Nessuna vulnerabilità di sicurezza seria, incluse quelle ovvie, sarà gestita fino a che non ci sono prove schiaccianti e una diffusa consapevolezza che gli avversari la hanno già catastroficamente sfruttata. In altre parole, "notevoli danni psicologici o reali sono necessari prima che venga apprortato un qualsiasi cambiamento significativo".