Я уже рассказывал, что в операторах связи есть такой KPI у безопасников — стоимость пробива у конкретного оператора. И все стремятся, чтоб стоимость пробива была дороже. И такого, чтоб вот вообще не было никаких данных — сделать практически невозможно. Иначе, просто работать будет невозможно — в любом случае, нужно обслуживать клиентов, а это значит, что кому-то из линейного персонала данные абонентов доступны. Ну, вот ту же "детализацию переговоров" же все рано или поздно заказывали? А что происходит на хакерском рынке? Существуют ли какие-то KPI среди разработчиков да еще и в мировом масштабе? Таки, существуют: https://zerodium.com/program.html Здесь на страничке перечисляются все боле-менее распространенные продукты, которые объвляют "программы по отслеживанию ошибок и уязвимостей". Такие программы еще называют Bug Bounty. И там собраны практически все значимые продукты-платформы: Операционные системы: Windows, Linux, Android, iOS etc Веб-браузеры: Chrom, Safari, Firefox Веб-серверы: Apache, IIS, nginx Системы управления сайтами: cPanel, Drupal, WordPress etc Довольно много всего важного. И даже если нет в списке, то тоже можно получить вознаграждение, если вы какую-то ошибку найдете и грамотно ее опишите. Ну, и про KPI Например, уязвимость за Zero click в Andoid могут дать up to до 2,5 миллионов, а в iOS только два миллиона. Или уязвимость класса "запуск строннего кода" в Drupal оценивается до 10 тыс долларов, а в WordPress уже можно получить до 100 тыс. Не могу сказать, что это прям полностью исчерпывающая оценка рынка уязвимостей, но примерное понимание дает. Можно использовать, например, в аргументах при выборе какой-то системы.