ישראל מעצמת סייבר – אבל יש לזה מחיר

ענף הסייבר הוא מקור גאווה ומנוע צמיחה בשוק הישראלי. ב–2016 היווה שיעור המכירות של הסייבר הישראלי כ–10% ממכירות כלל תעשיית הסייבר בעולם, וחברות ישראליות נמנות עם החברות מובילות עולמיות בתחום, ובהן צ’ק פוינט, סייבר־ארק ופאלו אלטו. בנוסף, בשנה החולפת נרשמו אקזיטים מרשימים בענף, ובהם CloudLock שנמכרה לסיסקו ב–293 מיליון דולר. על פי נתוני חברת המחקר IVC, הענף בישראל מעסיק כ–17 אלף עובדים, והולך וגדל בהתמדה.

ואולם אם תשאלו את ותיקי ובכירי הסייבר הישראלי, הבולטות של ישראל כיום בתחום אינה מבטיחה כי מצב זה יימשך זמן רב. כך למשל, עולה השאלה אם “קטר הסייבר” ימשיך לדהור כפי שהוא דהר עד כה וימשוך אחריו את כלל תעשיית ההזנק הישראלית, או שמא אנחנו לקראת האטה בתחום? יש היבטים רבים לסוגיה, כמו השאלה אם ענף הסייבר נמצא בבועה, אבל האתגר המרכזי, טוענים המומחים, הוא לגייס אנשים.

בחברת המחקר STKI טוענים כי “במקביל להתגברות איומי הסייבר על הביטחון הלאומי ועל כלכלת ישראל, קיים מחסור עמוק של כ–1,600 אנשי מקצוע בתחום הגנת הסייבר במגזרים השונים, ובתוך שנתיים עלול מספר העובדים החסרים בתחום זה להגיע לכ–2,100”.

פיני כהן, סמנכ”ל ואנליסט בכיר ב–STKI, טוען כי “אם תסתכל על 100 בוגרי סייבר מייצגים, שחלקם באו מהעולם הצבאי וחלקם עברו הכשרה אזרחית — יותר ממחציתם יתברגו בחברות המוצר הישראליות, בסטארט־אפים, מה שמשאיר את אנשי הסייבר במחלוקת ה–IT בבנקים, בביטוח ובממשלה עם פחות כוח אדם זמין ועלות שכר רק עולה”.

גיל רוזנברג, המנהל האקדמי של קורס הכשרת הסייבר בג’ון ברייס, מסביר כי הצורך זז מהר יותר מהיכולת להכשיר: “נתחיל מכך שיש מחסור בעובדי היי־טק בכלל. אם מישהו שולט בביג דאטה או שולט בפיתוח אפליקציות — הוא מבוקש. בסייבר כבר מדובר במשבר כי כוח האדם המסורתי שהתעסק באבטחת מידע הם אנשי ה–IT, אלה שעד כה היית מבקש מהם סיסמה לעמדה או גישה מהבית. הם לא מוכשרים לעולם הסייבר המודרני, וזה לא באשמתם”.

לדבריו, “איפשהו ב–2009 העולם השתנה: טכניקות התקיפה נהפכו מורכבות ומתקדמות הרבה יותר, והן מאפשרות לתוקף להיכנס די בקלות למערכת — אבל לאנשי ה–IT אין ידע לאבחן אירוע סייבר, לזהות אותו ולטפל בו. אותו השינוי גרם לכך שבארגונים, גופים תאגידיים, גופי ביטחון וחברות פיננסיות יש פאניקה. בחברות אומרים: ‘אנחנו יושבים על הררי מידע יקרי ערך ומרגישים שהמידע הזה נגיש למי שיש לו יכולות’, אז הן צועקות ‘חסרים לנו אנשים’. האמת היא שחסרים אנשים בסייבר גם בעולם, לא רק בישראל”.

