גילי רענן | צילום: רון שלף
תחקיר כלכליסט
סימני השאלה סביב המודל מאחורי התשואות החריגות של קרן סייברסטארטס
מאז הקמתה, קרן ההון סיכון של גילי רענן שמתמחה בסייבר רשמה ביצועים יוצאי דופן. כלכליסט חושף את מאחורי הקלעים של הקרן: גיוס מנהלי אבטחת מידע (CISO) בארגונים ושיטת נקודות ששוות עשרות אלפי דולרים אם יעמיקו את הקשר עם חברות הפורטפוליו של הקרן, שכך צומחות במהירות. בארה"ב מתעוררות תהיות סביב מודל התגמול של הקרן וניגוד העניינים האפשרי של מנהלי אבטחת המידע. רענן: "לא תגמלנו אף מנהל סייבר מעבר למודל השקוף. השמועות באות עם ההצלחה"
המספרים של קרן ההון סיכון סייברסטארטס פנומנליים. הקרן שמתמחה בחברות סייבר ושאותה הקים גילי רענן לפני שש שנים בלבד היא תופעת טבע שמכה ללא רחם את מתחרותיה הוותיקות יותר. יש לה פורטפוליו של 22 חברות בלבד שהשווי המצרפי שלהן עומד על 35 מיליארד דולר. חמש חברות מתוכן הן חדי קרן ובראשן WIZ ששוברת את כל כללי הצמיחה וההצלחה וקובעת סטנדרטים חדשים בתעשייה. ארבע מתוכן נמכרו ב־12 החודשים האחרונים, שלאורך רובם התחוללה בישראל מלחמה קשה, וזאת בסכום כולל של 1.5 מיליארד דולר. בשלושת החודשים האחרונים גייסו חברות הפורטפוליו של סייברסטארטס לא פחות מ־1.8 מיליארד דולר כנגד כל הרוחות האנטישמיות הנושבות בעולם. בכל שלוש הקרנות שלו מציג רענן תשואה פנימית של יותר מ־100%, נתון חריג גם עבור הקרנות הטובות בעולם. אף חברת פורטפוליו לא נסגרה עד היום. למעשה, סייברסטארטס מדורגת היום בחמישייה הפותחת של כלל קרנות ההון סיכון בעולם בשל הישגיה חסרי התקדים.
רענן, בן 54, יוצא 8200 שמאחוריו אקזיטים אישיים מרשימים במאות מיליוני דולרים והמצאת שיטת ה־CAPTCHA למניעת הונאות, נחשב לגאון. על כך אין עוררין וזו אחת ההסכמות המעטות בתעשיית הסייבר הישראלית ואפילו העולמית. את החברה הראשונה, סנקטום, שפיתחה פיירוול לאפליקציות אינטרנט, הקים עוד ב־1997 והיא נמכרה ב־40 מיליון דולר ב־2004. לאחר מכן הקים את NLAYERS שנמכרה ל־EMC. ב־2009 הצטרף כשותף לקרן ההון סיכון סקויה האמריקאית וכשותף שם הוביל את ההשקעות באדאלום, החברה הראשונה של מייסדי WIZ שנמכרה למיקרוסופט, ואת ההשקעה בארמיס, שבה השקיע בהמשך גם במסגרת סייברסטארטס.
לצד ההערצה כלפי רענן בתעשיית ההייטק המקומית והעולמית ולמגע המידאס שלו, להצלחות החריגות ברצף ובקצב שלהן עולה וצף באחרונה בתדירות הולכת ועולה הסבר אלטרנטיבי. הוא מכונה "מודל גילי רענן" והוא מעורר יותר ויותר חוסר נוחות לא רק בקרב מתחריו הישראלים וחברות הפורטפוליו שלהם (כל אלה מקנאים מהסיבות המובנות), אלא זלג גם החוצה, לארה"ב. שם מנהלי חברות, שרוכשות פתרונות סייבר בקצב הולך וגובר ככל שמתרבים האיומים וההתקפות, מרגישים כי מנהלי מערכי הסייבר, המכונים CISO – chief information security officer, מחויבים לגילי רענן לא פחות ממה שהם מחויבים לארגון שמשלם להם את השכר. לפעמים אפילו יותר.
CISO הוא לרוב הדמות הבכירה ביותר בארגון שאחראית על בניית מערך ההגנה שלו ועל מניעת התקפות סייבר. הם מדווחים ישירות למנכ"ל ולעתים אף לדירקטוריון ואמונים על תקציבים של מאות אלפי דולרים בשנה בחברות הקטנות יותר במושגים אמריקאיים ובארגונים גדולים זה יכול להגיע גם למיליונים רבים בשנה.
