Já jsem ale rozporoval tvou tezi, že člověk je nejslabším článkem jen v domácím prostředí. To z mých zkušeností neplyne ani náhodou, právě naopak. Znám sítě s desetitisíci počítačů, znám sítě se stovkami PC, znám malé firmy s desítkami PC i soukromníky/domácnosti s 1-2 PC. A zatím co ty malé můžeš přinejhorším svolat do zasedačky a důrazně jim promluvit do duše, u těch velkých musíš spoléhat na oběžníky (běžně psané anglicky, protože se jedná o nadnárodní firmy a ty jsi jen nějaký pošuk z IT, kterého ti lidi nikdy neviděli, protože funguje 800km daleko a znají tvé jméno jen z e-mailu).

Tvé technické předpoklady se zhusta míjejí s realitou. Zcela často jde o problém tzv. křičících uživatelů, kteří mají "problém" s nějakou aplikací nebo procesem a u svých nadřízených si vymohli nějaký ústupek z pravidel IT bezpečnosti. Mezi to patří např. admin práva na stanicích (kvůli legacy SW, který nemusí pracovat správně), ořezání IT rozpočtu (takže třeba o 500-1000 lidí se starají dva ajtíci, přičemž jeden z nich je elév, případně je celé IT outsorcované ven) a asi tak milion dalších potenciálních problémů a průserů. A čím je ta firma větší, tím je složitější udržet nějaký psaný standard (a to mi můžeš věřit, pár security policies jsem už napsal). Tyhle snahy o zabezpečení namnoze končívají nasazením vysloveně brutálních prostředků, jako několikero různých bezpečnostních řešení, kontrolou přístupu k USB a clipboardu, transparentními SSL proxy a ořezáním přístupu k internetu na kost. Přesto i v takovém prostředí dochází k nákazám, a to z jednoduchého důvodu: vždy budou existovat výjimky a vždy budou uživatelé hledat tzv. zkratky jak dosáhnout svého (většinou ne-IT) cíle. A opět mi můžeš věřit, že čím je uživatel z pohledu IT hloupější, tím "kreativnější" (v tom špatném slova smyslu) bývá ("syn mi poradil hodit to na uložto, a on tomu rozumí, studuje gymnázium".) A když pak s takovým hříšníkem mluvíš, bude říkat "já jsem to nevěděl a potřeboval jsem NUTNĚ vyřešit tenhle problém," ačkoli máš od něj podepsaný papír, že absolvoval bezpečnostní školení, že mu rozuměl a že se bude bezpečnostní politikou firmy řídit. Mimochodem, koukni se na uložto, kolik zajímavých (a osobních) dat tam jsou mnozí schopní a více než ochotní nahrát - a to bez jakéhokoli zabezpečení! Myslíš si, že pojišťováci, pohůnci bank apod. neprocházejí školením IT bezpečnosti a GDPR u svých mateřských ústavů?

A poslední věc: tvůj předpoklad, že zavirování sítě "není možné" pokud je řádně zabezpečena platí pouze tehdy, pokud je síť použita jen jako přístupové médium k internetu. Jakmile na ní začneš skupinově pracovat, tak ať chceš či nechceš, musíš uživatelům zpřístupnit sdílené prostředky - a tím umožnit šíření malware.