Hát... nagy kérdés, hogy mit tekintünk komoly cégnek. Amit Trey leírt, az egy közepes-nagyvállalati enterprise környezet esetén egyébként mindennapos tud lenni. Annál kisebb cégeknél meg nincs dedikált CISO/secops, hanem a security összes vonzatát az üzemeltetésnek/devopsnak kell viselni, beleérttten (akár kimondatlanul is), és ez vezethet érdekes helyzetekhez. És igen, minden féle-fajta-méretű cégben elő tud fordulni a kézivezérlés, ez nem a cég komolyságán, hanem a vezetők önhatalmúságán múlik. Munkavállalóként ilyen helyzetben nagyon kevés opciód marad, ha azt mondják, hogy szarral kell bekenni az ólomrudakat, hogy aranyrúd lehessen belőlük, akkor egy ponton túl muszáj megcsinálnod, akármekkora hülyeségnek is tűnik. Érvelhetsz, hozhatsz jogi és technical concerneket, de a nap végén nem te döntesz.
Az, hogy legyen lepapírozva, az nem hanyagság, hanem bizonyíték gyártás annak esetére, hogy ha ebből rendőrségi, bírósági ügy lesz, akkor egyértelmű helyzet teremtődjön, hogy ki is valójában a felelős azért, mert egy security vector nyitva lett hagyva. Ez nem ignorancia vagy leszaromság, egyszerűen arról van szó, hogy ha egy vezető egy szakvélemény ellenében cselekszik, annak nyomának kell lennie valahol.
Abban viszont igazad van, hogy ez egyszerűen nem volt elég nagy cég ahhoz, hogy dedikált információbiztonsági szakértőjük legyen, ráadásul nem voltak elég képzettek ahhoz sem, hogy az igény megfogalmazódjon. Valójában ennek állami szabályozásnak kellene lennie, hogy minősített adat feldolgozójának is meg kelljen felelni adott security standardoknak/auditnak, csak hát akkor nem lehetne ugyanannyi pénzt elsikítani.