Однозначного ответа на вопрос, почему уровень защиты стратегических предприятий в России остаётся низким, нет. 1 Несколько возможных причин:

• Кадровый голод и недостаточный уровень компетенций у подразделений информационной безопасности (ИБ). 1
• Сложности с пониманием технических аспектов и функциональных задач, которые могут решать отдельные классы средств защиты. 1
• Устаревшая нормативная база по ИБ, что вынуждает предприятия разрабатывать собственные стандарты безопасности, основанные на анализе бизнес-процессов и риск-анализе. 4
• Непонимание руководителями того факта, что стратегические предприятия являются целями для хакерских атак как со стороны организованных киберпреступников, так и со стороны спецслужб враждебных государств. 4
• Отсутствие должной реакции на ИБ-инциденты, например, когда собственные службы безопасности предприятия пытаются скрыть факты произошедших инцидентов. 4

В 2011 году исследование компании Symantec показало, что уровень защиты от киберугроз на российских предприятиях стратегических отраслей был ниже, чем в среднем по миру. 4