מקום ראשוןסמפריס: "לא צמחנו ב־8200 או בממר"ם. נאלצנו להיות קומנדו"
מקום ראשון
סמפריס: "לא צמחנו ב־8200 או בממר"ם. נאלצנו להיות קומנדו"
בתוך תשע שנים מרגע הקמתה הפכה סֶמפֵּּריס לאחת החברות הצומחות ביותר בעולם, ולמי שהכנסותיה מגרדות את רף ה־100 מיליון דולר - וכל זה בלי קשרים, בלי רקע ביחידות טכנולוגיות של צה"ל ובלי קרנות ישראליות. בריאיון לכלכליסט מספרים המייסדים מתן ליברמן וגיא טברובסקי איך כל זה קרה כתוצאה מהימור נועז לפנות נגד השוק, ולהתמקד במנהל הזהויות של מיקרוסופט
Semperis
- תחום: סייבר
- הקמה: 2014
- מייסדים: מיקי ברזמן, גיא טברובסקי ומתן ליברמן
- עובדים: 400, מתוכם 150 בישראל
- גיוסים: 254 מיליון דולר מאינסייט פרטנרס, KKR ו־Ten Eleven Ventures
מתן ליברמן וגיא טברובסקי זוכרים היטב את רגע הפריצה הגדולה של סֶמפֵּּריס (Semperis), חברת הסייבר שהקימו יחד עם מיקי ברזמן (שמשמש בה מנכ"ל).
"כל אחד מאיתנו זוכר את הרגע שבו הגיעה הזמנה מלקוח בריטי מסוים, חברת ענק בתחום הקמעונאות שמוּכּרת בכל העולם, ושלקח לנו הרבה זמן להגיע אליה ולזכות באמונה", מספר ליברמן, סמנכ"ל הפיתוח העסקי, שנזהר שלא לחשוף שמות, מצוות סייבר מלומדה. טברובסקי, ה־CTO, מחייך: "זה היה החוזה הכי גדול שלנו באותה תקופה, פעם ראשונה חוזה של שבע ספרות. כשההזמנה הזו הגיעה בדיוק ישבתי במסעדה בניו יורק, ראיתי את ההזמנה וצעקתי 'ישששששש' באמצע המסעדה. כולם חשבו שצריך לאשפז אותי. אמרתי לעצמי, 'ארגון כזה עצום שם המון כסף עבור היכולות שלנו'. בשבילי זה היה אפילו מרגש כפליים, כי האדם שבחר בנו כתב את הספרים שלמדתי מהם. זה היה מדהים".
"זה לקוח ענק, מה שבאופן טבעי מעורר חששות", ממשיך ליברמן. "טסתי לאנגליה לעשות הדגמה, הלקוח אישר, והתחלנו להתקין במקום. פינינו לזה שבוע פלוס, אבל זה לקח יומיים. הלקוח היה בשוק שזה עבד כל כך מהר, ואנחנו היינו בשוק מההצלחה המהירה. זה היה 'וואו'. ומאז הרף רק עלה".
"וואו" אינו הגזמה, בהתחשב בסיפורה הלא שגרתי של סמפריס, שפיתחה מערכת התאוששות מאסון שיודעת לזהות התקפות סייבר, לנטרל אותן, ולשחזר את פעילותו של הארגון באופן אוטומטי. החברה, שהוקמה ב־2014, לא צעדה בדרך המלך המוכרת של יזמי הסייבר, שכוללת התחלה באחת מיחידות הטכנולוגיות של חיל המודיעין, רשת ענפה של קשרים, השקעה מאנג'לים בכירים בתעשייה וסביבה עסקית תומכת. "אנחנו עוף מוזר: לא צמחנו ב־8200 או בממר"ם", מספר ליברמן. "אני שירתי במשרד ראש הממשלה, גיא היה בנח"ל, שנינו עשינו מילואים בחי"ר".
איך החברה התחילה את דרכה?
