למה רוב ה-MSPs מפסידים כסף על סייבר (ואיך מתקנים את זה)
סייבר אמור להיות קו השירות הרווחי ביותר שלכם. אצל רוב ה-MSPs הוא דווקא רוצח המרווחים הגדול ביותר. הנה מדוע — והתיקון התפעולי.
TL;DR
רוב ה-MSPs מפסידים כסף על סייבר משום שאספקה פנים-ארגונית גוררת שכר אבטחה שנתי של 1M$-1.5M$+ — סכום שעולה על כלל הרווח שלהם, והוא קבוע עוד לפני שירתו ולו לקוח בודד אחד. איחוד על פלטפורמה אחת מייתר את הגיוסים האלה ויכול לחסוך 700K$-1.2M$ בשנה, תוך שחזור מרווחים דו-ספרתיים בריאים.
נקודות מפתח
- מערך אבטחה פנים-ארגוני אמיתי עולה 1M$-1.5M$+ בשנה בשכר בלבד — ו-1.5M$-2M$ בתוספת הטבות, הכשרות וכלים.
- איוש כזה כולל security engineers (80K$-120K$ כל אחד), לפחות 9 SOC analysts (60K$-90K$ כל אחד) לכיסוי 24/7, SOC manager (100K$-130K$) ומומחה GRC (90K$-130K$).
- MSPs מפעילים 5-10 ספקי אבטחה נפרדים לכל לקוח, כשכל אחד מוסיף עומס של רכש, חיוב, הכשרה, אינטגרציה וסחיפת קונפיגורציה.
- כישרונות האבטחה הטובים ביותר הולכים לסטארטאפים ולחברות הטק הגדולות, מה שמכריח MSPs לגייס עובדים זוטרים ולא מספיק מוכשרים שמגדירים כלים בצורה שגויה ומפספסים איומים.
- החלפת המערך הפנים-ארגוני בפלטפורמה מאוחדת מצמצמת את עלות האספקה והופכת מרווחי אבטחה דו-ספרתיים ובני-קיימא לברי-השגה — ללא גיוסים חדשים.
הנה פרדוקס שרוב בעלי ה-MSPs לא יודו בו בפומבי.
קשור מהבלוג של Fortress: איך לתמחר סייבר ברווחיות · העלות האמיתית של ניהול 10+ ספקי אבטחה · להגדיל MRR/ARR בלי להוסיף כוח אדם · ה-Channel Enablement OS.
סייבר אמור להיות קו השירות בעל המרווח הגבוה ביותר בתיק שלהם. סקרי תעשייה מראים שזו קטגוריית ההכנסה הצומחת ביותר. הלקוחות רוצים אותו יותר מאי פעם. הביקוש מעולם לא היה גבוה יותר.
ובכל זאת, רוב ה-MSPs מפסידים עליו כסף.
אחרי 28 שנים בעולם הסייבר — כולל ניהול QMasters כ-MSSP שמשרת ארגונים, בנקים וממשלות — ראיתי את הדפוס הזה שוב ושוב. סייבר, בדרך המסורתית, אוכל את מרווחי ה-MSP בלי להשאיר שריד. ה-MSPs שמבינים מדוע הם אלה ששורדים וצומחים. אלה שלא — מדממים לאט.
הנה בדיוק מה שהורג את רווחיות ה-MSPs על אבטחה — ומה לעשות בנידון.
בעיה 1: עלויות כוח האדם אוכלות הכל
זה רוצח המרווחים השקט.
סייבר אינו IT. מערך הכישורים שונה מהותית. כדי לספק שירותי אבטחה אמיתיים — לא את הדברים הבסיסיים שרק מסמנים "וי" — צריך מומחיות אבטחה ממשית. והמומחיות הזו יקרה.
הביטו במה שמערך סייבר אמיתי דורש:
- Security engineers: 80,000 עד 120,000 דולר בשנה כל אחד
- SOC analysts: 60,000 עד 90,000 דולר בשנה כל אחד, וצריך לפחות 9 כדי לכסות משמרות 24/7
- SOC manager: 100,000 עד 130,000 דולר בשנה
- מומחה GRC/ציות: 90,000 עד 130,000 דולר בשנה
עלות כוח אדם שנתית כוללת למערך אבטחה אמיתי: 1,000,000 עד 1,500,000 דולר ויותר.
