המכונה המשומנת של גילי רענן לייצור יוניקורנים הסתבכה בניגוד עניינים

במשך שנים, מנהלי אבטחה בכמה מהתאגידים הגדולים באמריקה – ביניהם אפשר למנות את פרדי מק, קראפט היינץ, קולגייט־פלמוליב ופידליטי ועוד – נהנו מהקשר שלהם עם גילי רענן, מייסד קרן הון סיכון ישראלית בוטיקית בשם סייברסטרטס (Cyberstarts).

 כחלק מרשת היועצים של סייברסטרטס, שנקראת Sunrise, הם היו רגילים לקבל מהקרן מצגות והצעות לפגישה עם שלושה או ארבעה מהסטארט־אפים החדשים בהן משקיעה הקרן בכל שנה. הסטארט־אפים קיבלו משוב על המוצר ונעזרו בהם כדי להבין את צרכיהם של רוכשים פוטנציאליים. עבור המנהלים, ברובם מנהלי אבטחת מידע ראשיים (CISOs), מייסדי הסטארט־אפים נתנו להם גישה ישירה לטכנולוגיות חדשות שצמחו ביחידות העילית של ישראל. 

אבל עבור חלק מהמנהלים, היה בסידור הזה יותר מסתם גישה לטכנולוגיה: תגמול, לפעמים משמעותי, בצורת נתח מהרווחים מההשקעות של סייברסטרטס. המנהלים שהשתתפו בסנרייז היו זכאים לחלוק 4% מרווחי סייברסטרטס, בתנאי שהשתתפו בשיחות וסיפקו "עזרה משמעותית" – הגדרה שאת טיבה המדויק קבעה סייברסטרטס.

סייברסטרטס היתה מהמשקיעות הראשונות בחברות אבטחה בולטות, כולל Wiz, סטארט־אפ אבטחת הענן שלאחרונה דווח כי דחה הצעת רכישה בשווי 23 מיליארד דולר מגוגל; Fireblocks, סטארט־אפ אבטחת קריפטו בשווי 8 מיליארד דולר; Island, דפדפן ארגוני בשווי 3 מיליארד דולר; ו־Cyera, סטארט־אפ אבטחת מידע שהכפיל את שוויו בחצי שנה האחרונה ל־3  מיליארד דולר. לאורך חיי אחת מקרנות החברה, יכלו המשתתפים לצפות לקבל תשלומים של עד 250 אלף דולר, נטען במצגת פנימית שנחשפה בפני פורבס.

שיקול דעת מעורפל 

אבל ב־27 ביוני השנה, שלח רענן מייל ל־75 היועצים הפעילים של סנרייז ובו הודיע כי הקרן משעה את חלק התגמול של התוכנית, מיידית. "טענות ציניות" לגבי בעיות אתיות במערכת חלוקת הרווחים של סנרייז אילצו, לדבריו, את הקרן לנקוט צעד זה. "שיהיה ברור, תוכנית סנרייז לא הולכת לשום מקום", כתב רענן. "זהו אחד ההישגים שאנחנו הכי גאים בהם – חיבור אנשי מקצוע בחברות מובילות עם סטארט־אפים מבטיחים. זה רק שינוי קל בתוכנית". 

קל מבחינה טכנית, אולי. אבל המהלך היה שינוי כיוון משמעותי עבור רענן והקרן שלו, שבמשך שנים טענו שתוכנית היועצים שלהם לא היתה חריגה וגם לא בעייתית מבחינה אתית. רק כמה שבועות לפני השינוי הפתאומי, נשמע רענן כמעט מתריס בשיחה עם פורבס. "אנחנו מאוד, מאוד גאים בנוהג שלנו ובמודל העסקי שלנו", אמר. תוכנית סנרייז לא שונה מהותית, טען, מתוכניות אחרות של קרנות מתחרות.

אבל משקיעים, יזמים ומנהלי אבטחה רבים רמזו לפורבס, שסנרייז נמצאת בניגוד עניינים מובנה, שהפך אותה לייחודית בקהילת אבטחה קטנה וצפופה. המנהלים שהשתתפו בתוכנית היו אותם מנהלים שבדרך כלל פיקחו על תקציבי תוכנה ואבטחה עצומים. הארגונים שלהם היו בעלי הכוח להעניק בדיוק את סוג החוזים הגדולים שיכלו להרים סטארט־אפים מתחילים ולסלול להם את הדרך להצלחה.

