責任境界の曖昧さが脆弱性を放置させた
2021年10月に某病院で、ランサムウェア攻撃により電子カルテシステムが数ヶ月に渡り停止した原因は、本システムへのリモートメンテナンス用のVPNルータの脆弱性からランサムウェアが感染したことが原因だった。
VPNルータが開放されたままにも関わらずシステム構築ベンダーは病院側に閉域網になっていると説明していた。

本来閉じるべきポートが開いたままだった
2021年11月に某社のサービスがランサムウェアの攻撃で利用が出来なくなったのは、本来閉じるべきポートが開放されたままとなっていたため、そこからランサムウェア攻撃を受けたと考えられている。

自社が完璧でも感染が伝染る
2022年10月に某医療センター の電子カルテシステムがランサムウェアに攻撃され院内システムがダウンした原因は、院内システムとVPN接続をしていた、取引先給食センターのシステムがランサムウェアに感染し、そのままVPNを通じて院内システムに感染が広がったことによる。

システム管理者に無断で社内に無線LANルータを設置するケースなどは、ルータの脆弱性について誰も責任を持たないため、攻撃を受けるリスクがあります。

　境界機器のセキュリティパッチを更新しようとしても、どのパッチをあてるべきかという判断は難しい面があります。
　パッチ更新の判断を間違えると、攻撃者の標的になりかねませんが、しかし全ての脆弱性情報に対応するのも膨大な工数がかかります。

セキュリティパッチ更新作業は工数がかかる割には、万一のシステムトラブル時は確実にシステム管理者の責任となります。しかしこのセキュリティパッチを更新しないからといってすぐに攻撃されるかどうかは不明です。
　このためシステム管理者の心理では「できるだけパッチ適用は後回し」というバイアスが起こり得ます。