"גיא עבד כיועץ מטעם מיקרוסופט: הוא הסתובב בארגונים בעולם ועזר להם להכין את עצמם לאסונות בעולם הזהויות הארגוניות. אחד הארגונים האלה היה משרד ראש הממשלה, שם עבדתי כראש צוות פיתוח. במסגרת העבודה המשותפת הוא סיפר לי על הקשיים בשחזור מערכות מאסון, ועל חוסר המודעות של ארגונים לעניין הזה. אחד הארגונים שהוא ראה היה בנק שאפילו לא ידע שהוא לא יכול להשתחזר.
"למיקי, שהיה חבר טוב של גיא, היתה חֶברה שעסקה בייעוץ בתחום השחזור. הם ישבו פעם על בירה, הגיעו למסקנה שהמצב בשוק הזה יילך ויחמיר, והחליטו להקים חברה שתתמודד עם העולם הזה ותפתח טכנולוגיה בשחזור מהיר מאסון. הם באו אליי, הציעו לי להיות שותף להקמה, התקבלנו יחד לאקסלרטור של מיקרוסופט, והשאר היסטוריה".
העובדה שהייתם חריגים בנוף הסייבר, ולא עשיתם את המסלול הקלאסי, היתה יתרון או חיסרון?
"גם וגם. זה חיסרון, כי לא היתה לנו רשת חברתית; לא היתה לנו גישה לכוח אדם, כזו שבה אתה רק מרים טלפון, וחצי מהצוות אצלך במדים. אבל זה גם יתרון, כי אם אתה שורד דבר כזה, אתה עמיד ובוגר הרבה יותר. זה נתן לנו חשיבה שונה על השוק ועל החברה. למשל, בשונה מחברות שנראות קופי־פייסט יש לנו צוות כוח אדם מגוון בגילאי 20–70, והגיוון הזה נותן לנו חשיבה שונה. יש לנו גם כלל בגיוס עובדים: אנחנו לא מגייסים אנשים עם יחסי אנוש לא טובים. אפשר לשפר מקצועיות, אבל לא בני אדם.
"מעבר לזה, להיות שונים אילץ אותנו לפתח חשיבה של יחידת קומנדו. אין מצב שניכשל; נעשה הכל כדי שהחברה תשרוד, לא משנה אילו ויתורים יידרשו. עזבנו עבודות ומשכורות, אכלנו את החסכונות, והיתה לנו רק דרך אחת: להצליח. לא היתה לנו הנוחות של 'אם זה ייכשל, מקסימום אעשה משהו אחר'. נתקלנו בקשיים שהיו גורמים ליזמים אחרים לסגור את החברה ולחפש את הדבר הבא. אפילו אנחנו היינו קרובים מאוד לסגור ב־2016, אבל הרוח שלנו היתה 'אנחנו נוכיח אחרת'. כשהיתה לנו התקנה של מערכת אצל לקוח, עבדנו עליה במשרד כל הלילה, בשלוש אחרי חצות הזמנו פיצה, בשבע בבוקר סיימנו את העבודה, ובשמונה כבר היינו אצל הלקוח. והמערכת עבדה".
ולא רק המערכת: גם החברה עבדה. מנטליות הקומנדו הנחושה של ברזמן־ליברמן־טברובסקי הפכה את סמפריס לספקית של שורת תאגידי ענק בינלאומיים. בישראל לבדה היא משרתת יותר ממאה ארגונים, ובהם חברת התעופה אל על; "אנחנו פטריוטים. אני אוהב למכור בחצר האחורית שלי", אומר על כך ליברמן. יש לה גם שורה של שותפים, דוגמת פירמת הייעוץ אקסנצ'ר, IBM, מיקרוסופט, מלם־תים ועוד רבים. קצב המכירות השנתי שלה מתקרב ל־100 מיליון דולר. וכל זאת, כאמור, בתוך תשע שנים בלבד.
"היינו עם הגב לקיר. כבר שקענו בו"
ההצלחה הזו הושגה בזכות זיהוי של נקודת תורפה במערכות של מיקרוסופט — "אקטיב דיירקטורי" (Active Directory), מערכת שמרכזת את זהויות כל משתמשי הארגון, המכשירים המחוברים לרשת והסיסמאות. בעוד חברות סייבר רבות מתמקדות בהגנה על הדאטה של הארגון, בסמפריס הבינו שהאקטיב דיירקטורי היא הנקודה הפגיעה ביותר: תוקף שיגבר עליה יוכל לשלוט במערכות המחשוב של הארגון. כדי למנוע את זה, הטכנולוגיה של סמפריס מזהה פגיעויות במערכת הזהויות, מיירטת התקפות סייבר, ומאפשרת לארגון להתאושש במהירות מהתקפות סייבר, פרצות נתונים, תוכנות כופר ומקרי חירום אחרים של פגיעה בשלמות נתונים.
