איך תשפיע הרגולציה בישראל ובעולם על היערכות ה-IT בבנקים, בחברות הביטוח ובחברות הגדולות בישראל; זה היה נושא הפאנל, שנערך הבוקר במסגרת כנס IT של עיתון TheMarker ובזק בינלאומי. המשתתפים בפאנל היו חגי שפר, סמנכ"ל מוצרים ושיווק, אינטלינקס; שלמה פרגלמן, בנק ; דוד גוברין, מנכ"ל אקטימייז ישראל; עדה מרקמן, סמנכ"ל מערכות מידע, חברה לביטוח; רחל יעקבי, מנהלת יחידת ביקורת מערכות מידע וממונה על הטכנולוגיה בבנק ישראל; ואורן פז, יועץ בכיר לאבטחת מידע, CA.
ד"ר נמרוד קוזלובסקי, מנחה הפאנל, ציין כי צריך להבחין בין שני סוגי רגולציות של מערכות IT. רגולציה אחת היא הדרך שבה מטפלים בסיכוני אבטחת מידע; רגולציה שניה היא רגולציה כללית, אותן רפורמות שמוטלות ודורשות לשנות ולעדכן את מערכות ה-IT. "סקטור קומפליינס (התאמה) נפגש ומגדיר את עצמו מחדש. זהו סקטור חדש שקם בענף ההיי-טק, וצומח בארה"ב. עד היום רוב הרגולציה הניחה שאתה קובע חובה, ואם היא לא קוימה, מופעלת סנקציה. כיום נוצרת סוג חדש של רגולציה שצומחת, כזו שדורשת מארגונים לגלות סכנות ולמנוע אותן מראש. הרגולציה בתחום ה-IT תאתר את הסיכונים ותמנע פשע מבעוד מועד. התפיסה כאן היא שלכל ארגון יש סיכון ספציפי, והארגונים צריכים להיערך לסיכון הספציפי, התקנת מערכות גנריות לא תועיל להם", אמר קוזלובסקי.
עדה מרקמן הדגישה כי לפקידי האוצר אין ידע לגבי המשמעות המעשית של יישום החלטות הרגולציה, בכל הנוגע למערכות IT. חברות ביטוח פיתחו קרנות פנסיה חדשות משנת 2005, התקנונים של קרנות הפנסיה החדשות אושרו באוצר בין חודש מארס לבין חודש מאי בשנת 2005. הרגולציה חייבה את קרנות הפנסיה לנהל מערך מיחשובי, התומך ברגולציה החדשה, החל מינואר 2006. מערכת לתמיכה בקרן פנסיה היא מערכת מורכבת במיוחד, בסדר גודל של מערכת ביטוח חיים. הדרישה להרים מערכת תוך חצי שנה היתה דרישה שבלתי ניתן לעמוד בה. לדבריה, החברות נאבקות מחודש לחודש כדי לעמוד בלוחות זמנים לא ריאלים, והן מתקשות לספק נתונים לאוצר, מה שגרם להן להכנס לסחרור ולהשקעות, ולהתקנות שרובן טלאי על טלאי. בכך נפגעת גם איכותו של הפיתרון - מדובר במערכות שסדר הגודל שלהן הוא כזה, שנדרשות שנתיים להקימן, ולא חצי שנה. לפיכך, כל חברות הביטוח חוות את אותם תהליכים וקשיים.
רחל יעקבי, מבנק ישראל, אמרה: "הוצאנו את תקן 357 בשיתוף פעולה עם הבנקים. אנו אלה שאומרים לבנקים, אלו הקווים המנחים, ואתם תטמיעו. אופן ההטמעה ובחירת המוצרים - באחריות הבנקים. הבסיס שעומד מאחורי הרגולציה הוא ניהול סיכונים, והבנקים אחראים לנהל את עסקיהם, להעריך את הסיכונים, ולהטמיע את הפתרונות בהתאם".
שלמה פרגלמן ציין כי "יש סדרה של רגולטורים שדורש דרישות, בין אם זה האוצר ובין אם זה בנק ישראל. הנקודה המרכזית היא הכמויות האדירות, לא כל רגולציה יכולה לבוא לידי ביטוי במערך ה-IT. הסניפים צריכים לעשות פרופסורה כדי להתמודד עם רגולציה, כי לא כל דבר אפשר לבצע באופן ממוכן, ואם אפשר, לא תמיד ניתן לעשות זאת מיידית".
עדה מרקמן, מנהלת מערכות מידע של הפניקס: "לפקידי האוצר אין מושג לגבי ההשלכות של הרגולציה על מערך ה-IT"
גיא גרימלנד
4.2.2007 / 11:26