וזה שכר בלבד. הוסיפו הטבות, הכשרות וכלים, ואתם מגיעים ל-1.5 עד 2 מיליון דולר בשנה בעלות קבועה — עוד לפני ששירתתם ולו לקוח בודד אחד.
עבור MSP טיפוסי עם 20 לקוחות SMB ועם הכנסות כוללות של 1.5 עד 3 מיליון, החשבון הזה פשוט לא מסתדר. עלות כוח האדם של אבטחה פנים-ארגונית גדולה מכלל הרווח של רוב ה-MSPs.
בעיה 2: ממילא אי אפשר לגייס את הכישרונות
גם אם הייתם יכולים להרשות זאת לעצמכם, הנה המציאות השנייה שבה MSPs נתקלים.
הכישרונות הטובים ביותר בסייבר לא הולכים ל-MSPs. הם הולכים לסטארטאפים, לחברות טק גדולות או ל-SOCs ארגוניים שמשלמים טוב יותר, מציעים עבודה מעניינת ויש בהם יוקרה.
אז אפילו MSPs שמנסים לבנות צוות אבטחה מגייסים בסופו של דבר אנשים זוטרים או בדרג ביניים. אנשים שיודעים להפעיל כלים אבל לא לעצב אסטרטגיית אבטחה. אנשים שיודעים לקרוא התראות אבל לא לצוד איומים. אנשים שלומדים על חשבון הסביבה של הלקוח שלכם.
פער הכישרונות הזה מופיע בכל מקום:
- כלים מוגדרים שגוי
- איומים מפוספסים
- לקוחות מאבדים אמון
- עובדים זוטרים נשחקים ועוזבים
- אתם מתחילים מחדש
זו אחת הסיבות שלאבטחה המסופקת בידי MSP יש בעיית מוניטין. לא משום שה-MSPs לא מנסים, אלא משום שהכלכלה המבנית מכריחה אותם לגייס אנשים לא מספיק מוכשרים.
בעיה 3: מס פיזור הספקים
הנה משהו שאף אחד לא מדבר עליו בגלוי.
כדי לספק הצעת סייבר "מלאה", MSPs מפעילים בסופו של דבר 5 עד 10 כלים שונים לכל לקוח — ולעיתים יותר. כל אחד פותר חלק מהפאזל:
- זיהוי ותגובה בנקודות קצה (EDR)
- אבטחת דוא"ל
- גיבוי והתאוששות מאסון
- סינון אינטרנט
- ניהול זהויות וגישה
- סריקת פגיעויות
- SIEM/ניהול לוגים
- כלי ציות
- סימולציית פישינג
- ניטור Dark Web
כל אחד מאלה הוא ספק נפרד. חוזה נפרד. דשבורד נפרד. חשבונית נפרדת. דרישת הכשרה נפרדת.
עלות הרישוי היא רק קצה הקרחון הגלוי לעין. העלות האמיתית היא תפעולית:
- רכש: משא ומתן וחידוש של 5-10 חוזים בשנה
- חשבונות לתשלום: מעקב אחר 5-10 חשבוניות חודשיות לכל לקוח
- הכשרה: העובדים צריכים ללמוד כל כלי — וללמוד אותו מחדש בכל תחלופת עובדים
- אינטגרציה: כלים שלא מדברים זה עם זה יוצרים נקודות עיוורות והתראות שווא
- ניהול ספקים: ריבוי ערוצי תמיכה, ריבוי SLAs וריבוי roadmaps לעקוב אחריהם
- סחיפת קונפיגורציה: הגדרות ברירת מחדל, ללא כיוונון, כלים שרצים אבל לא ממוטבים
זו הסיבה שעובדי MSP נשחקים מהר. הם לא עוסקים בעבודת אבטחה — הם עוסקים בניהול כלים.
בעיה 4: תמחור שבנוי על יסודות רעועים
בגלל עלויות כוח האדם והכלים שתוארו למעלה, רוב ה-MSPs עושים בסופו של דבר אחד משני דברים — ושניהם הורגים את העסק.
אפשרות א': מתמחרים גבוה מדי. הם מקפיצים את מחיר הסייבר לכל מושב לרמות מחיר ארגוניות כדי לכסות את העלויות שלהם. לקוחות SMB נרתעים. עסקאות נופלות. ה-MSP או מאבד את הלקוח הפוטנציאלי, או נכנע ונותן הנחה גדולה — מה שהורג את המרווח ממילא.
