Még "as a service" -ként üzemeltetett rendszerek esetén is lehet vonalat húzni az infra és az alkalmazás között.
Csak kérdés van-e bármi értelme ennek a vonalhúzásnak. Van-e ott bármi technikai jellegű határ. A cikkben idézett támadó elmondása alapján az autentikációs rendszerben semmilyen határ nem volt a fejlesztés és a prod üzemeltetés között.
...ha már magát az admin felületet nem tudják valami miatt védeni, és csak 5 god-mode felhasználó létezik). Ezek nagy része nem képezi az e-Kréta rendszer részét, ez a fejlesztéshez és üzemeltetéshez használt infrastruktúra része
Kapcsold össze az első mondatodat a másodikkal. "Ha az admin felületet nem tudják védeni" -> Bingo! Ha valami technikai hiányosság miatt nem lehet az admin felületüket szeparáltan védeni, akkor máris találtunk valamit, ami konkrétan az eKréta rendszer (szűk értelemben véve a szoftver) hibája, nem pedig az infrastrukturáé. Az infrastruktúra hibája már egy kikényszerített hiba, egy következmény.
De egy ilyen összefolyó felelősségi körökkel működő környezetben ez egy full akadémikus kérdés. Valószínűleg ugyanaz a pár ember döntött arról, hogy a szoftvernek milyen security feature-jeit fejlesszék, mint aki az üzemeltetés mikéntjéről.