טברובסקי: "חיפשנו כל מקום שבו אפשר להציב יכולת טכנולוגית בקבלת ההחלטות, כך שבזמן ההתאוששות האינטראקציה תהיה מינימלית. במקום שהארגון יעבוד עם מדריך להתאוששות מאסון, יעבור סעיף–סעיף ויוודא שהכל טופל, המערכת שלנו עושה את כל זה בארבעה קליקים"
"בעבר, בעולם ההתאוששות מאסון, הצורך נגזר מסיכונים כמו סופה, הצפה, רעידת אדמה, נפילת חשמל, טעויות אנוש, פגיעת טיל; ואז ההתאוששות היא ברזולוציה של דאטה סנטר", מסביר טברובסקי. "כיום הסיפור שונה לחלוטין: האקרים הבינו שבמקום לתקוף שרת עדיף לחפש את התשתית שמחזיקה זהויות, וכך לתפוס את הארגון במקומות הכי רגישים. כך שהיום ההיערכות היא בעיקר לפגיעת סייבר קשה, שיכולה לשתק ארגונים. ראינו ארגונים שאפילו נפגעו בשרתי הגיבוי, וכשהעלו את הגיבוי, התוקף חזר למערכת.
"אנחנו מספקים פתרון לארגונים פתרון מקיף — לפני, תוך כדי ואחרי תקיפה. אנחנו יודעים לנטר חולשות בארגון ולהקטין סיכוי פריצה, ובמהלך תקיפה יודעים ליירט אותה ולזהות את התוקף. במקביל, אנחנו יודעים שאין הגנה של 100%, ולכן יש צורך מיידי במערכת שתאפשר שחזור מהיר של הארגון בכמה קליקים, בתוך שעה.
"הרעיון המנחה שלנו הוא לצמצם את הגורם האנושי בקבלת החלטות במצב של אסון. תהליך קבלת החלטות הוא בעייתי: כשאנשים פועלים תחת לחץ, לא תמיד הם מקבלים החלטות נבונות. חיפשנו כל מקום שבו אפשר להציב יכולת טכנולוגית בקבלת ההחלטות, כך שבזמן ההתאוששות האינטראקציה תהיה מינימלית. במקום שהארגון יעבוד עם ספר הדרכה להתאוששות מאסון, יעבור סעיף־סעיף ויוודא שהכל טופל, המערכת שלנו עושה את כל זה באופן אוטומטי: אנחנו מחליפים מאה עמודים של קונפיגורציה ומוסיפים שכבה של סייבר ושחזור, והכל בארבעה קליקים".
ההחלטה להתמקד באקטיב דיירקטורי נראית היום מובנת מאליה, אבל טברובסקי מסביר שמדובר בהימור מושכל שהצליח. "בהתחלה, התמקדנו יותר בשחזור אחרי קריסה כתוצאה מכשל חישובי, ופחות בשחזור אחרי אירוע סייבר", הוא משחזר. "המעבר שלנו להתמקדות בהגנה על זהויות נבע מהימור מושכל: הערכנו שבעולם ההיברידי העתידי, למערכת הזו יהיה תפקיד קריטי".
זו היתה החלטה אמיצה במיוחד, כיוון שבתחילת דרכה של סמפריס, חברת המחקר גרטנר טענה שימיה של מערכת האקטיב דיירקטורי ספורים, ושהשוק של הגנה עליה עומד להתפוגג. "הרגע הכי קשה שלנו היה ב־2016", משחזר טברובסקי. "היינו ממש עם הגב לקיר. מה גב לקיר, כבר היינו עם חצי גב בתוך הקיר, עשינו חור. אחת המשקיעות עזרה לנו, הקדימה סכומי השקעה והאמינה בנו. סיבוב הגיוס התעכב, חשבון הבנק לא היה מלא במיוחד, והזרמנו כספים משלנו.
