תיעוד של הגישה למידע במערכות המידע במג"ק ובקרה על כך - המג"ק אינו מתעד את הגישה של משתמשי המערכת במג"ק למידע הרב והרגיש שקיים בה ואינו מבצע בקרה עליה. במצב דברים זה, גם אם קיימות חריגות של משתמשים, אין אפשרות לאתרן ולהפסיקן.
בדיקת אירועים חריגים במערכת - אף שהמג"ק הגדיר בשנת 2016 רשימה של 13 אירועים עסקיים חריגים הדורשים בחינה פרטנית אם היו מוצדקים, בספטמבר 2022 תועדו 1,391 אירועים חריגים, מהם נבדקו 99 (7%) אירועים בלבד. נוסף על כך, המג"ק לא עדכן את רשימת האירועים החריגים...
ניהול הרשאות הגישה למערכות המג"ק - מתוך 44 הרשאות למשתמשים שנפתחו במערכת הממוחשבת הייעודית לכך (מערכת ב') בשנת 2021, 23 הרשאות (52%) נפתחו בלי שהתבקש עבורן אישור ממינהלן ההרשאות, כנדרש בנוהל המג"ק.
בקרה על ההרשאות הפעילות במערכת התפעולית של המג"ק ועל היקפן - החל ביולי 2020, מועד תחילת עבודת המג"ק באמצעות מערכת ב', ועד מועד סיום הביקורת באוקטובר 2022, לא בוצעה בקרה על ההרשאות שנפתחו במערכת, וכן לא נבדק אם יש צורך בהסרת הרשאות (נוכח אי-התאמה למהות...
היקף הרשאות הגישה למערכת התפעולית של המג"ק - כל עובדי המג"ק וכן עובדי מוקד המידע הטלפוני שהם עובדים המועסקים במיקור חוץ, הם בעלי גישה למלוא המידע במערכת התפעולית של המג"ק על אודות מיליוני החייבים שנתוניהם שמורים במערכת, בלי שנבחן אם היקף הגישה למידע נח...
ניהול ההרשאות של עובדי מוקד המידע הטלפוני - ההרשאות של 14 עובדי מוקד לשעבר למערכת התפעולית של המג"ק לא הוסרו חרף סיום עבודתם בטווח של חודש עד 13 חודשים לפני מועד הביקורת. כמו כן, המג"ק לא פעל לחסימת כרטיסים חכמים של עובדים שסיימו את עבודתם במוקד, ובפוע...
ניהול הרשאות הגישה למערכת ג' - הרשאות למערכת ג', המאפשרת להפיק דוחות רוחביים על פעילות המג"ק ומידע פרטני על תיקים, ניתנו לעובדים שאופי תפקידם אינו מצריך גישה למידע שבמערכת. ואכן, קרוב ל-40% מבעלי ההרשאות למערכת ג' (20 מתוך 52) לא השתמשו במערכת ג' לכל ה...