Когда внедряется новая технология, полагается заранее оценить новые угрозы, с ней связанные. Чтоб не получилось как обычно так, что сначала мы внедрили, потом нас через неё поимели, а потом мы за отдельные деньги наставили заплаток.
Оценка будущих угроз (на основе уже существующих, но ещё не внедрённых технологий) натыкается на одну трудность. Угроз обычно выходит слишком много, чтобы защититься от них от всех. И та сторона может смошенничать, и другая, и третья. Вторая может сымитировать мошенничество со стороны третьей, а третья - подставить вторую, что она якобы ложно обвинила первую. И всё это помножить на число каналов, протоколов, вендоров, версий прошивок и прочую вариабельность. А каждая мера защиты, как известно, создаёт отдельную дополнительную угрозу плюс ложные срабатывания... В общем, слишком много рисков.
Некоторые из многообразных рисков приходится отбрасывать (т.е. по-научному, принимать). А на другие - тратить деньги. Но проблема отнюдь не в том, что кусают в оголённые места. Совсем наоборот.
У злоумышленников всегда свой собственный рассчёт. На защищённые участки, на которые мы потратили миллионы, они почему-то не покушаются. Утекшие данные, ради защиты которых была поставлена раком целая отрасль, раздают бесплатно. Не хотят воровать там, где мы выставили охрану, даже если охрана отошла покурить. Издеваются!
Расчёт рисков основан на потенциальных убытках обороняющегося. А расчёт злодеев - на потенциальной прибыли атакующего. Убытки - огромные, а атаковать - нерентабельно. Зря защищали, выходит. Потому что анализ рисков проводил человек, который сам никогда не крал не имеет представления о чёрном рынке информации.