את התקציב ה־CISO צריך לחלק בין עשרות פתרונות של חברות שמתחרות על הקשב שלו או שלה וגם על הכיס של הארגון. לפי נתונים אחרונים של חברת פאלו אלטו, שנחשבת לגדולה ביותר בסייבר היום הן במונחי מכירות והן במונחי שווי שוק, בארגון ממוצע יש בערך 75 פתרונות סייבר שונים והמספר לא יורד. לכן ה־CISO הפכו לדמויות המחוזרות ביותר בארגון: החלטות שלהם יחרצו גורלות לא רק של לקוחות ועובדים בארגון שלהם בכל הקשור לאבטחת סייבר, אלא גם מי הסטארט־אפים שיצליחו ומי ייפלו. מכאן נגזרות גם התשואות של קרנות הון סיכון שמתמחות בסייבר.
בגלל החשיבות וגם מכיוון שמדובר במומחה טכנולוגי, ה־CISO מתוגמלים בנדיבות ושכרם בארה"ב עומד בממוצע על חצי מיליון דולר. אבל רענן מציע להם את החלום הגדול של עולם השכירים — מניות בקרן הון סיכון עם חשיפה לעולם הנוצץ של היוניקורנים וההנפקות. וכאן, כפי שטוענים המבקרים, מתחיל ניגוד האינטרסים.
סטארט־אפ על סטרואידים
רענן לא המציא את הפורמט, כל הקרנות שמתמחות בסייבר מחזרות אחרי CISO ומפתות אותם בארוחות, כנסים וחלקן גם בהחזקות בקרן, אבל על פי עדויות שאסף כלכליסט של מנכ"לים של חברות גדולות, מנהלי המחשוב בארגונים (CIO), יזמים של חברות סטארט־אפ וכן גם קרנות הון סיכון אחרות, הוא שיכלל אותה לרמה אחרת לגמרי. הפורמט שבנה מאפשר לו לשים את הסטארט־אפים שלו על סטרואידים, להצמיח אותם מהר יותר, כשעל פי עדויות הוא מבטיח לצוותים של בוגרים טריים מהיחידות הטכנולוגיות לא רק השקעה וליווי בהקמת סטארט־אפ אלא גם "הכנסות ראשוניות של 2 מיליון דולר בשנה". לרוב מדובר בשנת המכירות הראשונה של הסטארט־אפ, שנועדה להקפיץ אותו דרמטית מעל המתחרים שהחלו מאותה נקודה ולהבטיח לו סבב גיוס גדול מקרנות נוספות, שהן לא רק הקרנות המתמחות בסייבר, אלא השמות הגדולים הכלליים.
המכירות הראשונות האלה מגיעות מה־CISO הנאמנים שעובדים עם הקרן. אף שלכאורה מדובר ב"כסף קטן", בפועל הקפיצות בין שלבי הגיוס הראשונים הן הקשות ביותר. "עד שחברת סטארט־אפ 'רגילה' מגיעה למכירות של 10-2 מיליון דולר יוצאת לה ולכל הסביבה הנשמה, אצל גילי רענן זה קורה בשנת המכירות הראשונה. הוא מייצר מכניזם שקשה להתמודד מולו בתחרות כי החברות שלו מיד קופצות לשווי של 200-100 מיליון דולר, מגייסות יותר כסף ואז יש להן גם יותר משאבים לתחרות בהמשך. ברכישה קטנה לכאורה של CISO ב־100 או 200 אלף דולר, הוא מקפיץ את שווי הסטארט־אפ פי עשרות מונים", אומר לכלכליסט שותף בקרן הון סיכון ישראלית.
כלכליסט חושף בתחקיר זה את מה שמכנים בתעשיית הסייבר "מודל גילי רענן". זו הפכה לשיחת היום בכנסים ואירועים של תעשיית הסייבר העולמית והיתה אחד הנושאים המדוברים בכנס RSA השנתי שהתקיים לפני כחודש בארה"ב.
"גייסתי CISO חדש לארגון פיננסי שניהלתי מתוך רצון לרענן את מערך הגנת הסייבר. נתתי לו יד חופשית כי סמכתי עליו ואני רואה בתפקיד הזה משרת אמון. כעבור חצי שנה שמתי לב שבאופן מפתיע כמעט כל הלוגואים החדשים שהכניס אותו ה־CISO היו חברות פורטפוליו של קרן סייברסטארטס", מתאר בשיחה עם כלכליסט בכיר לשעבר בגוף פיננסי גדול בארה"ב. "זה לא שהיה מדובר בהכרח בפתרונות לא טובים, אלא שחלקם היו בעדיפות מאוד נמוכה מבחינתנו או פתרו בעיות לא דחופות במיוחד. לאחר שהתעמתתי עם ה־CISO בנושא, הוא הודה שהוא נמנה על רשימת היועצים של סייברסטארטס ומקבל מהם אחוזים בקרן. זמן קצר לאחר האירוע הזה הוא עזב את החברה ומיד עם מינויו של CISO חדש ביקשתי ממנו לעדכן אותי אם יוצרים עמו קשר מסייברסטארטס. בתוך שבועות ספורים הוא כבר קיבל מהם מייל ובו תיאור על מעין 'תוכנית נאמנות' שלהם שמפרטת בדיוק מה הוא יקבל ככל שיעבוד יותר עם הקרן". במכתב, שחתום על ידי רענן עצמו ומגיע מתיבת המייל שלו, יש גם משפט שמתייחס לגובה התגמול העתידי: "קשה לחזות את ביצועי הקרן, אך על פי התחזית שלנו, הנקודות שצברת עד כה מוערכות ב־X דולרים. אתה יכול לצפות להקצאות נוספות בקרנות אלה בשנים הבאות ובקרנות החדשות שנגייס בהמשך".
