某猫さんのところで、「基幹業務系で止められないからパッチ当てられませんでした。んで踏まれました。その場合責任問われるのどこになるの？」というコメントが出ていました。
パッチの存在を知っていたのに適用していなかった、ということをとらえると、サボタージュしていたようにとられてしまうでしょうけど、それがポリシーだ、と言い張ればちょっとマシかも知れません。ただ、裁判官*1が、「世間一般の通念」に照らして判断することらしいので、「世間一般の通念」から言えば、「知ってる」人の方が管理責任はむちゃ重いことになるようです。となると、踏まれた人の責任は免れないでしょうねえ。
ただ、その立場で可能な限りの（パッチを当てる以外の）対策を尽くして、それでやられてしまったときは、裁判で「ここまでやってそれでダメだったら仕方ないな」と思わせると、かなり軽減されることがある、ということですね。