Clik here to view.
Clik here to view.
30 הנפקות, עשרות אקזיטים והשקעות בתחום הסייבר. דיוויד קוואן. מקור: יח"צ
אחרי שיותר מ-20 חברות בהן השקיע, הונפקו; אחרי אינספור אקזיטים, אחרי שנבחר לאחד מהמשקיעים המובילים בעולם על ידי מגזין פורבס, ואחרי שמוסיפים לכך את ההתמחות שלו בסייבר, שכוללת בין השאר הקמה ומכירה של חברות כמו VeriSign, Good Technology ו-Defense.net, היתה לנו הרגשה שלדייויד קוואן יש כמה תובנות מעניינות מאוד.
קוואן, שותף בקרן Bessemer, הגיע לצורך פגישות עבודה עם קרן Team8 שהושקה השבוע ובה שותפה Bessemer. אנחנו ניצלנו את 48 השעות שלו בארץ, כדי לשוחח איתו, ובעיקר כדי להבין מה צפוי לנו בעולם הסטארטאפים, הון הסיכון והסייבר בתקופה הקרובה ומהו המאכל הישראלי שבו הוא בחר להשקיע (ספויילר: זה לא פלאפל).
אנחנו באמצעו של שינוי מהותי בסייבר
שנת 2014 התאפיינה במספר רב של פריצות מתוקשרות ביותר לחברות ענק כמו סוני, אפל, וולמארט והום דיפו. במקביל, התאפיינה השנה החולפת במספר רב של גיוסים של חברות אבטחה. למעשה, בפראפרזה על המשפט המוכר מהסרט "אלו חיים נפלאים", נראה שבשנת 2014 בכל פעם שהתגלתה פריצה, חברת סטארטאפ בתחום הסייבר קיבלה גיוס.
אנחנו מתעניינים מהו לדעתו השינוי המשמעותי ביותר שעובר על תחום הסייבר בימים אלו? קוואן מסביר לנו שכיום עובר השוק שינוי תפיסה של ממש שמורכב מ-2 גורמים: הראשון, הוא המעבר של חברות וארגונים לאחסון ועבודה בענן, עם פעילות במודל SaaS ועם "מחשבים" שנכנסים ויוצאים מהרשת בדמות הסמארטפונים של העובדים – כל אלו גורמים לכל חוקי האבטחה הקיימים להשתנות: כבר לא מדובר בהקמת חומה מסביב לעיר, מדובר בהגנה על מדינה עם גבולות ארוכים ופרוצים.
הגורם השני לשינוי הוא כמות האיומים שזינקה משמעותית. כותצאה מכך מערכות האבטחה יוצרות אלפי התראות שונות על התנהגויות חריגות, אולם לארגונים אין משאבים לבדוק או לחקור כל התראה ולכן רובן נזנחות ולא מטופלות. כך חומקות "מתחת לרדאר" אותן התקפות APT, כלומר, מתקפות ארוכות טווח ומתוחכמות עם מטרות מורכבות יותר מסתם DDoS או השחתה של האתר. במקרה כזה, הטכנולוגיות פועלות כהלכה, אבל לאף אחד אין זמן או יכולת לשים לב להתראות, ולכן יש צורך בשינוי תפיסתי.
שינויים נוספים הם מקור התקיפות והיכולות: אם פעם דיברנו על תוכנות ונוזקות שונות שפועלות בצורה "טפשה" ואוטומטית, היום מדובר באנשים עם כוונת זדון המכוונים ספציפית לחברות וארגונים מסויימים. מבחינת היכולות, הן משתנות דרמטית על פי קוואן. פעם פריצה היתה גורמת לצד המותקף בעיקר אי-נוחות כמו החלפת מחשבים או הצפה של ספאם, והיא פגעה בחברות מסויימות, אבל גם במתחרים שלהן. אבל מאז שהממשלות נכנסו לתחום הסייבר, הן פיתחו יכולות תקיפה מתקדמות, שזלגו גם לשוק האזרחי. עכשיו, מדובר בשדה קרב של ממש, כשכל הפריצות שהתרחשו שנה שעברה בארצות הברית היו רק שיחת ההשכמה.
