"פיטרו את מנהלי הסייבר, מינו אותי בלי ניסיון ואמרו לי את תסתדרי"

"יש כבר המון פיצ'רים ומוצרי נישה בשוק, לכן אין טעם לבנות מוצר שאף אחד לא ישלם עבורו. אבל, לדעתי הטאלנט הטוב ביותר בסייבר נמצא בישראל. יש כאן רוח יזמית שכמו מולחמת לתוך האנשים במהלך השירות הצבאי מצד אחד, אבל מצד שני היזמים הישראלים יודעים להקשיב וללמוד", מפתיעה באבחנה לא שגרתית אמילי הית' (Emily Heath) שהצטרפה לפי כמה חודשים לקרן סייברסטארטס הישראלית של גילי רענן וליאור סיימון. "היזמים כאן הם כמו ספוגים וזה לא קל לבנות רמה כזאת של ענווה והקשבה. לרוב אנשים ממש תקועים על הרעיונות שלהם ורק רוצים לבנות, לבנות ולבנות".

הית' אינה עונה על הסטריאוטיפ המקובל כשמדמיינים שותפים בקרנות הון סיכון בעיקר כזו שמתמחה בסייבר. היא לא גבר, היא לא בוגרת של אוניברסיטה יוקרתית או יחידה טכנולוגית מובחרת בצה"ל בגרסה הישראלית, והיא גם לא צעירה במיוחד. היא בת 49, נטולת השכלה אקדמית או רקע טכנולוגי כלשהו, ואם השם שלה נשמע קצת כמו של גיבורת־על מסרט הוליוודי, זה דווקא קרוב יותר למציאות. פיתולי החיים של הית', שהחלו בעיירה קטנה בבריטניה עם סיפור משפחתי קשה, כללו הרבה למידה עצמית בתפקידים מפתיעים שהביאו אותה את כל הדרך עד לחדרי הישיבות הנחשקים ביותר בתעשייה האמריקאית.

הריאיון עם הית', הראשון לתקשורת הישראלית, מתקיים באחד מביקוריה בישראל שהפכו לתכופים יותר ויותר בשנה האחרונה ככל שהיא מעורבת יותר ויותר בסייברסטארטס. חרף הקיפאון בתעשיית ההייטק הישראלית, הצליחה הקרן לגייס 490 מיליון דולר, אחד הסכומים הגבוהים ביותר שקיבלה קרן הון סיכון ישראלית מאז פרוץ ההפיכה המשטרית. הקרן החדשה מהווה קפיצת מדרגה בהיקפה ומיועדת להשקעות בשלבים מתקדמים וזאת לעומת שלוש קרנות סיד בהיקף כולל של כ־200 מיליון דולר שגייסה סייברסטארטס מאז הקמתה ב־2018 ועד היום.

ההשקעה המפורסמת ביותר שלה היא WIZ של אסף רפפורט שהוערכה בגיוס האחרון ב־10 מיליארד דולר, אבל לצדה יש עוד חברות בשווי מצרפי של כ־20 מיליארד דולר לפי הקרן ובהן היוניקורנים טרנסמיט, פיירבלוקס, איילנד ו-NONAME, סטארט־אפים צעירים ביוניק ואקסיס שנמכרו לקראודסטרייק ו־HPE בהתאמה ועוד שורה של שמות מבטיחים וחמים בתעשייה כגון דאזז.

הית' הכירה את גילי רענן, מייסד הקרן, בשנותיה הארוכות כ־CISO בתעשייה האמריקאית (chief information security officer), כאשר שימשה כיועצת לחברות סייבר ולקרנות הון סיכון, היכרות שהפכה לחברות לאחר שהית' הצטרפה לפני כשנה לדירקטוריון של WIZ. "הכרתי את כל הסטארט־אפים בפורטפוליו של סייברסטארטס עוד לפני שהם כתבו שורת קוד אחת", צוחקת הית'. ודווקא עכשיו, בעיתוי מורכב בתעשיית הסייבר שעוברת את אחד המהפכים הגדולים בתולדותיה, עושה הית' את קפיצת הראש להון סיכון.

