Um novo relatório do Gabinete de Responsabilidade do Governo dos EUA (GAO) destaca como o serviço estrangeiro dos EUA (ainda) não compreende o que significam “práticas de segurança cibernética”. O Departamento de Estado afirma ter um plano adequado de gestão de riscos de segurança cibernética, mas está apenas no papel.
O relatório GAO-23-107012 examina o mau estado dos assuntos cibernéticos no Departamento de Estado, a agência governamental que conduz a diplomacia dos EUA e ajuda a moldar a política externa dos EUA. Proteger os sistemas de TI que apoiam a missão do Departamento de Estado deveria ser um objectivo crítico e, até agora, o Departamento de Estado tem feito um “trabalho excepcionalmente bom” para atingir esse objectivo.
O relatório do GAO disse que o Departamento de Estado documentou um plano de gerenciamento de riscos de segurança cibernética “que atende aos requisitos federais”. O plano identifica funções e responsabilidades de gestão de riscos e desenvolve estratégias apropriadas de gestão de riscos. No entanto, o plano não foi "totalmente" implementado e o Departamento de Estado não consegue sequer identificar ou monitorizar os riscos para os seus activos de TI, nem sabe quantos activos de TI possui efectivamente.
O relatório completo afirma que o Departamento de Estado dos EUA “provavelmente não reconhece totalmente” as vulnerabilidades de segurança da informação e as ameaças cibernéticas que afetam o funcionamento das suas missões. O Departamento de Estado dos EUA possui uma “equipe de resposta a incidentes cibernéticos” que monitora e identifica problemas de segurança 24 horas por dia, mas carece de um “processo de implementação abrangente” para apoiar seu plano de resposta a incidentes.
O Departamento de Estado dos EUA “não protege adequadamente” a sua infra-estrutura de TI, o que é provavelmente o eufemismo do ano, já que a agência governamental provavelmente ainda utiliza PCs baseados no Windows XP. O Government Accountability Office dos EUA confirmou que alguns sistemas operacionais chegaram ao fim da vida útil "já há 13 anos", o que coincide quase exatamente com o fim do suporte principal do XP em 14 de abril de 2009. A Microsoft está oferecendo suporte estendido para seu lendário sistema operacional para PC até 8 de abril de 2014.
Outros problemas com a infra-estrutura de TI incluem 23.689 “sistemas de hardware” e 3.102 instalações de sistemas operacionais de redes e servidores que atingiram o fim de sua vida útil e não são mais suportados. O relatório do Gabinete de Responsabilidade do Governo dos EUA aponta que se o problema da segurança da tecnologia da informação não for suficiente para causar preocupação às pessoas, então a burocracia e a estrutura conjunta do Departamento de Estado dos EUA têm muito sucesso na auto-sabotagem.
O Departamento de Estado dividiu as responsabilidades de gestão de TI entre o diretor de informação e as subagências, e esta “cultura de silo” fomentou uma falta de comunicação que acabou por conduzir a muitas das deficiências observadas no relatório. Devido a este problema de comunicação, o banco de dados Enterprise Configuration Management (ECM) do Departamento de Estado não fornece uma imagem completa de todo o hardware e software ainda em uso, disse o GAO. A base de dados ECM parece estar completamente desprovida de dados sobre activos de TI utilizados pelos 20 postos diplomáticos do país.
O Gabinete de Responsabilidade do Governo dos EUA fez 15 recomendações para resolver os muitos problemas identificados na infraestrutura de TI do Departamento de Estado dos EUA. Além disso, o gabinete de supervisão divulgará posteriormente outro relatório de "distribuição limitada", destacando 500 recomendações adicionais para remediar o mau estado das agências diplomáticas dos EUA.