על פי קוואן, החברות היום חייבות להפנים כי עליהן להתמקד במקור של האיומים שנשקפים להן. כיום, חברות בתחומים שונים, בגדלים שונים ובמיקומים גיאוגרפיים שונים משתמשות באותן מערכות הגנה, שכוללות "רשימות שחורות" משותפות (אותן כתובות IP, אותם hosts, אותן כתובות מייל וכו), למרות שברור שלכל אחת מתמודדת עם איומים שונים, ולכל אחת יש את האוייב שלה.
"הרי לא הגיוני" מסביר קוואן "שאתם, כגיקטיים, תהוו מטרה לגנבי כרטיסי אשראי מרומניה; גם לא הגיוני שכורי ביטקוין ינסו להשתמש דווקא בשרתים המעטים שלכם; אבל מה אם האקרים, נגיד של "אנונימוס" ישיגו את כל תכתובת המייל שלכם, כל אנשי הקשר, כל המקורות ויפרסמו אותם… זה יהיה קטסטרופה בשבילכם". "הסיוט שלי", אומר קוואן "הוא שאנונימוס יקבלו גישה למייל שלי. זה הסיוט שלי. זה מה שיפגע קשות בעסקים שלי, במחייה שלי". לכן, טוען קוואן, זקוק כל ארגון לדעת לזהות מי עשוי לאיים עליו ספציפית או על תחום העיסוק שלו ולהתאים את ההגנה שלו ספציפית.
חברות סטארטאפ, אתן על הכוונת
אנחנו שואלים את קוואן כיצד השפיעו הפריצות המתוקשרות לסוני, וולמארט ואפל. קוואן משיב שעכשיו כבר ברור לכולם שהאבטחה היא כבר לא עניין של ה"גיקים מה-IT עם הבגדים המוזרים". עתה כבר ברור, שמי שצריך להתוות מדיניות ולקחת אחריות הוא לא פחות מהמנכ"ל, ואם הוא ייכשל בכך הוא ישלם בכסאו ובעלי המניות יתבעו את הפסדיהם (גרג סטיינהאפל, מנכ"ל ענקית הקמעונאות האמריקאית Target, אולץ להתפטר מיידית לאחר יותר מ-30 שנה בחברה, בגלל פרצת האבטחה שחשפה 40 מיליון כרטיסי אשראי להאקרים. י.א.)
אם כל חברות הענק, על המשאבים העצומים שלהן המוקדשים לאבטחה, נכשלו; מה עם כל אותם סטארטאפים שמבקשים מאיתנו פרטים אישיים ופרטי תשלום, תמורת שירותים שהם מציעים. האם הם יוכלו להצליח איפה שחברות הענק נכשלו? קוואן פסימי למדי. לדבריו, חברות הסטארטאפ הם הגופים הכי פגיעים. לעיתים, סטארטאפים בתחום הסייבר הם גרועים יותר מאחרים… לדעתו, נובע הדבר מהתרבות הארגונית. "כשאתה עובד בסטארטאפ אתה ממוקד במטרה אחת: להצליח עם החברה, אתה רוצה להביא את האנשים היצירתיים ביותר ואתה לא חושב על סוגיות אבטחה". אולם הבעיה החמורה ביותר היא התפיסה. לא פעם, חברת סטארטאפים פשוט חושבות בנאיביות שהן "קטנות מדי" בשביל להיפגע. אולם אם יש להן משתמשים, יש להן דאטה, הן יושבות על אוצר, ולכן הן על הכוונת. חברות הסטארטאפ, אומר קוואן, חייבות להבין שפריצה למחשבים ולשרתים שלהן תסב להן נזק עצום באמון של הלקוחות, של הספקים ושל המשקיעים. קוואן ביצע מחקר של עשרות מקרים של פריצות לחברות סטארטאפ ופרסם מחקר מרתק, ובו הוא מציע דרכים כיצד להקטין את הסיכון לפגיעה.
Clik here to view.