כלומר יועצי סנרייז היו בעמדה ממנה יכלו לנתב את עסקיהם וכספם לאותם סטארט־אפים שההצלחה שלהם תועיל להם עצמם. במקרה הגרוע ביותר, האינטרסים הכספיים עלולים היו לערפל את שיקול דעתם, או לסתור את האינטרסים של המעסיק שלהם. וגם אם פסלו עצמם מקבלת ההחלטות, עובדיהם עשויים היו להרגיש מתומרצים לבחור ספק המסונף לבוס שלהם. בכוונה או לא, הפוטנציאל לניגודי אינטרסים ממש טבוע במערכת היחסים. 

טענות לגבי ניגודי אינטרסים רדפו את סייברסטרטס במשך שנים. פרופיל של רענן מ־2022 ב־The Information רמז להאשמות מתחרים שהקרן שלו טשטשה קווים אתיים. לאחרונה, החפיפה הלא רגילה בין חברות גדולות המסונפות לסנרייז והפורטפוליו של סייברסטרטס הפכה לנושא שיחה בכנסים כמו RSA ו־Black Hat. כמו, למשל, ענקית המזון המקסיקני המהיר Chipotle, שחתמה על חוזים עם לפחות שמונה מהם.  

"האחיזה שהיתה לגילי בשוק משוגעת", אמר משקיע המתמקד באבטחה. הוא, כמו עשרות יזמים, משקיעים ומנהלים אחרים, ביקשו לדבר בעילום שם, מחשש לנקמה מצד רענן וסייברסטרטס. 

מספר יועצי סנרייז שלא דיברו בעבר עם העיתונות אמרו לפורבס שגם הם חלקו את אותן דאגות אתיות, ושניים אמרו שהתפטרו סנרייז בדיוק בגלל זה.

"עזבתי כי זה התחיל להיות יותר ויותר אגרסיבי", אמר משתתף לשעבר. "הקווים נחצו מבחינתי כש־CISOs (מנהלי אבטחת מידע) התחילו להשפיע על קבלת ההחלטות בחברות שלהם כדי לקדם מוצרים", טען השני. רבים אחרים מחקו כל אזכור לסייברסטרטס מפרופילי הלינקדאין שלהם – מתוך 54 יועצים שצוינו באתר של סייברסטרטס עצמה במאי, שליש נמחקו מאז. 

אחרים, שדווקא שיבחו את הקרן, טענו ששמו את הגבול בחלוקת הרווחים של סנרייז, שאותה כינו מוטעית, או תמימה במקרה הטוב. מספר משקיעים, מנכ"לים ומנהלי אבטחה דיברו עם פורבס לבקשת סייברסטרטס כדי להגן על התוכנית, אבל גם כמה מהם, שתמכו בתוכנית ואהבו את היתרונות שלה – כמו גישה למנכ"לים בפורטפוליו דוגמת אסף רפפורט מ־Wiz – עדיין הביעו אי־נוחות עם תוכנית התשלום. "אני לא חושב שהכוונות של גילי והצוות זדוניות", אמר אחד מהם, "אבל זה פשוט אפור מדי בשבילי, ויש יותר מדי פוטנציאל לקונפליקט".

מראית עין 

שני מנהלי אבטחה אמרו לפורבס, שהם דחו פניות מהצוות של רענן אחרי ששמעו על צורת התגמול של הקרן. "הייתי לגמרי המום. זה נוגד את העקרונות שלי", אמר אחד. 

בראיון באוקטובר, חלק רענן על הטענות האלה. "אף אחד לא קונה תוכנה, כי הוא עושה טובה למישהו", השיב. בנוסף, ציין, רבים מהיועצים כלל לא לקחו את הכסף. ביוני הוא אמר לפורבס שכמחצית מיועצי סנרייז בחרו בתשלומים. אבל באוקטובר, הוא אמר שהמספר היה באמת רק 20%, כ־15 איש. רק מספר קטן של יועצים עזבו את התוכנית מאז, הוסיף, בעוד שכמה אחרים הצטרפו. 

רענן אמר שביטל את רכיב התגמול של תוכנית סנרייז בגלל "גל עצום של שיחות למעסיקים". מספר כלי תקשורת התעמקו בנושא, כולל פורבס ו־CTech, שפרסם כתבה על סנרייז באמצע יוני. כעת טוען רענן שאותו מנגנון התשלום, "סטנדרט התעשייה" שסייברסטרטס הגנה עליו במשך זמן רב, בעצם לא כל כך חשוב. "כשהתחלתי לקבל יותר ויותר סימנים שיש בעיה עם איך שזה נתפס – הסרתי את הבעיה", אמר רענן. 

