אני מגיע למשרדי CYE בהרצליה ביום שבו חצתה חברת הסייבר את שווי מיליארד הדולר. עד לא מזמן היו מדביקים לחברה כזו את הכינוי חד קרן, אבל נכון לנקודה הזאת שוק הסייבר הישראלי רותח עד כדי כך שהוא מייצר כאלה על בסיס שבועי. ברבעון הראשון של 2021 גייסו חברות סטארט-אפ ישראליות בתחום כ-1.3 מיליארד דולר ונוספו יותר חברות לחוות חדי הקרן העברית מאשר בכל 2020, שהייתה מעולה בפני עצמה, עם שיא יצוא של 10 מיליארד דולר. בסצנת הסייבר הישראלי חברה בעלת שווי של יותר ממיליארד דולר היא כבר מזמן לא חד קרן, יותר כמו חתול רחוב.
המשרדים יפים ומרווחים והמסדרונות רחבים ושקטים. עד שיתפנו אליי אני ממתין במטבחון המאובזר - כל כך הרבה מגרות, וכולן מלאות במיני מאפים ומגדנות, מעדנים, דגני בוקר, כל כך הרבה מדפים, וכולם עמוסים במה לא. אני מנסה לקשור שיחה עם עובדים מזדמנים, לשאול אותם איך ההרגשה לעבוד בחברה של מיליארד דולר, אבל ללא הצלחה מרובה.
עד כאן הביקור בחברה, שבפברואר האחרון גייסה 120 מיליון דולר מקרן EQT וכבר החלה בגיוס שני, אולי נותן את התחושה שמדובר בסטארט-אפ טיפוסי. אבל הסיפור של CYE שונה. "אנחנו לא מחפשים את אלה שפורצים למחשבים מגיל 12, יש לנו פה חובשים ואפסנאים וטבחים והרבה גיימרים", מספר המנכ"ל והמייסד רובי (ראובן) ארונשוילי. "אנחנו כן מחפשים אנשים מהפריפריה, אנשים עם אישיות מסוימת, לא שורות בקורות החיים. רוצים אנשים שחושבים קרימינלי, עם רצון ויכולת ללמוד דברים חדשים".
לא סתם ארונשוילי (37, הרצליה) בוחר ללכת בדרך אחרת. הוא עצמו בא ממקום אחר והיה צריך לשבור כמה סטיגמות כדי להגיע עד הלום. הוא נולד בעכו, למיכאל, פועל במפעל רהיטים, ומאיה, אחות בבית חולים, שעלו מגיאורגיה והתיישבו בשיכונים בעיר. לאורך הדרך פגש בלא מעט אנשים שטעו בזיהוי שלו, בהם גם המרצה שחשב שהוא טכנאי מזגנים.
אני שואל אותו איך זה בשבילו להיות עשיר. "ברמה האישית לא חסר לי כלום. אני לא אדם של שואו אוף שירוץ ויקנה את המרצדס הכי יקרה. זה לא האופי שלי, יש לי את המאזדה. הייתי שמח לבלות יותר עם המשפחה, החיים שלי היו יותר פשוטים קודם, אבל עכשיו אני עובד יותר קשה. יש דברים שצריך להקריב".
לחדר הישיבות נכנסים רז חג'ג' ופאבל ליברמן, שני האקרים בחברה, וגבי לבנברג, ראש צוות תקיפה ואחד השותפים (גם רעות, רעייתו של ארונשוילי, ואח שלו חיים עובדים בחברה). המשותף לארבעת הנוכחים בחדר - מלבד העובדה שהם נראים כאילו ירדו מאותו פס ייצור ממש: אותה קומה, אותה בלורית שיער, אותו חיתוך דיבור - הוא שכולם למדו בתוכנית החינוכית "עתידים", שנוסדה בשנת 2000 במטרה לאתר צעירים מצטיינים מהפריפריה ומאוכלוסיות ייחודיות ולשלב אותם במוסדות להשכלה גבוהה. היא גם עוזרת להם בתהליך המיון ומלווה אותם במהלך הלימודים. עם סיום הלימודים בוגריה משתלבים ביחידות טכנולוגיות בצה"ל.
