אדוארד סנודן אולי לא יודע זאת, אך מעשיו הפליליים - לפחות בעיני הממשל האמריקאי - היוו וכנראה ימשיכו להוות בעתיד מקדמי מכירות לא רעים עבור חברת אבטחת המידע הישראלית סייברארק (CyberArk). סנודן, עובד לשעבר בסוכנות לביטחון לאומי (NSA) של ארה"ב, הפך בקיץ 2013 לאויב הממשל האמריקאי לאחר שהדליף מידע סודי על תוכניות המעקב של הסוכנות לעיתונות הבריטית והאמריקאית. זמן קצר לאחר ההדלפה, נמלט סנודן להונג קונג ובמהלך שהותו הקצרה בה הסביר כי הצליח להדליף את אותו מידע מכיוון שהייתה לו הרשאה גבוהה שאפשרה לו גישה למידע מאוד רגיש, וזאת למרות שסיפק את שירותיו ל-NSA כקבלן חיצוני ולא כעובד מהמניין.
כנגד הדלפות כאלו פועלת סייברארק ודומותיה (ראו הרחבה במסגרת), ודי סביר להניח שהפחד של הממשל האמריקאי מסנודן ודומיו עומד מאחורי הנסיקה של מניית סייברארק, והפיכתה לאחת ההנפקות הראשוניות הישראליות המוצלחות ביותר מבין אלו שבוצעו השנה בשוק ההון האמריקאי. בספטמבר האחרון גייסה החברה 98.6 מיליון דולר לפי מחיר של 16 דולר למניה, ודי מהר הכפילה ואף יותר את שוויה, וזה עומד כרגע על 1.2 מיליארד דולר - תשואה של 141% (ותודה, בין היתר, לגאות הבלתי נגמרת בשוקי ההון).
הסיפור של סייברארק אינו סיפור של הצלחה בן לילה. זהו לא סיפור על חברת אינטרנט שהוקמה לפני רגע וחצי ונמכרת הרבה לפני שהוכיחה עצמה בשורה התחתונה. זהו לא סיפור על חברת ביומד שנסקה לשווי מפולפל עוד לפני שה-FDA האמריקאי אפשר לה לשווק תרופה חדשנית, וזהו לא סיפור על מפתחת האפליקציה הגדולה הבאה שעשויה להירכש על ידי גוגל או אפל. זהו סיפור על חברה שבנתה עצמה צעד אחרי צעד מתוך כוונה להיות מובילה עולמית בתחומה, שחקנית בת קיימא בשוק הולך וגדל ולא אופנה חולפת.
סייברארק יצאה לדרכה כבר לפני עשור וחצי - כמעט עידן בתעשיית ההייטק שקמה כל בוקר לריצת ספרינט. החברה, שמתמחה בהגנה על מידע ארגוני מתוך הארגון עצמו ולא מבחוץ, הוקמה במהלך 1999 על ידי אהוד (אודי) מוקדי, מנכ"לה בהווה, ואלון כהן, מנכ"לה הראשון שפרש ממנה במהלך 2011. "בסייברארק, כל דבר שאתה נוגע בו הוא אמיתי. אין קיצורי דרך", מסביר מוקדי בראיון ראשון לאחר ההנפקה את הסיבה להצלחה של החברה, "הסיפור שלנו הוא סיפור של בנייה מתמשכת ודגש כבד על רווחיות. פרק זמן של 15 שנה מרגע ההקמה ועד רגע ההנפקה הוא חלק משמעותי מהמהות שלנו".
"שעונים משווייץ, אבטחת מידע מישראל"
מבחינת מוקדי (46), רווחיות היא כמעט דבר קדוש, תנאי סף להצלחה של חברה, ואפילו תנאי סף להנפקה. סייברארק רווחית כבר יותר מ-4 שנים, ואת 2014 היא אמורה לסיים עם הכנסות של 92.7-93.7 מיליון דולר (גידול שנתי ממוצע של 41%); רווח תפעולי (Non GAAP) של 13.6-14.5 מיליון דולר ורווח נקי של 8.7-9.3 מיליון דולר. החברה מעסיקה כרגע קצת מעל 400 איש, כמחציתם בארץ.
"תמיד רצינו לבנות חברה גדולה", מסביר מוקדי מדוע לא מיהר להנפיק אותה, "כשהקמנו את סייברארק, צ'ק פוינט פרצה והסתכלנו עליה בהמון פרגון. תמיד אני אומר 'שעונים משווייץ, אבטחת מידע מישראל', ולראיה ההצלחה של צ'ק פוינט, שלנו, של אימפרבה (מבית היוצר של שלמה קרמר, ממייסדי צ'ק פוינט - ט.צ.), ורוניס (שהונפקה בפברואר השנה - ט.צ.) ואחרות".