בחודש שעבר הכריזה הקרן על קרן הסיד הרביעית שלה, קרן של 60 מיליון דולר, שמביאה את סך הנכסים המנוהלים שלה לכ־720 מיליון דולר. לפורבס נודע כי לפחות משקיע מוגבל אחד בקרנות של סייברסטרטס אמר שהם משכו את כספם מהגיוס האחרון בגלל מראית העין. לדברי סייברסטרטס, זו טענה משוללת יסוד. הקרן היתה בביקוש יתר לקרן החדשה שלה, אמר רענן לאחרונה. 

יזם סדרתי מ־8200 

כשהיהלום שבכתר של הקרן, Wiz, עומדת לפני הנפקה מרשימה וחברות פורטפוליו אחרות כמו Cyera מתחילות לבצע רכישות משל עצמן, ההשפעה של סייברסטרטס בתעשייה רק תלך תגדל. כל עוד הקרן ממשיכה להפעיל את סנרייז, השאלות שהתוכנית העלתה לגבי קווים אדומים אתיים במכירות סטארט־אפ, והתמריצים המשמשים להשגת יתרון מוקדם, כנראה לא ייעלמו. כפי שמנכ"ל אבטחה אחד ציין: "יתרון לא הוגן לסטארט־אפים מסוימים פוגע במערכת הרחבה יותר". 

את החברה הראשונה שלו, חברה בשם   Sanctum בתחום האבטחה, הקים רענן עוד ב־1997. כישראלי ששירת ב־8200, רענן למד על בשרו שטכנולוגיה לבדה לא מובילה למשיכה בשוק. "מעולם לא הצלחנו למצוא מודל עסקי לחברה", אמר לפורבס. "זה די מדהים שאתה יכול לבנות טכנולוגיה כל כך מוצלחת ולעולם לא להצליח למנף אותה". 

אחרי שייסד ומכר סטארט־אפ נוסף, nLayers, הצטרף רענן לסקויה ישראל, הסניף המקומי של קרן ההון סיכון הגלובלית. אחרי שהזרוע הישראלית נסגרה ב־2016, יצא לדרך עצמאית, ושנתיים מאוחר יותר השיק במכמורת את סייברסטרטס. 

מאז זה כבר הפך לטקס קבוע עבור יזמי אבטחה ישראלים – שעה נסיעה צפונה מתל אביב לפגישה על שפת הבריכה בביתו של רענן. לאלה מהם עם הרקע הנכון – בוגרי 8200 או 81, או כאלה עם ניסיון באחת מחברות האבטחה המובילות – סייברסטרטס תשקיע ללא עסק או מוצר ברור, בכוונה תחילה. הפרקטיקה הזאת, הסביר רענן, עוזרת להבטיח שהקרן לא עובדת עם סטארט־אפים שמסתיימים בבניית "shelfware", כלים שנרכשים אך הלקוחות לא משתמשים בהם, וסופם שנזנחים.

"יזמים בנו פתרונות בוואקום. הם התאהבו בטכנולוגיה שלהם, בנו אותה – ואז התאימו אותה בדיעבד לבעיה ולערוץ המכירה הנכון", אמר רענן. "ואילו אנשי האבטחה היו רגילים לפגוש ספקים רק כשהיה להם מוצר למכור".  

הפתרון של סייברסטרטס, באמצעות סנרייז, כלל עשרות שיחות ספקולטיביות מוקדמות עם לקוחות פוטנציאליים. הצעת התגמול בצורת השתתפות ברווחים, אמר רענן, נראתה כפתרון טבעי כדי לגרום לזרים לוותר על זמנם. בעוד שקרנות אחרות הציעו שכר שנתי של 25 אלף דולר למומחים כדי לספק משוב דומה, רענן לא יכול היה להרשות לעצמו לעשות זאת, טען. הקרן הראשונה של סייברסטרטס לא גבתה דמי ניהול, הוסיף; רענן עדיין לא מושך משכורת בעצמו: "אנחנו עדיין קרן קטנה היום, באופן יחסי, אז זו היתה הדרך העיקרית היחידה שיכולתי לתגמל", אמר. 

מבחינת הביצועים, נראה שהטקטיקה של רענן עובדת. קרנות, לעיתים קרובות, בונות את הפורטפוליו שלהן על הימורים שנעשו כל כך מוקדם, ובמחיר כל כך נמוך, שדי בהצלחה אחת או שתיים גדולות כדי לחפות על שורה של השקעות כושלות.

מאז 2018, רענן וסייברסטרטס רשמו לזכותם חמישה אקזיטים, בשווי כולל של 1.6 מיליארד דולר, בלי אף נפילה פומבית אחת.