“עולם ההכשרה לא היה ערוך למהפכה”, מודה רוזנברג. “אנחנו רגילים למכור קורסים של מיקרוסופט, סיסקו או צ’ק פוינט, אבל בתחום הסייבר התלמיד אפילו לא יודע עם איזה כלים הוא יעבוד. ייתכן שאיש סייבר יצטרך לדעת לקרוא חמש או שש שפות קוד, הוא יצטרך לדעת מיקרוסופט, אבל גם לינוקס וכן הלאה, לכן הקורס שונה. אני מדמה את זה לארוחת טעימות ארוכה. חשוב גם שהקורס ייגע בבעיות אמיתיות ואירועים אמיתיים — לא רק לדבר על האתגרים”.

רן אדלר, סמנכ”ל חברת ייעוץ הסייבר 2BSecure, מונה עוד סיבות למחסור. ראשית, טוען אדלר, סטארט־אפים “גונבים” את הכישרונות בענף. “רוב הסטארט־אפים נשענים על השקעות כבדות (של קרנות הון סיכון ומשקיעים פרטיים; א”ז) ולכן מושכים עובדים איכותיים ויוצרים תחרות עליהם”.

שנית, לדבריו, הביקוש לעובדים עולה: “הרגולציה והמודעות הציבורית הובילו לכך שלקוחות רבים בשוק — שבעבר לא היו מעלים על דעתם לצרוך שירותי אבטחת מידע — החלו לעשות כן, ובצורה מסיבית. בעקבות זאת, עולה הצורך בעובדים פנימיים מתחום הסייבר או במתן שירותים על ידי חברות חיצוניות”.

שלישית, טוען אדלר, הצורך בעובדים אלה גדל גם בגלל רגולציה. “בפברואר 2015 הוציאה ממשלת ישראל החלטה ששינתה את פני השוק הממשלתי וכעת כל המשרדים הממשלתיים צריכים לעבוד לפי תקן סייבר ISO27001. זה אומר שמחייבים משרדי ממשלה להיערך מבחינת סייבר ואבטחת מידע לפרויקטים גדולים בתחום”.

אדלר מזכיר כי משרדים ממשלתיים רגולטוריים חייבים כיום מכוח אותה החלטת הממשלה, להיות גם גורמים מנחים בתחום הסייבר לגופים המפוקחים שלהם ממילא: משרד התקשורת מנחה בתחום את חברות התקשורת, המשרד להגנת הסביבה את המפעלים המזהמים וכן הלאה.

“המפעלים המזהמים זו דוגמה לגופים שעד כה אף אחד לא דיבר אתם על סייבר, ובמקרה הטוב הם עשו עבודה סבירה באבטחת המידע ובמקרה הרע את המינימום ההכרחי. כעת יש גוף ייעודי שעורך עליהם בקרות. המהלך הזה הגביר את צורכי הגיוס של אנשי סייבר לא רק בחברות, אלא גם במשרדי הממשלה בעשרות אחוזים”, אומר אדלר.

אדלר מזכיר גם כי “המדינה הפכה את מטה הסייבר ל’רשות הסייבר הלאומית’ וקידמה את הקמת ה–CERT הלאומי (מרכז הגנת סייבר; א”ז) — מהלכים שהובילו לגל של גיוסים ותקנים”. עד כה גייסה רשות הסייבר הלאומית, שהוקמה באפריל 2016, 170 עובדים, וצפויה לגייס עוד כ–200 עובדים בשנתיים הבאות.

אדלר מוסיף כי “עובדי דור ה–Y הם יותר קופצניים ופחות נאמנים, מה שיוצר הרבה מעברים בין חברות. זו תחרות קשה ואתגר לא קטן למנהלי משאבי האנוש בארגונים שרוצים לשמר את המשאב האנושי”.

