צופן ארונשוילי

//

דיאנה בחור ניר ומאיר אורבך

//

צילום: תומי הרפז

"אנשים לא מצפים לפגוש אחד כמוך, ואתה מראה להם"

בן לפועל במפעל רהיטים ולאחות שעלו מגיאורגיה. נער שגדל בשיכונים של עכו. סטודנט שבשיעור הראשון חטף צעקות כי חשבו שהוא טכנאי המזגנים. לראובן ארונשוילי היו הרבה סטיגמות למחוק בדרך לשירות ביחידת סייבר חשאית ועד הקמת CYE, אחד הסטארט־אפים היחידים בעולם שפורצים (בהסכמה) לחברות תעשייה, פיננסים ותשתית כדי לחשוף כשלי אבטחה. שיחה מאלפת על הסטריאוטיפים שאפשר לנפץ בזכות מוח מבריק, הורים אוהבים והרבה מזג חיובי

ארונשוילי. "הרעב להשיג, לא רק להסתפק במה שיש, זה משהו שלא השתנה בי מאז שהייתי צעיר"

צופן ארונשוילי

דיאנה בחור ניר ומאיר אורבך

צילום: תומי הרפז

"בשיעור הראשון שלי באלגברה ליניארית באוניברסיטת תל אביב", מספר ראובן (רובי) ארונשוילי, "אני מגיע ישר מהרכבת מעכו ונכנס באיחור של 15 דקות לאולם מלא סטודנטים. איך שאני חוצה את הדלת הפרופסור עוצר את השיעור ופשוט מתחיל לצעוק עליי: 'נראה לך הגיוני? אנחנו שלושה שבועות בלי מזגנים, כמה אני יכול לחכות לך?'".

נעלבת?

"אולי נראיתי קצת אחרת... היו לי הרבה חוויות בחיים שבהן אנשים התייחסו אליי בצורה לא הוגנת. אני לא חושב שהדרך היא לבכות על מר גורלך, ואפשר גם לצחוק על זה. מאז, בכל פעם שראיתי את הפרופסור שאלתי 'איך המזגן?', ובסוף קיבלתי אצלו בכל המקצועות 100".

זאת בטח לא היתה פעם ראשונה.

"בגיל 16 התחלתי ללמד במכללת High Q להשלמת בגרויות. כשנכנסתי לכיתה התחילו לצחוק עליי, 'אתה?! אחד משכונת בורלא בעכו שיותר צעיר מאיתנו, אתה תלמד אותנו?'".

זה לא עורר בך רצון לעשות דווקא?

"להפך, זה היה משעשע. אתה מגיע למקום שבו אנשים לא מצפים לפגוש אחד כמוך, ואתה מראה להם. אחרי המבוכה בהתחלה זה נהיה טבעי מאוד. זה גרם לי להצליח, ובסוף הכיתה שלימדתי היתה מוצלחת מאוד, סיימה בממוצע 96, אני זוכר את המספר".

היום אתה עוד מופתע ממקרים כאלה?

"מפתיע אותי שאנשים שופטים אותך דרך אמות מידה לא רלבנטיות, כמו המקום שממנו באת או המראה החיצוני שלך".

"בגיל 13 עבדתי במכולת, בכיתה י' גמרתי בגרות במתמטיקה 5 יחידות"

ארונשוילי (36) למד במהלך השנים שבמבט ראשון הוא אינו עונה לסטריאוטיפ הקלאסי של סטודנט לאלגברה ליניארית, או של מורה לבגרויות, וגם לא לזה של קצין סייבר ביחידת מודיעין סודית, או של יזם שהקים סטארט־אפ ביטחוני עם לקוחות בינלאומיים. ברוב המקרים זה אינו המסלול שבו צועד נער שגדל בשיכונים של שכונת בורלא, בפאתים המזרחיים של עכו, בן לעולים מגיאורגיה, שאביו פועל במפעל רהיטים ואמו אחות בבית חולים גריאטרי.

אבל ארונשוילי הוא כל אלה, ויותר. "הרעב להשיג, לא רק להסתפק במה שיש, זה משהו שלא השתנה בי מאז שהייתי צעיר", הוא אומר.

מתי הבנת שיש לך יכולות?

"אני ואשתי למדנו באותה כיתה מגיל 14. ובגיל הזה בערך אתה קולט, כשאתה מסתכל במחברות ואומר 'אני מוכן למבחן' בזמן שהיא חורשת ומתעצבנת. בגיל 13 עבדתי במכולת כמעמיס בקבוקי שתייה, ואת הבגרות במתמטיקה 5 יחידות סיימתי בכיתה י'".

למה יצאת לעבוד?

