В новом отчете Счетной палаты правительства США (GAO) подчеркивается, что дипломатическая служба США (до сих пор) не понимает, что означают «практики кибербезопасности». Госдепартамент утверждает, что у него есть надлежащий план управления рисками кибербезопасности, но это только на бумаге.
В отчете GAO GAO-23-107012 рассматривается плохое состояние кибербезопасности в Государственном департаменте, правительственном агентстве, которое проводит дипломатию США и помогает формировать внешнюю политику США. Обеспечение безопасности ИТ-систем, поддерживающих миссию Госдепартамента, должно стать важнейшей целью, и до сих пор Госдепартамент проделал «исключительно хорошую работу» для достижения этой цели.
В отчете GAO говорится, что Государственный департамент задокументировал план управления рисками кибербезопасности, «который соответствует федеральным требованиям». В плане определяются роли и обязанности по управлению рисками, а также разрабатываются соответствующие стратегии управления рисками. Однако план не был «полностью» реализован, и Госдепартамент не может даже выявить или отслеживать риски для своих ИТ-активов, а также не знает, сколькими ИТ-активами он на самом деле владеет.
В полном отчете говорится, что Госдепартамент США «вероятно, не полностью осознает» уязвимости информационной безопасности и киберугрозы, которые влияют на работу его миссий. В Госдепартаменте США есть «команда реагирования на киберинциденты», которая круглосуточно отслеживает и выявляет проблемы безопасности, но не имеет «комплексного процесса реализации» для поддержки своего плана реагирования на инциденты.
Госдепартамент США «не защищает должным образом» свою ИТ-инфраструктуру, что, вероятно, является преуменьшением года, поскольку правительственное учреждение, вероятно, все еще использует ПК на базе Windows XP. Счетная палата правительства США подтвердила, что срок службы некоторых операционных систем истек «еще 13 лет назад», что почти точно совпадает с окончанием основной поддержки XP 14 апреля 2009 года. Microsoft предлагает расширенную поддержку своей легендарной операционной системы для ПК до 8 апреля 2014 года.
Другие проблемы с ИТ-инфраструктурой включают 23 689 «аппаратных систем» и 3 102 установки сетевых и серверных операционных систем, срок службы которых истек и больше не поддерживается. В отчете Счетной палаты правительства США отмечается, что если проблемы безопасности информационных технологий недостаточно, чтобы вызвать обеспокоенность людей, то бюрократия и совместная структура Госдепартамента США очень преуспевают в самосаботаже.
Государственный департамент разделил обязанности по управлению ИТ между директором по информационным технологиям и подразделениями, и эта «культура изолированности» способствовала отсутствию связи, что в конечном итоге привело ко многим недостаткам, отмеченным в отчете. По данным GAO, из-за этой проблемы со связью база данных управления конфигурацией предприятия (ECM) Государственного департамента не дает полной картины всего оборудования и программного обеспечения, которые все еще используются. В базе данных ECM, судя по всему, полностью отсутствуют данные об ИТ-активах, используемых 20 дипломатическими представительствами страны.
Счетная палата правительства США представила 15 рекомендаций по решению многих проблем, выявленных в ИТ-инфраструктуре Государственного департамента США. Кроме того, надзорное ведомство позже опубликует еще один отчет «ограниченного распространения», в котором будут выделены дополнительные 500 рекомендаций по исправлению плохого состояния дипломатических агентств США.