Laut Die Gründe dafür umfassen den guten Schutz vieler kritischer Computersysteme vor bekannten Bedrohungen ebenso wie die Annahme, dass wohl kaum jemand einen rein virtuellen Krieg führen würde. Cyberwaffen allerdings sind weit verbreitet und werden bald allgegenwärtig, warnen die Studienautoren Peter Sommer und Ian Brown. Grundsätzlich rechnen die beiden Sicherheitsexperten damit, dass die meisten Cybersicherheits-Probleme räumlich und zeitlich eher begrenzt ausfallen werden.
Als ein globales Katastrophenszenario zeichnet die OECD-Studie allerdings den erfolgreichen Angriff auf grundlegende Elemente der Internet-Infrastruktur. Davon abgesehen ist ein globaler Internet-Schock aber unwahrscheinlich - wenngleich die Sonne einen solchen auslösen könnte. Wenn der ehemalige CIA-Chef Michael Hayden DoS-Attacken (Denial of Service) praktisch Massenvernichtungswaffen gleichsetzt, klingt das zwar bedrohlich, aber Sommer und Brown warnen davor, dass solche sprachlichen Übertreibungen einer sinnvollen Analyse von Cybersicherheits-Fragen eher im Wege stehen würden. Sie verweisen darauf, dass DoS, Trojaner und andere Cyberwaffen meist nur sehr eingegrenzte Wirkung haben.
Von den beiden echten Katastrophenszenarien für den Cyberspace, welche die OECD-Studie anführt, hat eines wenig mit Cybersicherheit zu tun. Es ist die Sonnenaktivität, die ein kaum kalkulierbares Risiko bedeutet. Durch eine extrem starke Sonneneruption könnten nicht nur Satelliten ausfallen. Auf der Erde sind Schäden beispielsweise an Mobilfunksendern und Vermittlungsstellen denkbar. Falls auf diese Art eine größere Zahl an wichtiger Netzwerkknoten physisch ausfällt, wäre Ersatz nicht ohne weiteres verfügbar. Es ist also wichtig, am Schutz anfälliger Systeme vor hochenergetischen Sonneneruptionen zu forschen. Die einzige Form des Cyberangriffs, die sich nach Einschätzung der OECD-Studie ebenso dramatisch global auswirken kann, würde eine schwer zu schließende Sicherheitslücke auf fundamentaler Infrastrukturebene wie beispielsweise de Domain Name Servern erfordern. Theoretisch könnte es sein, dass dann Web oder E-Mail unbrauchbar gemacht werden. Davon wäre freilich auch der Angreifer betroffen. Das spricht laut Studie gegen den Versuch einer so grundlegenden Attacke.