הנוסע המתמיד בסייבר
השלבים בתוכנית הנקודות של סייברסטארטס הם כדלקמן: הראשון הוא פגישה להצגת הפורטפוליו, משהו שכל הקרנות עושות, השלב השני פגישה עם חברת פורטפוליו. כלכליסט ראה מספר מכתבים כאלה ששלח רענן בשמו אל ה־CISO. בניגוד לטענות שמעלים רבים בשוק הסייבר, אין בהם הבטחה ישירה לתגמול כלשהו עבור רכישות מחברות הפורטפוליו, אך כל מקבלי המכתבים ששוחחנו עמם מעידים כי ההבנה ההדדית בעל פה היא שההתקדמות בצבירת הנקודות כרוכה גם ברכישות ולא רק בפגישות, שעות ייעוץ או מענה על שאלות במייל. את השלב האחרון בסייברסטארטס מכחישים בתוקף וטוענים כי מעולם לא תיגמלו CISO עבור רכישת מוצרי חברות הפורטפוליו.
בדיוק ב"תוכנית הנאמנות" הזאת - שמתמרצת העמקת מערכת היחסים בין CISO לגורם שאינו המעסיק שלו - רואים רבים בתעשייה את הקו האדום שעברו בעיניהם רענן וסייברסטארטס. היא זו שמייצרת את הזמזום הבלתי פוסק סביב הקרן כבר חודשים ארוכים. יש שיאמרו שזה מזכיר במידת מה את אופי התגמול שמעניקים בתי השקעות לסוכני ביטוח שמשווקים את מוצריהם וזכו לביקורת רבה לאורך שנים כמי ש"דחפו" ללקוחות לאו דווקא את המוצרים הטובים ביותר, אלא כאלה של חברות שנתנו להם את ההטבות המפנקות ביותר.
גם בתחום התרופות היתה תופעה דומה לאורך שנים, עד שההסתדרות הרפואית קבעה בצורה מפורשת באמנת האתיקה כי "רופא לא יקבל וחברת תרופות לא תיתן לרופא כל טובת הנאה אישית, למעט מתנות בעלות ערך שולי בלבד". אפשר בהחלט להקביל את עבודת ה־CISO לרופא שאחראי על רכש תרופות לארגון שלו וככזה הוא לא אמור להיות מתוגמל על ידי בעלי המניות הגדולים בחברות התרופות.
בסייברסטארטס לא מסתירים את עצם קיומה של תוכנית התגמול ל־CISO, אך מאוד חרדים מדליפתה בטענה כי מדובר ב"סוד מסחרי". לפני זמן מה, כאשר הקולות הספקניים סביב דרכי הפעולה של הקרן הפכו לרמים יותר, היא העלתה הסבר על אודות התוכנית לאתר הקרן כדי להרגיע את השמועות ואת הרכילויות. אלא שהשאלה היא כמובן במה שלא נכתב שם.
באופן רשמי התוכנית של סייברסטארטס נקראת SUNRISE ובמסגרתה מעניקים מנהלי הסייבר בארגונים הגדולים והמובילים בעולם ייעוץ לחברות הפורטפוליו של הקרן, לעתים עוד לפני שיש בכלל חברה. אחד השותפים בקרן (לרענן יש עוד שלוש שותפות שהוא צירף לאורך השנים - ליאור סיימון, אמילי הית' שבעצמה היתה CISO ביונייטד איירליינס ודוקסיין, ובאחרונה צירף גם את הילה זיגמן, שהיתה בכירה בחברת הפורטפוליו NO NAME) לוקח את הצוות המתהווה, לרוב חבורה של משוחררים טריים מ־8200 או 81, לפגישה עם CISO כדי לשמוע על מה כואב להם ומה חסר להם. CISO שנכנס לתוכנית של סייברסטארטס נותן כמה שעות בחודש, ברבעון או בשנה לטובת הייעוץ הזה. תמורת הייעוץ הם צוברים נקודות ששוות לאחוזים בקרן, כאשר ניתן להגיע להחזקה של 4% מתוך השותף הכללי (GP) בסייברסטארטס. משמעות ההחזקה היא שבכל פעם שיש אירוע הנזלה בקרן, כגון מכירת חברת פורטפוליו או עסקת סקנדרי למכירת מניות לגוף אחר, ה־CISO יקבל כסף מזומן. לרוב מדובר בעשרות אלפי דולרים ל־CISO, אומנם לא סכום משנה חיים עבור שכיר שמשתכר כחצי מיליון דולר בממוצע, אך עדיין בונוס חביב, בעיקר כשהוא חוזר על עצמו בתדירות גבוהה.
