Dutch: Financieel Dagblad Cybersecurity is hot

financieele_dagblad.750De euforie die de laatste jaren heerste onder investeerders in cybersecurity is even getemperd. Cybersecurity is een ratrace en de technologie veroudert snel, met alle risico’s van dien. Toch voorzien kenners dat deze markt de komende jaren zal doorgroeien.

Weinig mensen zullen zo uitbundig hebben gejuicht na het hacken van Sony als Andrew Chanin. De 30-jarige Amerikaan uit Mendham, New Jersey, had net zijn jongste beleggingsfonds op de markt gebracht toen hackers van ‘Guardians of Peace’ inbraken bij de filmdivisie van Sony. Hun eis — Sony moest de release van de Noord-Koreaparodie The Interviewannuleren — leidde tot wereldwijde media-aandacht. Privégegevens van medewerkers lagen op straat, bioscopen wilden de film vanwege terroristische dreigementen niet meer vertonen, en Sony capituleerde.

Voor Chanin kon de timing bijna niet beter zijn. Met zijn eenmanszaak PureFunds had hij al tweemaal geprobeerd een ‘etf’ (exchange-traded fund) in de markt te zetten, een speciaal type beleggingsfonds dat niet zelf beleggingsbeslissingen maakt, maar simpelweg de samenstelling van een beursindex kopieert. Dit is gewoonlijk het domein van beleggingsreuzen als BlackRock en Vanguard, maar Chanin dacht een gat in de markt gevonden te hebben. In diezelfde maand, november 2014, had hij een etf geïntroduceerd op een speciaal daarvoor ontwikkelde index met cybersecuritybedrijven. De eerste in zijn soort.

Het liep daarna storm bij het fonds van Andrew Chanin, dat het toepasselijke tickersymbool ‘HACK’ had meegekregen. Beleggers wilden zo graag deelnemen in zijn mandje van cyber-securitybedrijven zoals Palo Alto Networks en Barracuda Networks dat ze binnen driekwart jaar al $ 1,4 mrd bij hem hadden geparkeerd. Het leverde de Amerikaanse eenpitter een aantal prijzen in de etf-industrie op. Plus jaarlijks $ 9 mln aan beheervergoedingen. Andere bedrijven, zoals Nasdaq, volgden al snel met vergelijkbare producten.

De Sony-hack en andere digitale inbraken, zoals die bij de overspelwebsite Ashley Madison in juli 2015, leidden het afgelopen jaar tot grote aandacht voor digitale beveiliging. ‘Met hackers hebben we al sinds de begintijd van het internet te maken’, zegt Dennis Bruin van EVO Venture Partners, een investeerder in cybersecurity. ‘Maar mede dankzij de recente hacks wordt er nu echt anders naar digitale veiligheid gekeken. Een van de bedrijfjes in onze portefeuille biedt servers een manier om te herstellen, nadat ze zijn getroffen door een DDOS-aanval. Drie jaar geleden kreeg je zoiets niet verkocht, maar nu snapt iedereen wat het is.’

Het zijn in de eerste plaats bedrijven die hun uitgaven aan de eigen cyber-security opschroeven. Volgens adviesfirma SSP Blue is de wereldwijde markt nu ongeveer $ 75 mrd, en zal die in 2020 $ 170 mrd bedragen: een ruime verdubbeling. ‘Security was tot voor kort echt iets van IT’, zegt consultant Bram van Tiel van PwC. ‘Zo van: “regel het maar”. Maar dat is nu wel anders. Het onderwerp belandt nu bij meer organisaties op directieniveau.’

Omdat tegenwoordig steeds meer verbonden is met het internet, is het veel lucratiever geworden om te hacken, stelt Aldebert Wiersinga van Value Creation Capital, een investeerder in technologiebedrijven. ‘Wie voorheen gehackt werd, had bijvoorbeeld een probleem met e-mail, een secundair proces. Maar nu is een olieboorplatform bijvoorbeeld ook online, dus is ook het primaire proces kwetsbaar. De security-exposure gaat -exponentieel omhoog.’

De laatste twee jaar groeide de cybersecuritymarkt dus onstuimig, maar in 2016 lijkt er een soort van kentering zichtbaar. De beurskoersen van bedrijven uit de sector dalen, en ook de investeringen in niet-beursgenoteerde bedrijven maken een pas op de plaats. 2015 was nog een recordjaar, waarin investeerders bijna $ 4 mrd in cybersecuritybedrijven stopten. Dat was ruim $ 1 mrd meer dan in 2013, zo blijkt uit cijfers van CB Insights. Een bedrijf als het Amerikaanse Tanium, dat gebruikers in staat stelt digitale inbraken snel te ontdekken, haalde tweemaal financiering op en zag zijn waardering verdubbelen tot $ 3,5 mrd. Maar reeds in het vierde kwartaal daalde het tempo en ook dit jaar zijn er minder deals dan vorig jaar.

