Einer der größten Kritikpunkte ist der Umgang mit den Zugangsberechtigungen für kritische Waffen- und Verteidigungssysteme. So existierte zwar eine vorgeschriebene Zwei-Faktor-Authentifizierung, allerdings wurde diese in vielen Fällen nicht durchgesetzt. Neue Mitarbeiter erhielten zu Beginn ihrer Tätigkeit einen Nutzernamen und ein Passwort, welche nach Aktivierung durch eine Zugangskarte ersetzt werden sollten. Nach spätestens zwei Wochen sollten diese Karten aktiviert werden, doch das passierte offenbar nicht immer. Ein Mitarbeiter drückte sich laut Bericht ganze sieben Jahre vor der Aktivierung dieser Zwei-Faktor-Authentifizierung! Bei einer anderen überprüften Basis war das ganze Netzwerk nicht darauf ausgelegt, diese Art der Zugangsberechtigung überhaupt zu unterstützen. Darüber hinaus wurden die Zugangsberechtigungen offenbar recht freigiebig verteilt und die Gründe für die Erteilung nirgendwo festgehalten. So ließ sich im Nachhinein kaum noch feststellen, warum einzelne Mitarbeiter den Zugang zu den Systemen überhaupt benötigten und ob man ihnen diesen vielleicht auch nur für eine begrenzte Zeit gewährt hatte.
Ein weiterer Kritikpunkt besteht im Umgang mit Sicherheitspatches, um bekannte Sicherheitslücken zu schließen. In drei der überprüften Standorte klafften große und vor allem weithin bekannte Sicherheitslücken in den Systemen, die mit einem simplen Patch längst hätten geschlossen sein können. Einige der gefundenen Lücken sind sogar seit den 1990er Jahren bekannt. Und damit nicht genug: In einer Basis existierte nicht einmal ein Basisschutz der Systeme durch ein Antivirenprogramm! Die Begründung für dieses Versäumnis schockiert: Der zuständige Mitarbeiter habe zwar einen Antrag eingereicht, allerdings nie eine Freigabe für die nötigen Schritte erhalten. Offenbar hat er es aber innerhalb eines Jahres wiederum nicht für nötig befunden, nochmal danach zu fragen.
Doch nicht nur die Softwareseite der Sicherheit wird im Bericht kritisiert, sondern auch die physische Sicherheit der Computer und Server. So waren die Server Racks nicht verschlossen und auf Nachfrage erklärten die Verantwortlichen, dass sie sich nicht darüber im Klaren gewesen seien, dass das zum Sicherheitsprotokoll gehöre. Insbesondere in Kombination mit den großen Sicherheitslücken bei der physischen Zugangskontrolle zu diesen Systemen können unverschlossene Server Racks eine große Gefahr darstellen. Der Bericht listet hier mehrere Kritikpunkte auf: von einer unzureichenden Videoüberwachung über defekte Sensoren an Schleusen und Türen bis hin zu absolut desinteressierten Mitarbeitern, die Fremde ohne sichtbare Zugangsberechtigung nicht einmal fragen würden, was sie in den kritischen Bereichen zu suchen hätten.
Zusätzlich zu all diesen Punkten kritisieren die Prüfer, dass in drei Standorten keine oder keine ausreichende Verschlüsselung genutzt wird, wenn Daten physisch übertragen werden, beispielsweise über einen USB-Stick. Die Begründung: Das über Jahrzehnte gewachsene System sei nicht darauf ausgelegt, große Datenmengen sinnvoll zu verschlüsseln. An einem der Standorte hieß es auch hier wieder: „Wir wussten gar nicht, dass man das tun soll.“ All diese Befunde aus dem Prüfbericht lassen nicht unbedingt ein gutes Gefühl aufkommen, vor allem wenn man an die Kraft der amerikanischen Waffensysteme denkt. Hier muss schleunigst nachgebessert werden, sowohl auf Software- als auch personeller Seite. Einen derart fahrlässigen Umgang mit der Cybersicherheit könnten sich Unternehmen in der freien Wirtschaft überhaupt nicht leisten.