מימין: השותפים לבנברג וארונשוילי וההאקרים פאבל ליברמן ורז חג'ג' / צילום: איל יצהר
אי אפשר לומר כמובן אם לולא התוכנית היינו יושבים פה בהרכב הזה, אבל ארונשוילי מודה שזו הייתה "המקפצה הכי חשובה" שניתנה לו בחיים. על הכול הוא מדבר בשוויון נפש, אבל כאן הוא נרגש. "פגשתי את התוכנית בי"ב, ויכול להיות שזה מאוחר מדי. זו תוכנית מדהימה - לוקחים נוער מהפריפריה ושמים לו את ההזדמנות מול העיניים. הם עושים את זה נהדר, אבל עדיין יש קושי לאתר את הילדים, הם אפילו לא יודעים שזה קיים, שאפשר לפנות. השאיפות בצפון, גם איפה שאני גדלתי, קצת שונות. אנשים עושים צעדים משיקולים קצרי טווח. הם חושבים: אולי כדאי לי להיות נהג בצבא כדי לקבל רישיון על חשבונו, למשל. הגדולה של 'עתידים' היא לתת לאחד כזה הזדמנות משמעותית".
אתה מרגיש שלסיפור שלך יש אימפקט על אנשים?
"אנשים התחברו לסיפור ואמרו, וואלה - אם הוא יכול, אולי גם אני יכול? ביקשו ממני לבוא ולדבר בתוכניות ופורומים, ואני עושה את זה, זה מאוד חשוב לי. זו שליחות ויש לה משמעות. זה הרבה יותר חשוב מלהיות חד קרן, בלי להתייפייף. חברה נשפטת לפי החוליה החלשה בשרשרת. זה יעד שהמדינה צריכה להגשים. פיתוח הפריפריה זה סופר־אסטרטגי, לא עניין פוליטי. תוכניות כמו 'עתידים' או 'מגשימים' משנות לאנשים את החיים".
חג'ג' מנהריה למד ב'עתידים' אווירונאוטיקה וחלל. "הייתי ילד סקרן שאוהב ללמוד ולפרק דברים". בצבא פגש את לבנברג וזה גייס אותו לתוכנית אחרי כמה שנים. ליברמן (27) הצטרף אחרי הצבא. ב-2008, כשהיה בן 15, עלה לישראל לבדו בתוכנית 'נעלה' והתגייס לתותחנים. "חוש טכני תמיד היה לי", הוא אומר, "וקיבלתי חינוך רוסי - הרבה מתמטיקה, פיזיקה. כחייל בודד שמע על 'עתידים טייק אוף', המיועדת לצעירים אחרי צבא. "שמעתי, נרשמתי, התקבלתי", אומר ליברמן, שלמד בתוכנית הנדסה ומחשבים. החיוכים של חבריו מסבירים שזה לא באמת כזה פשוט ושמדובר בתוכנית לסופר־גאונים. "אנחנו עשינו להם הסבה להאקינג", אומר לבנברג.
"לתקוף את הבת של המנכ"ל"
CYE פועלת במודל תוכנה כשירות ומתמחה במיפוי צורכי אבטחה של ארגונים. היא מספקת מערכת להערכת סיכוני סייבר לחברות (שם מוצר הדגל של החברה הוא Hyver), שבעזרתה יכולים מנהלים לקבל הערכה כספית של הנזק שעלול להיגרם להם אם ייתקלו בהתקפת סייבר. היא מעסיקה כ-70 עובדים, גם באירופה ובארה"ב, ומספר הלקוחות המשלמים שלה קרוב ל-200, בהם ענקיות כמו פיליפס, נוברטיס, אינווסטק בנק, UBS, נוקיה וחברת המעליות שינדלר.
כדי לפשט את העניין. אני בעל חברת ענק שרוצה לשכור את שירותיכם. מה אני מקבל?
"כנקודת התחלה אנחנו עורכים תחקיר ומנסים למפות את הנכסים הדיגיטליים הקריטיים שלך. מגדירים מה המטרות, במה מותר ובמה אסור לנו לחפש. למשל, התכתבויות אישיות שלך. סוגרים חוזה - ויוצאים לדרך".
אוקיי. ומה עכשיו?
ארבעת ההאקרים מחייכים ומחככים ידיים. "עכשיו אני תוקף אותך באופן אגרסיבי, מתמשך ועקבי עם טכניקות שונות ומשונות, מכל מיני כיוונים ובעזרת הכלים הכי משוכללים", אומר ארונשוילי. "אנחנו בעצם מעבירים את הלקוח חוויה של תקיפה במציאות, בלי שהוא יצטרך לשלם את המחיר האמיתי. זה עושה את ההבדל".
