אין כמעט ארגון בעידן הדיגיטלי שלא עושה שימוש יום-יומי באפליקציות Google Drive, Box, ,Dropbox, Microsoft SharePoint, Microsoft Saas OneDrive, Microsoft Teams, Slack, Salesforce, Github, Jira, Monday, BambooHR ועוד רבות אחרות. פונקציית המטרה היא ברורה - תקשורת מהירה, חכמה ומיידית, שנועדה לדחוף את הביזנס קדימה ולהבטיח התייעלות ארגונית. אך נקודת התורפה המרכזית של אותן אפליקציות ענניות היא שכל פיסת מידע ששותפה פנימית או חיצונית - נשמרת חשופה לנצח ולא עוברת טיפול אוטומטי על-ידי שום גורם. זה בעצם משאיר עשרות ומאות אלפי קבצים פתוחים לשימוש על-ידי ספקים לשעבר ועובדים לשעבר, או שהם חשופים יתר על המידה פנימית בתוך הארגון לעובדים שעדיף שלא תהיה להם גישה.
ולא מדובר בבעיה זניחה. חברה ממוצעת בארה"ב, כזו שמעסיקה עד 1,000 עובדים למשל, מנהלת מגע עם למעלה מ-10,000 אנשים חיצוניים לארגון - ספקים, יועצים, עובדים לשעבר, מומחים, פרי-לאנסרים ועוד - שלכולם יש גישה למידע הרגיש ביותר של הארגון. לא לחינם סימנה חברת המחקר הבינ"ל גרטנר את מה כאחד האתגרים הכי חשובים ב-2021.
את הבעיה הזו, שנקראת SaaS Security - ודורגה לאחרונה על-ידי חברת המחקר הבינ"ל גרטנר כאחת הבעיות הכי חשובות בעולם הסייבר של שנת 2021 - באו לפתור שלושה יזמים ישראלים: אדם גביש, עמרי וינברג וליאל רן, שהקימו בשיאה של מגפת הקורונה את הסטארט-אפ DoControl, שפיתח פלטפורמה לניהול הרשאות בצורה אוטומטית. הם אף הצליחו לגייס כ-13.5 מיליון דולר בשני סבבים קרובים.
הפלטפורמה מתממשקת לאפליקציות SaaS הפופולריות ומספקת ללקוחות נראות מלאה על כל המשתמשים והעובדים החיצוניים שקיבלו הרשאות למידע שלה, לקבצים המשותפים ציבורית ולפעילות חריגה של משתמשים זדוניים.
"הרעיון המרכזי הוא למנוע מהאדם הלא נכון - עובד ממורמר, עובד שעומד לעזוב בקרוב, משקיע שהתעצבן, מפיץ שניתק קשר - לגשת לקבצים הרגישים של הארגון", מסביר אדם גביש, מנכ״ל ומייסד החברה. "מדובר בטכנולוגיה מתוחכמת, סופר חדשנית, ועם זאת קלה להתקנה ותחזוקה, שכן היא מבוססת תקשורת API בלבד. לא נדרשת התקנה במכשירי הקצה. היא מאפשרת מניעה של זליגת מידע למתחרים באמצעות הגדרה מי יכולים להיות שותפי המידע הרגיש ומתי ועל בסיס זה פועלת אוטומטית. המערכת גם מוודאת אישור עצמאי של משתמשי הקצה לגבי מידע ששיתפו כדי למנוע טעויות אנוש ולוודא שאכן המידע צריך להיות משותף מבלי לערב את צוותי אבטחת המידע".
ההיענות למוצר הייתה מהירה וההצלחה בהתאם. החברה החלה למכור בסוף 2020 ותוך שמונה חודשים הכפילה את מכירותיה פי-עשרה, עם עשרות גופים משלמים בארה"ב, אירופה וישראל. לחברה מרכז פיתוח בתל-אביב ומשרדים בניו-יורק, שם יושב גביש. "הצוות שלנו הוא מדהים", הוא מפליג בשבחם של שותפיו. "ביחד אנחנו מאוד חזקים במוצר, בטכנולוגיה ובמכירות. אנחנו יושבים בארה"ב, כי כאן השוק ואנחנו חיים אותו, מבינים את השפה, את הפוליטיקה ואת התהליכים".
הזדמנות ייחודית של פעם בקריירה
אלמלא חזותו הניו-יורקית, היה ניתן להגדיר את אדם גביש כחנון מחשבים טיפוסי. הוא יליד רמת השרון שלאחר שירות ב-8200, שם עסק באבטחת מידע ורשתות תקשורת, למד מדעי המחשב ועבד כמתכנת בשני סטארט-אפים שאחר כך נמכרו. הוא עבר לארה"ב, סיים MBA באוניברסיטת קורנל, שנחשבת כאחת מהאוניברסיטאות היוקרתיות והמובילות בעולם, חצה את היבשת לחוף המערבי ועבד במטה אמזון בסיאטל. הוא שימש שם כמנהל מוצר בתחום התשלומים (באמזון, נזכיר, מבוצעות מידי יום מיליוני טרנזקציות עסקיות), אך חיבתו לתחום הסייבר גרמה לו לחזור לחוף המזרחי ולעבור לעבוד במשרדי גוגל בניו-יורק, שם שימש כמנהל מוצר באבטחת ענן.
