אי-החלפת סיסמאות, ניהול לקוי של הרשאות גישה לרשתות מסווגות, השארת חשבונות פעילים מעבר לזמן המוגדר, שימוש במערכות הפעלה ישנות ורמת הגנה נמוכה על המידע ברשתות מסווגות במשרד ראש הממשלה - אלו הם חלק ממצאי דו"ח מבקר המדינה על ההגנה על המידע הממוחשב במשרד ראש הממשלה. הדו"ח קורא למשרד לתקן בדחיפות את הליקויים שנמצאו, במיוחד לאחר שרק בחודשי ינואר-מאי 2023, התבצעו כ-49 מיליון ניסיונות להתקפה על שירות החיבור מרחוק במשרד.
בחודשים מרץ עד אוגוסט 2023 ביצע משרד מבקר המדינה ביקורת בנושא ההגנה על המידע הממוחשב המצוי בעיקר ברשתות המחשוב של משרד ראש הממשלה, בהן רשתות ביטחוניות מסווגות. בחודשים ינואר-מאי 2023 חווה המשרד אירועי סייבר, ובין היתר חסם כ-6 מיליון הודעות דואר אלקטרוני וכ-49 מיליון ניסיונות להתקפה על שירות החיבור מרחוק של המשרד. במערכות הממוחשבות במשרד קיים מידע רגיש, מידע ביטחוני חסוי ומידע סודי ביותר. פגיעה במידע זה עלולה לגרום לנזק ממושך חמור מאוד לביטחון מדינת ישראל, במיוחד בעת מלחמה.
לפי הדו"ח, ניהול-העל של הגנת המידע לקה בחסר, בין היתר כיוון שמדיניות המשרד לגבי הגנה על מידע בלתי מסווג לא עודכנה מאז 2018, תפקידי ליבה עיקריים לא אוישו וסקרי סיכונים לא נערכו כראוי. כמו כן, נמצא כי הזדהות המשתמשים וניהול הרשאותיהם היו לקויות, כיוון שסיסמאות לא הוחלפו במועד הנדרש, ניתנו הרשאות גישה למשתמשים שלא לצורך, חשבונות שאינם פעילים נשארו פעילים בפועל ואף התבצע שימוש בחשבונות על ידי עובדים לשעבר לאחר סיום העסקתם.
בנוסף, נמצא כי משרד ראש הממשלה השתמש במערכות הפעלה המצויות לאחר סוף מחזור חייהן, באופן שחושף אותן לפגיעות שהתגלו בהן, ושמשרד ראש הממשלה לא הקפיד על התקנת העדכונים הנדרשים במערכות הפעלה של שרתים במועד. השימוש בהן, לפי הדו"ח, השאיר אותן חשופות לפגיעויות שונות, לרבות פגיעויות שנעשה בהן שימוש תדיר על ידי תוקפי סייבר ברחבי העולם, וגם נעשה גם בניגוד לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. לסיום, נמצא בדו"ח כי רמת ההגנה על המידע ברשתות מסווגות ביטחונית במשרד ראש הממשלה נמוכה מרמת ההגנה הנדרשת, באופן שעלול להביא לפגיעה מהותית במדינת ישראל בהיבטים מדיניים, ביטחוניים, כלכליים ותדמיתיים.
בעקבות הממצאים, מבקר המדינה ממליץ למשרד ראש הממשלה, בין היתר, לבצע את הפעולות הדרושות לעמידה ברמת ההגנה הנדרשת ברשתות במשרד, למנות ועדות היגוי להגנת הסייבר בראשות מנכ"ל המשרד, ולכנסן בתדירות הנדרשת, לרכז נתונים על כלל התקציבים שעומדים לרשות המשרד לצורך ניהול טכנולוגיות המידע בכל הגופים שלהם הוא אחראי, ליישם מנגנון המספק את ההגנה הנדרשת בעת הכניסה לרשתות המשרד ולעדכן/למחוק קבוצות המשתמשים ברשתות בהן לא קיים יותר צורך.