"עבדתי במכולת מגיל 13. לא כי הייתי צריך, פשוט כי יכולתי. האתגר שהיה לי בבית ספר היה באמת קטן, קיבלתי מאיות בלי לעשות הרבה. נשאר לי זמן פנוי לשחק כדורגל עם החבר'ה וגם לייצר מקור פרנסה נוסף, שיעזור לי וגם למשפחה במקרים מסוימים. בהמשך כסף זה כבר עצמאות, זה לצאת עם חברים לא על חשבון ההורים. לא כי הם לא יכלו, כי זה יותר נוח. כיף יותר להיות עצמאי".

ארונשוילי הצעיר עם אמו מאיה, ומחזיק בתעודות ההצטיינות בסיום התיכון. "זה היה בית שמעודד מצליחנות. משפחה חמה והורים שהדגישו מטרה אחת: שלא תעבדו קשה כמונו". צילומי רפרודוקציה: עמית שעל

בבית היה חסר כסף?

"לא היינו מהמשפחות הקשות של השכונה. ההורים עבדו קשה כדי שאף פעם לא נרגיש מחסור. הם השקיעו את כל כולם כדי שלא יהיה לנו שום תירוץ לא לעשות חיל בלימודים, וזו הסיבה שאני חושב שההורים שלי נדירים. יש לך הרבה הערכה כשאתה מבין מה הם העמיסו על עצמם כדי שלא נדע מחסור. זה גם חלק ממה שהניע אותי, שאם הם עובדים כל כך קשה ואני יכול לעזור להם, זה יהיה אחלה".

"בעכו לעבוד ברפאל זה הטופ, ופתאום באוניברסיטה שמעתי על אנשים שעשו אקזיט"

הוריו של ארונשוילי, מאיה ומיכאל, עלו מגיאורגיה בשנות ה־70 וה־80. הם עדיין מתגוררים באותה דירת עמידר שבה גדל, "קומה רביעית בלי מעלית, הם בכושר יותר טוב ממני", הוא מחייך. "אבא שלי רוכב על אופניים והם לא מפונקים, אוהבים את המדרגות. מפתיע לראות כמה זה לא מעניין אותם. הייתי שמח שיעברו לגור לידי בהרצליה, שיהיו יותר קרובים, אבל זה לא הוגן לעקור אותם מהמקום שבו הם נמצאים".

את בית ילדותו הוא מתאר כ"בית גרוזיני הארד קור, עם השטיחים האדומים והציורים והתבשילים הטובים. בית שמארח כל הזמן, ממש לא בהלימה למצב הפיננסי. אמא שלי בשלנית נדירה, אין דרך אחרת להגיע לגזרה יפה כמו שלי", הוא צוחק. "אבל בראש ובראשונה, זה היה בית שמעודד מצליחנות. משפחה חמה ואוהבת בצורה נדירה, עם מטרה אחת שההורים כל הזמן הדגישו: שלא תעבדו קשה כמונו".

השקעה כזאת של ההורים זה מחייב.

"באמת אני, אחי הגדול ואחותי הקטנה הצטיינו לאורך כל הדרך. לאמא תמיד היו מנהלים מעליה, אבל היו כמה ימים בשנה שבהם היא הלכה לידם עם חזה מתוח — זה היה כשחילקו לנו תעודות. 'זה מה שהופך את החיים לשווים', היא היתה אומרת. ההישגים שלי ושל האחים שלי היו יוצאי דופן ביחס לסביבה, וזה נתן להורים הרבה כוח. גם לא הסתבכנו בשטויות, ובמקום שבו גדלתי להסתבך היה נורא פשוט.

בגיל 16 התחלתי ללמד לבגרויות. כשנכנסתי לכיתה צחקו עליי, 'אתה?! אחד משכונת בורלא, תלמד אותנו?' זה גרם לי להצליח. מפתיע אותי שאנשים שופטים אותך לפי המקום שבו גדלת או המראה שלך"

"יש סיפור מהילדות שאני זוכר, כי הוא עשה את אמא שלי מאושרת: בחטיבת הביניים למדתי בבית ספר דתי. אנחנו משפחה שומרת מסורת אבל לא דתית, והיו לי ולאחי התנגשויות עם המנהל סביב אורח החיים שלנו. בשלב מסוים המנהל הזמין את אמא לפגישה ואיים שאם אורח החיים שלנו לא יהיה דתי יותר — לא נמשיך שם. מעבר לשולחן ישבה מנכ"לית חטיבת החינוך של אורט. היא הסתכלה על התיק שלנו, ראתה את הציונים ואמרה: 'אני באמת לא מבינה למה הם צריכים להיות פה. אני אשמח לקבל אותם'. ואז המנהל אומר: 'רגע, זה לא ככה, לא רצינו להפסיד את התלמידים', ומתפתח ויכוח על איפה טוב לנו להיות. בשלב הזה אמא שלי אמרה: 'אני רואה שאתם מסתדרים לבד, תודה רבה' ויצאה משם עם חיוך גדול. ובשנה שאחר כך עברתי לאורט עכו".

