- Sistem keamanan Louvre mengandalkan Windows Server 2003, yang terkait erat dengan Windows XP, yang tidak lagi didukung sejak 2015.
- Libération dan i3e menunjuk ke delapan program pengawasan yang dibeli pada tahun 2003, tanpa pemeliharaan; satu dari Thales dioperasikan tanpa dukungan dari perusahaan induk Sathi.
- Kata sandi yang lemah seperti "LOUVRE" dan "THALES" akan memudahkan akses dan manipulasi pengawasan video.
- ANSSI memperingatkan pada tahun 2023 tentang perlunya migrasi sistem yang sudah ketinggalan zaman; i3e menggambarkan sekelompok keusangan dan kurangnya infrastruktur keamanan.
Sebuah investigasi mengungkapkan bahwa Museum Louvre mempertahankan sistem keamanannya menggunakan sistem Windows XP lawas, khususnya mesin yang menjalankan Windows Server 2003, sebuah platform yang telah lama tidak didukung. Kombinasi perangkat lunak yang ketinggalan zaman, perangkat keras yang sudah tua, dan kebijakan keamanan yang lemah menciptakan lingkungan yang rentan terhadap intrusi. infrastruktur penting.
Sumber yang dikonsultasikan oleh media Prancis, serta kelompok teknologi i3e, menunjukkan bahwa kerangka kerja keamanan Sistem komputer museum Paris beroperasi dengan perangkat lunak yang diperoleh pada tahun 2003 dan tanpa kontrak pemeliharaan, sementara kata sandi aksesnya sangat sederhana. Konteks ini berkaitan dengan serangan yang mengguncang Prancis pada 19 Oktober, yang dilakukan dalam hitungan menit.
Bagaimana sistem itu terungkap
Inti dari lingkungan adalah Windows Server 2003, edisi yang terkait dengan Windows XP yang dukungan resminya berakhir pada tahun 2015, yang menyiratkan kurangnya patch dibandingkan dengan kerentanan yang diketahuiDalam skenario kritis tinggi, celah ini melipatgandakan risiko serangan dengan alat yang tersedia saat ini.
Selain itu, operasi ini bergantung pada delapan aplikasi pengawasan dibeli pada tahun 2003tanpa pemeliharaan aktif dari pemasoknya. Ini termasuk solusi dari Thales, dan dokumentasi tender tahun 2019 menunjukkan bahwa salah satu program penting ini berjalan pada Windows Server 2003 dan Tidak mendapat dukungan dari Sathi, perusahaan induknya..
Situasi ini diperparah oleh praktik-praktik yang tidak tepat: kata sandi dasar seperti "LOUVRE" untuk server pengawasan video dan "THALES" untuk mengakses perangkat lunak terkait, yang membuka jalan untuk mengubah kredensial dan memanipulasi kamera dalam waktu singkat.
i3e menekankan bahwa ini bukan insiden yang terisolasi, melainkan sebuah akumulasi keusangan dan kurangnya kontroldi mana sistem lama, aplikasi yang tidak didukung, dan perangkat keras yang tidak lagi menjalankan fungsinya dalam lingkungan yang aman hidup berdampingan.
Peringatan dan investigasi sebelumnya di Prancis
Badan Keamanan Sistem Informasi Nasional (ANSSI) sudah menyoroti urgensi migrasi sistem usang pada tahun 2023 dari museum, menurut laporan internal yang dikutip oleh pers. Meskipun ada rekomendasi ini, perubahan yang diperlukan tidak dilaksanakan tepat waktu.
Menurut analisis Libération dan i3e, selain penggunaan Windows Server 2003 —yang berasal dari basis teknologi Windows XP—, museum tidak menghubungi pengembang untuk memperbarui layanan penting, yang meninggalkan kesenjangan operasional dan keamanan siber.
Implikasi bagi Eropa dan sektor budaya
Kasus Louvre menjadi peringatan bagi lembaga-lembaga budaya Eropa, termasuk Spanyol, yang mana perlindungan warisan budaya mengharuskan Keamanan siber adalah bagian dari perimeter fisikSistem yang tidak didukung, kata sandi yang lemah, dan kurangnya pemeliharaan bukan sekadar masalah komputer: hal ini membahayakan koleksi yang tak ternilai harganya.
Dalam konteks meningkatnya ancaman dan kerangka regulasi yang lebih ketat, pelajarannya jelas: Tidak cukup jika peralatannya terus menyalaPerlu memastikan pembaruan, segmentasi jaringan, dan pemantauan berkelanjutan sehingga keamanan tidak bergantung pada komponen yang usang.
Langkah apa saja yang sedang dilakukan?
Para ahli yang dikonsultasikan bersikeras untuk memperkuat kontrak pemeliharaan yang solid dan audit berkala, pemantauan kerentanan dan rencana pembaruan teknologi yang secara bertahap mengganti sistem lama dengan versi yang didukung.
Mereka juga merekomendasikan kebijakan kata sandi yang kuat dan otentikasi multi-faktor dalam akses kritis, inventaris dan pengendalian aset, serta pelatihan berkelanjutan bagi personel yang bertanggung jawab atas pengawasan untuk mendeteksi dan memperbaiki kegagalan sebelum dieksploitasi.
Gagasan yang paling sering diulang di antara para spesialis adalah bahwa Bukan hanya satu bagian saja yang rusak, melainkan seluruh rakitan.Museum-museum tersebut menghadapi tantangan terkait perangkat lunak yang tidak didukung sejak tahun 2003, sistem operasi berbasis Windows XP yang tidak didukung, dan praktik operasional yang longgar. Mulai sekarang, museum-museum Eropa dengan infrastruktur serupa memiliki peta jalan yang jelas untuk meningkatkan ketahanan mereka tanpa penundaan.
