I början av maj inledde militärens chef för cybersäkerhet, generaldirektör Jonathan Shaw, till Väktaren att försvarsdepartementet var sårbart för onlineattack och att det redan hade förekommit ett fåtal allvarliga incidenter. Vad var mer chockerande var att Shaw sa att det var en överraskning för människor hur sårbara de var.

Förmodligen var dessa inte enkla förnekande av serviceattacker. De måste ha organiserats, samordnas och planeras, med krackarna riktade mot specifika system och sårbarheter. Den oroande delen är det implicita "huvudet i sanden" när det gäller några av sina säkerhetsprocedurer.

Det låter som att öppna dörren öppen och förlita sig på medborgarnas moraliska vilja att göra det rätta. Och det kommer aldrig att hända. Inte på grund av något globalt förfall i moral eller en önskan att bedräga eller vara ondsken, men för att du inte kan bekämpa nyfikenhet hos smarta tonåringar med för mycket tid på händerna.

Opaqueness är en utmaning

Det enda sättet att göra säkerhet är enligt min mening med fullständig och oblindad öppenhet. Att obfuscating dina procedurer ger dig bara en falsk känsla av din icke-säkerhet. Det lägger inte till i vilket system du kanske har och visar bara brist på förtroende för dessa system och deras förmåga att motverka ett angrepp.

En bestämd cracker ser obfuscation som en inbjudan och en utmaning. Det kommer att locka sin tonåriga nyfikenhet. Tekniken har förändrats, men jag tvivlar på att det finns en skillnad i motivationen för dagens crackers och för 20 år sedan, skripting sina modem för att tyst ringa upp lokala telefonnummer över hela natten i hopp om att se den illusiva "CONNECT" i en terminal session.

Om du är en nörd, är det få saker så spännande. Vissa kan bli kriminella, politiska och farliga, men de har aldrig fått det så långt om de inte kunde börja med enkla mål och genom att plocka bort den låghängande frukten. Därför är ditt bästa resurs alltid kallt, nykter säkerhet.

För att göra detta måste du naturligtvis vara fullt medveten om eventuella sårbarheter. Du måste hålla systemen uppdaterade och veta var du ska leta efter eventuella intrång. Säkerheten får inte behandlas som en statlig hemlighet och innehavarna av dessa hemligheter kan inte fungera som medlemmar i en hemlig lodge.

Att hålla saker hemliga gör inte sakerna säkrare. Att läsa dokument om att bryta in i ett system gör dig inte en kriminell på samma sätt som att försöka föreställa dig hur en inbrott kan skala din trädgårdsstak och korsa garagetaken gör dig till en tjuv.

Vita hattar är väsentliga

Du måste vara bättre förberedd än krackarna. Och för att vara bättre förberedd måste du veta hur de sannolikt kommer att attackera genom att både lära sig om deras tekniker och penetration genom att testa dem med din egen maskinvara. Du måste bära en vit hatt.

Om du letar efter bevis på att detta tillvägagångssätt fungerar, finns det ett uppenbart exempel: öppen källkodsprogramvara. Det var inte så länge sedan att operativsystem och programvaran som sprang på dem blev alltmer hemlighetsfulla och proprietära. Många av oss kom in i Linux eftersom vi inte vill betala för en enkel utvecklingsmiljö på Windows, till exempel, och Red Hat - open source-jätten som just meddelat 1,13 miljarder dollar av intäkterna - har byggt upp sin verksamhet i vakuum kvar av sluten utveckling.

Open Source-modellen har dock ändrat attityder, inte för att det är billigare (eftersom det förmodligen inte är det), men för att du får en bättre produkt. Inte bara funktionellt bättre, heller. Det är bättre för att du vet, eller kan upptäcka, dess ursprung.

I likhet med öppen säkerhet har granskningen av många kodare kontrollerat och använt kod hjälpt till att göra öppen källkod innovativ och säker, från Googles enorma nätverk till Facebook: s nya hårdvaruutformningar för sitt datakälla för öppen källkod. Säkerhet handlar trots allt om att hitta buggar i ditt system, och det bästa sättet att göra det är att använda så många människor som möjligt.

Red Hat har en intern mailinglista där den delar nästan alla strategidéer och planering, med bara några undantag som görs där det inte kan offentliggöras ett lagligt meddelande. Naturligtvis skulle vissa hävda att detta ger sina konkurrenter för mycket information - precis som en säkerhetsguru som förespråkar stängda system och begränsning av forskning. Men Red Hat lider inte av denna strategi, den trivs med den.

Det har omedelbart en pool med 4000 anställda till sitt förfogande, pawing över dessa nya idéer och diskutera deras fördelar och nackdelar. Resultatet är att bättre idéer dyker upp i en miljö som redan är grundad för deras spiring, så att även om Red Hats konkurrenter tog några, skulle de inte kunna producera så bra resultat.

Så här har Red Hat alltid gjort med sin programvara, med sin strategi och säkerhet, och det är märket för ett system som kan bevisas fungera. Göra detsamma i det kalla och mörka, i hopp om att ingen kommer att märka, väntar på problem. Och som med de flesta saker är det mycket bättre att möta uppgiften, i det öppna, att du vet att du inte har något att frukta.