Bir iç denetim, Paris’teki Louvre Müzesi’nin bir zamanlar video gözetim sistemini korumak için “Louvre” şifresini kullandığını ortaya çıkardı ve bu da kurumun dijital güvenlik uygulamaları hakkında ciddi soruları gündeme getirdi. Bu açıklama, geçen ay hırsızların Fransa’nın mücevher koleksiyonundan sekiz parça çaldığı yüksek profilli bir soygunun ardından yeniden ortaya çıktı.
Fransız medyası tarafından incelenen belgelere göre, siber güvenlik zayıflıkları ilk olarak 2014 yılında ulusal bilgi sistemleri güvenlik ajansı tarafından yapılan bir inceleme sırasında tespit edildi. Rapor, müzenin gözetleme sunucularının güncel olmayan yazılımlar çalıştırdığını ve kolayca tahmin edilen şifreler kullandığını ortaya çıkardı. Müfettişler, tekrarlanan uyarılara rağmen aynı zayıflıkların yıllardır devam ettiğini söyledi.
Denetim, sistemin bazı bölümlerinin artık Microsoft tarafından desteklenmeyen eski bir sürüm olan Windows 2003’te çalışmaya devam ettiğini kaydetti. Uzmanlar, güncellemeler veya modern kimlik doğrulama kontrolleri olmadan bırakılan sistemlerin, izinsiz giriş ve manipülasyon için kolay hedefler olduğunu söyledi. Eski teknoloji, şüpheli etkinliklerin günlüğe kaydedilmesini veya tespit edilmesini de zorlaştırır.
Louvre liderliği bulgulara itiraz etmedi ancak güvenlik sorunlarını “uzun süredir devam eden yapısal sorunlar” olarak nitelendirdi. Yetkililer, kronik yetersiz finansman ve parçalı gözetimin sistemlerin iyileştirilmesindeki gecikmelere katkıda bulunduğunu söyledi. Fransa Kültür Bakanı Rachida Dati gazetecilere verdiği demeçte, müzenin izinsiz giriş risklerini “hafife aldığını” ve şu anda tüm kültür kurumlarının güvenlik uygulamalarının gözden geçirildiğini söyledi.
19 Ekim’deki soygun, müze tarihindeki en önemli hırsızlık olaylarından biriydi. Hırsızların ziyaret saatlerinde erişim sağladıkları, gardiyanları bastırdıkları ve on milyonlarca avro değerindeki mücevherlerle kaçtıkları bildirildi. Soruşturma devam ederken, ilk bulgular saldırganların hem fiziksel hem de dijital zayıflıklardan yararlandığını gösteriyor. Bazı bölgelerdeki güvenlik görüntüleri eksik veya bozuktu ve elektronik kilitler soygun sırasında alarmları tetikleyemedi.
Siber güvenlik uzmanları, müzenin zayıf şifre politikasının ve güncel olmayan altyapısının muhtemelen saldırganların operasyonlarını planlamasını kolaylaştırdığını söyledi. Basit parolalar en yaygın güvenlik gözetimleri arasındadır ve suçluların gözetim sistemlerini atlamasına veya alarmları uzaktan devre dışı bırakmasına olanak tanıyabilir. Uzmanlar ayrıca fiziksel ve dijital güvenlik sorumluluklarını ayırmanın saldırganların istismar edebileceği boşluklar yaratabileceğini de belirtti.
Olay, kültür kurumlarının dijital hazırlığı konusundaki tartışmaları yeniden alevlendirdi. Birçok müze, entegre siber-fiziksel güvenlik yerine orijinal olarak temel gözetim için tasarlanmış eski sistemlere güveniyor. Operasyonlar daha karmaşık ve birbirine bağlı hale geldikçe, bu sistemler genellikle yükümlülük haline gelir. Paha biçilmez sanat eserleri ve eserlerle ilgilenen dünyanın en ünlü müzeleri bile küçük kuruluşlarla aynı siber güvenlik sorunlarıyla karşı karşıyadır.
Analistler, vakanın siber güvenliğin artık fiziksel güvenlikten nasıl ayrılamaz olduğunu gösterdiğini söylüyor. Bir Fransız güvenlik araştırmacısı yerel basına verdiği demeçte, “Erişim kontrolleri veya kameralar ağa bağlı sistemler aracılığıyla yönetildiğinde, zayıf bir parola veya güncel olmayan bir yazılım gerçek dünyada sonuçlara yol açabilir” dedi.
Soygunun ardından yetkililer Louvre’un güvenlik altyapısının tam olarak gözden geçirilmesi emrini verdi. İlk öneriler arasında gözetim sistemlerinin modernleştirilmesi, eski yazılımların değiştirilmesi, sıkı parola ve erişim kontrollerinin uygulanması ve siber güvenlik denetimlerinin rutin operasyonel kontrollere entegre edilmesi yer alıyor. Diğer ulusal müzelerin de benzer değerlendirmelerden geçmesi bekleniyor.
Louvre davası, prestijli kurumların bile temel güvenlik başarısızlıklarından muzdarip olabileceğini hatırlatıyor. Pek çok uzmana göre bu basit bir gerçeğin altını çiziyor: Uygun yönetim, güncellenmiş sistemler ve disiplinli güvenlik uygulamaları olmadan teknoloji tek başına suçu önleyemez.