ארונשוילי (מימין) עם שותפיו גבי לבנברג, חיים אהרוני ומתן חן. "מוסרית, מי שאי פעם בחייו עסק במשהו לא נקי לעולם לא יעבוד אצלנו. Bad guy לא ייהפך ל־Good guy". צילום: תומי הרפז

במבט לאחור, איפה היתה המקפצה שלך?

"המקפצה הכי גדולה היתה כשמשכו אותי ל'עתידים', תוכנית נפלאה שמקדמת עתודה בפריפריה. במסגרת התוכנית זכיתי עם שותף במקום הראשון בתחרות רובוטיקה ארצית וקראו לי להציג את הפרויקט למי שהיה ראש תוכנית עתידים באוניברסיטת תל אביב, אלוף משנה איציק תורג'מן. אחרי האירוע הוא ניגש אליי ואמר לי: 'בעוד יומיים יש פסיכומטרי, אתה ניגש אליו'. הייתי צריך 696 כדי להתקבל ועברתי עם ציון גבוה בהרבה, לא רחוק מ־800. זה סלל את העתיד שלי.

"בגיל 18 עזבתי את עכו לעתודה האקדמית, וכבר לא חזרתי. זאת היתה קפיצה מטורפת. לעזוב בית חם ואוהב ולעבור למעונות בתל אביב היה שוק חיי".

למה?

"פתאום אתה פוגש סטודנטים שמגיעים עם רכב, חונים בחניון ויש להם כמה כרטיסי אשראי בארנק. אתה גם בהלם מאיך שאנשים חושבים ומתבטאים. כששמעתי אנשים אומרים 'צריך לחלק את ירושלים' אמרתי לעצמי: וואו, אני לא מאמין שהוא אמר את זה עכשיו! מי יעז להגיד דבר כזה בבורלא? אתה לומד לקבל אנשים שחושבים אחרת, ואתה גם פוגש אנשים שבאו מבתים שבהם שמחת חיים לא היתה גולת הכותרת... אתה מבין שבית שמח תורם מאוד לאופי שלך. אבל יותר מכל זה, באוניברסיטה פתאום יש המון אנשים חכמים סביבך — רבים מהם חכמים ממך — ואתה מבין שכאן לא תשתעמם.

"האוניברסיטה פקחה לי את העיניים. עד אז החלום שלי היה לעבוד ברפאל. למי שגר בעכו זה היה הטופ, האנשים שעבדו ברפאל גרו בשכונה של הווילות. להיכנס לרפאל היה 'את שלי בחיים עשיתי'. אבל פתאום אתה שומע שהמרצה שלך עשה אקזיט, והמרצה ההוא פתח חברה, ואתה אומר: וואלה, אולי לעבוד ברפאל זה לא החלום שלי".

אנחנו עושים את העבודה שתוקף אמיתי היה עושה. לא נשבית קו ייצור, אבל נדגים איך אפשר לעשות את זה. נגיע עד הממשק שמכבה את המערכת, ונעצור. או שנדגים גניבת קניין רוחני"

אז ויתרת על רפאל?

"עדיין כשסיימתי את הלימודים נלחמתי שיגייסו אותי לרפאל, כי רק חייל אחד כל שנה מגויס לשם. אבל בנקודה הזאת המוסד רצה לקחת אותי, 8200 גם רצו, וכשהגעתי לכנס מתגייסים הגיע אליי דני ברן (תא"ל במיל', לימים מייסד אוטוריו) ואמר לי: 'רק שתדע שאתה מגיע אלינו למצו"ב'. מי אתם? מה אתם? לא היה לי מושג. היום אני יודע שלא יכולתי לבחור לעצמי משהו יותר טוב".

"ואז הקמתי את הצוות שתקף את המערכות של צה"ל, ושינה את יכולות ההגנה"

מצו"ב (מרכז צופן, סייבר וביטחון) היא יחידה בחטיבה להגנת סייבר של אגף התקשוב, שמוגדרת כיחידה הלאומית להצפנה ואבטחת מידע (ראו מסגרת). "נתנו לי שם הזדמנות שנדיר לקבל, להקים 'צוות אדום' צה"לי'", אומר ארונשוילי.

מה זה אומר?