את התשלומים מסייברסטארטס ה־CISO מקבל לחשבון הבנק האישי שלו. כלכליסט ראה קובץ אקסל ובו רשימה של 82 CISO, הניקוד של כל אחד, שיעור ההחזקה שלו בקרן והתשלומים המצטברים שהוא קיבל כתוצאה מאירועי הנזלה בקרן.
סייברסטארטס פועלת באופן מעט שונה מהמקובל ולא גובה דמי ניהול כלל (לרוב 2% מהקרן), אלא במקום זאת גובה דמי הצלחה גבוהים יחסית של 30%-25% (במקום הסטנדרט של 20%) וכך ה־CISO נהנים מנתח גדול יותר. בחישוב שמתבסס על תשואת הקרנות של סייברטסטארטס, כפי שהקרן מציגה אותן, לאורך חיי הקרן התגמול המצטבר ל־CISO עשוי להגיע גם למיליון דולר ויותר.
"מה היית רוצה שיפתרו לך?"
"זה לא שה־CISO עושים לי טובה. להפך, אני עוזר להם", אומר רענן לכלכליסט. "אני אומר להם - יש לי כאן צוות מאוד חכם שעומד להוציא 100 מיליון דולר בשלוש השנים הקרובות כדי לפתור בעיה אחת שקשורה בסייבר. מה היית רוצה שיפתרו לך? אם היתה לך WISH LIST, מה היית מבקש? וכך במקום שה־CISO יעשה לי טובה עם שעות הייעוץ שלו, אני עושה לו טובה. בדרך כלל כשמישהו נותן לי 100 מיליון דולר, אני מקשיב לו. אז אני מקבל המון קשב". כך רואה רענן את הדברים.
בפועל מדובר במערכת יחסים מעט שונה, שכן הוא מבקש מ־CISO לעבוד גם בשבילו ולראיה - התגמול. לא סתם תגמול, אלא תגמול שהולך ועולה ככל שאותו המנהל או המנהלת עובדים יותר עם סייברסטארטס. לב העניין הוא גם בהגדרת המילה "עובדים". "הערך שלי בעבודה עם ה־CISO הוא לא ברכישת מוצרים, אלא בייעוץ שלו", הסביר רענן באחת השיחות עימו בתגובה לחיצים שמפנים אליו בתעשייה, "גם החלק בקרן, שהוא קטן מאוד, הוא הצעה אופציונלית וה־CISO יכול לוותר עליו. יותר מחצי בכלל לא רוצים או לא יכולים לקבל תגמול ממני בגלל שהמעסיק אסר עליהם לקבל משהו. אנחנו גם מבקשים מהם להצהיר מול המעסיק על העבודה איתנו ולתת גילוי נאות", הוא מגלגל את האחריות ל־CISO. "במסגרת תהליך ה־SUNRISE אני רוצה שהם יתחייבו לשתי פגישות לפחות - פגישה אחת שממוקדת בהבנת 'הכאב' והשנייה בהבנת הפתרון. כל צוות שלנו עושה יותר מ־100 פגישות עם CISO שונים, כאשר הסבב השני מצומצם יותר. כך יוצא שאני מבקש 24 שעות בשנה מכל CISO, פלוס פעמיים ברבעון אנחנו מקיימים זום איתם ויש עוד מפגש אחד לקראת כנס RSA", מבהיר רענן.
כאן המקום לציין כי לכל סטארט־אפ בתחום הסייבר שקם בישראל יש תאום כמעט זהה שממומן על ידי קרן הון סיכון אחרת. קל מאוד להצביע על צמדים, שהם אגב מאפיין קבוע של ההייטק הישראלי שלעתים קרובות במקום לאחד כוחות ולהפוך לחברה גדולה יותר, שורפים משאבים יקרים בתחרות אחד מול השני.
המקרה המוכר ביותר הוא WIZ מול אורקה, שגם מגיע בימים אלה לבית משפט במסגרת מלחמה על פטנטים, אבל לצידם יש גם את איילנד של סייברסטארטס שמתחרה ראש בראש מול טאלון של TEAM 8 אשר נמכרה באחרונה לפאלו אלטו, אואזיס שנלחמת מול אסטריקס והרשימה עוד ארוכה. לבאזז בנושא מתחילה להיות השפעה הפוכה – מספר יזמים של חברות סייבר מצליחות ששוחחו עם כלכליסט, ציינו כי רענן הציע להשקיע בהם, אך הם סירבו כדי שלא תדבק בהם התדמית של "מודל רענן".
