Dlaczego ludzie chcą atakować strony internetowe? Oczywistą odpowiedzią jest „chciwość”, po prostu kradzież pieniędzy lub nieuczciwe nabycie towarów. Najwyraźniej jest to główny motyw dla niektórych ludzi, a niektóre z nich mogą należeć do zorganizowanych syndykatów, które mają dostęp do dużych zasobów i do bardzo inteligentnych techników i oszustów zaufania. Może to być jednak mniejszość, choć istotna. Prawdopodobnie najwięcej zakłóceń i strat w biznesie on-line jest powodowanych przez ludzi, którzy nie zaczynają przynajmniej od osobistego zysku. Niektóre z nich to zwykła ciekawość, w niektórych przypadkach związana z nieadekwatnością społeczną – tradycyjny „haker” lub „anorak”. U niektórych z tych osób występuje ponad normalny poziom obsesji, co oznacza, że mogą i będą poświęcać dużą ilość czasu i osobistych oszczędności na przeprowadzanie ataków na systemy internetowe. Prywatność, anonimowość i łatwość dostępu do Internetu, wraz z szeroko rozpowszechnionym przekonaniem, że jest to „przestępstwo bez ofiar”, stanowią idealne środowisko dla tej obsesji. Mówi się, że niektórzy hakerzy uważają, że wyświadczają klientom i firmom przysługę, ujawniając takie słabości, a to od firm zależy, czy będą mogły chronić się przed atakiem. Bez względu na siłę ich argumentacji, szkody, jakie mogą wyrządzić atakowanym firmom, mogą być bardzo poważne. Nawet jeśli celowo lub przypadkowo nie niszczą lub nie ujawniają krytycznych danych, mogą poważnie zaszkodzić reputacji firmy. Coraz częściej obserwujemy również wzrost protestów „jednej kwestii”, skierowanych przeciwko „rządowi”, „wielkiemu biznesowi” itp. Czasami wynikające z tego zachowanie aktywistów może znacznie wykraczać poza wszelkie uzasadnione demokratyczne prawa do protestów, ale duża liczba ludzi może nadal biernie lub aktywnie go wspierać. Niektórzy z nich będą mogli pomóc w tych „przestępstwach bez ofiar”. Inni będą patrzeć z pobłażaniem na zaangażowanych w ten sposób przyjaciół lub dzieci. W takich przypadkach napastnicy nie są motywowani czystą ciekawością i mogą czuć się całkowicie usprawiedliwieni, wyrządzając tyle szkód jak mogą. Wracając do bezpośrednio przestępczej działalności, zauważamy, że konkurencyjne środowisko biznesowe zawsze miało swój udział pozbawionych skrupułów uczestników. Nie można podać wiarygodnych danych dotyczących uzyskanych zysków i strat, ponieważ firmy będą dążyć do zminimalizowania rozgłosu działalności, podczas gdy konsultanci ds. bezpieczeństwa zrobią coś przeciwnego, ale niewątpliwie występuje to w większym stopniu, niż słyszymy. Systemy on-line zapewniają masowy, globalny dostęp do korporacyjnych systemów IT na skalę znacznie większą niż kiedykolwiek wcześniej. Istnieje również na wpół tajna sieć zasobów hakerskich dostępnych online i za pośrednictwem zamkniętych grup e-mailowych. Za pośrednictwem tej sieci można uzyskać dostęp do zbioru informacji o słabościach określonych systemów, z których większość jest nieznana lub zapomniana przez legalną administrację systemów. Ponieważ podejmowanie jakiejkolwiek praktyki, zarówno karnej, jak i prawnej, jest bezpośrednio związane z możliwościami, musimy zwracać coraz większą uwagę na ochronę danych wrażliwych, zarówno własnych, jak i innych stron, z którymi mamy do czynienia. Te różne przyczyny ataku przejawiają się w różnych zestawach widocznych symptomów, które mają wpływ na technologie użyte do ataku i jego obrony. Hakerzy rekreacyjni nie dbają o to, do której części systemu się dostają; wyzwanie jest najważniejsze. Często nie są nawet szczególnie zainteresowani tym, czy zostaną zauważeni, czy nie, chociaż czasami mogą zostawić tajne drzwi-pułapki do późniejszego wejścia. Chociaż powierzchownie podobne do ataków hakerskich i oczywiście często przeprowadzane przez tego samego typu napastników, ataki protestacyjne z natury rzeczy mają na celu zadawanie szkód, szczególnie widocznych. Najprostszym sposobem osiągnięcia tego celu, który wielu jest skłonnych uważać za najmniej „nielegalny”, jest modyfikacja stron internetowych celu, być może w celu przesłania kontrkomunikatu przeciwko firmie. Podejściem, które może być bardziej szkodliwe w skutkach, jest skuteczne zabarykadowanie witryny za pomocą tak zwanego ataku typu „odmowa usługi”, tak aby nikt nie miał do niego dostępu, a firma straciła interes. Istnieją inne sposoby, w jakie firma może ponosić straty materialne w wyniku ataków online, ale zaczynają one wymagać pewnego stopnia bezwzględności, bardziej zbliżonego do nieustannej wojny. Można tu uwzględnić ataki osobistej wendety: niezadowolony pracownik IS (lub były pracownik) może mieć zarówno środki, jak i motyw, aby to przeprowadzić. Ataki przestępcze i szpiegowskie są na ogół znacznie mniej rzucające się w oczy, aby osiągnąć swoje cele, i oba są wysoce selektywne. Tutaj znowu insider ma wielką przewagę. Na koniec ostrzeżenie o niebezpieczeństwach obsesji na punkcie technologii: większość z nas w świecie IS cierpi z powodu dwóch czynników, które czynią nas słabymi strażnikami. Jesteśmy predysponowani do uczciwego postępowania, a także jesteśmy raczej ślepi na nietechniczne sposoby osiągnięcia celu, w rzeczywistości często raczej lekceważymy proste podejście do problemu. Doświadczeni przestępcy nie cierpią z powodu tych wad. Oszukują! „zapomną” swoje kody PIN i są biegli w przekonywaniu pracowników banku do zainstalowania dla nich nowego z ulotki z kodem PIN za ladą [78] dokładnie w ten sam sposób, w jaki oszukiwano komputerowe helpdeski od początku ich świadczenia. Kilka lat temu dokonano równie prostego oszustwa na diamentowym domu w Nowym Jorku. Do firmy wykonano pełen bólu i paniki telefon, ostrzegając ich, że kody bezpieczeństwa używane przez kurierów, gdy dzwonili po paczki z kamieniami, zostały naruszone. Z pewnym przejawem niechęci dzwoniący wypuścił przez linię nowy zestaw, tylko w nagłych wypadkach. Oczywiście kuriera, który podał te liczby i otrzymał diamenty, nigdy więcej nie widziano. Ani diamenty.