Vid det här laget vet de flesta att lösenordet var ”LOUVRE”.
Men den häpnadsväckande stölden av de franska kronjuvelerna från världens mest besökta museum avslöjade betydligt mer än slarviga lösenordsrutiner.
Kuppen på Louvren och museets otydliga säkerhetsstrategi ger viktiga – och möjligen oväntade – insikter om cybersäkerhet.
Som en påminnelse: misstänkta tjuvar stal de franska kronjuvelerna från Louvren under en fyra minuter lång stöld i dagsljus en söndagsmorgon i oktober. Historien var redan fascinerande innan ännu en detalj avslöjades: lösenordet till museets videoövervakningssystem var ”LOUVRE”, eller åtminstone var det så 2014, då en säkerhetsgranskning varnade för att Louvren hade allvarliga säkerhetsbrister och var ett lätt mål.
Museet svarade på granskningen genom att i stort sett inte göra någonting på nästan ett decennium. Nu finns en plan för att stärka säkerheten till 2032. Om lösenordet LOUVRE ändrades mellan 2014 och 2025 är oklart. (Man får anta att någon har ändrat det vid det här laget.) Klart är att Louvren hade stora hål i sin dataskyddsstrategi, inklusive användning av Windows 2000 år 2014, fyra år efter att Microsoft slutade stödja operativsystemet.
Att eliminera cybersäkerhetsrisker är omöjligt
Louvren var långt ifrån ensamma om att ha en ofullständig och potentiellt farlig cybersäkerhetsstrategi. Faktum är att cybersäkerhetsrisker finns i alla organisationer. De går inte att eliminera. Det viktiga är att kunna hantera dem. Det finns två huvudfaktorer när man bedömer cybersäkerhetsrisker: själva sårbarheten och sannolikheten för ett angrepp mot den.
Peter Graymon, General Manager Nordics, Acronis
Patching är ett bra exempel. Det är oerhört viktigt. Acronis Cyberthreats Report H1 2025 visade att oskyddade sårbarheter stod för 27 % av alla attacker mot Managed Service Providers (MSP:er). Opatchade system är fortsatt ett enkelt mål för ransomware, som hade 70 % fler offer under första halvåret 2025 än under samma period 2023 och 2024.
Men det är nästan omöjligt för en organisation att installera varje patch i varje system eller applikation så fort den släpps. I vissa fall kan det till och med göra mer skada än nytta, vilket den ökända CrowdStrike-flygkaosincidenten 2024 visade.
Patching av de mest utsatta systemen först
Ett bättre och mer realistiskt tillvägagångssätt är att isolera system, applikationer eller maskiner som inte kan patchas omedelbart. Lämna till exempel aldrig ett internetexponerat system opatchat. Om ett system antingen har många användare, eller är uppkopplat mot internet (eller båda), bör det patchas så snabbt och så ofta som möjligt. Det är en betydande attackvektor.
Backoffice-system och interna applikationer är annorlunda. De kan stå opatchade mycket längre om de är isolerade från internet och endast används av administratörer eller utbildad, betrodd personal. Det är också klokt att placera en applikation eller ett system bakom flera brandväggar om du inte planerar att patcha det regelbundet. Ja, ett opatchat system är fortfarande en svag punkt – men genom att starkt begränsa åtkomsten går risken att hantera.
Migrera sårbara system och begrav resten
Samma princip gäller för system som använder föråldrade operativsystem och applikationer. Budget, tid och prestandakrav gör det i regel omöjligt för organisationer att migrera allt till den senaste versionen, eller ens till en version som fortfarande stöds. I många industriella miljöer körs OT-system fortfarande på Windows XP – ett 25 år gammalt OS som Microsoft slutade stödja för över tio år sedan.
Tänk likadant som med patchning: om ett system är exponerat mot internet eller har många användare, migrera innan stödet upphör. Om det inte är praktiskt eller nödvändigt att migrera, ”begrav” systemet bakom brandväggar och låt endast utbildad personal med absolut behov ha åtkomst. Du kan inte eliminera varje svaghet, men du kan göra det extremt svårt för angripare att nå dem.
När du begraver sårbara system minskar sannolikheten för angrepp. Ju mer sannolikt att ett system utsätts för en attack, desto striktare måste man vara med patchning och migrering. Man kan inte eliminera sårbarheter, men man kan gömma dem.
En kommentar om lösenord
Den detalj som gjorde kuppen på Louvren så ökänd i cybersäkerhetskretsar var definitivt lösenordet ”LOUVRE”. Men innan du skrattar åt det, fundera på följande: enligt CNET har hälften av alla amerikaner riskabla lösenordsvanor. Ungefär en fjärdedel återanvänder samma lösenord på flera konton, och ännu mer oroande: 8 % använder lösenord som de vet varit med i dataintrång. Dessa personer kan lika gärna vara anställda i din organisation.
Det finns flera åtgärder organisationer kan ta för att förbättra lösenordshygien. Grundläggande säkerhetsutbildning är helt avgörande. Multifaktorautentisering är ett måste. Dessutom bör organisationer överväga att kräva att personal använder lösenordshanterare – överlägset det säkraste sättet att skapa och lagra lösenord.
Några andra goda rutiner är mindre intuitiva. Ett lösenord bör till exempel inte vara ett ord, utan en fras. P@ssword1! är i regel mindre säkert och lättare att knäcka än exempelvis thisismypersonalpasswordwithdetailsnobodycouldeverguess. Med en lösenordshanterare behöver användaren bara komma ihåg en enda huvudfras.
En annan vanligt förekommande rutin gör sannolikt ingen nytta alls: att byta lösenord regelbundet. Om ett lösenord fungerar, fungerar det. Det finns ingen anledning att byta det. Krav på regelbundna byten kan i stället leda till sämre lösenord, som Fall2025! följt av Winter2025!. Och för tydlighetens skull: använd aldrig organisationens namn som lösenord.
Skydda dina data med en genomtänkt cybersäkerhetsplan
Detaljerna kring cybersäkerhetsarbetet på Louvren bör få organisationer att se över sina egna säkerhetsplaner. Dina data och system är dina kronjuveler. Dina försvar kan aldrig bli perfekta. Men med rätt strategi kan du skapa en cybersäkerhetsplan som balanserar sårbarheter mot sannolikheten för angrepp och kraftigt minskar risken för att drabbas av en cyberattack.
Av: Peter Graymon, General Manager Nordics, Acronis
