普罗维登斯——罗德岛州的官员多次被警告，该州很容易受到网络安全攻击。

　　今年4月，该州审计长发布了2023财年的审计报告，称在网络安全方面，“该州目前没有足够的资源专门用于该州运营的规模和复杂性”，而且防范风险的努力进展不够快。

　　除了一般性警告外，审计还包含了关于RIBridges的特别警告。RIBridges是罗德岛州的公共福利系统，也是上周宣布的网络攻击的目标。

　　审计报告称：“某些内部控制缺陷应该得到解决，以改善国家对RIBridges和医疗补助管理信息系统信息系统安全的监控。”

　　现在，人们的注意力集中在审计结果上——以及之前审计中同样的警告——因为这次网络攻击可能暴露了数十万人的私人数据，并迫使州政府官员争先恐后地为那些接受政府援助的人制定备份计划。

　　前共和党和温和党州长候选人肯·布洛克（Ken Block）是Simpatico软件系统公司的总裁和Watchdog RI的创始人，他说该州应该早点采取行动。

　　“问题是：州长办公室和立法领导层是否阅读了这些报告，并在需要采取行动的地方采取行动？”布洛克在GoLocalProv网站上写了一篇关于审计的评论。“马被偷后，他们正在关上马厩的门。”

　　周五，州长丹尼尔·j·麦基（Daniel J. McKee）的政府关闭了RIBridges网站，以尽量减少网络攻击的影响。该州已经开设了一个呼叫中心，帮助公众解答有关数据泄露的问题，以及客户如何采取措施保护自己的个人信息。电话号码是833-918-6603，网站是cyberalert.ri.gov。

　　周三，美国国务院发言人凯伦·格列科表示：“我们已经根据审计总长报告中的发现实施了纠正措施计划。”

　　她说，在过去几年中，该州进行了网络安全投资，包括部署“治理、风险和合规工具”，并采用一种安全策略，假设所有访问请求都是网络攻击，并对每个请求进行身份验证，以确保只有授权用户才能访问网络。

　　此外，Greco表示，该州正在使用“云优先”战略，通过增强的安全功能来降低风险，并且该州继续对企业技术战略和服务部门的员工进行培训。

　　格列柯说：“我们的系统不断接受联邦政府、州审计长和州内部审计办公室的审计。”“这些结果往往被纳入国家继续加强国家系统安全的总体战略。”

　　她说，该州仍未收到来自该州RIBridges供应商德勤（Deloitte）的分析报告，该分析报告确定了数据泄露的根本原因。

　　所以在这一点上，格列柯说：“任何关于准备的评论都是猜测。我们迫切希望得到德勤的分析，以了解发生了什么以及原因。”

　　4月份的审计报告确实表示，“该州更新了当前的网络安全准备情况，并已开始确定风险缓解优先事项和实施必要纠正措施所需的资源。”

　　根据该州的采购门户网站，2023年，该州公共服务部（Department of Human Services）发布了一份征求建议书的请求，寻求一家“审计供应商”对RIBridges系统进行安全和隐私测试。

　　该合同价值419,120美元，为期两年，于2024年10月授予Inspira Enterprise Inc.，也就是网络攻击被发现的两个月前。

　　审计报告的另一部分称，“国家需要进一步加强协调和培训，以提高其在数据泄露事件中的事件响应能力。缺乏一致的全州事件响应培训增加了该州无法以协调的方式正确响应IT安全事件的风险。”

　　布洛克说：“你真的不想读到我们在数据泄露中缺乏事件响应的报道。”

　　审计报告的另一部分说，“多年来，国库运作的复杂性大幅增加，而国家在技术和人员方面的投资却没有重大改变，以支持这些努力，并确保内部控制的最佳做法得以维持。”

　　参议院财政委员会主席路易斯·p·迪帕尔马（Louis P. DiPalma）表示，他在2015年赞助了该州的《身份盗窃保护法》（Identity Theft Protection Act），并在2023年对该法进行了更新。他说，法律要求某些私人信息“受到保护，访问受到控制和加密”。

　　所以，他说，“我问了一个问题：这些数据访问是否按照新法律的要求受到控制和加密？我还没有收到答复。”

　　米德尔敦民主党人迪帕尔马表示，如果这次数据泄露影响到50多万人，他不会感到惊讶。罗德岛州的人口约为110万。

　　他说：“考虑到我们的人口，这可能是全国一个州最大的违规行为之一，就百分比而言。”

　　迪帕尔马说，他迫切希望得到一份报告，说明数据泄露是如何发生的。他还表示，“希望州长能在预算中加入一些内容，以改善罗德岛的网络安全态势。”

　　《环球报》记者斯蒂芬·马查多说这是本报告的内容。

　　可以通过edward.fitzpatrick@globe.com与爱德华·菲茨帕特里克联系。关注他@FitzProv。