ממרץ ועד אוגוסט 2023 ביצע משרד מבקר המדינה ביקורת בנושא ההגנה על המידע הממוחשב המצוי בעיקר ברשתות המחשוב של משרד ראש הממשלה, בהן רשתות מסווגות. בביקורת נבחנו בין היתר נושאים כמו ניהול העל של הגנת המידע במשרד, לרבות היבטי תקציב הכרוכים בניהול; מערך הזדהות המשתמשים וניהול ההרשאות; ניטור המערכות ברשת מסוימת; עדכניות גרסאות של מערכות ההפעלה והתוכנה; ואבטחת המידע המסווג ביטחונית. הביקורת נערכה בעיקר במשרד ראש הממשלה ובמל"ל. בדיקות השלמה נעשו ביחידה להגנת הסייבר בממשלה (יה"ב), בשב"כ ובנציבות שירות המדינה. 

ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח על שולחן הכנסת ולא לפרסם נתונים מפרק זה בדו"ח המבקר לשם שמירה על ביטחון המדינה, בהתאם לסעיף 17 לחוק מבקר המדינה, התשי"ח-1958. חסיון נתונים אלה אינו מונע את הבנת מהות הביקורת.

הביקורת העלתה ליקויים בהיבטים של ניהול העל בנוגע להגנת המידע במשרד, לרבות בנוגע לסדרי עבודתן של ועדות היגוי להגנת הסייבר שפעלו בו ולניהול תקציבי טכנולוגיות המידע של המשרד: ועדת ההיגוי להגנה על מידע בלתי מסווג לא התכנסה בתדירות הנדרשת ב-2022-2018; תפקיד יו"ר הוועדה לא אויש ב-2020; ב-2022-2020 לא עמד בראש הוועדה מנכ"ל משרד ראש הממשלה, כנדרש בהחלטת הממשלה. ועדות ההיגוי למידע בלתי מסווג ולמידע מסווג לא מילאו את תפקידן כנדרש בכל הנוגע להליך הבחינה והאישור של תוכניות העבודה השנתיות ב-2022-2019.

עוד נמצא כי מדיניות המשרד לגבי הגנה על המידע הבלתי מסווג אושרה בנובמבר 2018, ולא עודכנה ותוּקפה במשך ארבע שנים וחצי - כנדרש בהנחיות הגופים המאסדרים. זאת אף שבשנים האלה חלו שינויים ארגוניים ניכרים: הוקמה חטיבת הגנת המידע באגף ביטחון וחירום, ומשרד ראש הממשלה קיבל את האחריות לניהול מערכות המידע ואבטחת המידע בעוד משרדי ממשלה. המשרד אף ביצע סקר סיכונים שלא על פי הנדרש בהנחיות.

• סיד בהשתתפות חיים סבן גייס 9.5 מיליון דולר לסטארטפ אבטחת מידע ישראלי
• MIND גייסה 30 מיליון דולר: תכפיל את צוות המו"פ בישראל
• המלצת המערכת: כל הכותרות 24/7

במערכות הממוחשבות במשרד אצור מידע רב, לרבות מידע רגיש ומידע ברמת סודיות גבוהה ביותר. ההגנה הנדרשת על המידע המסווג היא ברמה הגבוהה ביותר. בינואר-מאי 2023 לבדם אירעו כ-49 מיליון ניסיונות להתקפה על שירות החיבור מרחוק במשרד ראש הממשלה. מבקר המדינה מצא כי רמת ההגנה על רשתות שבמשרד נמוכה מהנדרש. רמת הגנה שאינה מספקת עלולה להביא לפגיעה מהותית במדינת ישראל בהיבטים מדיניים, ביטחוניים, כלכליים ותדמיתיים.

כמו כן, נמצאו ליקויים בניהול הרשאות הגישה של משרד ראש הממשלה למערכות הממוחשבות שלו, לרבות בנוגע להחלפה אחת לכמה זמן של סיסמאות הגישה לרשתות, שלא על פי הנדרש בנוהל המשרדי.

מלבד הרשאת גישה לרשת, ניתנות לעובד גם הרשאות שהוגדרו לקבוצות העבודה שאליהן הוא משתייך. ברשת המסוימת שנבחנה, אותרו קבוצות הרשאה שכבר אינן רלוונטיות, כגון קבוצה שיוחדה לצוות של שר ללא תיק לשעבר שסיים את תפקידו לפני יותר מעשור, וכן עשרות קבוצות "כפולות" בעלות שם זהה, שבכל אחת מהן חברים משתמשים אחרים. למשרד אין מידע מרוכז בדבר תוכנה ועניינה של כל קבוצת הרשאה.

• משרד התחבורה עושה סדר במספרי הדרכים והכבישים - הכל במקום אחד
• בקשה לייצוגית נגד רשות המסים: גביית מס יסף על שכר דירה אינה חוקית
• תוכן שיווקי צברתם הון? מה נכון לעשות איתו?
• לקוחות בנק הפועלים? קבלו מניות במתנה

ממצאי הביקורת העלו חשד שעובדים לשעבר השתמשו בחשבונותיהם לאחר סיום העסקתם, או שגורמים אחרים, במשרד או מחוצה לו, השתמשו בחשבונות עובדים שהעסקתם הסתיימה, תוך שהם נחשפים למידע המצוי ברשתות משרד ראש הממשלה שלא היו אמורים להיחשף אליו, ומסוגלים לבצע פעולות שאינם אמורים לבצע. בין היתר, נעשה שימוש בחשבון של שר לשעבר ובזה של בעל תפקיד בכיר במשרד, שסיימו את כהונתם זה מכבר. חשדות אלה מחייבים בדיקת עומק ממצה של כל אחד מהמקרים שעלו, כדי לאמת או לשלול כל אחד מהחשדות.

עוד מצא המבקר כי משרד ראש הממשלה לא הפעיל כנדרש את מערך הניטור באחת הרשתות, ועקב כך הצטמצמה יכולתו לזהות מתקפות על המערכות ולהתאושש מהן היטב ובמהירות. בנוסף, המשרד לא הקפיד על התקנת עדכונים נדרשים של מערכות, ובכלל זה מערכות ההפעלה בשרתיו, ועקב כך נותרו מערכות מידע חשופות לפגיעות, לרבות כאלה שנעשה בהן שימוש תדיר על ידי תוקפי סייבר בעולם.

האחריות לתיקון הליקויים שעלו בביקורת בנוגע לניהול טכנולוגיות המידע של המשרד ואבטחת המידע הממוחשב שבו מוטלת על המנכ"ל, שעומד גם בראש ועדת ההיגוי להגנת הסייבר.