Uit mijn ervaring blijkt dat er een aantal hoofdoorzaken zijn dat bedrijven niet gepatched zijn tegen lekken: #1 er is geen patch van de leverancier (zero-day, fabrikant EOL, product EOL, support contract niet betaalbaar of niet betaald om kosten te beknibbelen (dat ding werkt toch al 5 jaar zonder probleem?)) #2 er is geen tijd om het te patchen (services waar de boterham mee verdient wordt kan simpelweg niet meer uit/down of in uitzonderlijke situaties, vaak na maanden productie, het patchen geeft klanten en leveranciers aan welk product je gebruikt en sommige willen dat niet aan hun klanten mededelen #3 er is niemand die het overziet wat de consequenties zijn van het patchen (voorbeeld: VPN concentrator moet gepatched worden. weet IT welke VPN gebruikers er zijn en wat die doen, wanneer ze dat doen, wie de contactpersonen zijn, welke productiestromen er overheen gaan, wanneer die gaan, wanneer er batches zijn die absoluut niet verstoord mogen worden?) #4 de kwaliteit van de patches is vaak bedroevend ...