הדרך של CYE כוללת הכול. "היתרון שלנו", אומר לבנברג, "הוא שאנחנו יודעים לדמות את כל סוגי התוקפים - גם ברשת, אבל הרבה תקיפות שלנו מתחילות מבחוץ. אנחנו נכנסים למשרדים שלך עם תג אנונימי כלשהו - של שליח או טכנאי - ומנסים להתחבר לאינטרנט, לפעמים דרך ה-WiFi הפתוח לאורחים אפשר להשתלט על הרשת הארגונית, לפעמים ננסה לדחוף USB עם תוכנה זדונית לאחד הכוננים, לפעמים נעמוד על הגג ונכוון אליך אנטנה או מצלמה".
"תקיפה מוצלחת היא פונקציה של משך הזמן שאתה יכול להשקיע", אומר חג'ג'. "אפשר להגן על ארגון בצורה די מהירה מפני תוקפים אופורטוניסטים, כאלה שסורקים את הרשת אחרי חולשות ולא מחפשים אותך ספציפית. טרגוט ספציפי דורש יותר מאמץ". ויש גם שיטת טרגוט אישית יותר, של אנשים מתוך הארגון. "כולל המנכ"ל", אומר חג'ג', "ולפעמים אפילו הילדה של המנכ"ל".
"לא רק החברה עצמה מעניינת אותנו", אומר לבנברג, "אנחנו בודקים את כל שרשרת האספקה שלך, הרי הפרצה יכולה להיות בכל מקום. אנחנו גם עושים חיפוש אחריך ברשת ורואים שנרשמת לאתר כלשהו - קניות או משחקים. גם אם החברה שלך בטוחה, הרבה מהאתרים האלה נפרצו, ושמות המשתמשים והסיסמאות נמצאים ברשת. לא תאמין כמה נרשמים לאתרים כאלה עם מייל מהעבודה ועם אותה הסיסמה, גם אם היא הכי מסובכת. זה מאוד נפוץ. אני לוקח את המייל והסיסמה שלך, מריץ אותה על הארגון - ואני בפנים".
דרכי התקיפה של CYE / אינפוגרפיקה: יעל שינקר
עוד מעט שנות דור של אבטחת מידע ושום דבר לא השתנה. זה תמיד אנחנו והרשלנות שלנו.
"רשלנות וחוסר מודעות", אומר חג'ג', "ולפעמים דווקא עודף אמון - הודעה או קובץ שמגיעים ממישהו מוכר".
"או סתם משהו שמפתה מאוד ללחוץ עליו", אומר לבנברג. "לפני כמה שנים תקפנו במסגרת העבודה חברת אבטחה גדולה. שלחנו להם מייל עם הכותרת 'רשימת הבונוסים השנתית על פי שם העובד' - ולא היה אחד שלא פתח. האחראי לאבטחת המידע בחברה פתח את זה משלושה מחשבים שונים. אפילו המנכ"ל פתח".
אז אם מגיע אליי מייל מהעבודה עם קובץ, לא לפתוח?
"תפעיל שיקול דעת. שאל את עצמך: למה שמישהו ישלח לי את רשימת הבונוסים. אם זה נראה מוזר, תדווח. מקסימום לא יקרה כלום".
מה עוד עליי לעשות?
"אל תירשם עם המייל של העבודה לאתרים אחרים", אומר ליברמן, "אל תשתמש באותה הסיסמה, גם לא בוורסיות דומות של שמות ותאריכי לידה. הכי טוב להשתמש במחולל סיסמאות ובמקומות שאפשר לעשות אימות כפול בכניסה. זה מאוד מקשה על התוקפים".
"אל תעבוד ברשת", אומר ארונשוילי.
יש כספת שאי אפשר לפרוץ?
"אין דבר כזה", אומר לבנברג, "הכול שאלה של זמן ומשאבים. מקסימום אתפוס אותך ובאיומי אקדח תפתח את הכספת".
כלקוח פוטנציאלי העבודה מולכם נשמעת לי קצת טראומטית, בטח מבחינת העובדים שלא יודעים מכלום.
"נכון", אומר ארונשוילי, "זה הכי דומה לסדנת שבי בקורס טיס. התפיסה היא לא להתאכזר לאף אחד, זו לא המטרה, אבל אני לא רואה דרך אחרת לתרגל את הארגון ובאמת לעזור לו להשתפר מבלי להעביר אותו את החוויה הזאת. בפועל, כן, יש שיגידו שזו חוויה לא נעימה. גם חיסון יכול להיות חוויה לא נעימה. אם תקיפה אמיתית תעלה לך 15 מיליון דולר - זה יהיה שווה את זה".