אפשרות ב': מתמחרים נמוך מדי. הם מתמחרים מתחת לעלות כדי לזכות בעסקאות, אבל מבנה העלויות הפנימי שלהם לא יכול לעמוד בזה. הם מפסידים כסף על כל מושב, מתוך תקווה שהנפח יציל אותם. הוא לא. הם פשוט מפסידים כסף מהר יותר.
רוב ה-MSPs מתנדנדים בסופו של דבר בין שתי האפשרויות — זוכים בעסקאות במרווחים דקים, מפסידים עסקאות במחירי פרימיום, ולעולם לא בונים מערך אבטחה בר-קיימא.
בעיה 5: הם לא יודעים איך למכור את זה
זו בעיה מבנית ואנושית.
MSPs הם אנשי IT. הם מצטיינים בזמינות, ברשתות, בחומרה ובפתרון תקלות. הם לא אנשי מכירות של אבטחה.
כשהם יושבים מול בעל עסק SMB, הם גולשים אוטומטית לשפה טכנית: EDR, MFA, SIEM, zero-trust. בעל ה-SMB מתנתק. השיחה גוועת. ה-MSP הולך מתוך מחשבה ש"הלקוח הזה לא מתעניין באבטחה". האמת היא שה-MSP לא ידע איך לתרגם אבטחה לערך עסקי.
שיחות מכירה אמיתיות של סייבר עוסקות ב:
- דרישות ציות ("אתם צריכים את זה כדי לזכות בחוזה הארגוני הזה")
- ביטוח סייבר ("חברת הביטוח שלכם דורשת את זה לחידוש")
- סיכון עסקי ("אחד מכל חמישה עסקי SMB שנפגעים פושט רגל")
- מוניטין ("הלקוחות שלכם שואלים אם אתם מאובטחים")
רוב ה-MSPs לא מנהלים את השיחות האלה. לכן הם לא מוכרים. ולכן מערך האבטחה שלהם לעולם לא צומח.
אם אתם תוהים האם זה רלוונטי לעסק הספציפי שלכם, הריצו את המספרים בעצמכם. מחשבון כלכלת האבטחה ל-MSP שלנו מאפשר לכם להזין את מספר הלקוחות האמיתי שלכם, את התמחור, את עלויות הספקים ואת כוח האדם — ומראה לכם תוך 60 שניות אם אתם רווחיים, מאזנים, או מפסידים כסף בשקט.
איך מתקנים את זה
החדשות הטובות: לכל אחת מהבעיות האלה יש פתרון. החדשות הרעות: הגישה ה-MSP המסורתית לא יכולה לספק אותו. אתם צריכים שינוי מבני.
הנה איך נראה תיקון אמיתי של כל בעיה:
תיקון 1: בטלו את בעיית כוח האדם. במקום לגייס 9 SOC analysts, השתמשו בפלטפורמה שכוללת ניטור 24/7 מבוסס AI (ומעליו, אופציונלית, שכבת SOC אנושי מנוהל). צוות ה-IT הקיים שלכם מטפל ביחסי הלקוחות. אתם לא מוסיפים אף גיוס. אתם חוסכים 700,000 עד 1.2 מיליון דולר בשנה בעלויות כוח אדם שנחסכות מכם.
תיקון 2: עקפו את מחסור הכישרונות. אתם לא צריכים להתחרות בסטארטאפים על security engineers. השתמשו בפלטפורמה שנבנתה ומופעלת בידי אנשים שכבר יש להם את המומחיות הזו. הצוות שלהם הופך לצוות שלכם — בלי עלויות השכר.
תיקון 3: אחדו את פיזור הספקים. החליפו 5-10 ספקים בפלטפורמה אחת. חוזה אחד, חשבונית אחת, דשבורד אחד, מסלול הכשרה אחד. הצוות שלכם מפסיק לנהל כלים ומתחיל לספק שירותים.
תיקון 4: תמחרו ברווחיות. עם עלויות פנימיות נמוכות דרמטית, אתם יכולים לתמחר באופן תחרותי ללקוחות SMB (בטווח שהם באמת ישלמו) ועדיין לשמור על מרווח בריא. בלי עוד נדנדת תמחור.
תיקון 5: קבלו sales enablement כחלק מהחבילה. השתמשו בשותף פלטפורמה שנותן לכם את נקודות הדיבור, את מסגרות ההערכה, את זוויות הציות ואת שאלות האפיון כדי לסגור עסקאות סייבר בפועל. הפסיקו לנסות להיות אנשי מכירות אבטחה לבד.
