Czasami śledczy mają szczęście i znajdują wskazówki, które cyberprzestępca pozostawił w aktach, co prowadzi do szybkiego aresztowania i skazania. Podobnie jak w przypadku wielu fizycznych dochodzeń karnych, powodzenie w wyśledzeniu i znalezieniu osoby lub grupy stojącej za incydentem cybernetycznym w dużej mierze zależy od dowodów pozostawionych na miejscu zbrodni. Wskazówki są dostępne w technikach lub narzędziach używanych przez intruza w celu uzyskania dostępu, wspólnych cechach wielu włamań lub przechwytywania komunikacji między intruzem a jego lub jej rówieśnikami, którzy przechwalają się nieautoryzowanym dostępem. Ze względu na trudność w uzyskaniu atrybucji, Departament Obrony i wiele agencji rządowych charakteryzują wszystkie włamania jako reprezentatywne dla wrogich zamiarów z obcego kraju, dopóki nie zostanie udowodnione inaczej. Hakerzy i inni poszukiwacze ciekawostek uczestniczący w ostatnich konferencjach dotyczących bezpieczeństwa informacji często otrzymują tę wiadomość od urzędników państwowych. Śledczy regularnie wykluczają grupy terrorystyczne i sponsorowane przez państwa narodowe na wczesnym etapie dochodzenia w sprawie incydentu cybernetycznego, ale nie można przecenić znaczenia stanowiska rządu. Wielu uważa, że najgorsza grupa, hakerzy, jest bardziej uciążliwa niż zagrożenie dla infrastruktury krytycznej. Istnieje jednak ogólna obawa, że w końcu jeden lub więcej hakerów będzie miało „szczęście” podczas eksperymentowania z nowym narzędziem lub techniką. Podobnie jak w przypadku propozycji Thomasa Huxleya, że nieskończona liczba małp piszących na nieskończonej liczbie maszyn do pisania w końcu wpisuje wszystkie dzieła Szekspira, istnieje duże prawdopodobieństwo, że jeden z dużej liczby hakerów uderzających w klawiaturę komputera pewnego dnia wpisze magiczną sekwencję naciśnięć klawiszy, które powodują znaczne uszkodzenia.
Aby rozwiązać problem atrybucji i identyfikacji zagrożeń oraz względną niezdolność rządu do wczesnego wskazania i ostrzeżenia o nadchodzącym cyberataku, Departament Bezpieczeństwa Wewnętrznego i inne agencje rządowe zalecają, aby administratorzy systemów skupili się na własnych lukach w systemie, a nie na zagrożeniu. Ma to sens, ponieważ większość administratorów ma pełną kontrolę nad ograniczaniem luk w zabezpieczeniach i ograniczaniem ich narażenia na Internet. Mają jednak niewielki wpływ na grupy zagrożeń lub nie mają go wcale i generalnie nie mają możliwości przewidzenia ich kolejnego ruchu. Redukcja podatności nie zawsze jest łatwa, a analiza słabych punktów często prowadzi z powrotem do identyfikacji typów zagrożeń, które mogą zaatakować określony system lub sieć. Wielu administratorów systemów i specjalistów ds. Bezpieczeństwa utknęło w niekończącej się pętli. Próbują dowiedzieć się, kto lub jaki jest ich najbardziej prawdopodobny przeciwnik, ale nie potrafią. Chcą zorientować się w zagrożeniu, ale nie są w stanie go odpowiednio zidentyfikować ani scharakteryzować. Nie mogą wtedy kontynuować opracowywania planu obronnego w celu przeciwdziałania zagrożeniu. Gdy nie są w stanie zidentyfikować cyberzagrożeń i adwersarzy, administratorzy systemów i menedżerowie infrastruktury krytycznej powinni zamiast tego skupić się na redukcji podatności. W końcu, jeśli żaden system nie jest podatny na atak, nie może być ataku. Przy zmniejszeniu lub wyeliminowaniu wektora zagrożeń (luk w zabezpieczeniach) zagrożenia nie mogą się ujawniać. Organizacje z postawami obronnymi, które są zorientowane na zagrożenie, a nie na podatność lub ekspozycję, często pomijają tę prostą zasadę. Infrastruktury krytyczne są podatne na ataki z wielu stron, w tym zarówno fizyczne, jak i cybernetyczne. Współzależności między infrastrukturami stanowią zagrożenie, tak że udany atak na jeden system prawdopodobnie wpłynie na inne systemy, które nie są bezpośrednio atakowane. W miarę jak coraz bardziej uzależniamy się od infrastruktury cybernetycznej, musimy być bardziej świadomi zagrożeń związanych z cyberatakami i modyfikować sposób, w jaki projektujemy, instalujemy, obsługujemy i utrzymujemy całą naszą infrastrukturę, a nie tylko krytyczną. Na poziomie międzynarodowym kilka organizacji zajęło się rosnącą potrzebą „kultury bezpieczeństwa”, która musi się zakorzenić, aby nasza przyszła gospodarka cyfrowa i sposób życia odniosły sukces. Doskonałym przykładem jest dokument opublikowany przez Organizację Współpracy Gospodarczej i Rozwoju. Wytyczne OECD dotyczące bezpieczeństwa systemów i sieci informatycznych są dostępne w Internecie na stronie internetowej OECD pod adresem www.oecd.org Wytyczne sugerują potrzebę większej globalnej świadomości i zrozumienia kwestii bezpieczeństwa, ze szczególnym uwzględnieniem bezpieczeństwa w rozwoju systemów i sieci informatycznych. Wytyczne zawierają dziewięć uzupełniających się zasad dla uczestników na wszystkich poziomach, w tym na poziomie politycznym i operacyjnym:
*Świadomość
*Odpowiedzialność
*Odpowiedź
*Etyka
*Demokracja
*Ocena ryzyka
* Projektowanie i wdrażanie zabezpieczeń
* Zarządzanie bezpieczeństwem
* Ponowna ocena
Wytyczne OECD, opracowane z myślą o nietechnicznych decydentach i liderach, sugerują, że świadomość, edukacja, wymiana informacji i szkolenia mogą prowadzić do przyjęcia lepszego zrozumienia i praktyk w zakresie bezpieczeństwa. Inne organizacje międzynarodowe, takie jak Organizacja Narodów Zjednoczonych, Organizacja Państw Amerykańskich, Rada Gospodarcza Azji i Pacyfiku oraz Unia Europejska popierają zasady opracowane przez OECD. Identyfikacja zagrożeń ma kluczowe znaczenie dla ochrony infrastruktury krytycznej, podobnie jak identyfikacja i korygowanie słabych punktów i zagrożeń. Przyjęcie przez wszystkich nastawienia „kultury bezpieczeństwa” znacznie zwiększy możliwości operacyjne i niezawodność infrastruktury krytycznej oraz umożliwi przyszłym pokoleniom czerpanie korzyści z globalnie połączonego społeczeństwa.