"זה היה ב־2005, והתפקיד של הצוות שהקמנו היה לתקוף את צה"ל (כדי לזהות פרצות). אני, שהתגייסתי רק בגיל 21 אחרי התואר, נכנס לתפקיד שבו אני ממש מנהל סטארט־אפ. צוות שהקמנו מכלום, במדור שרק הוקם כשהתגייסתי, ואמרו לי 'תפרוץ למה שאתה רוצה'.

"וממש כמו סטארט־אפ, היינו צריכים למכור את עצמנו, כי מפקדי החילות בצבא לא התלהבו מההצעה שנפרוץ אליהם. התחלנו מלתקוף מטרות באגף התקשוב עצמו, עד שבשלב כלשהו הרמטכ"ל דן חלוץ החליט שאנחנו הצוות האדום המטכ"לי, והתחלנו לתקוף את חיל מודיעין, חיל הים, השב"כ ועוד. אתה מתעסק עם צעצועים יקרים מאוד ועובד עם אנשי מקצוע מהטובים שיש".

מה בעצם חיפשתם?

"תקפנו מערכות צבאיות רגישות כדי למצוא חורים במערך האבטחה, במערכות לוגיסטיות או בנשק. כארגון וכמדינה למדנו הרבה על הפער בין היכולות ההתקפיות שלנו להגנתיות, והיום אנחנו במקום אחר. הקמת המדור הזה שינתה את איך שאנחנו נראים. שבע שנות השירות שם היו מהיותר מעניינות שאפשר לעשות במדינה. את גודל האחריות אתה מבין רק אחרי שאתה משתחרר".

"גם אם אני שם את האנשים שלי מול בנק ומראה איך 'לגנוב' 100 מיליון, אין לי חשש"

ב־2012, בתום שבע שנות השירות שבהן השלים גם תואר שני במחשבים, ארונשוילי השתחרר ופנה לקריירה עסקית. הוא הקים את CYE, שנחשפת כאן לראשונה, ולמעשה המיר את הידע שרכש בצבא לשוק האזרחי. כיום CYE היא אחת מחברות התקיפה ברישיון היחידות בשוק, ותוקפת חברות עסקיות בהסכמתן, "הולכת עד הסוף" כלשונו, כדי לחשוף חולשות במערכות האבטחה שלהן. בתחום הזה פועלות בין השאר גם המתחרות הישראליות XM, של ראש המוסד לשעבר תמיר פרדו, וקנדירו, שגייסה הון לאחרונה אך שומרת על חשאיות גמורה.

מה החברה עושה?

"אנחנו תוקפים את הארגון כמו שהאקר היה עושה, באישור כמובן אבל בלי הנחות. זה משהו שלא עושים בשום מקום אחר בעולם, כי אנחנו משתמשים בהתקפה אמיתית ולא בסימולציה".

ברן. "היום אני יודע שלא יכולתי לבחור לעצמי משהו יותר טוב". צילום: איי.פי

מה זה אומר?

"אנחנו עושים את העבודה שתוקף במציאות היה עושה על הארגון שלך, ולא מסתפקים בלהציג תמונה משוערת. נכון שלא נדגים לך השבתה של קו הייצור, שתגרום לך לזרוק 150 מיליון דולר לפח, אבל כן נדגים איך אפשר לעשות את זה. נגיע עד לממשק של המפעיל שמכבה את המערכת, ונעצור שם. נדגים גניבה של קניין רוחני או של מידע סודי, נראה שאנחנו יכולים להשבית מסחר או לפרוץ לחשבונות בנק".

זה לא מסוכן?

"כמובן שהיחס שלנו אחר כשמדובר במערכות תעופה, רכבות, תשתיות או כל מה שיכול לגרום נזק לחיי אדם. העיקרון המנחה הוא שאנחנו לומדים מי יכול לתקוף את הארגון, באילו כלים ומה הוא יכול להשיג. אחר כך אנחנו מדרגים את רמות הסיכון, כדי שהחברה תדע עם מה חשוב להתמודד, ומתרגמים את זה לעלויות: כמה תעלה ההתמודדות. בעצם לקחנו את כל הסיכונים שקיימים בעולם והטלנו אותם על הארגון שלך כדי לראות מה 'נדבק' ולסייע בקבלת החלטות. הטכנולוגיה של CYE מציעה איתור חולשות אבטחה, ואז באמצעות אלגוריתם שפיתחנו היא מציעה פירוט של הפתרונות האופטימליים וסדר העדיפויות בשימוש בהם".

מתקני הנפט של סעודיה אחרי המתקפה האיראנית. "יש מי שיגידו שלישראל היתה תרומה עקיפה למתקפה. יש בארץ יכולות שבידיים לא נכונות יכולות לייצר נזק דרמטי". צילום: בלומברג

במה זה שונה מעבודת חברות סייבר אחרות?

