המשקיע של אדאלום וארמיס בפנים: הטכנולוגיה שתגלה מה המתכנתים באמת עשו

הסטארט-אפ ביוניק, שמעביר את האפליקציות הארגוניות דרך הנדסה הפוכה, נחשף לאחר השקעה של 17 מיליון דולר  • המנכ"ל עידן ניניו: "רוב הארגונים לא יודעים מה הארכיקטורה של האפליקציות ואיזה דאטה זורם דרכן"

מייסדי ביוניק עידן ניניו ואייל ממו / צילום: יונתן בלום
מייסדי ביוניק עידן ניניו ואייל ממו / צילום: יונתן בלום

לפני שנה וחצי כאשר עידן ניניו ואייל ממו הגיעו למשקיע גילי רענן, מייסד קרן סייברטארטס, לא היה להם אפילו רעיון מגובש. בשלב הזה ניניו וממו (שניהם בני 29) ידעו רק שהם רוצים להתמקד בטרנספורמציה הדיגיטלית שעוברת על ארגונים מסורתיים כמו חברות תעופה, ארגונים פיננסיים וגופי בריאות, שהופכים בעצמם למפתחים מסיביים של אפליקציות ותוכנות עבור לקוחותיהם או לצרכים פנימיים. "היינו קצת תמימים", מודה ניניו בדיעבד.

רענן, שהשקיע, בין השאר, בהצלחות סייבר כמו ארמיס ואדאלום, לא התרגש במיוחד מכך שהיזמים הפוטנציאליים לא בדיוק ידעו מה הם רוצים לפתח. "הניסיון שלי הוא שגם אם באים עם רעיון מגובש, ברגע שפוגשים את השוק, הרעיון הזה משתנה דרמטית ולכן לא שווה לבזבז על זה זמן", הוא מסביר. "בהשקעות סיד אני מסתכל על הצוות, בודק איך הם חושבים, מקשיבים ומגיבים לשאלות".

רענן חיבר את ניניו וממו עם שורה של מנהלי אבטחת מידע (CISO) ומנהלי מערכות מידע (CIO) בארגונים גדולים דוגמת וולמארט וסטארבקס, שהסבירו להם ספציפית מה מפריע להם. "בגדול הם אמרו לנו שאין להם מושג מה המתכנתים שלהם עושים. בעבר כשהכל זז לאט הייתה להם עדיין דרך לשלוט אבל עכשיו כשהפיתוח כל כך מהיר יש כאוס טוטאלי והבעיה רק נהיית חמורה", אומר ניניו. שני היזמים החליטו להתמקד בלפתח כלי שיחזיר לצוותים של מערכות מידע ואבטחה שליטה על המתרחש בפיתוח מבלי להאט את הקצב שלו.

עבור רענן מה שהיה חשוב לא פחות זו החריצות של השניים. "חיברתי אותם למנהלים ביום חמישי וביום שישי בשתיים בלילה הם כבר היו בשיחות איתם. זה משהו שאומר הרבה. גם הפיידבק שקיבלתי עליהם מהמנהלים היה טוב", הוא נזכר.

במאי אשתקד רענן הוביל השקעת סיד של 4 מיליון דולר בביוניק (Bionic), החברה של ניניו (מנכ"ל) וממו (מנהל טכנולוגיות ראשי), בה השתתפו עוד שורה של אנג'לים כמו בכירים לשעבר בגולדמן זאקס, ברקליס וסימנטק. בתחילת נובמבר השנה קיבלה החברה השקעה נוספת של 13 מיליון דולר בהובלת קרן ההשקעות האמריקאית באטרי ונצ'רס ובהשתתפות רענן. היום (ה') ביוניק, שמעסיקה כבר כ-20 עובדים בישראל וארה"ב, יוצאת ממצב חשאי Stealth Mode ונחשפת לראשונה.

"רוצים לדעת מה קורה באמת בסביבת הייצור של הארגונים"

ניניו וממו מגיעים שניהם מיחידות טכנולוגיות של חיל המודיעין. ממו שירת ב-8200 וניניו ב-81. "שירתתי באותו מדור של יבגני דיברוב (ממייסדי אראמיס) ואסף רפפורט (ממייסדי אדאלום). הם השתחררו חודשיים לפני שאני הגעתי", הוא מספר. שני המייסדים הכירו בצבא דרך חברים משותפים ואחרי השירות פנו לכיוונים אחרים. ממו עבד בחברת הסייבר סימטריה, שנמכרה ונסגרה מאז, וניניו בסטארט-אפ המציאות הרבודה מג'יק ליפ. מאוחר יותר הועסקו שניהם בקרן השקעות YL ונצ'רס, שמתמחה בהשקעות סייבר, ואחר כך פנו יחד להקמת החברה.

