Digitale veiligheid staat steeds hoger op de agenda bij bedrijven en overheden. Cybercrime vormt jaarlijks een schadepost van honderden miljarden dollars. Maar voor beleggers is dit nog nagenoeg terra incognita.
Cyberaanvallen zijn zo oud als het internet zelf, maar sinds de Amerikaanse verkiezingen en de digitale kraak bij de Democratische partij zijn ze weer volop in het nieuws.
Ook de Nederlandse overheid is extra waakzaam richting de verkiezingen in maart, na berichten dat Nederlandse ministeries doelwit waren van hacks. Overigens door dezelfde Russische groeperingen die achter de Amerikaanse aanval op de Democraten zouden zitten.
Vaak door schade en schande wijs geworden, besteedt ook het bedrijfsleven steeds meer aandacht aan cybersecurity. Volgens een recent onderzoek van Hiscox – dat bedrijven wereldwijd verzekert tegen de gevolgen van hacken, verloren data en cyberaanvallen – kostte cybercrime de wereldeconomie vorig jaar meer dan 450 miljard dollar.
Dat nog altijd een wereld te winnen is, blijkt uit het feit dat nog steeds minder dan de helft van de bedrijven in de Verenigde Staten, het Verenigd Koninkrijk en Duitsland goed voorbereid is op een digitale aanval, aldus de verzekeraar.
In het rapport ‘Digitaal Droge Voeten’ adviseerde PostNL-ceo Herna Verhagen vorig jaar Nederlandse bedrijven 10 procent van hun ICT-budget aan cyberveiligheid te besteden. Zij deed dat op verzoek van de Cyber Security Raad.
In de praktijk ziet Jelle Niemantsverdriet, lid van het cybersecurityteam van Deloitte, dat bedrijven pas tot actie overgaan als ze zelf doelwit zijn geweest van een hack. ‘Het is de algemene dynamiek om incidentgedreven te reageren’, aldus Niemantsverdriet, die forensisch onderzoek doet bij gehackte bedrijven.
Hoewel de grootte van de markt moeilijk te becijferen is – de schattingen lopen nogal uiteen – bevestigt hij dat uitgaven aan cybersecurity zeker de laatste jaren hard zijn gegroeid.
‘Bedrijven snappen dat dit hun hele business raakt. Het is verschoven van een IT-probleem naar een algemeen probleem.’ Ze snappen ook dat niet alle aanvallen voorkomen kunnen worden.
Er is daarom vooral vraag naar software die een lek snel detecteert en repareert. ‘En in het midden- en kleinbedrijf, dat minder grote budgetten heeft, zijn managed security services in opkomst, zoals een digitale meldkamer op afstand die je netwerk in de gaten houdt en verdacht internetverkeer herkent.’
Beleggingsproducten
Groeimarkt of niet, beleggers moeten nog flink wat speurwerk verrichten als zij willen inspelen op deze ontwikkeling. Zeker in Nederland zijn er nog niet veel mogelijkheden om in de sector te beleggen.
Een van de voorlopers van eigen bodem is Trend Invest, onderdeel van Wijs & Van Oostveen. De vermogensbeheerder startte in oktober 2014 zijn ‘cyber security trend’, een ‘execution only’-product.
Van de veertien aangeboden trends op dit platform, waaronder 3D-printing en robotica, zit cybersecurity in de top vijf, aldus directeur Robert Schuckink Kool. ‘Het is behoorlijk populair en het wordt steeds populairder. Iets wat wordt versterkt door een andere trend: internet of things.’
Logisch, want als apparaten aan het internet worden gekoppeld, kleven daaraan weer veiligheidsrisico’s die ingeperkt moeten worden door cyberoplossingen.
Voor bedrijven in het beleggingsmandje – dat momenteel bestaat uit zeventien aandelen maar er maximaal dertig kan omvatten – geldt de eis dat ze jaarlijks minimaal 10 miljoen euro omzet draaien. Ook wordt er gekeken naar de verhandelbaarheid. De gemiddelde dagomzet moet 1 miljoen euro bedragen.
Verder dient een bedrijf een significant onderdeel van de omzet uit cybersecurity te halen. Het moet kortom een ‘pure play’ zijn. Schuckink Kool: ‘We hebben geen oordeel over of een aandeel duur of goedkoop is, dat is subjectief. De koers-winstverhouding, daar kijken we niet naar.’
Anders dan bij een exchange traded fund (ETF) kunnen klanten zelf afzonderlijke aandelen in de trend verkopen.
Het bekendste cyber security-product ter wereld, en het eerste in zijn soort, is de ETF van Pure Funds. De beursgenoteerde tracker met de toepasselijke ticker HACK, volgt de ISE Cyber Security Index en bestaat uit 35 aandelen, waaronder Fortinet, Check Point Software en Palo Alto Networks.
Het fonds heeft een beheerd vermogen van 893 miljoen dollar en dankt zijn populariteit deels aan goede timing. De introductie vond plaats op het moment dat de rel rond de Noord-Koreaanse hack op Sony in 2014 het nieuws beheerste.
Een geduchte, weliswaar kleinere concurrent is de CIBR van First Trust, met een beheerd vermogen van 166 miljoen dollar. Deze ETF volgt de Nasdaq CTA Cybersecurity Index, een mandje van 33 aandelen zoals Symantec, VMWare en Cisco Systems.
Beide trackers volgen overwegend Amerikaanse bedrijven, maar ook het VK, Israël en Nederland (Gemalto) zijn vertegenwoordigd. En allebei zijn verkrijgbaar in Nederland.
Schuckink Kool van Trend Invest verwacht dat de sector de komende vijf jaar nog kan rekenen op een jaarlijkse omzetgroei van 15 tot 20 procent. Ondanks dat groeipotentieel bleef het rendement van zijn trend vorig jaar achter bij het beursgemiddelde.
De cybersecuritytrend eindigde het jaar 1 procent in de min, tegen een plus van 14 procent voor de AEX (inclusief dividend) en een positief rendement van 6 procent voor de HACK van Pure Funds. 2016 was een slecht jaar voor cybersecurityaandelen.
2015 was een heel ander verhaal. Toen outperformde Trend Invest met een rendement van 24 procent de AEX (+7 procent) en HACK (+9 procent).
Volatiel
Cyberaandelen zijn dus volatiel. Cyberrisico’s en de producten daaromheen ontwikkelen zich steeds sneller. Daarom is diversificatie belangrijk, zegt ook Jelle Niemantsverdriet van Deloitte. ‘Bedrijven die met een silver bullet komen, kunnen heel snel groeien. Maar voor gespecialiseerde aanbieders is het afbreukrisico groot.’
Dat merkte ook FireEye, een bedrijf dat zich lange tijd profileerde als expert in het opsporen van diefstal van intellectueel eigendom door China. In 2015 sprak toenmalig president Obama af met zijn Chinese evenknie Xi Jinping dat beide landen elkaar niet meer uit economisch oogpunt zouden hacken.
Het aandeel (onderdeel van de portfolio van HACK en CIBR) kelderde. Niemantsverdriet: ‘Als een oplossing opeens minder nuttig of waardevol is, kan dat enorme impact hebben.’