"בכך ש־CYE אינה רק מדמה תקיפה אלא מבצעת בפועל תקיפה מלאה נגד הארגון, שמוכן לתת בה את האמון שלו. יש הרבה חברות שמשתמשות בכלים של תקיפת סייבר, אבל רק בודדות הולכות עד הסוף וחושפות ארגוני ענק במערומיהם".

יש לקוחות כאלה אמיצים שיסכימו להתקפה כזו?

"לקוח מעדיף לפגוש את האמת באמצעותנו, כשהנזק שלו הוא אפס, משתוקף אמיתי ינצל את הפרצות ואז האימפקט עלול להיות קטסטרופלי".

הלקוחות צריכים לסמוך עליכם ב־100%, ואתה צריך לסמוך על העובדים שלך ב־100%, כי כל המידע והפעילות של החברה המותקפת נמצא בידיהם.

"פוליגרף ובדיקת אמינות הם חלק מתנאי ההעסקה שלנו. מעבר לכך, מוסרית, מי שאי פעם בחייו עסק במשהו לא נקי לעולם לא יעבוד אצלנו. יש הרבה סיפורי סינדרלה, מישהו שפרץ ל־FBI ואמרו 'הוא כל כך חכם וכדאי שנעסיק אותו'. אני לא מאמין בזה. בן אדם יכול להיות או לחלוטין כשר או לא. יש לבן או שחור, אין באמצע. אני לא מאמין ש־Bad guy ייהפך ל־Good guy. התפיסה הפלילית היא לנצח".

ויש פיתוי?

"עם האנשים שלי אין לי חשש, גם אם אני שם אותם מול בנק ומראה להם איך אפשר לגנוב 100 מיליון דולר בלי שאיש ישים לב. להכשיר מישהו שהיה פלילי בעבר זה סיכון שאני לא יכול לחיות איתו".

מאיפה באים הלקוחות שלכם?

"אנחנו עובדים עם חברות פיננסים, תשתיות, חברות ייצור וטכנולוגיה. יש לנו לקוחות בתחום התעופה, המזון, התרופות והמכשור הרפואי, וכמובן גם הון סיכון והשקעה. רק מעט מהלקוחות ישראלים. אנחנו מכוונים לשוק הבינלאומי, בגלל הגודל".

איזה תחום פרוץ ואיזה שמור יחסית?

"המערכת הפיננסית, בזכות דרישות רגולטוריות, נמצאת במצב טוב יותר. בעולמות הביטוח, המכשור הרפואי והתרופות יש חולשות. רמת האבטחה אינה מספקת מול איום מתעצם. אבל אני לא חושב שיש היום מגזר שבו אפשר לישון בשקט".

"מכונת CT זה משעמם, עד שאתה מראה איך אפשר לטגן מישהו מרחוק בקרינה מוגזמת"

בוא נחזור רגע צעד אחורה. איך היה המעבר מהצבא לאזרחות ולעסק עצמאי?

"השתחררתי בדרגת קצין אקדמאי בכיר, שמקבילה לסרן, ושבועיים אחרי השחרור סגרתי חוזה ראשון. הוא היה גדול יותר מסך כל ההכנסות שלי בצה"ל מיום גיוסי ועד השחרור מקבע, וזה גרם לי להבין שיש בשוק ביקוש עצום לתחום".

מה היה החוזה הראשון?

"עבודה מעניינת מאוד בשביל פיליפס. מי שהיה אז מנהל מערכות המידע של החברה, ג'רון טס, נתן לי הזדמנות ממש עם השחרור".

מחוד החנית של הסייבר הצה"לי לעיסוק במערכות בריאות אזרחיות — זאת חתיכת נפילת מתח.

"שום דבר לא יהיה מעניין ומגניב כמו בצבא, אבל אנחנו עובדים עם חברות מעניינות מאוד. כשנותנים לך לבדוק מכונת CT בפיליפס זה נשמע הכי אפור בעולם, עד הרגע שאתה מדגים איך אפשר לטגן מישהו מרחוק עם קרינה מוגזמת. זאת התקפה שיכולה להכניס הרבה מאוד מתח למערכת".