ועדיין, קרנות הון סיכון השקיעו בחברה. הן לא לחצו עליך למהר להנפיק?
"ברור שלקרנות יש פתיל יותר קצר, אך מההתחלה היה להן די ברור שהכוונה של יזמי סייברארק היא לבנות חברה גדולה. לאורך כל התקופה הזו, לא תמיד יכולתי לשלול אקזיט מסוג זה או אחר, אך בדצמבר 2011 חל מפנה כשגולדמן זאקס השקיע בחברה, וקרן JVP ביצעה השקעת המשך. אז למעשה קיבלתי מנדט לתוכנית שלי להפוך את סייברארק לגדולה בתחומה".
למעשה, באותו חודש ביצעה סייברארק הצעת מכר. גולדמן זאקס ו-JVP קנו החוצה בעיקר את מניות שותפו של מוקדי, אלון כהן, וקרנות הון סיכון קטנות יותר תמורת 40 מיליון דולר. במסגרת מהלך זה פרש כהן מהחברה. מוקדי לא לקח חלק במכירה, ולהנפקה הציבורית הגיע כשבאמתחתו 4% מההון (3.4% לאחר ההנפקה) - החזקה ששווה "על הנייר" 38 מיליון דולר.
לבנק ההשקעות גולדמן זאקס נותרה החזקה של 18.8%, לקרן JVP נותרו 36.8% ולקרן Vertex נותרו 9.1%. כיו"ר סייברארק מכהן גדי תירוש, שותף כללי ב-JVP. "העסקה הזו שכתבה את החוקה של החברה", אומר מוקדי, "והחוקה החדשה אמרה שסייברארק תהפוך לחברה גדולה. גולדמן זאקס השקיעו בנו דרך balance sheet money ולא דרך קרן, וככה פיתו אותי. הם אמרו לי: built it as big as you can, ושאחשוב עליהם כהפך מקרן הון סיכון שמחכה להחזר שלה".
"אני הייתי אחראי על לכבוש את העולם"
מוקדי, ירושלמי גאה במקור, היה אמור להיות עו"ד. לאחר לימודיו בגימנסיה העברית, התגייס לשורות 8200, היחידה שממנה צמחו רוב יזמי חברות אבטחת המידע הישראליות, ואחרי השירות הצבאי בחר ללמוד משפטים. "זמן קצר אחרי שהתיישבתי על ספסל הלימודים, הבנתי שהמקצוע הזה לא מתאים לי", הוא מעיד. למרות זאת, מוקדי סיים את התואר, הוציא רישיון לעריכת דין אך יותר מאוחר הקפיא אותו. "בדיעבד, התואר דווקא עזר לי כי בעסקים כל מה שאתה עושה כל היום זה התקשרויות חוזיות. ההשכלה הזו גרמה לי לא לפחד מהדבר הזה שנקרא 'חוזה'".
לאחר כמה שנים, הצטלבה בשנית דרכו של מוקדי עם זו של כהן, חברו מהגימנסיה. כהן היה יוצא ממר"מ, והשניים החליטו לנסות להפוך את הידע שצברו בשירות הצבאי לסטארט-אפ. "החלטנו שאלון יעשה את כל מה שקשור לטכנולוגיה, ואני אהיה אחראי על 'לכבוש את העולם'".
כדי "לכבוש את העולם", כדבריו, ארז מוקדי מזוודה ובמהלך 2001 עשה רילוקיישן לבוסטון, בירת מדינת מסצ'וסטס שבארה"ב - שבה הוא מתגורר עד היום עם משפחתו. סייברארק, וזו נקודה מהותית בעיקר בעיני מוקדי, התאגדה כחברה ישראלית ומשלמת את עיקר מסיה בארץ. למוקדי יש אזרחות כפולה, ישראלית ואמריקאית.
לאור ההצלחה של צ'ק פוינט, סייברארק, אימפרבה, טראסטיר, ורוניס ואחרות, היית מגדיר את ישראל כמעצמת סייבר?
"כן! אפילו יותר מהסיליקון ואלי".
איך אתה מסביר את זה?
"מלבד רוח היזמות הישראלית, אני חושב שזה תוצאה של התמקצעות צבאית - התקפית והגנתית גם יחד".
זה טוב או רע שיש אינפלציית סטארט-אפים בתחום הסייבר?