בארה"ב כבר התעוררו
מייסד של חברת סטארט־אפ ישראלית בתחום הסייבר מתאר לכלכליסט את המפגש עם רענן שהתקיים לפני כשנתיים וחצי, כאשר רענן התעניין בהשקעה בחברה החדשה שהקים: "ישבנו במכולה המפורסמת של גילי במכמורת (שם מתגורר רענן ומשם הוא מנהל את קרן - ס"ש) והוא אמר לנו בפירוש 'תבואו איתי, את המיליון דולר הראשון במכירות כבר סגרתם. אני אעשה את מה שאני יודע לעשות וסבב A מובטח לכם גם כבר מעכשיו'. באמת הסתכלנו וראינו ששיעור החברות בסייברסטארטס שמגיע לסבב A הוא חריג ועומד על יותר מ־90%. כמובן שכל הקרנות מדברות על כך שהן מתייעצות עם ה־CISO בתעשייה ועל הקשר ביניהם, אבל אף אחד לא מבטיח מכירות". בתגובה לטענות על ההבטחה לסגירת סבב A אמר רענן לכלכליסט: "כל החברות של סייברסטארטס עד כה גייסו סבבי A בהצלחה והגיעו למכירות מרשימות של מיליוני דולרים מהרגע שיצאו לשוק. יש לנו ביטחון גבוה מאוד שהצוותים שיעבדו איתנו בעתיד יגיעו להישגים דומים ואף גבוהים יותר".
בסופו של דבר ולמרות ההבטחות, אותה קבוצת היזמים החליטה לקחת השקעה מקרן סייבר ישראלית אחרת, לאו דווקא בגלל שלא הרגישו בנוח עם ההבטחות, אלא כי הרגישו שהקרן של רענן בנויה יותר ליזמים צעירים. "אנחנו לא חבורה שעכשיו השתחררה מ־8200, אלא מבוגרים יותר, היינו שכירים תקופה ממושכת לפני כן וגילי מתאים יותר ליזמים צעירים מאוד כי הוא גם לוקח נתח גדול מאוד בחברה ביחס לקרנות אחרות וגם הרגשנו שהוא מחבק חזק מדי", מוסיף אותו היזם.
נושא חוסר הניסיון עולה וצף גם בשיחה עם מנכ"ל חברת סייבר אמריקאית בעלת שורשים ישראליים: "אני אומנם משקיף מבחוץ, אבל כמישהו שעובד בתעשיית הסייבר כבר 30 שנה אני מכיר היטב את כולם וכמובן את החברות הישראליות ואת הקרנות. יש מספר דברים מאוד חריגים בסייברסטארטס — רוב הקרנות מעדיפות להשקיע ביזמים ותיקים ומנוסים ואצל גילי זה הפוך. למעט מקרים בודדים, הוא אוהב לקחת צוותים ממש צעירים וחסרי ניסיון עסקי, אלא רק צבאי (רענן מעיד בעצמו שהוא מעדיף לקחת צוות שאפילו אין לו רעיון מגובש ובאמצעות תהליך SUNRISE להוביל אותו לפיתוח המוצר המנצח – זו "שיטת רענן", אם שואלים אותו — ס"ש). מדובר בחבורות של ילדים ממש שמעולם לא מכרו דבר ולא דיברו עם CISO אחד בחיים שלהם ופתאום הם מוכרים בצורה מדהימה כבר בשנה הראשונה. זה ממש נס, כמעט קריעת ים סוף בתעשייה שלנו", מסביר המנכ"ל.
"הדבר החריג השני הוא שבסקויה, ואני הכרתי את גילי עוד כשהיה שם, הוא היה משקיע טוב, אבל לא מדהים או חריג. בסוף סקויה סגרו את הקרן בישראל שהיתה תחת ניהולו. איכשהו בסייברסטארטס הוא נהפך למשקיע הטוב בעולם. הביצועים של הקרן חריגים, מעולם לא שמעתי על קרן שאין לה כישלונות. הסטטיסטיקה הרגילה היא ששליש מהחברות נסגרות, שליש מחזירות את ההשקעה בהן והשליש הטוב ביותר מחזיר את כל הכסף ומייצר את התשואה. תשואה שגרתית לקרן הון סיכון שמתמחה בשלבים מוקדמים זה מכפיל של 7-5 על הכסף, אבל בסייברסטארטס כולן מחזירות יותר מפי עשרה על הכסף".
שמות של לקוחות שחוזרים על עצמם
אחת הדוגמאות המדוברות ביותר בשוק הסייבר היא חברת CYERA שמתחרה ראש בראש בעיקר בחברות ישראליות בשוק ה־DSPM שכולן הוקמו סביב 2021: אאוריקה של קרן YL שהוקמה על ידי יוצאי פאלו אלטו ומיקרוסופט, סנטרה שהוקמה על ידי מפקד 8200 לשעבר, דיג של TEAM 8 ולמינר שהוקמה על ידי יוצאי 8200 שעבדו לפני כן במדיגייט ומג'יק ליפ ונחשבו לחוקרי הסייבר הבולטים בתחום. על פי מקור בתעשיית סייבר שמכיר מקרוב את הקטגוריה, סייארה נהנית מקצב מכירות שנתי של 20 מיליון דולר בעוד כל היתר עדיין נלחמות במיליון דולר הראשון.
