Pobjegla je iz Irana i postala izraelska cyber špijunka, a sada je skupila 30 milijuna dolara za startup
Sanaz Yashar studirala je biologiju na sveučilištu u Tel Avivu kada je dobila poziv od elitne izraelske jedinice za cyber nadzor, Unit 8200.
Ona je imala možda i najneobičniji život od svih svojih vršnjaka. Kad je bila tinejdžerica, Yashar je s obitelji u Izrael pobjegla iz Teherana – glavnog grada jednog od najvećih geopolitičkih neprijatelja Izraela. Upravo njena prošlost zapela je za oko jedinici Unit 8200, izraelskom ekvivalentu agencije za nacionalnu sigurnost. Yashar je znala farsi i iransku kulturu, što je bilo korisno za prikupljanje informacija o njenoj rodnoj domovini.
Nakon što je 15 godina provela u izraelskoj obavještajnoj službi i još sedam u privatnom sektoru, Yashar je sada prikupila 30 milijuna dolara za novi pothvat imena Zafran. Ovaj startup za cyber sigurnost želi spriječiti špijune i cyber kriminalce da iskorištavaju poznate slabosti i upadaju u mreže kompanija. Ona želi riješiti jedan od najvećih problema: prosječna povreda podataka žrtvu stoji oko 4,5 milijuna dolara, pokazuju podaci IBM-a iz 2023. godine, a ranije studije pokazale su kako cyber napadi globalnu ekonomiju svake godine koštaju stotine milijardi dolara.
Sanaz Yashar, izvršna direktorica i suosnivačica, Zafran.
To je gotovo pa biologija, kao platforma koja se sama obnavlja.
Premisa Zafrana je jednostavna, iako tehnički komplicirana: odrediti koje postojeće digitalne slabosti predstavljaju najveću opasnost za klijenta, a zatim im objasniti kako koristiti tehnologije koje već imaju na raspolaganju kako bi umanjili rizik. Zafran to čini skeniranjem mreže klijenata i ispitivanjem API-ja kako bi vidjeli koje kontrole mogu ispraviti otkrivenu slabost. Svoja otkrića prevode u nešto što može shvatiti osoba bez velikog tehničkog znanja, kaže Yashar.
“To je gotovo pa biologija, kao platforma koja se sama obnavlja,” kaže ona, objašnjavajući kako njihov proizvod praktički pregledava “tijelo” svakog klijenta kako bi odredio kako najbolje odbiti infekciju.
Ideja je rođena tijekom istraživanja ransomware hakiranja u bolnici dok je Yashar radila u Mandiantu, kompaniji za odgovore na cyber incidente. Yashar i budući suosnivači tvrtke, Ben Seri i Snir Havdala, radili su u različitim kompanijama za sigurnost, ali svi su istraživali isti incident. Nisu uspjeli spasiti dokumente bolnice, a kasnije su ostali zgroženi kad su saznali da je bolnica čitavo vrijeme imala tehnologiju koja je mogla spriječiti upad. Vidjeli su da se to isto događa nekoliko puta. “Dosta mi je ovoga, ne mogu to više gledati,” rekla je Yashar tada Seriju. On je na to vikend proveo osmišljavajući prototip onoga što će kasnije postati Zafran. Yashar, Seri i Havadala napustili su svoje poslodavce i započeli vlastitu tvrtku krajem 2022. godine.
Zafran je nedavno otkrio kako su dosad prikupili 30 milijuna dolara sredstava, a među investitorima u startup su i neki “teškaši” industrije. Tu je Doug Leone, milijarder i investitor u Sequoiju, koji je i ranije investirao u uspješne izraelske startupove za cyber sigurnost poput Wiza i Cyere, a u Zafran su također investirali i Gili Raanan, osnivač izraelske kompanije Cyberstarts i njegov partner Lior Simon, kao i Penny Jar, investicijski fond košarkaške zvijezde Stepha Curryja.
“Umanjivanje prijetnji je, jednostavno rečeno, užasno teško. Razlog za to jest što morate dubinski razumjeti mrežu klijenta,” objašnjava Raanan. “Prijetnju možete eliminirati umanjujući ju putem postojećih kontrola. To je nova znanost u cyber sigurnosti i upravo zato su svi uzbuđeni oko Zafrana.”
