Стоит ли сообщать злоумышленникам об уровне своей защищенности?

Вопрос, вынесенный в заголовок, не праздный. Более того, ответ на него не так прост как кажется. У многих специалистов сложилось впечатление, что, чем меньше злоумышленники знают об их системе защиты, тем выше ее эффективность. Сторонники движения security through obscurity часто ратуют за сохранение в тайне любой информации о том, какие меры и продукты защиты используются в организации. Но есть ли под этим какая-нибудь основа и рациональное зерно? Не миф ли это? Оказывается все не так очевидно, как кажется многим. Более того, все совсем не так, как многим казалось раньше. 3 года назад, два специалиста - Марко Кремонини (Университет Милана) и Дмитрий Низовцев (Школа бизнеса Университета в Вашбурне, США) опубликовали результаты очень интересного исследования, выводы которого более чем интересны. Тем более, что опираются они на математику, а не просто на безосновательные "логические" заявления. Суть исследования "Understanding and Influencing Attackers Decisions: Implications for Security Investment Strategies" такова: при наличии альтернативы, злоумышленник не станет атаковать систему, об уровне защищенности которой он имеет хоть какую-то информацию. Разумеется, этот уровень должен быть ненулевым. Иными словами, Марки и Дмитрий доказывают, что поведение злоумышленников достаточно рационально и они не будут ломиться в дверь, о которой им известно, что она неприступна или обладает мощной защитой. А вот против организации, которая скрывает информацию о своей защищенности, плохие парни выйдут с большей вероятностью, т.к. рассчитывают, что скрывая состояние защищенности, компании есть чего опасаться.