ביקושים עצומים ללימודי סייבר

בינתיים, איומי הסייבר גדלים במהירות והרגולציה על הענף מזנקת. בעקבות זאת, נוצר ביקוש גבוה לאנשי מקצוע המתמחים בתחום עם סט יכולות חדש, אך קצב ההשתנות של מוסדות ההכשרה אטי יותר מהצורך. לדברי כהן, “כמות אנשי הגנת הסייבר המשתחררים משירות צבאי בתוספת בוגרי אוניברסיטאות וקורסים שונים אינה מדביקה את הפער ובעתיד הרחוק יותר המחסור יגיע לאלפי אנשי מקצוע נוספים. כבר כיום ארגונים מתקשים להתמודד עם ההתקפות כאשר אין ביכולתם לגייס אנשים בתחום ונראה שבעוד שנים לא רבות התופעה תחריף: ההתקפות יעלו והביקוש לעובדים יעלה”.

מחקר מקיף של מקאפי, חטיבת אבטחת המידע של אינטל ואחת מחברות הסייבר הגדולות בעולם, מיולי 2016 דן בבעיית גיוס עובדי סייבר בעולם והתייחס גם לישראל. החברה ערכה סקר בקרב מומחי IT משמונה מדינות, ובהן ישראל, והתוצאות מדאיגות: 82% מהם העידו על מחסור במומחי סייבר ו–71% טענו כי המסחור הזה יוצר פגיעה ממשית בעסקיהם. המחקר גילה כי פרמיית השכר לאנשי סייבר בישראל היא הגבוהה בעולם: כמעט פי 3.5 מהשכר הממוצע במשק.

כמה גופים בישראל נענו לאתגר של מחסור העובדים בסייבר. התעשייה האווירית היא אחד מהם, כפי שמסבירה אסתי פשין, ראשת מנהל הסייבר בחברה: “בטח כבר שמעת מאחרים כמה קשה לגייס אנשים לסייבר. הכוח אדם שיוצא מהצבא הוא לא רב ומציעים לו בשוק משכורות עתק. אלה אנשים שבדרך כלל מעדיפים ללכת ליוזמות פרטיות ולהקים סטארט־אפים. קשה מאוד לחברות נורמטיביות, ודאי ממשלתיות, למשוך את האנשים האלה: האקרים דורשים שכר שהוא מופרך עבורנו”.

פשין מוסיפה: “חשבנו מה לעשות והגענו לתובנה שההבדל בין הסייבר למקצועות אחרים בתחום ההיי־טק לא גדול, אז אם אנחנו לא יכולים למשוך את אנשי הסייבר — נכשיר אותם. כך הוקם ‘קורס צוערי הסייבר’ של התעשייה האווירית, קורס שפתוח לכמה עשרות משתתפים. פירסמנו אותו לפני ארבעה שבועות וקיבלנו יותר מ–1,000 מועמדים טובים, בעולמות תוכן קרובים, אנשים שרוצים להמציא את עצמם מחדש. יש מועמדים בני 25 ובני 50 פלוס. הפערים בגילים לא מהווים מגבלה מבחינתנו: אנחנו מנסים לייצר בקורס תמהיל של עולמות תוכן שונים ודגש על עבודת צוות”.

קורס הצוערים הראשון של התעשייה האווירית צפוי להיפתח בעוד שלושה שבועות ויימשך שלושה חודשים. במהלך הקורס הצוערים יקבלו שכר מהתעשייה האווירית ואלה שישלימו את הקורס יהיו מחויבים לעבודה בתעשייה במשך שלוש שנים.

פשין מודה כי הקורס, הכולל הכשרות ותרגולים, עולה לחברה יותר ממיליון שקל. “זה אות כבוד לתעשייה האווירית להקים את הקורס הזה בזמן אפסי. זה רעיון שעלה לפני חמישה שבועות בלבד והוא יוצא לדרך. כבר פנו אלינו מחברות אחרות שמחפשות עובדי סייבר מהקורס, אבל כרגע מדובר בפיילוט פנימי שיכול להצליח ויכול גם להיכשל”.