Fokus tvrtke trenutno je na brzom rastu. Već imaju 12 klijenata, kaže Yashar, uključujući jednu zdravstvenu organizaciju, ali ne otkriva imena. Leone, koji je član odbora, kaže kako se tvrtka neće fokusirati da postane sljedeći milijarderski startup. “Status jednoroga je mjera samo za taštinu,” kaže Leone koji je Sequoiju vodio preko 25 godina. “Skreće vam pažnju s onog što je važno. Sljedeće što moramo učiniti je brzo razviti model prodaje.”
Startup ulazi u industriju vrijednu bilijun dolara, prepunu tvrtki koje tvrde da mogu zaštititi biznise od neposrednih online prijetnji. Zafran će morati uvjeriti direktore za sigurnost da njihov proizvod zapravo može zaustaviti sve veći val incidenata koje drugi nisu uspjeli spriječiti. “Tvrtke su mnogo uložile u otkrivanje i reakciju, u preventivne mjere, ali još uvijek vidimo proboje,” kaže Erik Nost, viši analitičar u Forresteru. Sada tehnologije moraju doseći nevjerojatnu skalu i brzinu kojom se danas kreću kriminalci i digitalni špijuni, dodaje.
Yashar o tome zna sve. U Unitu 8200 ona je postala časnica 2004. godine, a odabirala je strane mete i odlučivala kako ih najbolje nadzirati. “Ona je odlična u kreativnom razmišljanju,” kaže bivši zapovjednik jedinice Ehud Schneorson. “Dijelom je to zato jer je došla iz druge kulture, ali također i zato jer je bila nova u Izraelu i željela se dokazati.”
Sredinom 2010-ih, Yashar je željela otići iz vojske i pridružila se Cybereasonu, novoj kompaniji bivšeg zaposlenika jedinice Liora Diva. Yashar je došla na čelo njihovog cyber obavještajnog tima 2016. godine, a istraživala je neke od najvećih slučajeva hakiranja koji su se događali diljem svijeta. Vrijednost Cybereasona 2021. je godine dosegla 2,7 milijarde dolara, no otada su zaposlenici masovno napustili tvrtku, uključujući Diva, a vrijednost je pala za čak 90 posto.
Godine 2017. dospjela je u epicentar onoga što je kasnije postalo najkatastrofalniji cyber napad u povijesti. NotPetya je bio destruktivni malware dizajniran da uništi žrtve među kojima su bili i korporativni giganti poput pravne tvrtke DLA Piper i tvrtke za globalni transport Maersk. Yashar je također predvodila rad Cybereasona u Ukrajini – nultoj točki za napade – kako bi shvatila maliciozni softver. Do ključnog otkrića došla je nedugo nakon slijetanja u Kijev: NotPetyja mogao se ugasiti. Svi zaraženi mogli su praktički jednostavno isključiti softver i kod sve više ne bi mogao širiti ni kodirati datoteke. Yashar i Div tvrde kako je tim kasnije radio s ukrajinskom cyber policijom na analizi koda softvera. Ukrajinska policija nije odgovorila na upite za komentar.
“Pronašli smo sve ruske programe za neovlašteni proboj u sustav. Bilo je suludo,” prisjeća se ona. U listopadu 2020. godine, američko ministarstvo pravosuđa za napade je okrivilo ruske špijune u obavještajnom direktoratu GRU.
Tijekom pet godina koje je provela u Mandiantu, kojeg je Google 2022. kupio za 5,4 milijarde dolara, ponovno se fokusirala na Iran. Istraživala je skupinu APT33 čija meta su dugo bile velike zračne i petrokemijske kompanije. “Oni su vrlo moćni,” kaže Yashar. “Pronašla sam ih u više od pet organizacija, uključujući ključnu infrastrukturu.”
Malo je onih koji su po prvi put osnovali startup za sigurnost, a koji se mogu pohvaliti toliko dubokim i raznovrsnim iskustvom. “Većinu svog odraslog života provela je u središtu analiziranja postupaka neprijatelja,” kaže Div, njen bivši šef u Cybereasonu. “Ona je ozbiljna… a ja sam dovoljno vremena proveo u ovom da vam mogu reći tko priča bajke.”
Autor originalnog članka: Thomas Brewster, Forbes
Link: She Fled Iran And Became An Israeli Cyber Spy. Now She’s Raised $30 Million For A Security Startup.
(Prevela: Nataša Belančić)