"השקנו אז מוצר חשוב שאיפשר ללקוחות גדולים הפועלים תחת רגולציה קשוחה לאמץ את יכולות הענן של גוגל במינימום מאמץ, תוך עמידה בתקני אבטחת מידע מחמירים. זה היה פרויקט דגל של החברה. ואז, במהלך המחקר והפיתוח של הפרויקט, התבקשתי מדי פעם למחוק הרשאות של גורמים חיצוניים שונים למידע הקשור בפרויקט כדי להימנע מבעיות אבטחת מידע", משחזר גביש את הטריגר שגרם לו לעזוב משרה טובה ולהקים את הסטארט-אפ. "התברר לי שארגונים רבים שמשתמשים באפליקציות ענן, הן לצרכים פנימיים והן לצרכים חיצוניים, לא ערים לבעיות אבטחת מידע. למשל, שעובדים רבים לשעבר עדיין מחוברים לרשת הארגונית, או עובדים שיצרו לינק לחשבון הפרטי ומדיניות האבטחה הארגונית לא חלה עליהם. ועוד לא דיברנו על לקוחות, ספקים ומנהלי ערוצי שיווק שונים, שלא ברור אילו הרשאות יש להם למידע הארגוני. הנחת היסוד היא שלא ניתן לסמוך על איש.
"תוסיף לכך את העובדה שלכל אפליקציה אבטחת מידע משלה והן שונות זו מזו. גם לארגונים דרושה מדיניות אבטחה דיפרנציאלית וגמישה, כי קבוצות שונות מייצרות סיכונים שונים וצריך בכל מקרה להחליט איזה מידע אפשר לשתף ולמי באופן ספציפי. זה הדליק אצלי רעיון לפיתוח פתרון. למרות שהיה לי טוב בגוגל, חשבתי שנוצרה כאן הזדמנות ייחודית של פעם בקריירה לייצר מענה לבעיה וזה בשילוב עם טיימינג מעולה, השותפים שלי והמשקיעים שהסכימו להשקיע, גרמו לכך שיצאתי לדרך חדשה. כל הכוכבים פשוט הסתדרו".
"האתגרים הטכנולוגיים אצלנו הם מטורפים"
הטכנולוגיה פותחה במהירות בהתאם לגישה המודרנית של פיתוח תוכנה. "נגענו בשוק הכי מוקדם שאפשר. לא ישבנו שנה על המוצר וחיכינו עד שיהיה מושלם", מסביר גביש. "הוצאנו את המוצר לשוק עוד לפני שהיה מוכן כדי לקבל פידבק מהיר מהלקוחות הפוטנציאליים ושיפרנו אותו במהלך הדיאלוג איתם. דיברנו עם 30-40 חברות כדי לקבל ולידציה. אמרנו להן: 'זה מה שאנחנו מתכננים, האם זה בכיוון?".
גביש מדגיש, כי יתרונה של הטכנולוגיה הוא בכך שהיא שמאפשרת תהליכי עבודה אוטומטיים. "אנחנו מאפשרים לחברות למנוע זליגות מידע לאורך זמן ללא עבודה ידנית מפרכת וזאת על בסיס מספר חוקים פשוטים. מדובר באוטומציה מלאה לתהליכים שהיום מתבצעים בצורה ידנית לחלוטין, כמו ניקוי הרשאות לכלל החברה, דו״ח מעקב פעילות לעובדים שעוזבים, בדיקה האם מידע מסוים צריך להיות משותף חיצונית ועוד. למשל, עובד שעוזב את החברה יאבד את הגישה שיש לו למידע ששותף לחשבון הפרטי שלו אחרי 30 יום. אוטומטית. אם הוא רוצה גישה שיבקש. מתברר שאצל לא מעט עובדים לשעבר פרצו לחשבונות אחרי שהם עזבו".
למי אתם פונים?
"חברות מבוססות שנתקלות במורכבות הזו ביום-יום. מ-500-1,000 עובדים ועד 10,000 איש ומעלה".
מה מתוכנן בהמשך? מהי המטרה המרכזית כיום?
"החברה נמצאת במומנטום חיובי, יש לה קופת מוזמנים טובה והיא צומחת היטב ובצורה בריאה. האג'נדה היא לצמוח. המטרה היא להגיע למיליוני דולרים מכירות. מדובר במוצר שלקוחות אוהבים ואנו שואפים שהוא יהפוך להיות ברירת מחדל של ארגונים רבים. אנחנו מגייסים עובדים בכל המחלקות כדי לתמוך בצמיחה משמעותית ב-2022. מדובר על גיוס כמה עשרות של מתכנתים, מנהלי מוצר, מעצבי מוצר, כותבי תוכן ועוד".
נעשה רגע מהלך של "מיתוג מעסיק". מה אתם יכול לספר לעובדים פוטנציאליים על החברה? על התרבות הארגונית בה?
"קודם כל, האתגרים הטכנולוגיים אצלנו הם מטורפים. מורכבות המוצר, כמויות המידע העצומות והביצועים שצריך לספק הם אדירים. אנחנו עוקבים בכל רגע נתון אחרי כל כך הרבה פעולות של משתמשים, שינויים בהרשאות, ומטא-דאטה של קבצים, בכמה וכמה אפליקציות, ומפענחים בעיות, כך שמדובר על מיליוני אינטראקציות מדי יום. זו אופרציה מורכבת. אבל זה מייצר חוויית משתמש מהירה, חדה ומדויקת. מאוד כיף לעבוד אצלנו, כי רואים בעיניים את ההצלחה. יש מעט מאוד חברות שבהן המתכנתים יכולים לקבל פידבק ישיר ומהיר מהלקוחות על הקוד שהם כתבו. יש שיח פתוח עם הלקוחות. התרבות הארגונית שלנו מבוססת על שקיפות מלאה לעובדים - כולל בנושאי כספים - יש הקשבה ויש אחריות אישית".