ביום חמישי יחל מיזם דומה אך גם שונה מאוד, שמכונה קורס מגיני סייבר לחרדים. הקורס הוא יוזמה של קמא־טק, מלכ”ר שקם במטרה לשלב חרדים בתעשיית ההזנק. לדברי מנכ”ל החברה, משה פרידמן, “מצד אחד יש מחסור בעובדי סייבר בישראל, מחסור שרק יגבר בגלל הרגולציה העתידית, שתחייב מגיני סייבר בכל מקום; מצד שני, הרבה חרדים רוצים להשתלב בתעשיית הטק. מתוך זה גיבשנו תוכנית. אנחנו לוקחים אנשים עם ידע בסיסי בתחום המחשבים, כמו טכנאות או רשתות תקשורות, ומכשירים אותם לקומה השנייה של הסייבר”.

לדבריו, “הקורס הוא בשיתוף סייברטק (המארגנת את כנס הסייבר השנתי), וחברות שתומכות בנו כמו סיסקו, צ’ק פוינט ומלם תים. הקורס עולה 3,000 שקל דמי רצינות, שזה שבריר ממה שקורסים דומים עולים במקומות אחרים. יתר המימון הוא מתרומות. רצינו להתחיל עם 40 איש ונרשמו 900. ההכשרה עורכת חצי שנה, שני ערבים בשבוע, ובסופה הבוגרים רשאים לעבוד איפה שהם רוצים”.

“חברות הענק יקנו את הקטנות והביקוש יירד”

היצע הקורסים בשוק אמנם מקרב את המועמדים בענף לעסוק בסייבר, אך יש גם מי שגורס כי את הכניסה לתחום צריך להתחיל מוקדם יותר — בבית הספר. שגיא בר, מנכ”ל המרכז לחינוך סייבר מיסודה של קרן רש”י, המפעילה תוכנית בשם מגשימים, מספר כי “זו תוכנית לבני נוער מצטיינים מהפריפריה הגאוגרפית והחברתית של ישראל. אנחנו לוקחים אותם למסע בעולם הסייבר שנמשך שלוש שנים, מכיתה י’ ועד יב’, ומלמדים אותם את ההיבט הפרקטי של התכנות, אבל מקנים להם גם כישורים כמו יכולת למידה מהירה, פתרון בעיות בלחץ והתמודדות עם מצבים מורכבים”.

התוכנית כוללת זיקה לתעשייה, אבל בשלב הראשון מטרתה לשלב את הילדים במערך הסייבר והטכנולוגיה של צה”ל, כאשר 75% מבוגרי התוכנית מתקבלים למערכים אלה בצבא. ב–2016, סיימו את התוכנית 160 חניכים, השנה צפויים לסיים אותה 250 חניכים וב–2018 כבר נראה 500 בוגרים, מתוך אלפים שעוברים את המיונים בכל שנה.

לדברי בר, “התוכנית נוסדה על ידי קרן רש”י ומערכת הביטחון לאחר שבמערכת הביטחון הורגש מחסור בעוסקים בתחום, אבל שמנו לב שהמחסור הזה קיים גם בתעשייה. אנחנו שומעים על כך מהחברות הגדולות במשק כמו מיקרוסופט, סייברארק ויבמ, שמציינים כי המחסור בא לידי ביטוי בעיקר בשני תפקידים: חוקר סייבר, כלומר מישהו שיודע לטפל במתקפה; ומפתחים חזקים, שיודעים לכתוב קוד. אגב, יש לנו לא מעט חניכים שמשתלבים בתעשייה כבר בגיל 18, עוד לפני הצבא, מה שמוכיח את הצורך של התעשייה בעובדים אלה ואת השינוי החיובי שהתוכנית עושה”.

כמה מהבוגרים הן בוגרות?

בר: “השנה שיעור הבוגרות היה 28% לעומת 18% לפני ארבע שנים כשהתחילה התוכנית. זה בראש מעניינו לשלב יותר חניכות”.

