שלושה גופים להם יש תשתיות מיחשוב קריטיות - כאלו שפגיעה סייברית בהן תגרום לנזק משמעותית - עדיין לא ערוכים כיאות לבלימת מתקפת סייבר, למרות מספר שנים של טיפול בנושא. כך קובע (יום ב', 6.5.19)
מבקר המדינה,
יוסף שפירא, בפרק שעל חלקים ממנו הוטל חיסיון משיקולים של ביטחון המדינה.
לדברי שפירא, למרות מאמצים שנעשו בשנים האחרונות לקידום הנושא, עדיין קיימים פערים בהגנת הסייבר של גופים מסוימים של ה
ממשלה ואף של המשק. דווקא משרדי הממשלה ויחידות הסמך, שלפעולתם התקינה חשיבות רבה, אינם מיישמים כראוי את החלטות הממשלה ואת ההנחיות המקצועיות בתחום הגנת הסייבר.
בפברואר 2015 הוקמה היחידה הממשלתית להגנת הסייבר (יה"ב), שתפקידה לתכנן את ההגנה בתחום ולהנחות את משראדי הממשלה ויחידות הסמך הממשלתיות. הממשלה גם החליטה, כי על כל משרד למנות בעל תפקיד האחראי להגנת הסייבר; להקים ועדת היגוי משרדית שתתכנס לפחות פעם בשישה חודשים, למנות מנהל הגנת הסייבר ביחידות מערכות המידע, ולפעול לכך שהן יעמדו בתקני אבטחת מידע ארגוניים. בפועל, לא כל היחידות מינו מנהל הגנת סייבר; רק חלק ממשרדי הממשלה הוסמכו לתקן המתאים; לחלק ממשרדי הממשלה ויחידות הסמך אין מסמך מדיניות אבטחת מידע וסייבר; חלק ממשרדי הממשלה ויחידות הסמך טרם השלימו את תהליך סקר הסיכונים.
באותה החלטת ממשלה גם נקבע, כי המדינה תאסדר את הגנת הסייבר במרחב האזרחי. עוד נקבע, כי על מערך הסייבר והלשכה המשפטית במשרד ראש הממשלה, בשיתוף משרד המשפטים, להכין תזכיר חוק הגנת הסייבר ולהביאו לאישור ראש הממשלה,
בנימין נתניהו, עד אוגוסט 2015. אולם תזכיר החוק הופץ רק ב-2018 והחקיקה טרם החלה בפועל.
מערך הסייבר פועל מכוח החלטות ממשלה, אשר בהן לא הוסדרו בחקיקה סמכויות עובדיו כלפי יחידות ההכוונה המגזרית במשרדי הממשלה והארגונים הכפופים לאחריותו, וכן היבטים תפעוליים בעבודתם מול גופים אלו. העדר מקור נורמטיבי לסמכות עובדי המערך, עלול להקשות את שיתוף הפעולה עם הגופים ולגרום להימנעותם של עובדי המערך מביצוע פעולות מסוימות (כגון לקיחת מחשבים לצורך בדיקה וביצוע בדיקות פורנזיות), והוא מעורר קושי בקיום החלטות הממשלה.
בשנת 2016 הקים המערך את המרכז להכוונת מגזרים, המוציא הנחיות מתאימות לפי שלושה מגזרים. אולם שנתיים מאוחר יותר סיימו רק חלק ממשרדי הממשלה את עבודת המיפוי הנחוצה לצורך הוצאת ההנחיות. המרכז החל לפעול ב-15 משרדי ממשלה. במועד סיום הביקורת, חלק מהמשרדים טרם השלימו את איוש היחידות המגזריות; בחלק מהמשרדים מונו מרבית עובדי היחידה רק במהלך 2017; בחלק מהמשרדים גויס ראש היחידה רק משנת 2016 ואילך, ובחלק כלל לא מונה ראש יחידה מגזרית. בשני משרדים טרם הוקמו היחידות.
שפירא מסכם: "ההתמודדות עם אתגר הגנת הסייבר מורכבת. מדובר בתחום דינמי ומהיר הדורש גמישות, מקצועיות ויעילות. נראה כי משרדי הממשלה מתקשים לעמוד בקצב הנדרש ולקדם מהלכים אפקטיביים להתמודדות. המגזר האזרחי יתקשה לעמוד באתגר הגנת הסייבר ללא הנחיה והכוונה. יש חשש כי ללא הובלה ממשלתית ראויה ייוותר המשק חשוף להתקפות סייבר.
"אף על-פי שהגופים שבהם קיימות תשתיות קריטיות מונחים באופן שוטף, בחלק מהם נמצאו ליקויים בהיערכות הארגונית, בכתיבת נהלים ובתיקון ליקויי אבטחה שנמצאו בדוחות ביקורת של הגורם המנחה. נוכח האיומים המתגברים בתחום הסייבר והחשש לפגיעה קשה במשק בגינם, אם יתרחש אירוע חמור או יתרחשו אירועים בכמה תשתיות קריטיות, על הממשלה לוודא ביתר שאת, כי התשתיות הקריטיות ערוכות ומעדכנות כל העת את מידת עמידתן במתקפות אפשריות, וכי תמונת המצב שלה בדבר התשתיות הקריטיות שבידיה עדכנית ומשקפת באופן מלא את פגיעותן של מערכותיה".