美国政府问责局（GAO）的一份新报告强调了美国外交部门（仍然）不了解"网络安全实践"的含义。国务院号称有适当的网络安全风险管理计划，但只是纸上谈兵。

美国政府问责局的 GAO-23-107012 号报告调查了美国国务院网络事务的糟糕状况，国务院是执行美国外交和帮助制定美国外交政策的政府机构。确保支持国务院使命的 IT 系统的安全应该是一个至关重要的目标，而迄今为止，国务院在实现这一目标方面却做得"异常出色"。

美国政府问责局的报告称，国务院已经记录了一项"符合联邦要求"的网络安全风险管理计划。该计划确定了风险管理角色和责任，并制定了适当的风险管理战略。然而，该计划并未得到"全面"实施，国务院甚至无法识别或监控其 IT 资产的风险，也不知道它到底拥有多少 IT 资产。

报告全文指出，美国国务院"很可能没有充分认识到"影响其任务运行的信息安全漏洞和网络威胁。美国国务院有一个适当的"网络事件响应小组"，负责全天候监控和识别安全问题，但缺乏支持其事件响应计划的"全面实施流程"。

美国国务院"没有充分保护"其 IT 基础设施，这可能是本年度最轻描淡写的说法，因为该政府机构很可能仍在使用基于 Windows XP 的 PC。美国政府问责局证实，某些操作系统"在 13 年前"就已达到报废年限，这与 2009 年 4 月 14 日 XP 主流支持的终止时间几乎完全吻合。微软为其传奇的 PC 操作系统提供了延长支持，直至 2014 年 4 月 8 日。

IT 基础设施的其他问题包括 23689 个"硬件系统"和 3102 套网络和服务器操作系统安装已达到其使用寿命，不再得到支持。美国政府问责局的报告指出，如果说信息技术安全问题还不足以引起人们的关注，那么美国国务院的官僚作风和联合结构则是非常成功的自我破坏。

国务院将首席信息官和子机构之间的 IT 管理责任分割开来，这种"隔绝文化"有利于缺乏沟通，最终导致了报告中指出的许多缺陷。美国审计总署称，由于这种沟通问题，国务院的企业配置管理（ECM）数据库无法提供仍在使用的所有硬件和软件的全貌。ECM 数据库似乎完全没有国家 20 个外交前哨使用的 IT 资产数据。

美国政府问责局提出了 15 项建议，以解决在美国国务院 IT 基础设施中发现的许多问题。此外，监督办公室稍后还将发布另一份"有限分发"的报告，强调另外 500 项建议，以补救美国外交机构的糟糕状况。