"הבעיה הגדולה שלנו באותה עת היתה שהקדמנו את השוק. המוצר שפיתחנו היה בשל ומוכן, אבל לא הצלחנו למכור בצורה שרצינו, ולא הצלחנו לגדול במכפילים שתכננו. אנחנו לא יזמים של פעם שנייה, עם ניסיון בבניית תהליכי מכירה; היינו נאיביים. לא היינו מודעים לזמן שתהליכים לוקחים, למה שאתה עלול להיתקל בו, ולא היה לנו את האקו־סיסטם של בוגרי 8200, עם חברים שימצאו לנו עם מי לדבר".
אבל ההימור של סמפריס התגלה כמוצלח עם המעבר לענן: אם בעבר העובדים התחברו למערכות הארגון מתוך מחשב במשרדי החברה, הרי שכיום רבים מהם מתחברים באמצעות המחשב הפרטי בביתם, מכשירים ניידים או מחשב אורח. מצב זה יצר צורך בשליטה על זהות המתחברים למערכות — וכאן התגלתה סמפריס כחברה עם הטכנולוגיה הבשלה ביותר, ועם הניסיון הרב ביותר בהטמעת המערכת שלה. ב־2018 גרטנר הודו בטעות, והעריכו שאקטיב דיירקטורי כאן כדי להישאר. סמפריס החלה להמריא, והביקוש לטכנולוגיה שלה קפץ מדי שנה במאות אחוזים, עד כדי כך שחברת הייעוץ דלויט דירגה אותה כאחת החברות הצומחות מבחינת הכנסות. כיום, הטכנולוגיה של סמפריס מגינה על יותר מ־50 מיליון זהויות, בשורה ארוכה של ארגונים.
"המשקיעים הישראלים זלזלו בנו"
רק בגיוס האחרון סמפריס הצליחה לקפוץ את המדרגה המשמעותית קדימה, עם גיוס של 200 מיליון דולר בהובלת שתי קרנות ענק, KKR ואינסייט פרטנרס — הראשונה אחת מענקיות ההשקעה הגדולות בעולם, עם הון תחת ניהול של יותר מ־400 מיליארד דולר ומגוון רחב של גופי השקעה, והשנייה היא המשקיעה הגדולה ביותר בהייטק הישראלי, עם שורת הצלחות כמו פאפאיה גלובל, מאנדיי ואחרות. הגיוס הזה כלל מרכיב סקנדרי, כלומר לא רק כסף שנכנס לקופת החברה, אלא גם עשרות מיליוני דולרים, שחלקם אפשרו למייסדיה לרשום לעצמם אקזיט קטן. את היקפו הם אינם מפרטים, אבל חלק משמעותי ממנו שימש לרכישת אחזקות של מחזיקים ותיקים בחברה.
ליברמן: "קמנו בלי רשת חברתית שמאפשרת לך להרים טלפון ומיד חצי מהצוות אצלך. זה פיתח אצלנו חשיבה שונה. למשל, בשונה מחברות שנראות קופי–פייסט, כוח האדם שלנו הוא בגילאי 20־70, ואנחנו מגייסים רק אנשים עם יחסי אנוש טובים. מקצועיות אפשר לשפר, אישיות לא"
עד היום גייסה החברה כ־254 מיליון דולר; לצד משקיעי הענק סייעו לחברה כמה משקיעים כמו משה ליכטמן וקרן מווריק ונצ'רס של ירון קרני. "אם תסתכל על הגיוסים שלנו תראה שתמיד גייסנו בתקופות קשות", אומר ליברמן. "בקורונה גייסנו 40 מיליון דולר והיינו בפחד כל הלילה שהעסקה תיפול. בעסקה האחרונה הכסף הגיע במאי 2022, תקופה שבה אף אחד כמעט לא השקיע, ומאוד חששנו שגם יעצרו את הגיוס שלנו. זה לא קרה, אלא להפך: תמיד גייסנו בשווי עולה, בלי תנאים מגבילים".
רשימת המשקיעים שלכם נעדרת משקיעים ישראלים מסורתיים. למה זה כך?