התקפה מדינתית קשה יותר להגנה. רוב הארגונים המסחריים לא יודעים לעמוד בפני התקפה מדינתית. אם מדינה תתקיף בנק ישראלי, הוא ייפול. במפורש"

שנתיים אחרי הקמת CYE, ב־2014, הצטרפו לארונשוילי השותפים מתן חן, גבי לבנברג ואייל גרינברג, גם הם בוגרי מצו"ב. החברה, שיושבת בהרצליה, מעסיקה 70 עובדים, ולפני כשנתיים גייסה עשרות מיליוני דולרים מקרן ההון סיכון 83North וממשקיע סינגפורי. "אנחנו רווחיים מהיום הראשון והמשקיעים שלנו יודעים שלא היינו צריכים את הכסף אלא את הקשרים", אומר ארונשוילי. לצד המשרדים בהרצליה CYE מחזיקה משרדי מכירות בגרמניה, אנגליה, שוויץ ובארצות הברית, "שם אנחנו בונים פעילות שתהיה יותר ממכירות".

"פרצנו לשרתים של חברת חשמל גדולה ומצאנו עליהם מלא אתרי פורנו"

כמי שפורץ למחייתו לחברות עסקיות, מה התובנות שלך בנוגע להגנה שלהן?

"הרבה פעמים נלחמים את מלחמות העבר, והרבה יותר פעמים את מלחמות העתיד — בזמן שאנחנו לא מוכנים לאיומי ההווה. זאת הבעיה הכי גדולה. אתה מגיע לארגונים ומוצא שכמעט כל סעיף בתוכנית השנתית מתחיל במילים 'נקסט ג'נריישן', ושואל 'מה עם הדור הנוכחי?'

"אתה פוגש כלי הגנה מפוארים, הכי טובים שיש, ומצד שני אתה מגלה שהססמה של 80% מהמשתמשים בארגון יכולה להיפרץ בפחות מ־30 שניות. הססמה הכי נפוצה היא שם הארגון + סימן קריאה + 123. או ווינטר סימן קריאה 123. או סאמר סימן קריאה 123.

"לרוץ ולנחש ססמאות זה הדבר הכי מטומטם שאפשר לעשות, אז אנחנו עושים את זה קצת אחרת. לא לוקחים יוזר ומנסים עליו את כל הססמאות, אלא לוקחים את כל היוזרים שאנחנו מכירים ומנסים על כל אחד 3־2 ססמאות כדי לא לנעול אותם וכדי שהארגון לא יזהה את ההתקפה. בהתקפה של 10 דקות אתה מזהה יותר מ־50% מהססמאות בארגון".

תורג'מן. "הוא אמר לי: 'בעוד יומיים יש פסיכומטרי, תיגש'. זה סלל את העתיד שלי". צילום: ויקיפדיה

עכשיו הקורונה העבירה רבים לעבודה מהבית, וזה ודאי גן עדן לתוקפים.

"היום עובדים מהבית על מודם, שבדרך כלל הססמה אליו היא הנייד שלך. לכן לתקוף בבית הרבה יותר קל. יש כאלה שהוסיפו עוד שכבה, אבל אם רוצים לטרגט ארגון, אני עושה רשימה של העובדים ומתחיל לטרגט אותם אחד אחרי השני בבתים שלהם. לכן השאלה היא אם הבאת את הארגון להיות מספיק בריא בהווה, כדי שתרשה לעצמך להסתכל על ה'נקסט ג'נריישן'. כמה ארגונים הצליחו להגן על עצמם מההתקפות הוויראליות הכי טיפשיות שיש? לא הרבה. לכן השאלה היא לא אם אנחנו יכולים להיות במצב שאף פעם לא יתקפו אותנו, אלא מתי יתקפו ואיך נדאג לנזק מינימלי".

קיימת טענה שבישראל צומחים "קילרים" של יכולות תקיפה, גם הרסניות.

"זה נכון. יש בארץ הרבה מאוד יכולות, שבידיים הלא נכונות יכולות לייצר נזק דרמטי".

כלומר?

"נדבר למשל על Stuxnet (תולעת מחשב שב־2011 פגעה בתוכנית הגרעין האיראנית, ונטען שפותחה בידי ישראל וארצות הברית). זאת אחת ממתקפות הסייבר הקשות שהיו, ועד היום התקפות כאלה פועלות בעולם. יש מי שיגידו לכם שלישראל היתה תרומה גדולה למתקפה הקשה שמיוחסת לאיראנים על מתקני הנפט בסעודיה בספטמבר האחרון. לא שישראל עשתה את המתקפה, אבל שהכלים איכשהו קשורים אליה.

"אחת ממתקפות הסייבר הקשות, wannacry (מתקפת כופר על אלפי מחשבים ב־2017), התבססה על כלי שדלף ממחשבי ה־NSA. כמה העולם שילם על זה? תחשבו רק על ההשפעה הכלכלית, שלא לדבר על זה שבחלק מהמתקפות אנשים גם מתים".

"אתם מגלים גם את התוקפים עצמם, או רק פרצות אבטחה?

