Neįtikėtina, koks slaptažodis saugojo milijonus: atskleistos komiškos Luvro apiplėšimo detalės

Iš pirmo žvilgsnio istorija skamba kaip anekdotas, bet spalio 19 dieną, kai įžūlus įsilaužimas sukrėtė ne tik Prancūziją, bet ir visą meno pasaulį, juoktis kažkaip nelabai norėjosi. Naktį, kai daugelis galvojo, kad muziejus užrakintas šimtu spynų, kažkas rado duris – gal net pažodžiui. Tik klausimas lieka: ar jos buvo pravertos?

Muziejaus vidinė ataskaita – ta pati, kurios niekas turbūt nenorėjo viešinti, bet dabar vis tiek ją cituoja pusė pasaulio – atskleidžia, kad slaptažodis LOUVRE buvo naudojamas serverio sistemai, kuri koordinavo vaizdo stebėjimą. Atrodo neįtikėtina? 

Gal, bet kur kas rimčiau skamba tai, kad šis slaptažodis, po saugumo specialistų patikros, buvo įvardytas kaip silpnas dar 2014 metais. Sistema per tiek metų nebuvo atnaujinta – bent jau ne taip, kaip turėjo būti. Kam investuoti į kibernetinį saugumą, kai galima naują kilimą koridoriuje pakloti? 

Matoma ir nematoma sauga

Direktorius prisipažino: tam tikros muziejaus dalys buvo nematomos. Ne dėl meno koncepto ar optinės iliuzijos, o tiesiog todėl, kad kamerų ten niekas nepakabino. Arba nukreipė ne ten. 

Taip nutiko ir su ta viena išorine kamera, kuri turėjo matyti balkoną, pro kurį buvo įsilaužta. Ji buvo, bet žiūrėjo į kažkur kitur. Tyrėjai vis dar aiškinasi, kiek realiai slaptažodis prisidėjo prie viso įsilaužimo sėkmės. 

Kol kas netyla dvi stovyklos: vieni tvirtina, kad tai buvo pagrindinis raktas, kiti sako – ne per slaptažodį čia viskas vyko, o per fizinį pažeidžiamumą. Kitaip sakant, slaptažodis LOUVRE galėjo būti tik simbolinis priminimas, kad šita sistema – šiek tiek juokų objektas.

Kur saugumas, kai jo labiausiai reikia?

Dabar galima svarstyti, ar Luvro muziejus buvo šiek tiek per daug pasitikintis. Ar buvo manyta, kad reputacija pati savaime saugo eksponatus? Tai nėra šiuolaikinės saugumo praktikos pavyzdys. Atvirkščiai – eilinio vartotojo el. pašto paskyra šiuo metu dažnai turi stipresnius prisijungimo reikalavimus. 

Dviejų veiksnių autentifikacija, reguliarus slaptažodžių keitimas, atsarginiai prisijungimo kodai – tai jau standartas net ir tiems, kurie neturi nieko daugiau nei keletą nuotraukų debesyje. 

Muziejus, aišku, dabar susizgribo. Įdiegtos papildomos priemonės, vyksta peržiūros, slaptažodžiai keičiami. Tačiau reputacijos skylė jau atsivėrė. Ir ne mažesnė nei ta, pro kurią buvo išnešti karūniniai papuošalai.

Ką šis atvejis atskleidžia apie plačiau paplitusį požiūrį į saugumą?

Nors tai – pasaulinio lygio muziejaus pavyzdys, situacija kelia klausimų ir apie kasdienes vartotojų praktikas. Daugelis vis dar naudoja itin silpnus slaptažodžius – tokius kaip „123456“, „password“ ar net „slaptazodis“. 

Tai liudija, kad elementari slaptažodžių higiena išlieka neišspręsta problema. Jei net tokio lygio institucija ilgą laiką neperžiūrėjo savo saugos sprendimų, galima pagrįstai spėti, jog dalis žmonių irgi per mažai dėmesio skiria savo paskyrų apsaugai.

Net ir pačios vertingiausios kolekcijos negali būti apsaugotos, jei saugumo grandinėje lieka silpniausių vietų. Šiuo atveju – tai buvo lengvai atspėjamas slaptažodis.

Kol atliekamas išsamus tyrimas, akivaizdu viena: spragos dažnai kyla ne dėl išorinių atakų, o dėl vidinių sprendimų aplaidumo. Tai ne techninės galimybės, o atsakomybės klausimas.