צריך בכלל עוד סטארט־אפים בסייבר? ניר צוק, מייסד פאלו אלטו, אמר בריאיון ל"כלכליסט" שישראל צריכה למצוא לעצמה סיפור חדש מחוץ לסייבר.

"ללא ספק צריך עוד חברות סייבר כי השוק הזה עדיין עובר שינויים ותהפוכות. עד לפני חמש שנים כל הסטארט־אפים בסייבר נבנו לעולם שבו מערכות האבטחה יושבות אצל הלקוח (כמו המוצרים של שחקניות ותיקות יותר מסוגן של פורטינט או צ'ק פוינט - ס"ש) וזה השתנה לחלוטין. עכשיו צריך לכתוב את הכל מחדש עבור עולם הענן. אך כשמגלים את עלויות הענן הגבוהות, פתאום רוצים להחזיר חלק לקרקע. אנחנו גם בקצה הקרחון בכל הקשור ל־AI וצריך יהיה להמציא מחדש חלק מפתרונות הסייבר כדי להישאר רלבנטיים. זה מפחיד לחשוב כמה עמוקים עלולים להיות האיומים בעולם של AI".

עם זאת, מבהירה הית', צריך לדבר על המושג "עייפות ה־CISO". "אני שמעתי מהקולגות הרבה על מוצרים שקונים ובסופו של דבר לא משתמשים בשליש או אפילו בחצי מהם. לפעמים לא יודעים איך בדיוק להשתמש בהם ולפעמים אין מי שיסביר כיצד נכון להפעיל אותם. אני כ־CISO הייתי מאוד אחראית פיסקאלית ואמרתי לצוות שלי 'אם אתם לא משתמשים ב־80% מהיכולות של המוצר, זה אומר שאנחנו לא צריכים אותו, נמצא משהו אחר שמתאים יותר'".

עד כמה המצב הפוליטי בישראל משפיע גם על תעשיית הסייבר המקומית?

"כולם עוקבים אחרי זה בארה"ב, אבל כמובן אנחנו לא מכירים את כל הפרטים. עבורי כמי שעובדת בצמוד עם ישראלים, מה שמתחולל במדינה בולט לעין וזה מעציב. אחרי שעבר החוק לביטול עילת הסבירות, דיברתי עם מישהו מישראל והוא נראה ממש כמישהו שחטף מכה בבטן. אבל ברמה העסקית אנחנו לא רואים השפעה, יש לנו כמה חברות שנמצאות עכשיו בעיצומו של סבב גיוס ובשלושת החודשים האחרונים הוצאנו שלוש חברות ממצב שקט (פעילות מתחת לרדאר לפני שמכריזים על קיומה של החברה - ס"ש). ברמה העולמית יש יותר בדיקות, אבל זו השפעה של הכלכלה. רמות השווי לא משוגעות כמו שהיו, אבל אני מסכימה עם זה, אף על פי שאולי זה לא פופולרי לומר כאשת הון סיכון".

כדירקטורית ב־WIZ, אחת מחברות הסייבר עם הערכת השווי הגבוהות ביותר שהגיעה ל־10 מיליארד דולר במהירות חסרת תקדים, זה לא מפריע לך?

"אני חושבת ש־WIZ הרוויחה בביצועיה את הערכת השווי שלה. מדובר ביזמים מנוסים שכבר הוכיחו את עצמם בעבר (הקימו את אדאלום שנמכרה למיקרוסופט ב־320 מיליון דולר ב־2015 - ס"ש). ב־WIZ הגיעו לשוק בתזמון מדהים עם מוצרים מדהימים. הם הקשיבו לשוק, למה אנשים זקוקים באמת, ואם לא היה שוק למוצר שלהם, הם לא היו מצליחים ברמה כזאת".

