Cybersäkerhetsmarknaden och verksamma bolag

Till exempel blev USA:s största oljeledning, Colonial, utsatt för ett cyberintrång och var tvungen att stänga ner sin drift i fem dagar under 2021, tills dess att en lösensumma på över 4 MUSD utbetalats. Ett annat exempel är när det svenska IT-konsultbolaget Softronic vinstvarnade i december 2022 på grund av ett säkerhetsangrepp. Engångskostnaderna för detta angrepp uppgick till cirka 25 MSEK. IT-bolaget IBM uppskattar att den genomsnittliga kostnaden för en cyberattack under 2022 uppgick till mer än 4 MUSD.

Cybersäkerhet är skyddet av datorer, servrar, mobila enheter, digitala system, nätverk och data från skadliga attacker och obehörig åtkomst. Detta skydd handlar allt som oftast om mjukvarulösningar som installeras på de olika enheterna, men kan även omfatta fysiska produkter såsom brandväggar som skyddar nätverk och datorer. Behovet av cybersäkerhet växer i takt med att mängden cyberbrott ökar och att attackerna och intrången blir mer sofistikerade. Mängden cyberbrott ökar allteftersom digitaliseringen av samhället fortskrider där allt fler kritiska processer och viktig information hanteras digitalt. Vidare har möjligheten att utföra cyberattacker och intrång förenklats avsevärt samtidigt som den potentiella profiten för de som utför cyberbrott ökar.

Digitaliseringen av samhället och den ökade uppkopplingen av vardagsprylar har ökat vår sårbarhet. Exempelvis ökade risken för cyberintrång betydligt när telefonen digitaliserades och kopplades upp mot internet. Och riskerna har fortsatt att öka med exempelvis hemarbete och lanseringen av allt fler ”smarta” produkter såsom belysning, högtalare, robotdammsugare och digitaliserade bilar. När fler produkter digitaliseras finns det fler öppningar för brottslingar att attackera. Samtidigt gör den ökade komplexiteten i våra system att det finns fler svaga punkter att utnyttja, inte minst allteftersom vi flyttar mer data till molnet. Antalet cyberbrott har ökat exponentiellt de senaste åren och enligt IBM kostar detta världsekonomin flera biljoner dollar varje år.

Möjligheten att utföra cyberattacker och intrång har förenklats avsevärt. Tillgängligheten har ökat och kostnaden har minskat eftersom det har blivit vanligt att skadlig programvara och utpressningsvirus erbjuds som en service, även kallat ”Cybercrime-as-a-Service”. Cyberbrottslingar betalar helt enkelt en månatlig avgift för att få tillgång till kod som kan användas för att göra intrång, skada infrastruktur och kräva organisationer på pengar. Och för utvecklarna av koderna är detta inte bara mycket lukrativt rent ekonomiskt utan de är också juridiskt skyddade eftersom de själva inte utför någon kriminell handling.

Utvecklare av cybersäkerhetslösningar

Den allt högre risken för att bli utsatt för ett cyberbrott, och de stora kostnaderna associerat med detta, gör att efterfrågan på högkvalitativa cybersäkerhetslösningar växer kraftigt. Samtidigt implementeras nya lagar och regler runt om i världen som ställer hårdare krav på hur företag och organisationer ska arbeta med cybersäkerhet. Marknaden för cybersäkerhetslösningar växer med tvåsiffriga tillväxttal och förväntas göra så även framgent. 

Enligt marknadsundersökningsbolaget Gartner kommer utgifterna som spenderas på cybersäkerhetslösningar att öka med 11% om året fram till 2026. Och efterfrågan är mindre cykliskt än vad den är för andra hård- och mjukvaruprodukter eftersom cybersäkerhetslösningar är verksamhetskritiska.

I bilden nedan kan ni se den årliga tillväxten för några av de största cybersäkerhetsbolagen i världen. De senaste åren har de som grupp vuxit med nära 30% per år. Och framåt förväntas de växa med runt 20% per år. Notera att de historiska siffrorna är total tillväxt som inkluderar förvärv och valutaförändringar.