בינתיים אאוריקה, דיג ולמינר התייאשו מלעבוד באופן עצמאי ונמכרו לטנאבל, פאלו אלטו ורובריק, בהתאמה, בשנה האחרונה ורק סייארה וסנטרה נותרו במשחק. סייארה, שהוקמה על ידי שני יזמים מיד לאחר שחרורם מ־8200, נהפכה באפריל האחרון ליוניקורן אחרי גיוס של 300 מיליון דולר לפי שווי של 1.4 מיליארד דולר. עוד לפני כן השלימה סבב B חריג במהירותו ובגודלו של 100 מיליון דולר לפי שווי של חצי מיליארד דולר.
מבט ברשימת הלקוחות של סייארה חופף לרשימת ה־CISO המייעצים של סייברסטארטס: ACV, CBOE ופאראמאונט. בהודעה על הגיוס הראשון של החברה מצוטט כלקוח מרוצה מייק טאוארס, באותה תקופה CISO של חברת התרופות טקדה, אשר בינתיים כבר עזב את המשרה, אך משמש כיועץ של סייברטסטארטס. מאז אפריל האחרון, עם הפיכתה לחד־קרן, גייסה סייארה גם CISO משל עצמה והוא למונט אורנג', ששימש לפני כן בתפקיד זה בחברת נטסקופ האמריקאית ששמה מצויין כלקוחה מרוצה בקייס סטדי של מספר חברות פורטפוליו של סייברסטארטס.
בהודעות של חברות הפורטפוליו של סייברסטארטס מפורטים שמות של לקוחות שחוזרים על עצמם. כך, למשל, JLL, חברה אמריקאית בתחום הנדל"ן, שה־CISO שלה נמנה בעבר על הרשת של הקרן, מופיעה כלקוח הן באואזיס והן בדאז. צ'יפוטלה, רשת המזון המהיר הענקית, גם היא לקוחה של אואזיס, חברה שהוקמה לפני פחות משנתיים. לקוחות נוספים של חברות צעירות יחסית של סייברסטארטס ש־CISO שלהם נמנים על רשת היועצים הם גם אמרסון, פלקס, לייף לאבס וניו אמריקן פאנדינג (NAF).
חרף ההכחשות של סייברסטארטס, בדיקת רשימת הלקוחות של החברות שבהן משקיעה הקרן מגלה חפיפה מעניינת עם רשימת ה־CISO המייעצים לקרן. המקרה הבולט ביותר הוא קולגייט פלמוליב, שמופיעה כלקוח ואף כ"Case Study" הן באתר של WIZ והן באתר של ארמיס, שתיים מהחברות המרכזיות והראשונות של רענן. אותו מנהל המחשוב (במקרה הזה CIO) כבר לא מועסק בענקית התמרוקים וגם בחברות החדשות יותר של סייברסטארטס קולגייט כבר לא מופיעה ברשימת הלקוחות. גם באתר של ISLAND, אחת מחברות הפורטפוליו המוצלחות והצומחות במהירות של סייברטסארטס, מופיע קייס סטאדי גדול של חברה בשם אשלנד, שתמונת ה־CISO שלה מתנוססת בגאווה ברשימת היועצים של הקרן. לחלופין, CISO ישראלי של חברת הייטק אמריקאית (ששמו שמור במערכת) נאלץ להיפרד מסייברסטארטס לאחר שבקרן גילו שהוא רוכש תוכנות גם מחברות של מתחרותיה, שכן הוא מייעץ גם לגלילות וגם ל־YL. באתר המידע קראנצ'בייס עדיין ניתן לראות את הלוגו של סייברסטארטס ליד שמו של אותו CISO, אך מהאתר של הקרן שמו כבר הוסר.
בשבועות האחרונים, מאז שכלכליסט החל לעבוד על התחקיר, נערכו כמה שינויים באתר של סייברסטארטס, כאשר כמה בעלי תפקיד CISO בארגונים מובילים ביקשו להוריד את שמם ממנו. בין אלה ניתן למצוא את בעלי התפקיד בענקים הפיננסיים ג'יי.פי. מורגן (גלב רזניק) ופידליטי (אדם אליי).
בישראל הנושא מדובר פחות, אבל בארה"ב השיח על נאמנויות וניגודי אינטרסים של CISO הפך למרכזי ובכירים בתפקידים אלה מצאו את דרכם החוצה. בקורפורייט אמריקה שומרים כמובן על כבודם של הבכירים, אבל גם במקרה של סייברסטארטס יש כמה אירועים מעוררי תהיה. כך, למשל, קרטיס סימפסון, CISO של חברה אמריקאית גדולה בשם SYSCO שפועלת בתחום שינוע מזון, מונה לתפקיד לאחר שטיפס בסולם הדרגות הארגוני במשך עשור. SYSCO מעסיקה 70 אלף עובדים ונסחרת בוול סטריט לפי שווי של 36 מיליארד דולר. אלא שכעבור שמונה חודשים בלבד בתפקיד הוא מצא את עצמו בחוץ. סימפסון, שמופיע ברשימת היועצים של סייברסטארטס, מונה באוגוסט 2019, חודשים ספורים לאחר עזיבתו, ל־CISO של ארמיס, שרענן השקיע בה עוד כשהיה בסקויה, שמכרה אז במיליוני דולרים בודדים והעסיקה כמה עשרות עובדים. צירוף מקרים נוסף הוא קארל מאטסון, CISO בחברת פאני מק האמריקאית ששבועות ספורים לאחר עזיבתו המהירה את החברה האמריקאית, מונה ל־CISO של NONAME, חברת פורטפוליו של סייברסטארטס, שהיתה אז בתחילת דרכה.
