משרד החינוך לא ביצע סקר סיכונים ומבדקי חדירות בתדירות הנדרשת, לא יישם את תכנית העבודה השנתית לשיפור הגנת הסייבר במלואה, לא ביצע תרגילים לשחזור מידע ולהתאוששות מאסון, לא שמר על הפרדה בין שרתיו (באופן שאפשר גישה לעובדים ללא ההרשאות המתאימות) ולא מינה ממונה הגנת סייבר בשנים 2020-2021 – אלו הם רק חלק מהליקויים שמצא מבקר המדינה, מתניהו אנגלמן, בדוח ביקורת מיוחד - הגנת הסייבר על מערכות מידע במשרד החינוך ועל בחינות הבגרות וציוני הבגרות שפרסם השבוע.
עוד מצא המבקר כי משרד החינוך שמר על גישה למערכות לגורמים שאין בהם יותר צורך, הגיש ארבעה תלונות בלבד בגין הפצה לא מורשית של שאלונים ופתרונותיהם (כאשר יותר מ-16,000 מחברות בחינה נפסלו רק בשנת 2020), השתמש במערכות הגנה ומערכות הפעלה מיושנות שאינן נתמכות עוד לאבטחת הרשת בה מאוחסנים מחברות הבחינה וגיבש מסמכי המאגר כראוי רק עבור חמישה (10%) מ-50 מאגרי המידע שברשותו (כאשר במסמך הגדרות המאגר "תלמידים", לא עודכן מיהו הממונה על אבטחת המידע, ורשימת המצאי לא הייתה מלאה).
לפי המבקר, הליקויים שמצא עלולים לסכן את שלמותם, זמינותם, סודיותם ואמינותם של ציוני בחינות הבגרות וכן עולה מהם חשש לפגיעה בעקרונות טוהר הבחינות. לכן, המבקר המליץ למשרד החינוך לפעול לתיקון הליקויים שהועלו בדוח, לעמוד בלוחות הזמנים שנקבעו בתוכניות העבודה בתחום אבטחת המידע והגנת הסייבר, לשפר ולהעלות את רמת אבטחת המידע והגנת הסייבר בכלל מערכותיו ותשתיותיו, ולעצב את המערכת החדשה לניהול ציוני הבגרות שמשרד החינוך מפתח כך שתיתן לממצאי הדו"ח זה בנוגע לאבטחת המידע של בחינות הבגרות וציוני הבגרות.