"אין לנו את הקרן הישראלית הסטנדרטית, כי אנחנו לא מ־8200. המשקיעים הראשונים שנפגשנו איתם זלזלו בנו: הם הביאו יועצים שבחנו את הטכנולוגיה שלנו, ואמרו שאפשר לעשות את אותו הדבר ידנית בחצי שעה. היום אנשי המקצוע הטובים בעולם בתחום מתייחסים לפתרון שלנו כאידיאלי. מי שהימר עלינו עשה הימור נכון: הקדמנו את השוק, אבל היינו רזים וזהירים ושרדנו עד שהוא הגיע אלינו. זה קרה ב־2018, אז מכרנו במיליון דולר, ומשם החברה צומחת במכפילים של מאות אחוזים בשנה. אנחנו רוצים לצמוח, ורוצים גם הנפקה. את השנים הבאות אנחנו רואים באותה דרך. השוק שאנחנו עובדים מולו הוא עצום: כל ארגון מעל 1,000 עובדים, בכל סקטור, הוא יעד. כיום אנחנו פועלים ביותר מ־20 מדינות ומשרתים ארגונים משמעותיים מאוד".
אתם לא חוששים ממה שמסתמן כמיתון עולמי?
"אני לא חושב שזה מיתון עולמי. יש האטה מסוימת בכלכלה, שלדעתי היא מלאכותית ונוצרה על ידי העלאת ריבית, בניסיון לבלום אינפלציה. אנחנו ממשיכים בזהירות, בדיוק באותה דרך שבה הקמנו את החברה: אף פעם לא לגייס יותר מדי אנשים אם לא צריך. תמיד צמחנו בצורה נכונה, שמבוססת על הכנסות ומוצרים".
במשפט האחרון מובלעת ביקורת לא לגמרי סמויה. ליברמן וטברובסקי לא מסתירים את חוסר ההתלהבות שלהם מהתנהלותן של חברות הסייבר שקמו בשנים האחרונות, וגייסו כספים בשוויי עתק. "אנחנו לא חברה שקמה לפני שנתיים עם מצגת ו־15 מיליון דולר בגיוס סיד, גייסה אנשים בשכר עתק גבוה מהמקובל בשוק, ועכשיו מפטרת שיעור גבוה של כוח העבודה שלנו. החברות ההן תמיד מחפשות את הגיוס הבא; אנחנו חיפשנו רק איך לשמר את הכסף, כי לא ידענו מתי יגיע הגיוס הבא. חישבנו כל שקל. הגיוסים שלנו היו אמצעי להגדיל את החברה, ולא מטרה, 'איזה יופי גייסתי'".
איך נראית לכם תעשיית הסייבר בישראל?
"עולם הסייבר מלא בחברות וברעיונות, אבל לא כל חברה תצליח לבנות פלטפורמה שארגונים חייבים להתקין. בתעשייה שלנו יש המון חברות נישתיות שמייצרות פתרונות לבעיות קטנות. בישראל גם קמות חברות רבות שעוסקות בתחומים דומים מאוד. יש עודף בנישתיות. בעולם ה־XDR (הגנה על נקודות קצה) יש תחרות קשה, ושחקנים חדשים נאלצים להיאבק מול חברות כמו קראודסטרייק פאלו אלטו, סנטינל ואחרות; אם לא הצלחת לתת יתרון, אתה נשחק. תחום הזהויות הוא חדש יחסית, אנחנו ותיקים בו והיינו בין הראשונים, ואין הרבה חברות שמתחרות על הנישה שלנו".
בשונה מחברות הייטק אחרות, בחרתם שלא להיות חלק בולט בהתנגדות להפיכה. מדוע לא רואים אתכם בהפגנות או בתמיכה בתעשייה באזורים האלה?
"לא נתקלנו בהשפעה של המצב בישראל על המשקיעים והלקוחות שלנו. אנחנו נזהרים מפוליטיקה; לכל אחד יש את דעתו האישית על כל עניין בפוליטיקה, בישראל ובארצות הברית. חשוב לנו שכל העובדים ירגישו בנוח במשרד, ולא יחשבו שהדעה הפוליטית שלנו נכפית עליהם".