איבדו את האמון. מטה Sony Pictures. מקור: cc-by-Coolcaesar, Wikimedia
כדוגמה לתוצאות ההרסניות של אובדן אמון, מביא קוואן את מקרה סוני: "האם אתם חושבים שיש היום במאי אחד או תסריטאי או שחקן שמוכן לעבוד עם סוני ולהפקיד אצלה פרטים דיסקרטיים?… הרי הפריצה הזו עלתה לסוני בהפקה של הרבה מאוד סרטים והרבה מאוד שוברי קופות. זה הנזק הגדול של הפריצה". הוא גם מביא דוגמה מהבית, כשאחת מחברות הפורטפוליו שלו נפלה קורבן לפריצה, שגרמה לה לאבד שנה של עבודה. ואם לחברות גדולות שנת עבודה היא נזק עצום, אפשר רק לדמיין את הנזק לסטארטאפ צעיר.
"אם אתם פועלים במרחב הדיגטלי, אתם פועלים באיזור לחימה"
דיברת על יכולות תקיפה של מדינה שמגיעות לגורמים אזרחיים. האם אתה מאמין שנראה גרסה אזרחית של Stuxnet? קוואן עונה: "אנחנו כבר רואים. קח לדוגמה את ה-DragonFly שכוון נגד חברות תרופות ואסף מהן מידע בצורה שיטתית". הוא גם מזהיר באותה נשימה ממקרים של האקרים שמשיגים מידע רב מהחברה, ואז סוחטים אותה או מרוויחים מספקולציות במניות של אותה חברה, לאחר שהיא נאלצת לחשוף את דבר הפריצה.
קוואן פונה ליזמים ואומר: "אם אתם פועלים כיום במרחב הדיגטלי, אתם פועלים באיזור מלחמה. אז אתם חייבים להבין בלחימת סייבר, כי זו המציאות היומיומית במרחב הדיגיטלי. אם אתם מנסים לעשות עסקים באזור לחימה, זה משנה את כל הדרך שבה אתם עושים עסקים".
Team8: מעבדה עם האנשים החכמים ביותר בעולם
באת לפה, כדי לקדם את המיזם החדש שבו אתם שותפים, Team8. מה מיוחד בו? "אתה יכול לנחש שלא חסרות חברות סטארטאפ בתחום הסייבר בסיליקון וואלי. אבל מה שאין לנו שם, זה יכולות מבצעיות בתחום הסייבר. יכולות כאלו הן נדירות ויש אותן בדרך כלל לממשלות או לפושעים, ולכן, טסתי חצי עולם, כדי לקדם הקמת חברות כאלו". קוואן מוסיף מייד: "טוב, גם בשביל הסביח (חצילים)".
אבל בדרך כלל, כשחברות סטארטאפ עושות לך פיצ'ינג, הן מציגות מוצר, שוק (ובשאיפה) מודל עסקי. כאן, אתה משקיע ב-Team8, מבלי שראית מוצר אחד. "חברות אבטחה ותיקות, הן בהגדרה שלהן, לא רלוונטיות. רוב הסטארטאפים שאני פוגש מציגים בפני שיפורים למוצרי אבטחה קיימים. אני לא רוצה להשקיע בזה. אני לא רוצה שדרוג של FireEye או Palo Alto Networks משופרת. אני רוצה מוצר שמתבסס על מה שהאקרים עושים היום, שהתשתית הקיימת לא מסוגלת לעצור. בדרך כלל, אני לא רואה את הדברים האלו. ולכן, אני מגייס אנשים מוכשרים ומכוון אותם לתחומי הפעולה החדשניים. קוואן מוסיף: "ב-Team8 אני מזהה אווירה והזדמנות לאנשים עם רקע של סייבר. אם יש לך רקע בתחום, זה המקום שתרצה להיות בו. כי אתה מוזמן למעבדה עם האנשים החכמים ביותר בעולם, ואתה מקבל לוח נקי, כדי לפתור בעיות קשות. באותו זמן, אתה פטור מכל הסוגיות הקשורות בהקמת סטארטאפ, שאין לך מושג בהן כמו לדאוג למימון, לאייש את הצוות וכו. אתה יכול פשוט להתמקד בבעיות המגניבות ביותר שמעסיקות את הכלכלה הגלובלית".
Team8 לא תימדד לפי האקזיטים, אלא לפי התוצרים הטכנולוגיים שתצליח לפתח. אני מאמין שב-2015 נשיק לפחות חברה אחת עם פתרון חדשני וייחודי שכבר נבדק ונבחן בעולם, ואני מאמין שנצליח מדי שנה לייצר חברה חדשנית עם פתרון מוכח, לקוחות, עם צוות מנוסה והון עצמי.
