Geçtiğimiz günlerde, sanat ve tarihin kalbi Paris'teki Louvre Müzesi'nde yaşanan 102 milyon dolarlık 'Taç Mücevherleri' soygunu, tüm dünyanın gündemine oturdu. Olayın kendisi ne kadar şaşırtıcı olsa da, hırsızların kaçış sırasında bir tacı düşürecek kadar beceriksiz oldukları ve dikkat dağıtmak için kullandıkları düzeneği ateşe vermeyi beceremedikleri rapor edildi. Ancak Fransız gazetesi Libération'ın yayımladığı soruşturma raporları, asıl şok edici gerçeği ortaya çıkardı: Bu cüretkâr soyguna olanak tanıyan şey, suçluların ustalığı değil, müzenin yıllardır süregelen inanılmaz güvenlik ihmaliydi.
Video Gözetim Sistemi Şifresi: 'Louvre'
Soruşturma belgelerine göre, müzenin en kritik güvenlik altyapılarından biri olan video gözetim sistemini yöneten sunucuya erişim şifresi, tam anlamıyla akıl almaz bir basitlikteydi: 'LOUVRE'. Benzer şekilde, müzenin kullandığı bir diğer önemli yazılımın şifresi de sağlayıcısının adını taşıyordu: 'THALES'.
Yıllarca video oyunlarında güvenlik kodlarını post-it notlarına yazan veya kasaların şifrelerini açıkça ortada bırakan 'aptal' yapay zekâ (NPC) karakterleriyle dalga geçtik. Şimdi anlaşılıyor ki, dünyanın en değerli sanat eserlerini barındıran bir kurumun gerçek hayattaki güvenlik operasyonları, en kötü yazılmış oyun senaryolarını bile aratmayacak kadar zayıf kalmış.
Bu karşılaştırma ironik bir gerçeği daha ortaya koyuyor: Video oyunlarının en basit, hatta aptalca görünen test öğeleri bile kültürel miras olarak korunmaya değer görülürken, gerçek dünya sistemleri temel güvenliği sağlamakta yetersiz kalıyor. Örneğin, Saints Row serisinin geliştiricisi Volition tarafından aydınlatma testi için kullanılan, dört farklı ten dokusundan oluşan basit bir test NPC'si olan 'Skinballs' dahi, video oyunu tarihini koruma misyonuyla Amerika'daki The Strong Museum of Play koleksiyonuna dahil edilmiştir. Bu durum, dijital sanatın ve geliştirme süreçlerinin ciddiyetle ele alındığını gösterirken, Saints Row Skinballs NPC'sinin The Strong Müzesi koleksiyonuna alınması, en beklenmedik dijital varlıkların bile kültürel değere sahip olabileceğinin kanıtıdır.
On Yılı Aşan Güvenlik Açığı Raporları
Bu durum, anlık bir hata değil, kurumsal bir ihmaller zincirinin sonucuydu. Louvre Müzesi'nin güvenlik açıkları, 2014 yılına kadar uzanan denetim raporlarıyla belgelenmiş durumda. Fransız Siber Güvenlik Ajansı (ANSSI) tarafından yapılan denetimler, uzmanların ağa sızarak kamera kayıtlarını manipüle edebildiğini ve hatta personel kartı erişim yetkilerini değiştirebildiğini ortaya koymuştu. Bu sızmaların temel nedeni, ANSSI’nin kibarca ‘önemsiz’ olarak nitelendirdiği şifre zayıflıklarıydı.
ANSSI ve Diğer Denetimlerin Öne Çıkan Bulguları (2014-2017)
- Basit Şifreler: Video gözetim sunucusu için 'LOUVRE' ve bazı yazılımlar için 'THALES' gibi tahmin edilebilir şifreler kullanılması.
- Sistemik Sızma: Denetçilerin, güvenlik ağına kolayca sızarak video gözetimini ve giriş kartı erişimini manipüle edebilmesi.
- Fiziksel Güvenlik Eksiklikleri: Ziyaretçi akışının 'kötü yönetilmesi', tadilat sırasında çatı katlarına kolay erişim sağlanması.
- Eski ve Desteklenmeyen Sistemler: Güvenlik yazılımlarının 2003 yılında satın alınmış olması ve geliştirici tarafından artık desteklenmeyen Windows Server 2003 işletim sistemi üzerinde çalışması.
Desteklenmeyen Sistemlerin Felaketi: Windows Server 2003
Louvre’un siber güvenlik durumu, sadece zayıf şifrelerle sınırlı değildi. Müzenin kritik güvenlik altyapısının, 2003 yılında alınmış ve uzun süredir geliştirici desteği sona ermiş yazılımlar üzerinde çalışması, bir siber güvenlik felaketine davetiye çıkarıyordu. Windows Server 2003 gibi eski işletim sistemleri, bilinen birçok güvenlik açığına karşı savunmasızdır ve modern siber tehditlere karşı sıfır koruma sunar. Dünyanın en değerli eserlerini korumakla yükümlü bir kurumun, yirmi yıllık teknolojilere güvenmesi, bütçe kısıtlamaları ve bürokratik engellerin nasıl vahim sonuçlar doğurabileceğinin çarpıcı bir örneğidir.
Eleştirel Bakış: Bürokratik İhmal ve Önceliklendirme
Bu skandal, siber güvenliğin sadece teknoloji şirketlerinin veya finans kurumlarının bir sorunu olmadığını gösteriyor. Fiziksel güvenlik, tarihi eserlerin korunmasında hala öncelikli kabul edilirken, bu eserleri koruyan sistemlerin dijital güvenliği ikinci planda kalabiliyor. Bu tür büyük, hantal kurumlarda bütçe, eski donanımları yenilemek yerine, sergi veya restorasyon gibi daha görünür kalemlere yönlendirilebiliyor. Oysa günümüz dünyasında, fiziksel bir kapıyı kırmak ile dijital bir şifreyi çözmek arasındaki fark giderek azalıyor.
Louvre'daki olay, basit bir ders veriyor: Kilit bir sistemin şifresi, o sistemin adından (Louvre) veya tedarikçisinden (Thales) oluşuyorsa, dünyanın en gelişmiş fiziksel güvenlik önlemleri bile bir işe yaramaz. Bu, küresel çapta, kritik altyapı yöneticilerinin dijital hijyeni en üst seviyede tutmaları gerektiği yönünde acı bir uyarı niteliğindedir.
Kaynak: Haberin detaylarına ve analize dair bilgilere, PC Gamer'ın ilgili raporu üzerinden ulaşabilirsiniz. Louvre Soygunu Güvenlik Raporları Detayları