"פריצות לטוויטר זה הכי גרוע"
את דרכו כהאקר החל ארונשוילי בצה"ל, כשהתגייס כעתודאי ליחידת מצו"ב (מרכז צופן וביטחון), שמוגדרת כיחידה הלאומית להצפנה ואבטחת מידע. שם הטילו עליו לייסד "צוות אדום", יחידת האקרים שתתמקד בתקיפת מערכות ורשתות של יחידות צבאיות כדי לחשוף פערים וחולשות ולהביא לתיקונם. עם בוגריה המפורסמים נמנים היזם והמשקיע מיקי בודאי (אימפרבה, טראסטיר) ואדם סינגולדה (טאבולה).
מאחוריך 16 שנות האקינג. מה למדת? מה מצב המלחמה הנצחית בין הפורץ למגן? קרה משהו מאז'ורי בשנים האחרונות?
"אתה נוגע פה בנקודה סופר-חשובה ואולי הכי רגישה בכל מה שאנחנו מדברים עליו. מבחינה טכנולוגית השוק התקדם והפתרונות הם סטייט אוף דה ארט: מכונות לומדות, בינה מלאכותית, רובוטים וחלליות - הדברים הכי נוצצים. אבל בסוף, כשאתה מגיע לארגון, אתה רואה שעדיין הסיסמאות חלשות וחוזרות על עצמן, הממשקים חשופים לרשת, הפיירווול לא מותקן כמו שצריך, רשתות לא מופרדות. לשאלתך, הארגונים הרבה יותר מודעים היום, ועם זאת, זה כל הזמן חוזר על עצמו. יש לך היום את כל הכלים שאתה צריך כדי להימנע מפריצות, ועדיין ארגונים לא מצליחים לעשות את זה מספיק טוב. אתה יכול להגן על המייל של הארגון בכל דרך, אבל מי שישיג את הסיסמה שלך לא צריך לתקוף, הוא פשוט יתחבר ואפילו לא תדע שזה קרה".
איך זה?
"לעשות הגנה אמיתית זה קשה. לארגון יש אינסוף נקודות חדירה - שרתים באינטרנט, עובדים עם לפטופים, מיילים, תוכן שנצרך, שרשרת אספקה. כל דבר כזה הוא פרצה. אלה חלק מנתיבי התקיפה שלנו. אני חושב שהדרך לתעדף היא להבין את התוקף. אם תחקה את האויב תבין באילו שבילים הוא הלך, ממש כמו במלחמה אמיתית. אנחנו שמים אותך בפוזיציה שבה אתה יודע להגיב נכון במקומות הנכונים. זו התפיסה היום בשוק - להגן על מה שהכי חשוב לטפל בו. אולי לא תמנע הכול, זה בלתי אפשרי, אבל תהיה יותר מוכן".
אז מה נשאר אצלי ביד?
"הכול נע סביב מוצר שמספק את כל הפתרון והניתוח של הארגון ומתוכו נגזרים הדברים שהארגון צריך לעשות. זו פלטפורמה לניהול סיכונים, תוכנה חכמה מאוד עם אלגוריתמים משוכללים ואנשים שיכולים לעבוד איתה. זו יכולת עננית שנתמכת על ידי אנשים. אנחנו לא מוכרים את התקיפה, אנחנו נותנים מבט ברור מאוד על הארגון, ואז באים מעולמות האופטימיזציה: נגיד לך בדיוק מה אתה צריך, איפה, כמה, כמה יעלה לך ומה יהיה הסיכון. עובדים שלנו נשארים ללוות את החברה. זו עבודה מתמשכת.
"שום דבר לא נשאר אצלך ביד. לא ניתן לך את הכלי שלנו, גם מסיבה עסקית וגם כי מדובר בכלים מאוד חזקים שיכולים לעשות נזק. לא נמכור את הפלטפורמה. הלקוח קונה שירות ומקבל דוח".
אז כמה פרנואיד להיות?
"תלוי מה יש לך להסתיר", עונים הארבעה במקהלה. "יש סיכונים בהרבה דברים", אומר ארונשוילי, "גם בלנהוג. צריך להבין את הסיכון והסיכוי. כרטיס אשראי שנגנב זה הפיך, אחרי קצת התכתבות עם הבנק. אבל אם מישהו מתחיל לצייץ בטוויטר בשמך או בשם החברה - אלה בעיות מוניטין קשות, לפעמים קשות יותר מהעסקיות".