והתביעה של אורקה, היריבה הישראלית של יוצאי צ'ק פוינט, שטוענת שב־WIZ העתיקו את המוצר שלהם?

"אני מעדיפה לא להתייחס לזה, אני יודעת שב־WIZ עבדו קשה כדי להגיע לביצועים ולהערכת השווי שהם קיבלו".

מתי להערכתך נראה התאוששות בפעילות ההשקעות וגם עלייה בהערכות השווי?

"אני חושבת בארה"ב נתחיל לראות את זה ממש בקרוב על בסיס מה שאני רואה כרגע בפעילות של גיוסי הון. זה לא שאנשים לא רוצים להשקיע, יש עניין, אבל יש הרבה התלבטות לגבי רמות השווי. אבל כמו שאמרתי אני לא בעד רמות שווי גבוהות, אני חושבת שהיזמים צריכים להרוויח את השווי לאורך זמן, זה מדרבן אותם לבנות מוצרים טובים יותר".

לאורך כל הקריירה שלה, שבנתה בעשר אצבעותיה, לקחה הית' בכל פעם את הפנייה הכי לא טריוויאלית ולא צפויה, כולל כעת, בהצטרפות לסייברסטארטס שבה היא עובדת עם יזמים ישראלים בסייבר על גיבוש המוצרים. הרעיון הוא להבין בדיוק את הבעיה שרוצים לפתור ואיך פותרים לפני שכותבים שורת קוד אחת, זאת במטרה לא לבזבז את כספי המשקיעים על עוד פיצ'ר קטן או מוצר שנשמע מצוין במוחם של היזמיות והיזמים הצעירים, אך במציאות מתגלים כלא שימושיים.

הית' משדרת מנהיגות טבעית אשר כנראה הפכה אותה למנהלת של 50 עובדים, כולם מבוגרים ממנה, כשהיא בת 16 בלבד. "נולדתי בעיירה קטנה בשם צ'שייר בצפון אנגליה, לא רחוק ממנצ'סטר. ההורים שלי התגרשו כשהייתי קטנה ומי שגידלו אותי בפועל היו סבא וסבתא שלי. כשהייתי בת 11 אבי נישא מחדש ואשתו החדשה לא היתה בן אדם נחמד במיוחד, כך שמצאתי את עצמי מחוץ לבית בגיל 16. זה לא שברחתי מהבית או רציתי לעזוב, אלא שפשוט זה לא היה בטוח עבורי להישאר שם", מתחילה הית' את סיפורה האישי שדבר לא בישר בו על מה שעתיד לקרות. "מכיוון שכבר מגיל 13 עבדתי במסעדה, הבעלים שלה לקח אותי תחת השגחתו ולמעשה בגיל 16 כבר ניהלתי את המסעדה בפועל".

איך מנהלים מסעדה בגיל 16?

"באופן משעשע ולא ברור בדיעבד, זה היה דיינר אמריקאי. מאוד ביזארי כי זו היתה המסעדה האמריקאית היחידה ברדיוס של 50 מייל מרובע, אבל לא שאלתי את עצמי אז הרבה שאלות. כמו גם איך 50 איש שכולם היו מבוגרים ממני, הקשיבו לי ועשו את מה שאמרתי. היום אני מבינה ששם התחילה קריירת הניהול שלי. אני עדיין בקשר עם רוי, הבעלים של המסעדה. הוא שלח אותי לקורסים בניהול והתחיל לבנות אותי לעתיד, אף שמעולם לא יכולתי להרשות לעצמי לימודים אקדמיים".