NONAME היא, אגב, גם דוגמה לפריצה במהירות חריגה של חברת פורטפוליו של סייברסטארטס – היא הפכה ליוניקורן בדצמבר 2021, שנה וחצי בלבד מהקמתה. למן הרגע הראשון הורמו לא מעט גבות לנוכח הגיוס של 135 מיליון דולר לפי שווי של מיליארד דולר, אך בסייברסטארטס דיברו על מכירות ראשונות גבוהות שצמחו במהירות. אלא שבהמשך, אחרי בוסט הסטרואידים הראשונים, החברה לא הצליחה להמריא בזכות עצמה ולפני חודש נמכרה ב־450 מיליון דולר בלבד לאקאמאי. בסביבת החברה אומרים שהיא צברה מכירות של 35 מיליון דולר בזכות עובדיה המצויינים.
תחרות לא הוגנת מול סטארט־אפים מתחרים
עבודה צמודה עם CISO אינה ייחודית רק לסייברסטארטס ובאתרים של מרבית הקרנות רשומים עשרות רבות של שמות בוועדה המייעצת. לכל קרן שמתמחה בסייבר, הן ישראלית והן אמריקאית, יש מערך יועצים שכזה. לעתים קרובות יש גם חפיפה ואותו CISO עובד עם כמה קרנות. ההבדל הוא במודל התגמול. בישראל לצדה של סייברסטארטס פועלות עוד שלוש קרנות הון סיכון בפרופיל דומה — גלילות קפיטל שהוקמה על ידי אריק קלינשטיין וקובי סמבורסקי, YL שהוקמה על ידי יואב לייטרסדורף שפועל מארה"ב ו־TEAM 8 שהוקמה על ידי נדב צפריר. כולם מקושרים בישראל, רובם יוצאי 8200 בעצמם והפכו לפס ייצור של הצלחות סייבר.
לגלילות ו־TEAM 8 אין מנגנון תגמול ל־CISO והעבודה מבוססת יותר על קשר מקצועי, ארוחות ערב מפנקות כפי שמקובל גם בקרנות האמריקאיות, כאשר במקרה של TEAM 8, בזכות קשריו ותדמיתו הנוצצת של צפריר, יוצא סיירת מטכ"ל שפיקד על 8200, הוא נוהג "לפתות" את ה־CISO באמצעות מפגשים עמו וגם עם דמויות "ביטחוניות" כמו יוסי כהן, ראש המוסד לשעבר או דני גולד, שעמד בראש פיתוח "כיפת ברזל".
קרן YL קרובה יותר לסייברסטארטס וגם היא מציעה קבלת החזקה קטנה בשותף הכללי בקרן בתמורה לייעוץ, אך מציינת במפורש כי CISO שיעבוד עמה יתחייב לפסול את עצמו מהחלטות רכש, כלומר הוא רק יגדיר את הצורך, אך לא יהיה חלק מהחלטה על פתרון של איזו חברה ללכת. כמו כן, אין ב־YL את מודל הנקודות ותוכנית נאמנות. "עניין הייעוץ קורה גם בקרנות האמריקאיות, זו לא המצאה ישראלית, אבל כולם מתנהגים בצורה שונה מסייברסטארטס – אף אחד לא מתגמל על רכש. הגענו למצב ש־CISO שמקבלים פניות לייעוץ, שואלים מיד מה מנגנון התגמול שהקרן מספקת", אומר בכיר בתעשיית הסייבר הישראלית שמכיר את הדברים מקרוב.
כל סוגיית הוועדה המייעצת של CISO יצאה מבחינת אמריקה התאגידית מכלל שליטה. "רוב המנהלים בארגון לא מבינים בדקויות ולכן חייבים לסמוך על ה־CISO, זו משרת אמון ממדרגה ראשונה, כמו סמנכ"ל כספים", מסביר לכלכליסט ישראלי לשעבר שמשמש בתפקיד בכיר בחברה אמריקאית שהתמודדה עם סוגיית הנאמנות של CISO. מעבר לתחרות הלא הוגנת שהשיטה מייצרת מול סטארט־אפ אחרים, היא מעלה שאלות בכל הנוגע לניהול כספי המשקיעים בקרן של רענן, ובצד ה־CISO שמקבל החלטות לאו דווקא משיקולים ענייניים היא חושפת את כל ציבור הלקוחות של הארגונים החל מבנקים וחברות ביטוח ועד חברות רכב או מזון לפגיעות סייבר. הישראלי לשעבר מוסיף: "לאחרונה יש לא מעט מקומות בהם האמון מתערער ובסוף זה מקרין לרעה גם על ישראל, בוודאי בתקופה כמו היום שרק מחפשים אותנו. ישראלים ידועים מאוד ביכולת לצאת מחוץ לקופסה, אבל בנקודה כלשהי זה מגיע לחשש לקומבינות ושם פוגע בתדמית המאוד נקייה של ההייטק הישראלי".