בתחום הסייבר קיימות חברות רבות (כמו ארמיס ואקסוניוס הישראליות) שמתמקדות בזיהוי ואבטחה של ציוד קצה בארגונים, אך ניניו וממו אומרים כי הם מתמקדים בתחום אחר לגמרי - האפליקציות הרבות שהארגון מפתח. "רוב הארגונים לא יודעים מה הארכיקטורה של האפליקציות שלהם, מה הדאטה שזורם דרכן. אנחנו מנסים להבין מה המתכנתים עשו על ידי שימוש בטכנולוגיה של הנדסה הפוכה אוטומטית דרך הבסיס הבינארי של האפליקציה", אומר ניניו.

מה בעצם צוותי האבטחה ומערכות המידע לא יודעים?
"לקוח אחד שלנו הוא חברת תרופות גדולה, שמחזיקה דאטה על 200 אלף חולי איידס בארה"ב. הם לא ידעו שיש אפליקציה פנימית לבינה עסקית שניגשת לדאטה הזה, למשל. אפליקציה מרכזית של לקוח פיננסי גדול שלנו כוללת דאטה על רוב אזרחי ארה"ב, אבל אף אחד בארגון לא ידע שהיא מתחברת למוצר חיצוני. נגיד שיש אפליקציה ארגונית שמדווחת לדוגמה מה יש כל יום לאכול בקפיטריה. כמובן שלאף אחד לא אכפת ממנה. אבל אם המתכנת יוסיף לה פתאום את רשימת הלקוחות של החברה, אז היא הפכה עכשיו למשהו שצריך לבדוק אותו ולהכפיף אותו לדרישות אבטחה. אנחנו יכולים לחשוף את השינוי הזה".

לדברי ניניו, כיום מנסים צוותי Devops ואבטחה בארגונים להתמודד עם חוסר הידע על מה שמתרחש בפיתוח באמצעות סקרים שהם שולחים למפתחים ובקשות לתיעוד. "למעשה אקסל זה המתחרה הכי גדול שלנו", צוחק ניניו. הכלים הידניים הקיימים לא רק שאינם יעילים ומקשים לעקוב אחרי מה שקורה באמת, אלא גם גורמים להאטה של הפיתוח. המטרה של ביוניק היא לתת לפיתוח להמשיך לרוץ במהירות, בלי עיסוק בתיעוד מכביד, אבל עדיין שניתן יהיה לעקוב אחרי מה שמפותח.

ניניו וממו מספרים כי כדי לעקוב אחרי השינויים הם משתמשים בהנדסה הפוכה, שיטה בה משתמשים האקרים. "גם ב-8200 אנשים משתמשים בזה למטרות תקיפה כדי לדעת איפה נמצא מידע ואיך להתקדם בתוך המערכות של הארגונים. באופן ידני זה יכול לקחת חודשים וגם בסוף אתה לא מקבל תשובה ודאית כי האפליקציה כל הזמן משתנה. אצלנו זה נעשה אוטומטית בתהליך קצר מאוד", הוא אומר.

למה בעצם פשוט לא לבדוק את קוד המקור של האפליקציה ולעקוב אחריו?
"אנחנו רוצים לדעת מה קורה באמת בסביבת הייצור של הארגונים (הסביבה האמיתית -א"ד), ובשביל זה צריך להבין את האפליקציות שרצות שם. כשמסתכלים על קוד המקור יש מספר בעיות: לא ברור איזו גרסה של קוד המקור באמת רצה בסביבת הייצור; הרבה פעמים ארגונים לא יודעים איפה כל קוד המקור שלהם נמצא והוא מפוזר במקומות שונים בארגון. בתהליך הקומפילציה, הקוד עובר שינויים שיכולים להשפיע על הצורה שבה האפליקציה באמת עובדת".

לדברי ניניו, המטרה העיקרית כעת של החברה היא להגדיל את כוח האדם בפיתוח בישראל ובשיווק ומכירות בארה"ב. "אני הייתי אמור לעבור באוגוסט לארה"ב, אבל עכשיו אין טעם כי כולם עובדים גם ככה מהבית", הוא אומר. מבחינת רענן האתגר המרכזי של ביוניק הוא להוכיח רלוונטית מספיק. "הם חייבים לפתור את אחת משלושת הבעיות המרכזיות של החברה כי אחרת ללקוחות יש מעט משאבים והם ימקדו אותם בדברים אחרים. לחברה יש צ'אנס אבל חובת ההוכחה עליהם ועלי".