"טוב כי זה תחום שדורש חדשנות יומיומית. ההאקרים לא מפסיקים לחדש את שיטות הפריצה שלהם, וזו הסיבה שהתעשייה שלנו מיוחדת מכל תעשייה אחרת. זה מרתק! ואני יודע שאני מורעל על התחום הזה. בכל תעשייה אחרת יש לקוח מצד אחד ונותן שירות מצד שני. אצלנו יש לקוח, נותן שירות והאקר. הלקוח מנהל מלחמה בלתי נפסקת מול ההאקר, וזה לא פעם ממומן על ידי כיסים עמוקים של מדינות".
מוקדי נותן כדוגמה תקרית שהתרחשה במאי האחרון בין סין לארה"ב. האחרונה הגישה כתבי אישום נגד חמישה בכירים בצבא סין בטענה כי גנבו וסחרו בסודות מסחריים של חברות אנרגיה ואחרות. זו הייתה הפעם הראשונה שארה"ב האשימה בעלי תפקידים ממדינות זרות בריגול כלכלי-תעשייתי. "אותי זה מאוד מעודד שחברות כמונו מאפשרות לארגונים להתמקד בעסקים שלהם, ולהשאיר לנו את עבודת האבטחה. להבדיל מבעבר, היום הנחת העבודה של כל ארגון היא 'אתה תידבק'. אין כבר דבר כזה 'לי זה לא יקרה'".
במלחמה בין ההאקר לחברה כמוכם, מי מקדים את מי?
"זו מטוטלת שנעה כל הזמן בין החבר'ה הטובים לחבר'ה הרעים, ובשנים האחרונות היא בעיקר נעה לכיוון של הרעים כי הנגישות של המידע, דרך הסמארטפון, הטאבלט, הרשתות החברתיות וכדומה, מקלה על ההאקרים. המודעות לצורך באבטחה פנימית, מלבד חיצונית כמו הפיירוול של צ'ק פוינט, גדלה באופן משמעותי אך התגובה לפריצה היא עדיין ארוכה. התגובה צריכה להיות יותר מהירה ואז המטוטלת תתייצב".
באומרו "תגובה ארוכה", מוקדי מתכוון שבממוצע לארגון לוקח 200 יום כדי לגלות שנפרץ. "תחשבי מה ההאקר יכול להספיק לעשות בתקופה הזו. לכן, אם נקדים את זמן התגובה, לנו יש תקווה".
נשמע מפחיד.
"לא, אני לא מאלו שמפחידים את הלקוחות שלהם".
טענת בתחילת דבריך כי מאז ומתמיד המטרה שלך הייתה להפוך את סייברארק לחברה גדולה. מה זה אומר?
"אני רוצה להפוך את סייברארק למותג אבטחת מידע עולמי שהלוגו שלו יתנוסס על בניינים ברחבי העולם. וכן, אני יודע שיש אנשים שחושבים שאני קצת משוגע בכל הקשור ללוגו על בניין. כשעברנו למשרדים חדשים בבוסטון, וניהלנו מו"מ עם בעל הבניין, דרשתי שהלוגו של סייברארק יתנוסס על הבניין. הוא הסכים, ומאז אנשים מכנים אותו 'הבניין של סייברארק'".
אינך היזם הראשון או האחרון שמצהיר שבכוונתו להפוך את החברה שלו למובילה עולמית. ברוב המקרים, הצהרות כאלו נותרות בגדר הצהרות כשמונחת על השולחן הצעת רכישה.
"יכול להיות. אני די חדש בתפקיד של מנכ"ל חברה ציבורית, ואני יודע שככזה אני מחויב לבעלי המניות. במקרה ותתקבל הצעה, זה יהיה גדול ממני. הדירקטוריון יהיה זה שיחליט. ועדיין, אם תשאלי את אודי מוקדי ואת יתר ההנהלה הבכירה של החברה - ואפילו את אחרון העובדים שלה - המטרה היא לבנות אימפריה. יש לנו כאן גאוות יחידה מאוד גדולה, ואני מקווה שסייברארק תהיה הרוכשת ולא הנרכשת".
עד כמה ההנפקה המוצלחת ונסיקת המניה הפתיעו אותך?
"אני ירושלמי וזה יתרון וחיסרון בו זמנית".
מה זה אומר?