למרות המחסור הבולט בעובדים הקיים כיום בענף הסייבר, ייתכן כי מצוקת העובדים בתחום תיפתר באופן טבעי באמצעות כוחות השוק. הסיבה לכך היא הבועה הקיימת בסייבר הישראלי, המאופיינת בריבוי חברות העוסקות בתחום, בריבוי פתרונות דומים לאותן בעיות ומעט חברות שמגיעות להכנסות משמעותיות, שלא לדבר על רווחיות. אם, כפי שמסתמן, קרנות ההון הסיכון יורידו את הרגל מהגז בהשקעות סייבר ויפסיקו להנשים את החברות שאינן רווחיות, חלק גדול מהן ייסגרו — והאנשים שייפלטו לשוק ישלימו את המחסור בעובדים בסייבר.

“מספר חברות הסייבר בישראל רק גדל בשנים האחרונות אבל מתישהו, ואנחנו עדיין לא רואים את זה, תהיה התכנסות”, אומר כהן. “בסוף איש ה–IT לא רוצה להתעסק עם 25 מוצרי סייבר, אלא עם ארבעה או חמישה. חברות ענק בתחום, כמו סימנטק, RSA או מקאפי, יקנו חברות סייבר קטנות, ישלבו אותן בפתרון שלהן ומספר החברות הכללי יירד”.

ישראל — שיאנית העולם במספר חברות הסייבר

“בישראל יש ריכוז חברות סייבר הגבוה בעולם לנפש, בערך חברה אחת לכל 20 אלף תושבים”, אומר יותם גוטמן, סמנכ”ל השיווק של חברת המחקר CyberDB. מדובר במיזם חדש שממפה את כל חברות אבטחת המידע בעולם, ומאפשר למקצועני התעשייה למצוא ולבחור פתרונות שמתאימים להם — מעין זאפ של עולם אבטחת המידע.

לדברי גוטמן, בארה”ב למשל יש חברת סייבר לכל 470 אלף אנשים, ובבריטניה חברה לכל 770 אלף אנשים. “גם כשמדובר במספרים אבסולוטיים (ולא יחסיים) בישראל יש את מספר חברות הסייבר השני בגודלו בעולם, אחרי ארה”ב”, אומר גוטמן. “רק כדי לסבר את האוזן, בישראל יש כ–400 חברות סייבר בעוד שבבריטניה, הבאה בתור, יש כ–80 חברות (מדובר בחברות טכנולוגיה, ללא חברות ייעוץ ושירותים). חוסר הפרופורציה הזה נובע ממאסה קריטית של כישרונות טכנולוגיים בישראל, פרי של הכשרה מואצת בניצוח היחידות הטכנולוגיות של צה”ל, כמו גם האקדמיה, ואקו־סיסטם של חברות טכנולוגיה, סטארט־אפים ומשקיעים שמתדלקים את תעשיית הסייבר המקומית”.

CyberDB ערכה מחקר מקיף על תעשיית הסייבר הישראלית, שמגלה כי ב–2016 היו תשעה אקזיטים של חברות ישראליות בתחום הסייבר עם תג מחיר ממוצע של כ–50 מיליון דולר לעסקה. באותה השנה גייס ענף הסייבר המקומי 40 גיוסים, בשווי כולל של 360 מיליון דולר וגיוס ממוצע של 9 מיליון דולר.

לדברי גוטמן, “אנחנו חווים התבגרות של התעשייה והמשקיעים, ואפשר לראות השקעות בדברים שיש להם יותר היתכנות מוצרית־מסחרית ופחות השקעה בפיצ’רים ומוצרים נקודתיים. אנחנו רואים השקעה בפלטפורמות סייבר, פתרונות מערכתיים שמחברים בין מוצרי אבטחה ויוצרים תובנות במקום רק לרדוף אחרי הנוזקה האחרונה. כיום לכל מנהל אבטחה יש 40–50 מוצרי אבטחה שקשה לעשות להם אינטגרציה, ואם בא מישהו שיכול לעזור לו בזה, הוא מוערך מאוד”.