אפילו במקרה של תוצאה פחות מאידיאלית, כמו המכירה של NoName Security ל־Akamai תמורת 450 מיליון דולר ביוני – פחות מההערכה המוקדמת שלה בכמיליארד דולר – הקרן עדיין הרוויחה, בזכות ההשקעה המוקדמת שלה.  

תוכנית Sunrise הוכיחה עצמה עבור חברות פורטפוליו רבות של סייברסטרטס. בכתבת שער בפורבס ב־2023, סיפרו מנהלים בכירים ב־Wiz על עשרות שיחות עם מנהלי אבטחה לפני שהתמקדו באבטחת ענן. ב־NoName, המנכ"ל עוז גולן סיפר שעוד לפני שסייברסטרטס השקיעה, גולן והשותף־המייסד שלו שיתפו דף אחד של הסטארט־אפ שלהם – אבטחה לאינטראקציות אוטומטיות דרך ממשקי תכנות יישומים, או APIs – עם רענן, להפצה בקרב חלק מהיועצים לקבלת משוב.

אחרי ההשקעה של סייברסטרטס, מייסדי NoName יצאו לסבב פגישות עם המנהלים של סנרייז כדי לקבוע כיצד המוצר שלהם יכול לעזור הכי טוב לתאגידים. "זה היה פוקח עיניים", אמר גולן.

NoName דיווחה שהגיעה להכנסה שנתית חוזרת (ARR) של לפחות 40 מיליון דולר לפני שנמכרה ל־Akamai תמורת בערך חצי משווי השיא שלה מוקדם יותר השנה.

חברות סייברסטרטס אחרות הגיעו גם הן להכנסה משמעותיות משלהן: Wiz טענה שהגיעה ל־500 מיליון דולר ב־ARR לפני שדחתה את הצעת גוגל, בעוד ש־Fireblocks עברה 100 מיליון דולר ב־ARR ב־2022. Cyera, בינתיים, הצליחה לבצע רכישה בשווי 162 מיליון דולר מוקדם יותר באוקטובר.

"לגילי ולסייברסטרטס יש רקורד מוכח של זיהוי סטארט־אפים בתחום הסייבר הטובים ביותר בישראל", אמר משקיע האבטחה אשים צ'נדנה, שותף כללי ב־Greylock שהשקיע יחד עם סייברסטרטס בחברת אבטחת הענן Dazz. החברה נמכרה לאחרונה ל־ziW לפי שווי של 054 מיליון דולר. "הם גם הוכיחו יכולת ייחודית ללוות מייסדים אלה לאורך המסע שלהם". 

מהצד השני, מספר תאגידים התגלו כרוכשים חוזרים של תוכנות הפורטפוליו של סייברסטרטס. בנוסף ל־Chipotle, עם שמונה חוזים מזוהים, פורבס זיהה חמישה חוזים שנחתמו עם סטארט־אפים של סייברסטרטס בענקית הנדל"ן Jones Lang LaSalle ובחברת התרופות הבינלאומית Takeda, ששתיהן העסיקו יועצי סנרייז נוכחיים או לשעבר. גוף המשכנתאות New American Funding, יוניקורן האבטחה Armis ו־BNY Mellon ובנק המשמורת הגדול בעולם חתמו ככל הנראה על חוזים עם ארבעה.

Chipotle, New American, Armis ו־BNY Mellon מסרו כי המנהלים שלהם לא קיבלו כל תגמול מסייברסטרטס; מ־Takeda נמסר שיש לה מדיניות נוקשה וסרבו להרחיב, ואילו JLL סירבה להגיב. 

השקעות חשודות 

ריכוזים כאלה של השקעות נראו חשודים לחלק מהתעשייה. אלה תהו מדוע תאגידים חתמו על חוזים בשווי שש וגם שבע ספרות עם סטארט־אפים קטנים כמו חלק מחברות הפורטפוליו של סייברסטרטס, אם ה־CISOs הרלוונטיים פסלו את עצמם והסטטוס שלהם בסנרייז לא השפיע על החלטות הרכש, כפי שסייברסטרטס ואחרים טענו.