"שאני תמיד עם הרגליים על הקרקע. ההנפקה הייתה מאוד מרגשת, וכשהמניה קפצה כבר ביום המסחר הראשון (87%, ט.צ.), ראיתי רק את הירוק. לא ראיתי את המספר. היה חשוב לי לצאת לדרך ברגל ימין, אך לא התעסקתי במחיר המניה עצמו. ההנפקה בוצעה יום לפני ערב ראש השנה העברי, אחריה עשינו בניו יורק ארוחת חג לכל הישראלים וביום שישי שאחרי כבר חזרתי לבוסטון לעבוד. המשימה של ההנפקה הושלמה, אך זו רק ההתחלה".
אתה מבין שנסיקת המניה, לפחות לפי החוקים הלא כתובים של וול סטריט, מגדילה את האחריות שעל כתפיך?
"כן. אני לא מתעסק במחיר המניה, אך כל עוד נתמקד במה שעשינו עד עכשיו, אני מאמין שנעשה טוב לציבור המשקיעים".
סייברארק הונפקה רק לאחר שהוכיחה רווחיות עקבית לאורך שנים. זה מה שאתה ממליץ לחברות טכנולוגיה אחרות לעשות?
"במקרה שלנו זה היה מאוד מהותי, אך ייתכן שזה תלוי סקטור. כשאתה מוכר אבטחת מידע, האותנטיות שלך בעיני הלקוח טמונה בחלקה ביכולת שלך להיות רווחי ויציב פיננסית. לא רצינו להיות רווחיים רק לפני ההנפקה אלא רווחיים נקודה".
מאכזב אותך שיש חברות ישראליות שמונפקות הרבה לפני שהן הופכות לרווחיות?
"דווקא החברות האמריקאיות הרבה יותר חוטאות בכך מאשר הישראליות, לפחות לפי מה שאני רואה. הישראליות פחות בונות על כך שתמיד יהיה להן מימון חיצוני".
עד כמה מהותי בעיניך לגייס עובדים בארץ ולא בארה"ב או במדינות אחרות?
"מאוד מהותי! כל המו"פ של סייברארק נעשה בארץ, וזה המנוע של מנועי הצמיחה שלנו. תמיד אנחנו מתגאים שמדי 18-24 חודש אנחנו מוציאים מוצר חדש לשוק".
כיזם הייטק, עד כמה חשוב לך הפרגון מהמדינה?
"לא מהותי. אני מרגיש שגריר של ישראל בלי שמינו אותי. לדוגמה, מושל מסצ'וסטס הוציא באחרונה שתי משלחות של בכירי ממשל לישראל. הוא איש מבריק, והוא הבין עד כמה חשוב לחבק את ההייטק הישראלי כדי לייצר מקומות עבודה במסצ'וסטס ולא רק בסיליקון ואלי. דוח שיצא לאחרונה גילה שהתרומה של חברות ישראליות, במישרין ובעקיפין, לתל"ג של מסצ'וסטס הוא 2%-3%. נתון כזה יותר מהותי בעיניי מלקבל הכרה מפוליטיקאי ישראלי זה או אחר. זה לא מה שנותן לי מוטיבציה. ובכלל, הרבה יותר מרתק בעיניי לבנות משהו אמיתי וגדול לטווח ארוך מאשר לבנות משהו לצורך אקזיט".
היכן נולדה הגישה הזו?
"יש תובנה שפיתחתי מצפייה ביזמים שעשו אקזיט. יצא לי לפגוש כמה כאלו בבתי קפה. ישבתי איתם, הטלפון שלי לא מפסיק לצלצל ואילו שלהם בקושי מצלצל. הם יושבים עם משקפי שמש מהודרים שאני בחיים לא הייתי קונה, ובמשך רבע שעה מספרים לך על המשקף הזה ואחר כך נזכרים בנוסטלגיה באקזיט שעשו. ואז אני אומר לעצמי: 'נו, מה הלאה?'. אני נהנה ממה שאני עושה, אז למה לי לשבת בבתי קפה? אני לא צריך את המשקפיים האלו".
נסיים בשאלה ברוח התקופה. בעוד 89 יום הבחירות. תבוא להצביע?
"כן. בבחירות האחרונות לא הצבעתי כי לא יכולתי להגיע לארץ. הפעם זה הרבה יותר מהותי בעיניי. הציבור חייב להשמיע את דברו. צריך לעשות סדר".
מזהים את האיום מתוך הארגון ולא מחוצה לא
סייברארק מתמחה בהגנה על מידע ארגוני מתוך הארגון עצמו, ולא מבחוץ. מוקדי מסביר שייחודיותה נובעת מכך שהייתה הראשונה שזיהתה את האיום מתוך המערכת הארגונית, בעוד שרוב חברות האבטחה התרכזו במערכות הגנה היקפית, דהיינו הגנה על המעטפת החיצונית של המידע הארגוני, כמו הפיירוול של צ'ק פוינט.