"כן, באמצעות שימוש בכלים אופנסיביים. קרה לנו המון פעמים שביצענו 'תקיפה' ומצאנו שכבר יש מישהו על השרת. לסלק אותו זה בדיוק מה שאנחנו עושים. עבדנו עם חברת חשמל מהגדולות בעולם, מאות אלפי עובדים, הגענו למצב שאנחנו שולטים לחלוטין בארגון, ומצאנו שם מלא אתרי פורנו".

פורנו בחברת החשמל?

"מי שפרץ לא עשה משהו זדוני לארגון, הוא רק השתמש בשרתים שלו לאירוח יציב וחינמי. יש יחס ישיר בין גודל הארגון לקלות שבה ניתן לתקוף אותו. לארגונים גדולים הרבה יותר קשה להגן על עצמם".

תמיר פרדו דיבר על כך שהמתקפה הגדולה הבאה תהיה נגד מי שימצא חיסון לקורונה.

"זה ברור, וזה נוגע ב'רוטב הסודי' שלנו: כמה תוקף צריך להשקיע כדי לתקוף אותך. אנחנו מכוונים לכך שההשקעה בהתקפה תהיה יקרה ולא משתלמת ביחס לרווח שהתוקף יפיק ממנה".

אפשר להניח שהחיסון לקורונה יותקף לא רק בידי גורמים פרטיים, אלא גם מצד מדינות.

"התקפה מדינתית נחשבת קשה יותר להגנה. רוב הארגונים המסחריים לא יודעים לעמוד בפני התקפה מדינתית".

אם מדינה תתקיף בנק ישראלי, הוא ייפול?

"כן, במפורש".

ואם צפון קוריאה תתקוף את חברת מודרנה, שמפתחת חיסון, או את אוניברסיטת אוקספורד?

"בנושא כל כך רגיש יש למדינות שתי דרכים: להשקיע המון במחקר, או לחכות שמישהו ימצא חיסון ואז להשקיע בניסיון לגנוב אותו. הגישה המסורתית שמיוחסת לסין — לא לכל החברות, כמובן — היא שמידע משיגים בכל דרך. והמוטיבציה ברורה, כי אני לא רואה את טראמפ מאפשר למודרנה לדאוג לסינים לפני שיכסה את כל ארצות הברית עם חיסון. המצב הגיאופוליטי קשור לעניין ומשפיע מאוד".

"שיניתי את שם המשפחה של הילדים שלי, אבל השיח על קיפוח לא רלבנטי"

ארונשוילי נשוי לרעות, חברתו מהתיכון, ולהם שתי בנות ובן, בני 6 עד שנה. רעות היא סמנכ"לית משאבי אנוש ב־CYE, אחיו הגדול חיים עובד בחברה כמנהל הרכש, ואחותו הקטנה סיוון, שלומדת מדעי המחשב בטכניון, אמורה גם היא להשתלב בחברה.

לאחיך קוראים אהרוני. נתקלת בסטיגמות סביב שם המשפחה שלך?

"לילדים שלי שיניתי את השם כדי שיהיה להם יותר קל לבטא, אז הם לא ארונשוילי אלא אהרוני. אני נשארתי ארונשוילי. אני לא מתרגש מהעניין של הסטיגמות, זה לא הזיז לי, אבל ילדים זה כן יכול להכניס לפינות. אני לא נגד עברות שמות, אבל מהסיבות הנכונות: כדי להרגיש יותר ישראלים, לא כתגובה לאפליה ולגזענות. אני לא אוהב לראות שמנסים ללבות את זה פוליטית".

לא נתקלת בקיפוח?

"לא, ואני לא מאמין בקיפוח. אם נבחן את זה אובייקטיבית, היו לי הזדמנויות דומות לאלה של ילדים מתל אביב, ואני פשוט ניצלתי את כולן. זה לא שאין שיח על קיפוח בישראל, אבל אני חושב שהוא לא רלבנטי ולא צריך להיתפס בו. הכי חשוב זה שהגענו לפה, הקמנו חברה ש־70 אנשים מתפרנסים ממנה. בינתיים זו התוצאה של כל הסיפור".

פרדו. "המתקפה הגדולה הבאה תהיה נגד מי שימצא חיסון לקורונה". צילום: יאיר שגיא

מה עזר לך לשבור את הסטטיסטיקה של המקום שממנו באת?

"דרייב. הגדרתי לעצמי לאן אני רוצה להגיע. בהתחלה מטרות קטנות: להתקבל לאוניברסיטה, להשלים תואר. יש אנשים בשכונה שכדי להרוויח כסף התחילו מיד לעבוד, כי אין ברירה. גם אני הייתי צריך כסף, אבל עבדתי כבודק תרגילים. ואז אתה מבין שבעבודה חכמה אתה גם יכול להשכיל וגם לפתח את העתיד שלך.