"בקרוב CYE תהיה עולמית"
לפני כחודש הפכה CYE ליוניקורן. אבל ארונשוילי לא מרגיש שכבש יעד גבוה במיוחד. "מכל הדברים שקורים זה הכי פחות מעניין. חד קרן זה כבר סטנדרט אצלנו בשוק, יש שם תחושה בועתית. בכל מקרה, זו לא פסגת השאיפות שלנו, שהיא שונה דרמטית ובכלל לא מגיעה מעולמות השווי: להמשיך לפתח יכולת שעוזרת לארגונים להתמודד, לזהות ולמנוע או להגיב בזמן סביר כך שייגרם להם נזק מינימלי וייחסך מהם הרבה ברמה הפיננסית. זו המטרה והיא נעלה בעיניי. אני לא מתייפייף, אף אחד לא עובד פה לשם שמים, אבל מה משנה אם זה 900 מיליון או מיליארד וחצי?".
בפברואר האחרון הם גייסו 120 מיליון דולר בהובלת הענקית האירופית EQT, שזו ההשקעה הראשונה שלה בחברה ישראלית. "את EQT אנחנו מכירים טוב", מספר ארונשוילי. "התחלנו לעבוד איתם לפני חמש שנים, כלקוח, ליווינו אותם בהשקעות ועשינו עבורם בדיקות נאותות לחברות אחרות. זה קיצר הרבה מתהליך החיזור. אחרי שבועות בודדים הגענו לסגירה והבנה לאן אנחנו רוצים להגיע. אף פעם לא התעסקנו בעבודה עם משקיעים, התעסקנו בלבנות ערך לחברה, וזה הוכיח את עצמו. הרבה יותר נוח לבוא לדיון השקעה כשאתה רווחי - והצד השני מנסים למכור לך את עצמו ולא ההפך. זו פוזיציה נוחה מאוד להיות בה".
יש עוד קרנות שהתחרו ומתחרות על CYE?
"לא היינו צריכים את הכסף כדי לצמוח ולהתקדם, ואני אומר את זה בעקביות: השותף עניין אותנו הרבה יותר. בסוף הזהות והחשיבות של משקיע כזה מתבטאות ביכולת לקצר טווחים ותהליכים. זה משמעותי מאוד, וזה החלק שהיה חסר לנו כחברה כדי לשנות את מודל הצמיחה שלנו למודל של היפר-צמיחה. אנחנו יודעים מה אנחנו יודעים לעשות, אבל צריך שעוד מישהו יגיד את זה.
"היו המון הצעות רכישה, הצעות נדיבות מאוד, ובשנה האחרונה גם על בסיס שבועי. זה לא מעניין אותנו, לא בגלל שכסף לא חשוב לנו, אלא כי האתגר שלנו לא פיננסי. אני חושב שיש פה עוד הרבה פוטנציאל למצות ולא רואה את עצמי בסיטואציה של מכירה. התפיסה שלנו היא לפתח חברה עם יכולות משמעותיות בשוק העולמי".
אתה מדבר הרבה על להפוך את החברה לענקית עולמית. תפנה מתישהו את מקומך כמנכ"ל? זה משהו שקורה בחברות כאלה.
"אנחנו עכשיו בשלב סופר-מעניין, להגיע משם לפה היה מסע ייחודי שאני גאה בו וגם מאוד נהנה ממנו. האינטרס המרכזי שלי הוא שהחברה תצליח הכי הרבה. אני לא קשור לכיסא ולא צמוד אליו. אם תגיע הנקודה שבה אחשוב שמישהו יהיה טוב ממני, אקום ואלך. לא רחוק, לחדר ליד. במהותי אני איש טכני, אבל מאוד אוהב את הצד המכירתי, העסקי, האסטרטגי. זה ריגוש אחר. בסופו של דבר יש בנו משהו מאוד יצרי - לבוא, לכבוש, לנצח. לשאלתך, אני לחלוטין רואה את עצמי מנהל חברה עולמית, ואנחנו גם לא רחוקים משם, ואני אומר את זה בצניעות. בתוך לא הרבה שנים, אנחנו שם".
רובי ארונשוילי (37)
אישי: נשוי + 3, גר בהרצליה
השכלה: תואר שני במחשבים
תפקיד: מייסד ומנכ"ל CYE
עיסוקים קודמים: כעתודאי בצה"ל הקים את יחידת ההאקרים שתתמקד בתקיפת מערכות צבאיות