Oltre una semplice password: cosa insegna il furto al Louvre sulla cybersecurity

Denis Cassinerio, Senior Director & General Manager South EMEA di Acronis, svolge un'interessante riflessione su un caso che di recente ha suscitato grande clamore: il furto di gioelli al Museo del Louvre

Il furto dei gioielli della corona francese al Louvre è uno dei casi più discussi dell’anno, non solo per l’audacia del colpo ma anche per ciò che ha rivelato sulle fragilità della sicurezza informatica del celebre museo. La password “LOUVRE” è solo il dettaglio più eclatante di una strategia di protezione tutt’altro che robusta.

Per contestualizzare, i presunti ladri hanno sottratto i gioielli della corona francese dal Louvre in un colpo durato solo quattro minuti, in pieno giorno, una domenica mattina di ottobre. La vicenda era già di per sé sorprendente prima che emergesse un ulteriore dettaglio: la password del sistema di videosorveglianza del museo era “LOUVRE”, o almeno lo era nel 2014, quando un audit di sicurezza aveva evidenziato gravi falle e avvertito che il Louvre era un bersaglio estremamente vulnerabile.

Il museo, tuttavia, non ha adottato quasi nessuna misura per quasi un decennio. Ora è stato definito un piano di potenziamento della sicurezza, da completare entro il 2032. Non è chiaro se la password LOUVRE sia rimasta in uso dal 2014 al 2025 - presumibilmente nel frattempo è stata aggiornata. È invece evidente che il Louvre presentava lacune significative nella propria strategia di protezione dei dati, tra cui l’uso di Windows 2000 nel 2014, quattro anni dopo la fine del supporto ufficiale da parte di Microsoft.

Eliminare completamente le vulnerabilità di cybersecurity è impossibile

Il Louvre non era affatto l’unica organizzazione con una strategia di cybersecurity incompleta e potenzialmente rischiosa. Il fatto è che i rischi informatici esistono ovunque e non possono essere eliminati del tutto. La chiave è saperli gestire. Due sono i fattori principali da considerare nella valutazione del rischio: la vulnerabilità in sé e la probabilità che questa venga sfruttata.

Il patching è un esempio significativo: si tratta di un’attività decisiva per la protezione dei sistemi. Secondo l’Acronis Cyberthreats Report H1 2025, le vulnerabilità non corrette hanno rappresentato il 27% degli attacchi rivolti ai managed service provider (MSP). Quando i sistemi non vengono aggiornati, diventano un obiettivo immediato per il ransomware, che nella prima metà del 2025 ha registrato un incremento delle vittime pari al 70% rispetto allo stesso periodo del 2023 e del 2024. Tuttavia, è quasi impossibile per un’organizzazione applicare immediatamente ogni patch su ogni sistema o applicazione. In alcuni casi, applicare una patch prima del necessario può addirittura peggiorare la situazione, come dimostrato dal noto blackout delle compagnie aeree causato da CrowdStrike nel 2024.

Applicare prima le patch ai sistemi più esposti

Un approccio più efficace e realistico consiste nell’isolare i sistemi, le applicazioni o le macchine che non è possibile aggiornare subito. È fondamentale, ad esempio, non lasciare non aggiornato un sistema esposto a internet. Se un sistema ha molti utenti o è connesso direttamente alla rete (o entrambe le cose), va aggiornato il più rapidamente e frequentemente possibile perché rappresenta uno dei vettori d’attacco principali. I sistemi e le applicazioni di back office seguono una logica diversa. Possono rimanere non aggiornati più a lungo se sono isolati da internet e utilizzati esclusivamente da amministratori o personale formato e affidabile. Quando non si prevede di applicare patch regolarmente, è inoltre utile proteggerli con più livelli di firewall. È vero che un sistema non patchato resta un punto debole nell’infrastruttura, ma limitarne in modo drastico l’accesso costituisce un metodo efficace per gestire il rischio che comporta.