מספר מייסדי חברות פורטפוליו של סייברסטרטס חלקו על כך שסנרייז עזרה להם להבטיח חוזים שלא היו משיגים אחרת. "מייסדים לעולם לא ירצו להודות שהם הפסידו עסקה, בצורה הוגנת", אמר אחד מהם. "הם תמיד יחפשו תירוץ חיצוני". המייסד־השותף של Avalor, רענן רז, שיבח את יועצי סנרייז על שעזרו לו להתמקד באבטחת מידע, אך ציין כי "מעולם לא הרגשתי שמישהו עושה לי טובה כדי להרוויח משהו מהצד השני" (הוא עצמו כעת גם משקיע מוגבל בסייברסטרטס). Zscaler רכשה את Avalor תמורת 350 מיליון דולר במרץ. 

דאג ליאונה, מיליארדר ושותף־מנהל לשעבר בסקויה, שהשקיע בעבר ועבד לצד רענן, אמר בהצהרה שסייברסטרטס "הצליחה לפצח את הקוד" בהשגת התאמת מוצר־שוק מוקדמת, "כתוצאה מכך, עסקים אלה לעתים קרובות מצליחים לצמוח מהר מהרגיל", כתב ליאונה. 

אבל אחרים הצביעו על חברות שלא חידשו חוזים עם חברות פורטפוליו של סייברסטרטס אחרי עזיבת ה־CISOs שלהן מסנרייז; לפחות במקרה אחד, מספר חוזים לא חודשו בעקבות חילופי התפקידים, אמרו שני מקורות לפורבס. באותו אירוע, ה־CISO העוזב, כעת יזם, בסופו של דבר הפיץ מכתב חתום על ידי רענן לעמיתים לשעבר כדי לאשר שהם לא קיבלו תגמול כחלק מסנרייז. 

חלק מהסתירות קשות ליישוב. בחודש יוני ציין רענן שיועצי סנרייז נשאו באחריות לעקוב אחר דרישות הגילוי של המעסיקים שלהם עצמם וכללים לגבי תגמול; אף אחד לא הפר מדיניות כזו, למיטב ידיעת סייברסטרטס, אמר.

 שלושה מנכ"לים שהעסיקו יועצי סנרייז נוכחיים ולשעבר, עם זאת, אמרו לפורבס שהם לא קיבלו גילויים כאלה לגבי תגמול פוטנציאלי. ייתכן שחלק ממדיניות הגילוי של החברות לא דרשו ליידע את המנכ"לים שלהם, השיב רענן. "כולם אמרו לנו שהם עומדים בדרישות", הוא ציין. 

"לגיטימי לגמרי"

במבט קדימה, הקרן אישרה שיועצי סייברסטרטס שכבר קיבלו התחייבות לתגמול ישמרו על הפוטנציאל הזה; פוטנציאל כזה ממשיך להיות חשוף למעסיקים, הוסיף דובר הקרן. ולמרות השעיית כל תגמול חדש עבור סנרייז, רענן המשיך לעמוד על כך שנוהגים מקבילים היו נפוצים בתעשיית ההון סיכון. "זה קורה כל הזמן", אמר, "אלה אנשים עסוקים, ובהנחה שהמעסיק שלהם בסדר עם זה, זה לגמרי לגיטימי שהם יתוגמלו".  

פורבס ניסה לאמת טענה זו עם מקורות בתעשייה, אך מספר קרנות אמריקאיות גדולות הכחישו תשלום ליועצים במשרה חלקית.

 מספר קרנות המבוססות בישראל, כולל Team8, YL Ventures ו־Glilot, אישרו שהן מפעילות גרסאות משלהן של מועצות ייעוץ CISO. רק אחת מהן, YL Ventures, אמרה שהיא מציעה תשלום שנתי קבוע לרוב היועצים, וכן חלקים מרווחי הקרן למספר קטן שביצעו בדיקת נאותות על השקעות פוטנציאליות. אף אחת, מלבד סייברסטרטס, לא אמרה שהציעה חלק מרווחי הקרן ליועצים בתמורה לעבודתם עם הפורטפוליו הקיים של הקרן. 

לפי רענן, הקרן שלו הפכה למטרה, ותומכיו מהדהדים את הרעיון. כפי שמשקיע הון סיכון אחד טען בפני פורבס בעילום שם: "האקדח תמיד מכוון לראשו של מוביל השוק". 

אבל אפילו אותו אדם, מקורב של רענן, נדהם מכך שסייברסטרטס השאירה את עצמה כל כך חשופה לטענות פוטנציאליות – מוצדקות או לא – מיצירת קשרים פיננסיים בין הסטארט־אפים שלה לבין המנהלים היועצים שלה, ששולטים בתקציבים של מיליוני דולרים בכמה מהחברות הגדולות באמריקה. "אם הם לא צפו את זה, הם היו תמימים להחריד", אמר המשקיע. "למה בכלל להשאיר מקום לספק?"