השינוי המבני אחרי התיקון
בואו נריץ את אותו MSP — 20 לקוחות SMB, 600 מושבים בסך הכל — דרך המודל המתוקן.
לפני (הגישה המסורתית):
- רישיונות כלים ל-5-10 ספקים לכל לקוח (עלויות מצטברות)
- כוח אדם לאבטחה (אפילו חלקי): מאות אלפי דולרים בשנה
- מרווח ריאלי: דק עד שלילי על שירותי אבטחה
אחרי (הגישה מבוססת הפלטפורמה):
- פלטפורמה מאוחדת מבטלת את פיזור הספקים
- לא נדרשים גיוסים חדשים — צוות ה-IT הקיים מספק
- עלות האספקה מצטמצמת לחלק קטן מהמודל המסורתי
- מרווח דו-ספרתי בריא על שירותי אבטחה הופך לבר-קיימא
זה ההבדל בין מערך אבטחה שמנקז את העסק שלכם לבין מערך שמממן את הצמיחה שלכם.
שינוי התפיסה
השינוי המהותי אינו טכנולוגי, אלא תפיסה תפעולית.
המודל הישן אומר: "כדי לעשות סייבר כמו שצריך, אנחנו צריכים לבנות אותו בעצמנו — לקנות את הכלים, לגייס את הצוות, להפעיל את ה-SOC."
המודל החדש אומר: "סייבר מתמחה מכדי לבנות אותו לבד. הפלטפורמה מטפלת במה שמומחים עושים הכי טוב. אנחנו מתמקדים במה שרק אנחנו יכולים לעשות — קשר הלקוח, האמון, השיחה האסטרטגית."
MSPs שנאחזים במודל הישן מדממים מרווח מדי חודש ולא מבינים זאת. MSPs שמאמצים את המודל החדש צומחים בשקט ומשאירים אותם מאחור — עם אותו כוח אדם בדיוק.
מה לעשות השבוע
אם אתם בעלי MSP שקוראים את זה, הקדישו 30 דקות והריצו את המספרים על מערך האבטחה שלכם:
- כמה אתם מוציאים על רישיונות כלי אבטחה בכל הלקוחות?
- איזה חלק מזמנו של צוות ה-IT שלכם מוקדש לניהול כלי אבטחה לעומת עבודה מול לקוחות?
- מהו המרווח האמיתי שלכם על שירותי אבטחה אחרי שכוח אדם וכלים מוקצים כראוי?
- לכמה לקוחות אתם מסרבים משום שאינכם יכולים לתת מענה לביקוש לאבטחה?
אם המספרים האלה לא משמחים אתכם, המודל שבור — לא העסק שלכם.
Fortress נבנתה בדיוק לבעיה הזו. אנחנו נותנים ל-MSPs את הפלטפורמה, את הניטור מבוסס ה-AI, את ה-SOC המנוהל האופציונלי, את אוטומציית הציות ואת ה-sales enablement — בכלכלה ידידותית ל-MSP, ששומרת על מרווח בריא בכל לקוח שאתם משרתים.
שוק הסייבר הוא קטגוריית ההכנסה הצומחת ביותר עבור MSPs. השאלה היא לא אם כדאי לכם להיות בו — אלא אם הדרך שבה אתם פועלים בו יכולה לשרוד.
---
מנחם טאומן הוא מייסד Fortress Cyber וותיק תעשיית הסייבר, עם 28 שנות ניסיון. בעבר היה שותף-מייסד של QMasters, חברת MSSP שמשרתת ארגונים, ממשלות ובנקים.
רוצים לראות את המספרים הספציפיים שלכם?
הריצו את העסק שלכם דרך מחשבון כלכלת האבטחה ל-MSP החינמי שלנו. בלי שער דוא"ל, בלי טיפוח שיווקי — פשוט הזינו את הנתונים האמיתיים שלכם וראו את ה-P&L האמיתי שלכם תוך 60 שניות.
חקרו עוד: ה-Channel Enablement OS · חקרו את הפלטפורמה
נכתב על ידי
Menachem TaumanCo-Founder & CEO, Fortress Cyber
Serial entrepreneur with 28+ years of experience in cybersecurity and IT. Former CISO who has advised governments, banks, and Fortune 500 companies. Co-founded QMasters, a successful MSSP (exit x1), and pioneered the "Integrative Cyber Defense" approach. At Fortress, he's building the Channel Enablement OS that transforms how MSPs deliver and monetize cybersecurity.
עקבו בלינקדאין