美國政府問責局（GAO）的一份新報告強調了美國外交部門（仍然）不了解「網路安全實踐」的含義。國務院號稱有適當的網路安全風險管理計劃，但只是紙上談兵。

美國政府問責局的GAO-23-107012 號報告調查了美國國務院網路事務的糟糕狀況，國務院是執行美國外交和幫助制定美國外交政策的政府機構。確保支持國務院使命的IT 系統的安全應該是一個至關重要的目標，而迄今為止，國務院在實現這一目標方面卻做得”異常出色”。

美國政府問責局的報告稱，國務院已經記錄了一項”符合聯邦要求”的網路安全風險管理計劃。該計劃確定了風險管理角色和責任，並制定了適當的風險管理策略。然而，該計劃並未得到”全面”實施，國務院甚至無法識別或監控其IT 資產的風險，也不知道它到底擁有多少IT 資產。

報告全文指出，美國國務院”很可能沒有充分認識到”影響其任務運作的資訊安全漏洞和網路威脅。美國國務院有一個適當的”網路事件回應小組”，負責全天候監控和識別安全問題，但缺乏支援其事件回應計畫的”全面實施流程”。

美國國務院”沒有充分保護”其IT 基礎設施，這可能是今年最輕描淡寫的說法，因為該政府機構很可能仍在使用基於Windows XP 的PC。美國政府問責局證實，某些作業系統”在13 年前”就已達到報廢年限，這與2009 年4 月14 日XP 主流支援的終止時間幾乎完全吻合。微軟為其傳奇的PC 作業系統提供了延長支持，直至2014 年4 月8 日。

IT 基礎架構的其他問題包括23689 個”硬體系統”和3102 套網路和伺服器作業系統安裝已達到其使用壽命，不再支援。美國政府問責局的報告指出，如果資訊科技安全問題還不足以引起人們的關注，那麼美國國務院的官僚作風和聯合結構則是非常成功的自我破壞。

國務院將首席資訊長和子機構之間的IT 管理責任分割開來，這種”隔絕文化”有利於缺乏溝通，最終導致了報告中指出的許多缺陷。美國審計總署稱，由於這種溝通問題，國務院的企業配置管理（ECM）資料庫無法提供仍在使用的所有硬體和軟體的全貌。ECM 資料庫似乎完全沒有國家20 個外交前哨使用的IT 資產資料。

美國政府問責局提出了15 項建議，以解決在美國國務院IT 基礎設施中發現的許多問題。此外，監督辦公室稍後還將發布另一份”有限分發”的報告，強調另外500 項建議，以補救美國外交機構的糟糕狀況。