"זה רעב שלילדים שלי אין היום. כשהבת שלי, בת חמש וחצי, מבקשת לדעת מתי היא תקבל טלפון וטבלט, אתה יודע שזאת ילדות אחרת. אני לא מת על זה, די מבאס אותי שהילדים שלי גדלים ככה. לא חסר להם כלום, החיים מאוד נוחים. החשש המרכזי הוא שאם חסר להם את הדרייב שלי היה, איפה זה ישים אותם. צריך להיות רעב למשהו בחיים כדי להצליח. לא רעב ללחם. רעב להשיג".

במבט לאחור, מעבר להורים שדחפו ותמכו, אתה יכול להצביע על המורה שקידם אותך, שזיהה את הפוטנציאל וסימן לך את הדרך?

"היו לי מורים אכפתיים, שרואים הצלחה וכישלון כמשהו אישי. סלים קוסטה, למשל, היה מורה מיוחד מאוד. הוא היה נותן לי הרבה קרדיט, בחלק מהשיעורים היה אומר לי 'תעביר לי את השיעור'. הוא היה ראש מסלול אלקטרוניקה ורובוטיקה בתיכון ומי שנסע איתי לאוניברסיטת תל אביב להציג את פרויקט הגמר שזכה במקום ראשון".

מה היה הפרויקט, אגב?

"הראינו יכולת סנתוז של כלי נגינה, בהתבסס על חיישנים רובוטיים. לפני 20 שנה זה נראה נורא סקסי, ליצור קולות באמצעים אלקטרוניים עם סנסורים".

מי קידם אותך בהמשך?

"אבא של אשתי, שגדלה איתי. היתה לו תפיסה אחרת לחיים, יותר הישגית וממקום פרקטי מאוד, מה אפשר ומה אי אפשר לעשות. ניהלנו הרבה שיחות שעזרו לי. וכמובן ההורים שלי — אמא היתה הגורם שנלחם, אבא שלי היה הרבה יותר אירופי בגינונים, וגאה בנו במידה אינסופית. הוא הגיע מחינוך של ברית המועצות וגיאורגיה. אני לא מכיר הרבה אנשים עם כוח להמשיך לקום כל בוקר בחמש וחצי, לצאת לעבודה בשש ולעבוד הרבה בידיים. יש להורים שלי כוח מיוחד שאני לא מבין את המקור שלו. אנשים מאוד לויאלים למקום שבו הם חיים, לעבודה, וחמים בצורה חריגה. אבא שלי לא מפסיק להגיד לנו כמה הוא גאה בנו וכמה היה לו חשוב שנהיה ילדים טובים ושלא נסתבך לפני שנהיה מוצלחים. אחרי כל כך הרבה שנים יחד, ההורים שלי דומים מאוד".

המקום שהצמיח את סינגולדה ובודאי
פחות תהילה, לא פחות יוקרה

יחידות המודיעין שזוכות למרבית התהילה הן 8200 ו־81, ובוגריהן המחוזרים מתפזרים במהירות בין חברות הסייבר והביג דאטה. יחידת מצו"ב, ששייכת לחיל התקשוב, זוכה להרבה פחות תהילה, אף על פי ששהיא ניצבת בחוד החנית הצה"לי בתחום ההצפנה. שני בוגרים מפורסמים של היחידה הם אדם סינגולדה, שייסד את חברת טאבולה זמן קצר אחרי שחרורו ממצו"ב. "הבנתי שאחרי שירות כמו שעברתי אין לי טעם לעבוד עבור חברות אחרות", התבטא אז; הבוגר הנוסף הוא מיקי בודאי, מיזמי הסייבר המובילים והמצליחים בישראל, שעומד מאחורי שורה של אקזיטים בולטים בתחום האבטחה, מאימפרבה עד טראסטיר.

מצו"ב היא אחת ממחלקות חטיבת ההגנה בסייבר, האמונה על פיתוח יכולות הצפנה והגנת מערכות מידע טכנולוגיות. היחידה מוגדרת אף כגוף לאומי שתפקידו לספק מענה בפתרונות הצפנה לכלל גופי הביטחון במדינת ישראל. היחידה היא הסמכות המקצועית העליונה ומוקד הידע הלאומי בתחומי הצופן, ההגנה והסיכול במרחב הסייבר. הצוות האדום, שהוא חלק ממצו"ב, עוסק, בין היתר, בתקיפת מערכות ורשתות של יחידות צבאיות על מנת לחשוף פערים וחולשות ולהביא לתיקונם.

מאיר אורבך