Es hat sich noch nie ein User gezeigt, der alle Gefahren sauber umgehen kann - beziehungsweise die 200 €/Stunde, die eine derartig ausgebildete Sekretärin verlangen müßte, will niemand bezahlen.
Daher muß kritische Infrastruktur derartig vom restlichen Netz getrennt werden, daß nur über definierte Schnittstellen das Röntgenbild auf den Arbeitsrechner, aber nicht das Javascript in der Spam-Mail auf die Röntgenmaschine kommt.
Und nun bitte alle im Chor: "Aber das ist doch nicht modern, das machen Alle so, und was soll da schon passieren!"