La tendenza ad applicare le pratiche di sicurezza informatica ai sistemi di test risulta corretta per diverse ragioni, soprattutto con l'aumento di attacchi cibernetici che sfruttano i dispositivi di rete non monitorati.

Nessun CEO desidererebbe essere al posto del CEO di Target: i suoi POS sono stati compromessi da un attacco dovuto al riscaldamento e alla ventilazione dei controller nel sistema. Allo stesso modo, se dei dispositivi di test venissero attaccati attraverso sistemi informatici aziendali, nessun dirigente sarebbe in grado di digerire l'impatto economico dovuto all'enorme perdita di produzione.

La seconda ragione per cui questo trend appare sensato è che le pratiche e le tecnologie di sicurezza per i sistemi IT general-purpose sono più mature.

Per proteggere i sistemi e scovare gli attacchi, lo staff che si occupa della sicurezza informatica dispone di una serie di opzioni: scanner di rete, tecnologie per il rilevamento di intrusioni, desktop antivirus e agenti di monitoraggio.

La risposta naturale è estendere la copertura di queste best practice e tecnologie di sicurezza ai sistemi e dispositivi special-purpose, soprattutto quando vengono impiegate per aderire a uno standard controllato come il NIST SP 800-171.

Per almeno due ragioni, però, questo trend non è assolutamente conveniente. In primo luogo, i sistemi di test informatizzati sono meno tolleranti nei confronti di piccole modifiche nella configurazione. Gli utenti di sistemi IT sono in grado di sopportare tempi di fermo, possono anche non percepire le differenze nelle prestazioni applicative, mentre i sistemi di test special-purpose (soprattutto quelli usati nella produzione), spesso, non sono in grado di tollerarle.

Anche piccole modifiche nelle prestazioni, dovute a una patch o a una nuova funzione di sicurezza, possono influire negativamente sui risultati del test o addirittura sulla qualità dei dati raccolti. Nei sistemi di test di produzione anche brevi tempi di fermo possono avere un impatto economico considerevole sulle entrate di un'azienda.

In secondo luogo, i sistemi di test, solitamente, hanno esigenze di sicurezza uniche. In genere, si servono di software di test specifici, non utilizzati su altri computer aziendali. Sono dotati di periferiche special-purpose, non usate dalle tecnologie di sicurezza informatica standard.

Le periferiche di test, ad esempio, che richiedono la taratura per fornire misure accurate, possono danneggiarsi o persino minare la qualità dei test se i dati della calibrazione vengono alterati intenzionalmente o inavvertitamente. Applicare alla cieca le pratiche di sicurezza IT a questi sistemi di test può creare un senso di sicurezza apparente, semplicemente perché non si considerano i rischi cibernetici tipici dei sistemi di test.