אני רוצה להציע מחשבה קצת אחרת על מושג הפגיעוּת (vulnerability).
פגיעות, בהקשר של אבטחת מידע, תתייחס לחולשות או סיכוי לפגיעה במידע או מערכות מידע.
פגיעות, כמושג, הרי מגיעה מחיי אנוש, חולשה של אדם המסכנת את גופו ו/או נפשו ומגבירה את הסיכון לפגיעה באותו אדם.
פגיעות היא משהו פסיבי, מעין תכונה קיימת, שרצוי לחזק/לתקן אותה בהקדם האפשרי, בכדי להקטין את האפשרות לפגיעה.
אם באג פוגע בחישובי המערכת, ביציבותה ובביצועיה – הרי שבאג לרוב יתממש באופן לא מכוון, בעת התרחשות של מקרים מסוימים, חלקם מקורם בבני אנוש וחלקם בתהליכים אוטומטיים.
פגיעות, לדעתי, היא למעשה לא יותר ממקרה פרטי של באג, אבל מקרה פרטי חשוב – פגיעות לא תהיה באג ולא תתממש, בדומה למקרים רבים בחיי אנוש, ללא כוונת זדון של בן אנוש (למעט אולי, מקרי DoS, שיכולים, בדוחק רב, להיחשב כחוסר יכולת לעמוד בעמוס גבוה של פעילות תפעולית לגיטימית).
פגיעות היא באג המונע ומתממש מתוך כוונת זדון אנושית בלבד.
הן בני אנוש והן מערכות תקשוב יכולים להתקיים זמן רב ללא נזקים אם הן חיות בסביבה שאינה עוינת או זדונית.
ללא היוזמה לניצול הפגיעות – הרי שניתן לומר כאילו שהפגיעות כלל אינה קיימת, כי לא בוצע פעולה כלשהי שחשפה או ניצלה את הפגיעות.
הרבה פעמים, באבטחת מידע, אנו נוטים להתרכז בצד הטכנולוגי של העבודה (ובשל כך גם מחפשים פתרונות טכנולוגים בלבד), ומתעלמים/מזניחים את הטיפול ביסוד האנושי המהותי הטבוע במקצוע אבטחת המידע (ובמקצועות הביטחון והאבטחה בכלל), שאיתו יותר קשה לנו להתמודד, הן אישית והן כארגון – כוונת הזדון.