На ринку – чорному, сірому чи будь-якому іншому – найбільші покупці мають змогу диктувати власні умови й правила. Як загальновизнаний найбільший покупець вразливостей і експлойтів нульового дня, АНБ може збурити ринок, якщо почне купувати інформацію й оприлюднювати її. Бюджет агентства на підтримку кібербезпеки становить мільярди доларів. Чом би не витратити частину цих коштів на попередження світу про існування вразливостей, які можна усунути? Яка відповідальність чекає агентство, якщо воно не попередить власників і операторів небезпечної технології щодо існування загрози атак? Це етична дилема, яку АНБ не мусить вирішувати. Проте, якщо колись станеться кібератака на США і призведе до значних матеріальних збитків або масової паніки, а можливо, навіть смертей, агентство буде змушене відповідати за те, що не запобігло катастрофі. Цілком імовірно, що колись у майбутньому директор АНБ сяде на місце свідка і під прицілом телевізійних камер пояснюватиме членам Конгресу і громадянам США, чому, знаючи про вразливість, якою скористалися вороги Америки, тримав її в таємниці лише тому, що АНБ просто чекало нагоди використати її для власних цілей.

Найуразливіші для нищівних кібератак нульового дня – саме ті об’єкти, які так прагне захистити АНБ: електростанції, підприємства атомної промисловості, газові трубопроводи та інші критично важливі об’єкти інфраструктури, а також банки й фінансові компанії. Не всі ці компанії мають системи обміну інформацією про відомі вразливості та експлойти, знайдені й оприлюднені здебільшого «білими» хакерами, які бачать своє покликання у попередженні компаній-виробників щодо недоліків у їхніх продуктах і не шукають особистого зиску. Коли компанія виявляє загрозу, «латання дір» і оновлення системи стає додатковим навантаженням, натомість технологічна гнучкість різних компаній різна. Одні готові до оперативного виправлення недоліків, інші можуть навіть не усвідомлювати, що використовують уразливе програмне забезпечення. Інколи компанії просто не отримують від виробників сповіщень щодо необхідності оновлення або зміни параметрів безпеки продукту для її посилення. Навіть якщо компанія використовує програмне забезпечення, для якого випускаються регулярні оновлення, системні адміністратори компанії повинні погодити операцію, переконатися, що оновлення проведене в усіх системах компанії, і продовжувати відстежувати майбутні оновлення. Багатьом адміністраторам здається, що оновлення сотні або тисячі комп’ютерів на підприємстві – вельми важке завдання.

Купуючи так багато експлойтів нульового дня, АНБ підтримує ринок кіберзброї, загрозливий для американських компаній і критично важливих об’єктів інфраструктури. Якщо якась держава або терористична група захочуть вимкнути струм в одному з американських міст, найімовірніше, вони скористаються експлойтом, придбаним в однієї з компаній, яка продає експлойти АНБ. Продавці експлойтів нульового дня принаймні номінально винні у зменшення безпеки інтернету. Проте вони покладають провину на виробників програмного забезпечення, яке можна зламати. «Ми не продаємо зброю, ми продаємо інформацію, – відповів засновник компанії ReVuln, що продає експлойти, коли журналіст Reuters запитав його, чи хвилюватиме компанію, якщо одну з її програм використають для атаки, яка призведе до знищення систем або смерті людей. – Це запитання краще поставити виробникам, що залишають діри в своїх продуктах».

Така стратегія захисту нагадує звинувачення виробника замків у пограбуванні будинку. Так, слюсар створює продукт, який запобігає проникненню в будинок. Проте, якщо грабіжник таки потрапить усередину й украде телевізор, ба навіть гірше – атакує власників будинку, ми не висунемо звинувачень слюсареві. Звісно, такі компанії, як ReVuln, нікого не грабують, але продають аналоги відмичок. Напевно, вони теж несуть певну міру відповідальності за доконані злочини – якщо не правову, то бодай моральну.

А як щодо АНБ? У кримінальному світі діяльність агентства не має аналогів. Адже ніхто не тиняється там, щоб купити відмичку про всяк випадок. АНБ претендує на роль охоронця інтернету. А що зазвичай відбувається, якщо охоронець, найнятий для патрулювання околиць, бачить відчинене навстіж вікно, але не повідомляє про це власників будинку? Ба більше, а якщо він сам виявляє недолік у конструкції вікон усіх помешкань у дільниці, який дозволяє злодієві відчинити вікно зовні? Якщо охоронець не попередить домовласників, його просто звільнять, а можливо, вимагатимуть його арешту. Мешканці не повірять, що він приховав інформацію про ваду в конструкції вікон, захищаючи домовласників. Вірогідно, поліція також не йнятиме віри охоронцеві, який приховав інформацію, якою міг скористатися для грабування будинків.