על פי דו"ח מבקר המדינה שפורסם ביום שלישי, המוסד לביטוח לאומי לא עדכן את מדיניות אבטחת הסייבר ואבטחת המידע שלו במשך כעשור, למרות שהתפתחו איומים בתחומים אלו ולמרות שמדיניות הביטוח הלאומי קובעת כי יש לבדוק ולעדכן את המדיניות מדי שנה. כמו כן, גם ועדת הסייבר של המוסד לביטוח לאומי לא התכנסה בין 2022 לינואר 2024, הוסיף הדו"ח. "במיוחד בזמן מלחמה, חולשות סייבר הן כישלון", אמר מבקר המדינה מתניהו אנגלמן והוסיף: "אנחנו לא יכולים לחכות שאויבינו ישימו את ידם על מאגרי המידע של הביטוח הלאומי. אנחנו חייבים לתקן את חולשות אבטחת המידע הרבה לפני כן."
המוסד לביטוח לאומי מקבל עשרות אלפי התראות ביום על מתקפות סייבר שחייבות להיבדק על ידי אנליסט המאייש את מרכז בקרת הסייבר של המוסד לביטוח לאומי. על פי דוח מבקר המדינה, 87% ממדיניות אבטחת הסייבר של המוסד לביטוח לאומי מתקיימים רק באופן חלקי ויתר על כן, לא מתבצע מעקב תקופתי. צויין גם כי קיימות בעיות אבטחת סייבר במערכות המחשוב בהן משתמש המוסד לביטוח לאומי להעברת מידע לארגונים חיצוניים.
המבקר קרא למוסד לביטוח לאומי לפעול לטיפול בסיכוני אבטחת הסייבר העומדים בפני הארגון וליצור תוכנית למיפוי סיכוני אבטחת סייבר. הוא גם התייחס לבעיות אבטחת מידע עימן מתמודדת יצרנית הנשק הישראלית רפאל. הנהלת רפאל לא אישרה את אסטרטגיית ניהול הסיכונים של הממשלה ונכון ליוני 2023, ניהול הסיכונים של החברה אינו כולל מנגנונים לדיווח על סיכונים לגופים חיצוניים, אמר המבקר. מבקר המדינה גם ציין כי הנהלת רפאל כשלה מלדווח ולבחון תקריות סייבר כראוי ואין לה את הביטוח הנדרש לאירועי סייבר.
המוסד לביטוח לאומי הגיב לדוח מבקר המדינה בטענה כי הוא נמצא בעיצומה של עבודה לשיפור הנושאים שהוזכרו בדוח וכי הוכנס מישנה חדש למנכ"ל מחשוב. גם רפאל מסרה בתגובה כי החברה משקיעה רבות באבטחת מידע והיא גוף מוביל בארץ, בין היתר בתחום הגנת הסייבר."
