Według C4ISRNET wszystko sprowadza się do tego, że obecnie nie ma krajów, które posiadałyby dobre zapisy regulujące sprzedaż oraz obieg cyberbroni. W dodatku problem pojawia się przy prężnie działającym czarnym rynku. Żaden kraj ani organizacja międzynarodowa nie jest w stanie obecnie zapanować lub chociaż monitorować transakcji odbywających się np. przy udziale tzw. Dark Netu. Z kolei dostęp do wykorzystywanego przez rządy oraz organizacje hakerskie Deep Web jest bardzo mocno ograniczony.

Problem pojawia się także w sytuacji, w której do końca nie wiadomo, jak mogą wyglądać takie zapisy dotyczące cyberbroni. Co jest o tyle dziwne, o ile sama definicja narzędzi wykorzystywanych do przeprowadzania ataków cybernetycznych ma co najmniej kilka lat. Została określona już w 2007 roku po cyberatakach na administrację Estonii w dokumencie „Tallinn Manual on International Law Applicable to Cyber Warfare”.

Następstwem takiej sytuacji w prawodawstwie powinno być wprowadzenie tej definicji do przepisów prawa, jednak takie działania nie zostały podjęte, na pewno nie w Stanach Zjednoczonych. Sytuacja może wyglądać podobnie w innych krajach.

Nie jest łatwe także określenie, czy dany program lub narzędzie działające w sieci jest już cyberbronią, czy tylko rozwiązaniem do wykonywania testów penetracyjnych sieci. Większość z tych narzędzi posiada obie charakterystyki i ich wykorzystanie - legalne bądź nie, zależy od osoby, która będzie ich używać. Również sposób, w jaki same rozwiązania są kupowane - za pomocą kryptowaluty - nie pomaga w przygotowaniu odpowiednich regulacji dla prawników, pisze Kevin Coleman na łamach C4ISRNET.

Czytaj też: Amerykanie handlują cyberbronią?