Одной из ключевых проблем при оценке уязвимости информационных систем является отсутствие доступа к исходному коду используемых программных средств. Отсутствие полной информации об исходном коде не позволяет оценить уязвимость применяемых операционных систем и прикладного ПО. Между тем разработчики и вендоры программного обеспечения зачастую не предоставляют такую информацию органам по сертификации и регуляторам. В итоге пользователям, в том числе корпоративным, приходится доверять программному обеспечению, об уязвимости которого они имеют очень примерное представление. Такое ПО, разумеется, нельзя использовать на критических объектах инфраструктуры, однако оно активно используется в корпоративных сетях и на частных компьютерах.
Отсутствие доступа к исходному коду используемого ПО стимулирует развитие новых подходов к обеспечению безопасности обрабатываемой информации. Так, один из актуальных трендов – создание наложенных средств безопасности, которые работают совместно с недоверенным ПО и рассматривают его как «чёрный ящик», обеспечивая требуемый уровень безопасности путём тотального контроля входящего и исходящего трафика. Применение наложенных средств информационной безопасности, совместимых с различными операционными системами, очень перспективно и позволяет избежать избыточного стремления к полной замене используемого импортного ПО.
Несмотря на усилия регуляторов и разработчиков средств защиты информации, серьезную угрозу для информационной безопасности по-прежнему представляет некорректное поведение самих пользователей. Речь идет не только о посещении ненадёжных сайтов или о ссылках, которые пользователи получают по электронной почте. Как правило, компьютеры на важных объектах не имеют постоянного подключения к сети Интернет, однако они тоже могут быть уязвимы из-за несоблюдения элементарных правил по безопасности, например, при бесконтрольном использовании флэш-накопителей, которые до этого были подключены к другим устройствам.
К сожалению, массовые кибератаки на корпоративные и бытовые сети, компьютеры частных пользователей с большой вероятностью могут представлять собой тренировочные действия, которые позволяют обнаруживать уязвимости и оттачивать технологии вредоносного воздействия для дальнейшего использования уже на критически значимых инфраструктурных объектах. Такие атаки могут быть промежуточной стадией более крупных и опасных кампаний, нацеленных на банковские сети, на системы управления энергетической и транспортной инфраструктурой, на системы обеспечения жизнедеятельности.