche di sicurezza digitale dell’istituzione. La rivelazione è riemersa dopo una rapina di alto profilo il mese scorso in cui i ladri hanno rubato otto pezzi dalla collezione di gioielli della corona francese.
Secondo i documenti esaminati dai media francesi, le debolezze della sicurezza informatica sono state identificate per la prima volta nel 2014 durante un’ispezione da parte dell’Agenzia nazionale per la sicurezza dei sistemi informativi. Il rapporto ha rilevato che i server di sorveglianza del museo eseguivano software obsoleti e utilizzavano password facilmente indovinabili. Gli investigatori hanno detto che le stesse debolezze sembrano persistere per anni, nonostante i ripetuti avvertimenti.
L’audit ha rilevato che alcune parti del sistema erano ancora in funzione su Windows 2003, una versione obsoleta non più supportata da Microsoft. Gli esperti hanno affermato che i sistemi lasciati senza aggiornamenti o controlli di autenticazione moderni sono facili bersagli per intrusioni e manipolazioni. La tecnologia obsoleta rende inoltre difficile la registrazione o il rilevamento di attività sospette.
La leadership del Louvre non ha contestato i risultati, ma ha descritto le sue sfide alla sicurezza come “problemi strutturali di lunga data”. I funzionari hanno affermato che il sottofinanziamento cronico e la supervisione frammentata hanno contribuito ai ritardi nell’aggiornamento dei sistemi. Il ministro della cultura francese, Rachida Dati, ha detto ai giornalisti che il museo ha “sottovalutato” i rischi di intrusione e che è ora in corso una revisione delle pratiche di sicurezza di tutte le istituzioni culturali.
La rapina del 19 ottobre è stata uno dei furti più significativi nella storia del museo. Secondo quanto riferito, i ladri hanno ottenuto l’accesso durante l’orario di visita, hanno sottomesso le guardie e sono fuggiti con gioielli del valore di decine di milioni di euro. Sebbene l’indagine sia in corso, i primi risultati suggeriscono che gli aggressori hanno sfruttato le debolezze sia fisiche che digitali. I filmati di sicurezza di alcune aree erano mancanti o danneggiati e le serrature elettroniche non sono riuscite a far scattare gli allarmi durante la rapina.
Gli specialisti della sicurezza informatica hanno affermato che la scarsa politica delle password del museo e l’infrastruttura obsoleta hanno probabilmente reso più facile per gli aggressori pianificare le loro operazioni. Le password semplici sono tra le sviste di sicurezza più comuni e possono consentire ai criminali di aggirare i sistemi di sorveglianza o disabilitare gli allarmi da remoto. Gli esperti hanno anche notato che separare le responsabilità di sicurezza fisica e digitale può creare lacune che gli aggressori sfruttano.
L’incidente ha riacceso il dibattito sulla preparazione digitale delle istituzioni culturali. Molti musei si affidano a sistemi legacy originariamente progettati per la sorveglianza di base piuttosto che alla sicurezza informatica integrata. Man mano che le operazioni diventano più complesse e interconnesse, questi sistemi spesso diventano passività. Anche i musei più famosi del mondo, che gestiscono opere d’arte e manufatti inestimabili, devono affrontare le stesse sfide di sicurezza informatica delle organizzazioni più piccole.
Gli analisti affermano che il caso dimostra come la sicurezza informatica sia ormai inseparabile dalla sicurezza fisica. “Quando i controlli di accesso o le telecamere sono gestiti attraverso sistemi in rete, una password debole o un software obsoleto possono avere conseguenze nel mondo reale”, ha detto un ricercatore di sicurezza francese ai media locali.
Sulla scia della rapina, le autorità hanno ordinato una revisione completa dell’infrastruttura di sicurezza del Louvre. Le prime raccomandazioni includono la modernizzazione dei sistemi di sorveglianza, la sostituzione di software obsoleti, l’applicazione di rigorosi controlli su password e accessi e l’integrazione degli audit di sicurezza informatica nei controlli operativi di routine. Si prevede che altri musei nazionali saranno sottoposti a valutazioni simili.
Il caso del Louvre serve a ricordare che anche le istituzioni prestigiose possono soffrire di carenze di sicurezza di base. Per molti esperti, evidenzia una semplice verità: la tecnologia da sola non può prevenire il crimine senza una gestione adeguata, sistemi aggiornati e pratiche di sicurezza disciplinate.