חומת הסייבר: למה חלה ירידה באקזיטים ובהנפקות חברות האבטחה?

שוק אבטחת המידע לוהט כבר כמה שנים: כל קרן רצה להוסיף סייבר לפורטפוליו, כל ספק תקשורת מתהדר במוצר אבטחה וכל בוגר יחידה טכנולוגית שיצא את שערי הבקו"ם יישאל "אז מה עכשיו, סייבר"? נתונים חדשים שנחשפו השבוע מלמדים שהשוק ברוויה בעייתית ושעל עתידו מוטל צל מסוכן: מבנהו הטבעי פשוט לא מאפשר צמיחת חברות גדולות חדשות.

המילה סייבר לא הפכה סתם כך למונח ששגור בכל פה, שכן יש הצדקה לפריחה בתחום: ככל שיותר שירותים מקוונים עלו לרשת, ככל שישנם יותר מכשירי קצה שמפעילים אותם - מווטסון של IBM ועד האייפון של סבתא - כך צמחו בהתמדה גניבות המידע והכספים, מתקפות הכופר ושאר מעללי פושעי סייבר. בתוך כך, הוזלו מחירי הנוזקות וההכשרה הנדרשת להפעלתן: כל גנב עם חיבור אינטרנט, חמישים דולר ואחה"צ פנוי יכול לעשות הסבה מקצועית.

מתקפת נוזקת הכופר Petya, שפגעה ברשתות בכל העולם בקיץ האחרון

פעם נטען שחברות האבטחה מפריזות בחומרת האיום; מתקפות מתוקשרות כפריצות ללוקהיד-מרטין, לרשת החשמל האוקראינית, ל-NSA ולאקוויפקס הוכיחו אחרת. האחרונה, אגב, חשפה את פרטי האשראי של רוב המבוגרים בארה"ב (143 מיליון איש, כן?) להאקרים.

ולכן, לא פלא שחל זינוק ער בהשקעות בחברות אבטחת המידע למיניהן; השבוע שמעתי שני מתכנתים מדברים בפאב על מוצר אבטחה, כשאחד מהם תיאר שינוי פצפון שאפשר לעשות בו. "לך, תרים חברה", צחק חברו. "חצי שנה ויש לך עשרה מיליון דולר".

הרבה ישראלים קפצו על העגלה הזאת: הקימו חברה, בנו מוצר והתחילו לרוץ אל עבר האקזיט. על הנפקות לא מדברים, פשוט כי אין טעם: לפי נתוני חברת הייעוץ מומנטום סייבר, מספר גיוסי חברות הסייבר צמח בשנה האחרונה בהתמדה, אך מספר האקזיטים ירד. והנפקות? הן בגדר פנטזיה; גם המוצר הכי גאוני והצוות הכי מוכשר לא יניבו לנו עוד צ'ק פוינט.

גיל שוויד, מייסד צ'ק פוינט צילום: נמרוד גליקמן

איך זה יתכן? יש צורך מוכח, לקוחות רעבים והאקרים צצים כפטריות אחרי מקלחת צבאית. וזהו האתגר: הגיוון בהיצע תוכנות התקיפה, הצמיחה במספר התוקפים והגידול באפיקי התקיפה מחייבים פוקוס; אי אפשר לבנות משהו שפותר הכל. מוצרי סייבר מטפלים בסוג אחד של מתקפות - ותצורת הפיתרון תתאים למספר מצומצם של שווקים. בנית תוכנה שיודעת לטפל במתקפות על התקני רשת בתחנות כוח? תצטרך להשקיע זמן יקר כדי לבנות גרסה שתתאים גם למשל, לרשתות של חברות תעופה. ולמי יש זמן? יש ביקוש, כך שמשכורות למפתחים זה דבר יקר; עדיף ללכת על מה שיש ביד. כך נוצר היצע עצום של מוצרים, וארגונים צריכים לקנות בין חמישה לעשרים מוצרים שונים.

הלקוחות שקולים לאדם עם מכונית, בעולם בו כל מוסך יודע לתקן רק רכיב אחד: החלון החשמלי לא עובד? מצטערים חבר, אנחנו מתקנים רק ידיות של דלתות. כך הפך השוק לדחוס ורוויי; יוסי נער, ממייסדי סייבריזן אמר השבוע ל"כלכליסט": "אל תקימו חברות סייבר.. ישנן 700 חברות כאלה בארץ, אין ספק שלא כולן ישרדו".

וזהו הצל הכבד שמוטל על התעשייה: גם המוצר הכי טוב יהיה טוב רק בדבר אחד, מקסימום שניים. המבנה הזה לא מאפשר הנפקות; הנפקה היא מהלך עצום, שעושה רק מי שיודע שיוכל לצמוח ולהשיג לקוחות רבים - דבר שמחייב יתרון טכנולוגי חסר תקדים, או היצע מוצרים רחב דיו, שיוכל לתת מענה למספר צרכים של כל ארגון. הלקוחות, מצידם, היו מתים לדבר כזה: במקום לטפל בעשרה מוצרים מול עשרה ספקים, לעבוד מול גורם אחד? תענוג. אבל ההאקרים כל כך זריזים, הפיתוח ארוך ויקר והמשקיעים רוצים לראות צמיחה עכשיו, לא רדיפה אחר כוכבים נופלים.

יוסי נער, ממייסדי סייבריזן צילום: אפי שריר

מה נשאר לו, למייסד חברת האבטחה שרוצה לשנות את השוק? לחתור לאקזיט. אבל גם כאן ישנה מגבלה שורשית: לא מעט מהאקזיטים הם טכנולוגיים, כלומר רכישה שבוצעה כדי לתת לקונה גישה מלאה למוצרי הסטארט-אפ הנרכש (ובכך, למנוע מהמתחרים גישה לאותו פיתוח). הרוכשות לא ממנפות את המוצר לכדי פעילות משמעותית; אפל קנתה חברת סייבר? היא תשתמש בפיתוח כדי להגן על שירותי הענן שלה ולא תהפוך את המוצר ל"אנטי וירוס אפל" או "iFirewall". רוצה לנצח את ההאקרים, לשנות את עולם הסייבר? שאיפותיך ראויות להערכה, אך כנראה יתמצו באקזיט; ההאקרים, שלא שמעו עליך מעודם, ימשיכו בשלהם.

אז איזה עתיד מחכה לה, לתעשיית הסייבר? "עדיין יש מקום למישהו שבא עם מוצר מהפכני באמת", אמר נער - ואני איתו: מי יודע איך היו נראות מערכות ההפעלה, אם ווזניאק לא ידע לבנות ממשק גרפי זורם וג'ובס לא ידע למכור אותו? ואולם, זהו אתגר הרקוליאני: מי שימציא את פלטפורמת הסייבר הרב-תכליתית יצטרך למצוא את המפתח הכי יצירתי בעולם ואת המשקיע הכי סבלני ביקום - ולקוות שההאקרים לא יפצחו את המוצר שלו לפני שיגיע לבמה בנאסד"ק.