Một báo cáo mới từ Văn phòng Trách nhiệm Chính phủ Hoa Kỳ (GAO) nêu bật sự thiếu hiểu biết của cơ quan ngoại giao Hoa Kỳ về "các biện pháp an ninh mạng" nghĩa là gì. Bộ Ngoại giao tuyên bố có kế hoạch quản lý rủi ro an ninh mạng phù hợp nhưng nó chỉ nằm trên giấy tờ.
Báo cáo GAO-23-107012 của Văn phòng Trách nhiệm Chính phủ Hoa Kỳ xem xét tình trạng kém về các vấn đề mạng tại Bộ Ngoại giao Hoa Kỳ, cơ quan chính phủ tiến hành ngoại giao Hoa Kỳ và giúp định hình chính sách đối ngoại của Hoa Kỳ. Bảo mật các hệ thống CNTT hỗ trợ sứ mệnh của Bộ Ngoại giao phải là một mục tiêu quan trọng và cho đến nay Bộ Ngoại giao đã thực hiện “công việc đặc biệt tốt” để đạt được mục tiêu đó.
Báo cáo của Văn phòng Trách nhiệm Chính phủ Hoa Kỳ cho biết Bộ Ngoại giao đã ghi lại một kế hoạch quản lý rủi ro an ninh mạng "đáp ứng các yêu cầu của liên bang". Kế hoạch xác định vai trò, trách nhiệm quản lý rủi ro và phát triển các chiến lược quản lý rủi ro phù hợp. Tuy nhiên, kế hoạch này vẫn chưa được triển khai “đầy đủ”, và Bộ Ngoại giao thậm chí không thể xác định hoặc giám sát rủi ro đối với tài sản CNTT của mình, cũng như không biết mình thực sự sở hữu bao nhiêu tài sản CNTT.
Báo cáo đầy đủ nêu rõ rằng Bộ Ngoại giao Hoa Kỳ "có thể không nhận ra đầy đủ" các lỗ hổng bảo mật thông tin và các mối đe dọa mạng ảnh hưởng đến hoạt động của các cơ quan đại diện của mình. Bộ Ngoại giao Hoa Kỳ có một "đội ứng phó sự cố mạng" giám sát và xác định các vấn đề bảo mật suốt ngày đêm, nhưng thiếu "quy trình thực hiện toàn diện" để hỗ trợ kế hoạch ứng phó sự cố của mình.
Bộ Ngoại giao Hoa Kỳ "không bảo vệ đầy đủ" cơ sở hạ tầng CNTT của mình, đây có thể là cách đánh giá thấp trong năm vì cơ quan chính phủ có thể vẫn đang sử dụng PC chạy Windows XP. Văn phòng Trách nhiệm Chính phủ Hoa Kỳ xác nhận rằng một số hệ điều hành đã ngừng hoạt động "sớm nhất là 13 năm trước", gần như trùng khớp với thời điểm kết thúc hỗ trợ chính thống của XP vào ngày 14 tháng 4 năm 2009. Microsoft đang cung cấp hỗ trợ mở rộng cho hệ điều hành PC huyền thoại của mình cho đến ngày 8 tháng 4 năm 2014.
Các vấn đề khác với cơ sở hạ tầng CNTT bao gồm 23.689 "hệ thống phần cứng" và 3.102 lượt cài đặt hệ điều hành máy chủ và mạng đã hết thời gian sử dụng và không còn được hỗ trợ. Báo cáo của Văn phòng Trách nhiệm Chính phủ Hoa Kỳ chỉ ra rằng nếu vấn đề an ninh công nghệ thông tin chưa đủ khiến người dân lo ngại thì bộ máy quan liêu và cơ cấu liên hợp của Bộ Ngoại giao Hoa Kỳ rất thành công trong việc tự phá hoại.
Bộ Ngoại giao phân chia trách nhiệm quản lý CNTT giữa giám đốc thông tin và các cơ quan trực thuộc. "Văn hóa silo" này đã thúc đẩy việc thiếu giao tiếp mà cuối cùng dẫn đến nhiều thiếu sót được nêu trong báo cáo. GAO cho biết, do sự cố giao tiếp này, cơ sở dữ liệu Quản lý Cấu hình Doanh nghiệp (ECM) của Bộ Ngoại giao không cung cấp bức tranh hoàn chỉnh về tất cả phần cứng và phần mềm vẫn đang được sử dụng. Cơ sở dữ liệu ECM dường như hoàn toàn không có dữ liệu về tài sản CNTT được 20 cơ quan ngoại giao của nước này sử dụng.
Văn phòng Giải trình Chính phủ Hoa Kỳ đã đưa ra 15 khuyến nghị nhằm giải quyết nhiều vấn đề được xác định trong cơ sở hạ tầng CNTT của Bộ Ngoại giao Hoa Kỳ. Ngoài ra, văn phòng giám sát sau đó sẽ công bố một báo cáo "phân phối hạn chế" khác nêu bật thêm 500 khuyến nghị nhằm khắc phục tình trạng kém cỏi của các cơ quan ngoại giao Hoa Kỳ.