גילי רענן, שותף מייסד סייברסטארטס, מגיב לטענות: "שמועות היו וימשיכו להיות כנראה, זה משהו שמגיע עם הצלחה. לא תגמלנו אף CISO מעבר למודל השקוף"
מגילי רענן, שותף מייסד סייברסטארטס, נמסר בתגובה לתחקיר כלכליסט: "שמועות היו וימשיכו להיות כנראה, זה משהו שמגיע עם הצלחה. אני אומר באופן ברור שמעולם לא תגמלנו CISOs מעבר למודל השקוף.
"אף CISO לא קיבל מעולם תגמול על רכישת מערכות, התשובה היא פשוטה ומוחלטת. הם מקבלים 4% מתוך דמי ההצלחה של השותף הכללי (GP) בקרן. האחוזים מתעדכנים על פי רמת ההשתתפות, ככל שמבלים יותר זמן עם יזמים בשלב במוקדם, ומבלים יותר זמן בשיחות פידבק עם הקרן. הם אינם קשורים אף פעם לחברה ספציפית, אלא רק ברמת הקרן.
"האם חלק מה־CISO המייעצים קונים מוצרים של חברות שלנו? בהחלט כן ובכל חברה שלנו יהיו חברות של היועצים ברשימת הלקוחות. אני גאה בכך שבתוך שש שנים הפכנו לאחת הקרנות הטובות בעולם באופן אבסולוטי. השגנו את זה בהקשבה ללקוחות. אני מקווה ואני משוכנע שהחברות שלנו בונות מוצרים שהם יותר מתאימים לצרכים, לכאבים שיש בשוק, כי אנחנו באמת משקיעים המון זמן, יחסית לכל גוף אחר שאני מכיר, לא בלרוץ ולבנות מוצר, לא בלרוץ ולבנות קוד, אלא פשוט לשבת בשקט ולהקשיב ממש ממש טוב לקוחות הפוטנציאליים".
בהתייחס ל"מודל גילי רענן": "מבחינתי המודל של גילי רענן, השיטה שעובדת, היא השאלות שאני שואל את צוותי היזמים שבאים אליי. אני לא שואל אותם על המדור שבו היו ב־8200 ולא על הטכנולוגיה, אלא על החיים שלהם ועל הדרך, על הילדות ועל אמא שלהם. אני לא מחפש את החכמים ביותר, אלא דווקא מעדיף להשקיע באנדרדוג, מישהו שחווה משהו מאתגר בחיים. אני גאה ב'היט־רייט' שלי: מתוך 15 צוותים כאלה שהשקעתי בהם, חמישה נמכרו, חמישה הפכו ליוניקורנים ובהמשך זה אולי יגיע גם ל־15 מתוך 15".
על הסרת שמות של CISO מאתר הקרן: "כל CISO שהוסר מהאתר של הקרן אינו חבר בבורד או שביקש/ה לא להופיע באתר".
בנוגע לגיוס CISO מחברות אמריקאיות גדולות לסטארט־אפים בפורטפוליו של הקרן: "לחברות סייבר רבות בשלב צמיחה יש CISO, בדרך כלל כדי לתרום מהידע לגבי הצורך בשוק, ועזרה ב product marketing"
על פוטנציאל התגמול של CISO מביצועי הקרן שיכול להגיע גם למיליון דולר לאורך השנים: "הלוואי. זה תלוי בהצלחת הקרן".
בסייברסטארטס מכחישים שביטלו את ההסכם עם CISO שרכש גם מוצרים של חברות אחרות.
מסייארה נמסר בתגובה: "סייארה מצליחה בגלל שהיא מפוקסת באופן מלא בלקוחות ובכאבים שלהם ובונה את הצוות החזק ביותר בתעשייה, על מנת לתת מענה פשוט ויעיל לכלל הבעיות שלהם בעולם הדאטה סקיוריטי. שני היזמים עברו לניו יורק כבר לפני כמה שנים, עוד משלב מוקדם בחיי החברה, על מנת להיות בתוך השוק בצורה הכי אורגנית, והם מבלים בממוצע חמישה ימים בשבוע בטיסות כדי לפגוש את הלקוחות פנים אל פנים בכל רחבי אמריקה. הפלטפורמה של סייברסטארטס איפשרה ליזמים להתחכך עם הגורמים המובילים בשוק בצורה משמעותית ולרכוש את ההבנה העמוקה והרחבה ביותר של הבעיה של הלקוחות ומתוך זה לבנות את המוצר החזק ביותר בתחום".
מארמיס נמסר בתגובה כי קרטיס סימפסון היה לקוח של ארמיס ב-2017 (סייברסטארטס הוקמה רק באפריל 2018). לאחר מכן הוא עזב ועבד בחברת ייעוץ במשך מספר חודשים. רק לאחר מכן גוייס לארמיס. מ-NONAME לא התקבלה תגובה.