‘In 2014 en 2015 is de markt steeds actiever geworden en zijn de waarderingen van bedrijven hoog opgelopen’, zegt Cornelis Smaal, specialist in technologiedeals van PwC. ‘Maar je ziet in 2016 dat de brede fusie- en overnamemarkt minder is. Dat geldt ook voor cybersecurity.’

Patrick Polak van Newion, een investeerder in softwarebedrijven, had een jaar geleden vier dossiers van mogelijke investeringen in de sector op zijn bureau liggen. ‘Er gaat echt ont-zet-tend veel geld naar die markt’, zegt hij. ‘Wij hebben afgezien van deze investeringen, omdat het een enorme ratrace is. Wat vandaag geavanceerde technologie is, is morgen uit. Het afbreukrisico is groot.’

Een van de problemen die Polak signaleert, is dat er veel verschillende manieren zijn om cyberaanvallen tegen te gaan. ‘De ene feature is nog niet klaar, of de volgende moet al komen. Banken hebben bijvoorbeeld wel 60 verschillende leveranciers van doeloplossingen.’ Dat maakt het lastig om in te schatten welke technieken blijvend relevant blijken en welke eendagsvliegen zijn.

‘Er is een nogal sterke neiging bij bedrijven om nieuwe oplossingen toe te voegen aan wat ze al hebben’, zegt cybersecurityspecialist Jelle Niemantsverdriet van Deloitte. ‘Daardoor ontstaat veel complexiteit, en daar wordt het niet altijd veiliger van. De “silver bullet”, het ultieme effectieve wapen, is er zeker nog niet.’

Nu de dealmarkt iets minder hard draait, kijken investeerders kritischer naar wat een bedrijf precies doet. Volgens de specialisten is er in elk geval één duidelijke trend in het type oplossingen waar vraag naar is: acceptatie. ‘Het bouwen van een slotgracht die alle aanvallen tegenhoudt, is niet meer van deze tijd’, zegt Niemantsverdriet. ‘Je kunt niet alle aanvallen voorkomen. De aandacht verschuift dus meer naar detectie van aanvallen, en dan naar het beperken van de schade en een snelle reparatie.’

Pieter van Bodegraven van investeerder Main Capital zag het afgelopen jaar veel securitysoftwarebedrijfjes opgekocht worden nog voordat ze ¤ 10 mln omzet hadden behaald. Grotere software- of securitybedrijven wilden zo nieuwe technologie binnenhalen. ‘Het was zo hot dat iedereen die zijn kop even boven het maaiveld uitstak, al opgekocht werd. Maar nu zijn investeerders iets realistischer, zeker als het gaat om “early stage deals”. Hoe dat komt? Ik geloof dat ongeveer een half procent van de start-ups daadwerkelijk succes heeft. Dus niet alle verwachtingen zijn uitgekomen.’

Ook Patrick Polak denkt dat enkeleinvesteerders zich zorgen beginnen te maken ofze na de gekte nog wel voldoende rendementvoor hun aandeelhouders maken. ‘Exit-waarderingen zijn nu stabiel, maar groeien niet.Ik denk dat we dus een kentering krijgen aan dein-kant. Zoals de markt nu is, gaat het niet heellang verder. Je ziet de eerste kreukjes alontstaan bij grotere bedrijven die lagergewaardeerd worden. Ook wordt er minder vaakvoor een beursgang gekozen en in plaatsdaarvan voor een nieuwe financieringsronde.’

Op de beurs wordt dus niet meer ieder cybersecurity-aandeel klakkeloos opgepikt, zo zal ook Andrew Chanin hebben gemerkt. Door koersdalingen en een beetje uitstroom is het belegd vermogen in HACK inmiddels geslonken tot een kleine $ 700 mln. Dat wil niet zeggen dat de waarderingen helemaal zijn ingezakt: beleggers betalen nog altijd ruim dertig keer de winst voor een aandeel. Voor een gemiddeld aandeel in de brede MSCI World-index is dat nog geen zeventien keer. Beleggers, met andere woorden, rekenen nog altijd op een enorme winstgroei in de toekomst.

Bram van Tiel heeft een statistiek die hen tevreden zal stellen. Terwijl de wereldwijde uitgaven voor cybersecurity vorig jaar $ 60 mrd groot waren, gaven cybercriminelen bij elkaar naar schatting $ 300 mrd tot $ 600 mrd uit aan hun digitale inbraken. De kans op een fotogenieke hack die de sector weer vol in het licht zal zetten is dus bepaald niet kleiner aan het worden.

Bron: FD.nl