מה האיום הגדול ביותר שאתה רואה כיום? האיום הגדול ביותר הוא האיום על תקשורת פרטית וחופשית, המקבילה הסייברית לטבח במגזין שארלי-הבדו. אם לא נוכל לשמור על המידע והתקשורת שלנו פרטיים, אז כל משימה תהיה הרבה יותר קשה.
אם יש בועה, היא קיימת בשוק הפרטי. לא בחברות ציבוריות
Clik here to view.
Wix. אחת ההשקעות המוצלחות של הקרן. מקור: אתר Wix
לבסוף, כמשקיע שחתום על יותר מ-30 הנפקות ועשרות אקזיטים, עניין אותנו לדעת האם לדעתו של קוואן אנחנו בבועה. האם לדעתו אנחנו זה נורמלי, שחברות שלא הכניסו סנט אחד, ללא מודל עסקי, מוערכות ואף נמכרות במאות מיליוני דולרים. קוואן מסביר: "ההיסטוריה מוכיחה שהערכות השווי של חברות הטכנולוגיה יירדו. כרגע, הערכות השווי בשווקים העולמיים הן גבוהות. גבוהות יותר מבעבר. לכן, תהיה ירידה במכפילים, גם המכפילים של מניות צמיחה צפויים לרדת. אבל זה לא בועה שמתנפצת. זה תיקון נורמלי, שלא חושף בעיה בסיסית ועמוקה בחברות שיוצאות להנפקה היום. אני חושב שהמודלים העסקיים יציבים ועמידים. אני כן חושב שיהיו השלכות יותר חמורות כלפי חברות פרטיות, שמגייסות כספים על פי הערכות שווי שעוברות בהרבה את המכפילים הציבוריים שלהן. אם יש בועה, היא קיימת בשוק הפרטי, לא בחברות הציבוריות.
אבל מה לגבי חברות שנהנות מהערכות שווי גבוהות ואף מנפיקות לפיהן, אבל אין להן הכנסות? ראייה כזו מתחשבת רק בהוצאות של החברה לגיוס לקוחות, אבל לא מתחשבת בהכנסות שצפויות להגיע מהלקוחות האלו עם הזמן. אתה מסתכל רק על ההכנסות באותו רגע. קח לדוגמה מנוי. כדי לגייס אותו תצטרך להשקיע 10 דולר, אבל הוא יכניס לך דולר בחודש, ובדרך כלל, הוא גם יישאר אצלך כ-5 שנים. אז אתה הולך להרוויח 60 דולר על השקעה של 10 דולר. ואם אתה גדל במהירות, אין שאלה, שיווצר רושם שאתה מפסיד כסף על ימין ועל שמאל, לפי פרמטרים חשבונאיים של היום. אבל אם אתה מתעלה על השיקולים האלו, אתה מבין שהעסק גדל ומרוויח, ואם חברה תחליט בשלב זה להפסיק עם השיווק, היא תהיה חברה רווחית מאוד, שתוכל אפילו לצמוח בלי להמשיך להוציא על שיווק. שיווק פשוט יעזור לה לצמוח בצורה מהירה יותר. זו תפיסה שהוכחה כמוצלחת מאוד עבור משקיעים כבר מספר שנים.
רק השבוע ראינו השקעות של Bessemer ב-Team8 וב-Wandera. האם יש לקרן תוכניות נוספות בעולם הסטארטאפים הישראלי? קוואן מדגיש כי Bessemer מחוייבת לקהילת הסטארטאפים הישראלית כבר יותר מ-25 שנה, עם השקעות בשנות ה-90 המוקדמות כמו DSP. ההשקעות הראשונות שלו היו אגב ב-Finjan וב-Cyota (של שר הכלכלה, נפתלי בנט, י.א.). קוואן מוסיף: "אדם פישר שמנהל את הסניף שלנו פה הוביל סדרת השקעות מוצלחות ב-Wix, Intucell ו-Traffix – שגורמת לנו לחזור לפה בהתלהבות כל פעם. הביצועים של הפורטפוליו הישראלי שלנו עולים על אלו של הפורטפוליו הגלובלי".