Мне кажется, что в 90% госструктур вопросы ИТ-безопасности решаются спустя рукава, поскольку у руля старые АСУшники, мало себе представляющие, какой на самом деле должен быть специалист по безопасности, какая она должна быть, эта безопасность, что делать в принципе и как мотивировать сотрудников. Ну и части из них просто руки связаны.
Сам был свидетелем, как основой безопасности являлось еженедельное полное сканирование антивирусом Касперского всех машин. Даже боюсь подумать, сколько спалили электричества и нервов сотрудников.