Årlig omsättningstillväxt för de ledande cybersäkerhetsbolagen. Källa: Coeli Global, Capital IQ.

Marknaden för cybersäkerhetslösningar definieras av snabb innovation, stora budgetar för forskning och utveckling och korta produktcykler. Säkerhetslösningarna måste konstant uppdateras för att vara ajour med de senaste hoten eftersom det hela tiden utvecklas nya virus och tillvägagångssätt för intrång. Detta innebär att de stora bolagen har ett övertag då deras utvecklingsbudgetar är större. Samtidigt är de alltid utsatta för risken att mindre uppstickare utvecklar bättre och mer innovativa produkter. Som ett resultat av detta har cybersäkerhetsmarknaden sett mycket förvärv och konsolidering de senaste åren där de ledande bolagen köper upp lovande start-ups och mindre bolag, antingen för att komplettera den egna produktportföljen eller för att minska konkurrensen.

Det överlägset största företaget i inom cybersäkerhet är Microsoft. Deras omsättning, hänförligt till cybersäkerhet, på cirka 20 miljarder USD år 2022 är mer än tre gånger så hög som den näst största aktören, Palo Alto, och närmare fem gånger så hög som den tredje största aktören, Fortinet. Och Microsoft växer snabbt. År 2020 hade bolaget en omsättning på 10 miljarder USD, vilket innebär att de har dubblat sin omsättning inom cybersäkerhet på endast två år. Idag utgör cybersäkerhetslösningar cirka 10% av Microsofts totala omsättning och andelen kommer sannolikt att växa över tid. Vi anser att Microsoft har en stark position som marknadsledare inom cybersäkerhet och kan expandera genom att erbjuda ytterligare lösningar till deras existerande kundbas och genom att vinna nya kunder med pressade priser och attraktiva paketlösningar.Omsättning 2022 för de ledande cybersäkerhetsbolagen (MUSD). Källa: Coeli Global, Company Data.

Att investera i utvecklare av cybersäkerhetslösningar har varit mycket populärt de senaste åren. Investerare har lockats av den höga tillväxten och de till synes fina kassaflödena. De fem största, renodlade, cybersäkerhetsbolagen på börsen har haft en genomsnittlig kursutveckling på över 150% sedan mitten av 2019. Kassaflödena är dock förrädiska och justerar man för det som kallas för ”stock-based compensation” (SBC) är värderingarna många gånger väldigt höga. SBC är mycket vanligt ibland amerikanska bolag, framför allt bland mjukvaruutvecklare. SBC är helt enkelt ett alternativt sätt för bolagen att betala sina anställda. I stället för att betala hela lönen kontant betalas en del av lönen ut i form av aktier i det egna bolaget. SBC bokas som en kostnad i resultaträkningen (som många bolag dock väljer att justera för när de presenterar sina justerade siffror) men förvränger kassaflödet eftersom det inte innebär pengar ut, utan nytryckande av aktier som spär ut de befintliga ägarna. Det fria kassaflödet ser helt enkelt mycket bättre ut än vad det faktiskt är och som ni kan se i bild 3 är SBC i vissa bolag så omfattande att hela det fria kassaflödet försvinner när man justerar för detta.

Värderingsmultipel (P/FCF) före och efter justering av SBC för ledande utvecklare av cybersäkerhetslösningar. Källa: Coeli Global, Capital IQ.

Vi på Coeli Global tilltalas av den strukturella tillväxttrenden inom cybersäkerhet och följer marknaden med stort intresse. Vi har dock svårt att finna någon vidare risk/reward bland merparten av de renodlade utvecklarna av cybersäkerhetslösningar i dagsläget, även om vi anser att bolag som Palo Alto och Fortinet är mycket intressanta. I Coeli Global Select har vi en viss exponering mot cybersäkerhet genom innehavet Microsoft. I Coeli Global Small Cap Select har vi exponering mot en utvecklare genom vårt innehav i Qualys. Nyligen har vi också köpt in oss den ledande distributören av cybersäkerhetslösningar, Exclusive Networks. Därtill äger vi IT-konsulten Reply som genererar mer än 10% av sin omsättning från cybersäkerhetsområdet.