@A.H.Z:
Här är mina förslag på svar:
Lathet och brist på kompetens
Att kryptera kräver så klart ansträngning och man måste veta hur man gör. Om man ska kunna använda det krypterade datat så måste det i de flesta fall dekrypteras vilket också kräver ansträngning. Krypterad data har ofta väldigt begränsade sökmöjligheter.
Varför har du inte 20 teckens lösenord överallt? Varför skickar du inte alla dina mail krypterade med GPG? Där har du svaret.
"Kryptering" hjälper inte alltid, så även om företaget "krypterar" så betyder det inte att datat inte läcker i klartext.
Exempel 1: Du aktiverar BitLocker på din dator. Nu är datat krypterat och om någon stjäl din hårddisk när datorn är avstängd så är datat skyddat mot åtkomst. Men om du lämnar datorn på utan skärmsläckare i en offentlig miljö så är det bara att plocka upp den och läsa ut eller ändra datat.
Exempel 2: Det spelar ingen roll om ditt WiFi är krypterat med WPA2 och själva algoritmen är "oknäckbar", i de fall när det är möjligt att göra sidoattacker via till exempel WPS som ändå gör trafiken åtkomlig.
Nyckelhantering är inte trivialt
Om du tappar nyckeln förlorar du datat, vilket kunderna kanske blir argare över än om du läcker datat. Om du duplicerar nyckeln på flera ställen så ökar du risken att en angripare får tag på den. Du måste naturligtvis skydda nyckeln på något sätt. Med kryptering kanske? Hur skyddar du den nyckeln?
Bristande verktygsstöd för utvecklare
Ta Microsoft-stacken till exempel: SQL Server och .NET fick inte stöd för Always encrypted förrän version 2016 respektive version 4.6. Utan bra verktygsstöd blir man som utvecklare tvungen att bygga sina egna lösningar, vilket kanske leder till att man missar något som gör lösningen osäker trots ansträngningen eller att man introducerar buggar som gör lösningen ostabil eller långsam.
Gamla, okrypterade, system lever länge
Eftersom det inte spelar någon roll om organisationen har råd att förbättra dem, man har i vilket fall som helst inte mental kapacitet att driva hur mycket förbättringsarbete som helst parallellt. Om valet står mellan att fokusera på att jobba med säkerhet eller att utveckla nya sätt att tjäna pengar, gissa vilket som är roligast.
Krypteringsalgoritmer har kortare livslängd än man kan tro
Kolla på till exempel SSL 1.0, 1.1, 1.2 och TLS 1.0 & 1.1. Samtliga har fasats ut (eller håller på att fasas ut) efter långt mindre än en människas livslängd. Så det är inte helt lyckat att läcka krypterad data heller.