ניהול ועדות ההיגוי ותדירות הדיונים - ועדת ההיגוי להגנת הסייבר נדרשת לפעול לשיפור רמת הגנת הסייבר של המשרד הממשלתי ולביצוע בקרה ניהולית על יישום הגנת הסייבר במשרד. הביקורת העלתה שורה של ליקויים בקשר לתפקודן של ועדות ההיגוי במשרד רה"ם: ועדת ההיגוי להגנ...
גיבוש מדיניות הגנת הסייבר ועריכת סקרי סיכונים - המדיניות של משרד רה"ם לגבי הגנה על המידע הבלמ"ס אושרה בנובמבר 2018 ולא עודכנה ותוּקפה במשך ארבע שנים וחצי, כנדרש בהנחיות הגופים המאסדרים, אף על פי שבשנים האלה חלו שינויים ארגוניים ניכרים - הוקמה חטיבת הגנ...
אמצעי הזדהות לצורך כניסה לרשת - הכניסה לרשתות של משרד רה"ם אינה עומדת בכללים הנדרשים פי הנחיית הגופים המאסדרים. כן נמצא כי ההגדרות הלוגיות שקבע משרד רה"ם בעניין סיסמתם של משתמשים מסוגים שונים אינן עולות בקנה אחד עם ההנחיות.
ניהול הרשאות גישה לרשתות - משרד רה"ם אינו מנהל כראוי את הרשאות הגישה לרשתות הממוחשבות שלו. נמצאו ליקויים במערך ההזדהות שקבע ויישם משרד רה"ם, המאפשרים גישה לרשתות של משרד רה"ם, לרבות בנוגע להחלפה עיתית של סיסמאות הגישה לרשתות, שלא על פי הנדרש בנוהל המש...
ניטור מערכות ברשת מסויימת שנבחנה - ניטור פעולות ברשת מאפשר לחשוף ניסיונות לביצוע פעולות לא מורשות במערכות, לזהות מתקפות עליהן ולסייע בתהליך ההתאוששות מאירועי פגיעה באבטחת המידע. נמצא כי משרד רה"ם לא הפעיל את מערך הניטור ברשת מסויימת שנבחנה כנדרש: חלק...
התקנת עדכוני אבטחה - משרד רה"ם לא הקפיד על התקנת העדכונים הנדרשים במערכות הפעלה של שרתים במועד, ועקב כך נותרו מערכות המידע של המשרד חשופות לפגיעויות שונות, לרבות פגיעויות שנעשה בהן שימוש תדיר על ידי תוקפי סייבר ברחבי העולם. בחלק ניכר מהשרתים יש איחור ש...
רמת ההגנה על המידע ברשתות מסווגות במשרד רה"ם - רמת ההגנה על המידע ברשתות האלה נמוכה מרמת ההגנה הנדרשת, ואינה עומדת בדרישות הגורם המאסדר. זאת, אף שמשרד רה"ם הוא יעד המצוי באיום תמידי ברמת חומרה קריטית. הותרת רשתות מסווגות של המשרד ברמת הג...
ההגנה על המידע ברשת מסווגת מסוימת שנבחנה - במשך יותר משנה וחצי, מהמועד שבו מסרה חטיבת הגנת המידע את ממצאי בדיקתה לגבי אבטחת המידע המצוי ברשת המסווגת שנבחנה ועד למועד סיום הביקורת, לא תוקנו ליקויים מהותיים שעלו בבדיקה. עקב כך רשת זו עודנה חשופה לסיכונים...
בדיקת חוסן והתקנת אמצעי הגנה באותה רשת מסווגת מסוימת - משרד רה"ם לא עשה מבדק חדירה לרשת המסווגת הזו, כנדרש, במשך שש שנים לפחות (בשנים 2018 - 2023).
מניעת דלף מידע - משרד רה"ם לא התקין ברשת המסווגת המסוימת אמצעי הגנה שהתקין ברשת מסווגת אחרת.