Nem ennyire fekete - fehér a világ.
CEO alapszabály szerint nem felelős azért a kárért, ami ellenőrzési területén kívül esett, előre nem látható körülmény okozta és nem volt elvárható, hogy a körülményt elkerülje - továbbá, ezen felül a munkaszerződése csökkentheti a felelősségét.
Konkrét esetben az SQL injection prevention tökéletesen a CEO ellenőrzési területén kívül esik, tehát nem felelős érte.
Ha az IT biztonságot ledelegálja egy másik vezető beosztású személynek, kérdés, hogy megállapítható-e a felelőssége.