אחד המשפטים שחוזרים בתדירות גבוהה בשיחה עם הית' הוא "לחיים היו תוכניות אחרות בשבילי". אך המשפט הזה תמיד נאמר בחיוך, גם כשהוא מתאר אילוצים ומציאות לא פשוטה. זה לא חל רק על הקריירה, אלא גם על החיים האישיים. היא יצאה מהארון בגיל צעיר וכבר קרוב לשני עשורים היא נשואה לקיט, בת זוגה שנודדת עמה ברחבי העולם בעקבות שלל ההצעות שלא ניתן היה לסרב להן לאורך השנים.

"סביבת העבודה שלי תמיד היתה מאוד גברית ואנשים היו שואלים אוטומטית 'מה בעלך עושה', לקח לי הרבה זמן להיות גלויה לגבי הזהות המינית שלי במקום עבודה. בנסיעות העבודה הרבות שלי, כשקיט באה איתי, יש מדינות בארה"ב שאנחנו לא מפגינות בהן שום דבר בציבור, אף אחד לא רוצה שליליות סביבו", מודה הית', "אבל יום אחד, כשעמדתי על הבמה בסיליקון ואלי והתבקשתי לדבר על הצוות שלי ועל גיוון בתעסוקה, דיברתי לראשונה על כך שיש לי אשה. להפתעתי גיליתי שכשמביעים פגיעות עם אנשים ופותחים את הדלת למשהו אישי, גם הם יותר פתוחים איתך. בהתחלה היה מאוד מפחיד להיפתח ולהיות חשוף, אבל מעולם לא הצטערתי על זה. ביונייטד איירליינס גם יישמתי את זה כאג'נדה, וכשעזבתי לדוקוסיין, בצוות הסייבר היו 51% נשים לעומת 13% בלבד כשהגעתי".

אבל עד שהגיעה לטופ בשתי החברות המוכרות והגדולות, עברה אמילי הית' עוד תפניות ותהפוכות בקריירה שכללה גם עבודה תחת זהות בדויה במשטרה הבריטית. "די מהר הבנתי שאני לא רוצה לעבוד במסעדה כל החיים, רציתי ללכת ללמוד באוניברסיטה אבל לחיים היו תוכניות אחרות", ממשיכה הית'. התוכניות האלה כללו הצטרפות למשטרה, תחילה כשוטרת מן המניין, אך במהרה גם במשטרה הבחינו בכישוריה של הית' והיא נשלפה לתפקיד undercover כשהיא בת 21 בלבד.

"מאוד רציתי את זה והתלהבתי מהעבודה כי הייתי גם צעירה וגם תמימה. אבל את האדרנלין עצמו לא אהבתי, כך שדי מהר התגלגלתי ליחידה של פשיעה פיננסית. שם ממש כיכבתי. חקרתי הרבה פירמידות והונאות בסגנון של ברני מיידוף, טיילתי בכל העולם במרדף אחרי כסף שניסו להסתיר ולהעלים, בעיקר ניסיונות הלבנה בינלאומיים".

איך עושים את זה בלי ללמוד?

"אני חושבת שכל חיי אני מחוץ לאזור הנוחות שלי, זה מחזיק אותך במתח וגורם לרצות להצטיין. התיק האחרון שלי היה הונאה של 200 מיליון דולר ולקח לי שלוש וחצי שנים לפענח אותו, יחד עם ה־FBI ורשות ניירות הערך האמריקאית SEC".

בהמשך, בעוד מפנה לא צפוי, מצאה את עצמה הית' עם עסק לבנייה ועיצוב של אתרי אינטרנט אחרי שלמדה את כל התורה לבד באמצעות ספרי לימוד עצמי בתכנות שרכשה. כעבור זמן קצר קיבלה הצעה מאולפני MGM בלונדון להוביל פרויקט תכנות וכחלק מהתפקיד מצאה את עצמה בלוס אנג'לס, רגע לפני שמלאו לה 30. בשלב זה עדיין לא היתה לה כל נגיעה לסייבר או להון סיכון והיא עסקה בפיתוח תוכנה לניהול והפצה של סרטי DVD.