החברה מבצעת הגנה זו על ידי ניהול וניטור של חשבונות מועדפים (Privileged Accounts), חשבונות בעלי הרשאות גבוהות שמאפשרות גישה למידע מאוד רגיש. "השימוש בחשבונות מועדפים גדל באופן חסר תקדים לכל רוחב הארגון, והם משמשים גם אפליקציות ארגוניות, ספקי שירותים של צד שלישי, משתמשים עסקיים ואפילו קבלני משנה המנהלים עבור הארגון את פעילותו ברשתות חברתיות", הסביר לנו מוקדי בעבר, "חשבונות אלו קיימים בכל מקום - בשרתים, במסדי נתונים, בהתקני רשת (network devices), באפליקציות ועוד, וכך הם הפכו לפרצה למתקפות מתקדמות, כי הם המפתח לשליטה מוחלטת על תשתית החברה. זו הסיבה שתוקפים מבחוץ או מבפנים, בעלי כוונות זדון, מעוניינים לגנוב אותם או לנצלם לרעה".
לפי דוח שפרסמה באחרונה החברה, ניצול לרעה של חשבונות מועדפים הוא מכנה משותף החוזר על עצמו במתקפות סייבר ממוקדות. "חשבונות מועדפים מספקים להאקרים גישה חופשית ומאפשרים להם להגיע לאן שירצו, ולשוטט ברשת הארגונית ללא מעצורים. חשבונות אלו הופכים לקריטיים עבור האקרים במאמציהם להסתיר את עקבותיהם", נכתב בדוח.
עוד טוענת סייברארק בדוח כי הסיכונים הטמונים בחשבונות אלו גדולים לאין שיעור ממה שרוב הארגונים הפנימו. "ארגונים לא מעריכים נכונה את כמות החשבונות המועדפים שיש אצלם, או באיזה מערכות הם יושבים, ואינם מגנים עליהם בצורה מספקת. לארגונים יש כיום פי 3-4 חשבונות מועדפים ממספר העובדים שלהם".
"מדליק אותי שיש כבר כמה בתי ספר תיכונים בארץ שמאפשרים לעשות בגרות בסייבר"
מוקדי מודע לבעיית כוח האדם המקצועי בהייטק הישראלי. יותר ויותר חברות טכנולוגיה מתחרות על מספר מצומצם של מהנדסי תוכנה, מהנדסי אלקטרוניקה וכדומה. "כן, יש תחרות והיא גברה כשחברות זרות פתחו כאן מרכזי פיתוח. אנחנו מרבים לגייס עובדים בשיטת 'חבר מביא חבר', בעיקר על בסיס היכרויות מהשירות הצבאי".
מטריד אותך שאין מספיק חינוך טכנולוגי בישראל?
"כן, ולכן אחד הדברים שמדליקים אותי זה שיש כבר מספר בתי ספר תיכונים בארץ שמאפשרים לעשות בגרות בסייבר".
ואכן, לפני שנתיים החל משרד החינוך לשים דגש על לימודי סייבר. "לימודי סייבר - יעד לאומי", נכתב באתר ובו מצוין כי הכניסה למגמת סייבר אפשרית החל בכיתה ה' (!). מגמה זו היא מגמת עילית הנלמדת במסגרת לימודי הנדסת תוכנה ומחייבת הצטיינות במתמטיקה, פיזיקה ואנגלית (5 יח"ל כל אחד). רשת "אורט" היא המובילה ביישום תוכנית זו, ומלבד משרד החינוך משתפת הרשת פעולה עם יחידה 8200 של חיל המודיעין, ולא במפתיע.
"צריך להרחיב את החינוך הטכנולוגי, ומה שיפה זה שהנוער של היום מבין עד כמה זה חשוב", אומר מוקדי.
אודי מוקדי
תפקיד: מייסד ומנכ"ל סייברארק משנת 2005
גיל: 46
שירות צבאי: יחידה 8200 של חיל המודיעין
השכלה אקדמית: עו"ד (האוניברסיטה העברית), ומוסמך למדעים מאוניברסיטת בוסטון
מצב משפחתי: נשוי פלוס שלושה
מקום מגורים: בוסטון, מסצ'וסטס (ארה"ב)
שיעור החזקה שנותר בחברה: 3.4% (שווי של 38 מיליון דולר)
עוד משהו: נולד בזמביה שבאפריקה. אביו היה עובד משרד החוץ, והוא "טורטר" בעולם, כדבריו
כתבות
ני"ע
