Báo cáo GAO-23-107012 từ GAO Hoa Kỳ đã điều tra tình trạng đáng buồn của các vấn đề mạng ở Bộ Ngoại giao Hoa Kỳ, cơ quan chính phủ thực hiện hoạt động ngoại giao của Mỹ và giúp định hình chính sách đối ngoại của Hoa Kỳ. Đảm bảo an toàn cho các hệ thống CNTT hỗ trợ sứ mệnh của Nhà nước phải là một mục tiêu quan trọng và đó là mục tiêu mà cho đến nay, bộ này đã rất thành công trong việc thất bại.
Báo cáo của GAO cho biết rằng Bộ Ngoại giao đã ghi lại một chương trình quản lý rủi ro an ninh mạng “đáp ứng các yêu cầu của liên bang”. Chương trình đã xác định vai trò và trách nhiệm quản lý rủi ro với chiến lược quản lý rủi ro phù hợp. Tuy nhiên, kế hoạch này vẫn chưa được thực hiện “đầy đủ” và Bộ Ngoại giao thậm chí không thể xác định hoặc giám sát rủi ro đối với tài sản CNTT của mình – hoặc số lượng tài sản CNTT mà Bộ này thực sự sở hữu.
Báo cáo đầy đủ nói rằng Bộ Ngoại giao Hoa Kỳ “có thể không nhận thức đầy đủ” về các lỗ hổng bảo mật thông tin và các mối đe dọa mạng ảnh hưởng đến hoạt động sứ mệnh của họ. Bang có “Nhóm ứng phó sự cố mạng” đầy đủ để giám sát và xác định các vấn đề bảo mật 24/7, nhưng thiếu “các quy trình được triển khai đầy đủ” để hỗ trợ chương trình ứng phó sự cố.
Bộ Ngoại giao Hoa Kỳ đã “không bảo đảm đầy đủ” cơ sở hạ tầng CNTT của mình và đây có thể là sự đánh giá thấp trong năm vì cơ quan chính phủ có thể vẫn đang sử dụng PC chạy Windows XP. GAO xác nhận rằng một số cài đặt hệ điều hành nhất định đã hết hạn sử dụng “hơn 13 năm trước”, điều này gần như hoàn toàn phù hợp với việc kết thúc hỗ trợ chính thống của XP vào ngày 14 tháng 4 năm 2009. Microsoft đã cung cấp hỗ trợ mở rộng cho hệ điều hành PC huyền thoại của mình lên đến Ngày 8 tháng 4 năm 2014.
Các vấn đề khác với cơ sở hạ tầng CNTT bao gồm 23.689 “hệ thống phần cứng” và 3.102 bản cài đặt hệ điều hành mạng và máy chủ đã hết tuổi thọ và không còn được hỗ trợ. Khi bảo mật CNTT không cung cấp đủ lý do để lo ngại, báo cáo của GAO nhận xét, Bộ Ngoại giao Hoa Kỳ rất thành công trong việc tự phá hoại chính mình nhờ vào các hoạt động quan liêu và cơ cấu liên bang.
Nhà nước đã phân chia trách nhiệm quản lý CNTT giữa CIO và các tổ chức trực thuộc, với một “văn hóa cách ly” ủng hộ việc thiếu giao tiếp và chịu trách nhiệm cuối cùng về nhiều thiếu sót được xác định trong báo cáo. Do vấn đề liên lạc này, GAO cho biết, cơ sở dữ liệu quản lý cấu hình doanh nghiệp (ECM) của Bộ không thể cung cấp bức tranh đầy đủ về tất cả phần cứng và phần mềm vẫn đang được sử dụng. Cơ sở dữ liệu ECM dường như hoàn toàn không có dữ liệu về tài sản CNTT được sử dụng tại 20 cơ sở ngoại giao của Nhà nước.
GAO đã chuẩn bị 15 khuyến nghị để giải quyết nhiều vấn đề được phát hiện trong cơ sở hạ tầng CNTT của Bộ Ngoại giao Hoa Kỳ. Hơn nữa, Văn phòng giám sát sau đó sẽ đưa ra một báo cáo khác với “phân phối hạn chế” nêu bật 500 khuyến nghị khác nhằm khắc phục tình trạng đáng buồn của cơ quan ngoại giao Mỹ.