ככל שהקריירה שלה בעולם הזה התפתחה, גם התקפות הסייבר נהפכו לנפוצות ובאחת החברות שבהן עבדה, מישהו נזכר שבקורות החיים שלה היתה שורה על עבודה במשטרה ולכן היא כנראה מכירה קצת את החוק. "ביקשו ממני להיכנס קצת לענייני האבטחה של המידע הארגוני ואפשר לומר שככה התחלתי את הקריירה בסייבר". זה היה אי שם ב־2012 בחברת הבנייה AECOM שהתפרסמה כאשר לקחה חלק בהקמת בורג' חליפה, המגדל הגבוה בעולם שחורך את השמים של דובאי. "הבוס שלי פיטר את שני האנשים שניהלו את האבטחה ומינה אותי במקומם. אמרתי לו 'אני לא יכולה לעשות את זה, מעולם לא התנסיתי בעבודה כזאת' והוא ענה 'את תסתדרי'".

הית' הסתדרה כל כך טוב שכעבור חמש שנים, היא קיבלה הצעה שלא יכלה לסרב לה מיונייטד איירליינס, אחת החברות הגדולות והמוכרות בארה"ב, לנהל את מערך הגנת הסייבר שלה. כעבור שלוש שנים, ב־2019, לאחר שהגדילה דרמטית את המחלקה שם, הית' הסכימה לקחת תפקיד גדול יותר אבל בחברה קטנה הרבה יותר שרק יצאה להנפקה ראשונה בוול סטריט בשם דוקוסיין (DOCUSIGN). "לקחתי את התפקיד הזה בידיעה שיהיה מדובר בתפקיד הפול־טיים האחרון בקריירה".

מאז הית' יושבת בדירקטוריונים של חברות סייבר שמנסות להיעזר בניסיון והידע שלה על מה הארגונים רוצים ממערכות הגנת הסייבר שלהם. כך הגיעה גם לבורד של WIZ.

מה הפחד הגדול ביותר של ה־CISO, הרי זו שאלת מיליון הדולר שכל הסטארט־אפים רוצים לפצח?

"הפחד הגדול ביותר הוא שיתוק של הפעילות העסקית ולא משנה מה הסיבה, אם זו דרישת כופר או התקפה לשם התקפה".

זה קרה לך? מה ההתקפה הקשה ביותר שהתמודדת איתה?

"ראיתי כל סוג של התקפת סייבר כי אופי החברה מכתיב גם את סוג התוקף - אם זו מדינה אחרת כמו רוסיה, סין או צפון קוריאה, אם זו קבוצת האקרים פרטית או דורשי כופר. הייתי בשוחות הרבה פעמים, אבל למזלי אף פעם לא הצליחו לשתק לי את הפעילות כי תפסנו את הכל בזמן. כן קרה שחלק מהארגון לא היה תפעולי, אבל מעולם לא שיתוק".

מה הקושי העיקרי של אנשי הסייבר בתוך הארגונים?

"הדבר הקשה ביותר בניהול האבטחה בארגון הוא שצריך לפעול גם במישור הטכנולוגי וגם במישור העסקי. לפני שנה פרסמתי מאמר בלינקדאין שפונה לחברי דירקטוריון שלא מגיעים מרקע טכנולוגי ופירטתי את חמש השאלות שכל דירקטור צריך לשאול את אנשי האבטחה. השאלות הן: מה הכי חשוב לארגון? למשל ליונייטד איירליינס הכי חשובה הבטיחות ולדוקוסיין הכי חשוב המידע של הלקוחות. אחרי שעונים על השאלות האלה, השאלות הבאות הן: איפה המידע הזה, איך מגינים עליו, מה האזורים הפגיעים ביותר ומה דרכי הפעולה למקרה שמשהו משתבש. אם הארגון מסוגל לענות על חמש השאלות האלה, הוא מוגן. וצריך להגיע להבנה שאי אפשר להגן על הכל באותה מידה, זה בלתי אפשרי ויקר מדי".