- Gynnas av ökat säkerhetsfokus när digitalisering, distansarbete och flytt till molnet ökar sårbarheten för intrång
- Organisationer spås öka sina investeringar i IT-säkerhet kraftigt
- Öppen arkitektur som kan integreras i konkurrenters säkerhetslösningar
- Yubicos marginalprognos för 2023 är i underkant
- Andelen återkommande intäkter ökar över tid
- Verkar på särskilt snabbväxande delmarknad
- Finansiellt stark profil med höga bruttomarginaler
- Vi spår fortsatt god tillväxt
- Värderas klart lägre än internationell peer-grupp
- Uppköpskandidat
- Vi rekommenderar KÖP med riktkurs 130 SEK
Att komma över användarnamn och lösenord, med de behörigheter som ingår, är centralt för hackare. Klassificeringsverktyget Mitre Att&ck räknar upp 14 kategorier cyberhot med totalt 227 tillvägagångssätt. Den åttonde kategorin, stöld av inloggningsuppgifter, innehåller 17 metoder. Ibland räcker det att gissa tillräckligt många gånger – de vanligaste lösenorden i världen är ”password” och ”123456” (i Sverige är ”mamma” och ”volvo” populära). Räcker inte det, så kan exempelvis spionprogram hålla koll på tangenttryckningar, virus spridas via e-post-bilagor, databaskommandon skickas med webbformulär, och falska wifi-nätverk byta krypterade sajter mot osäkra. Att försöka lura användare att lämna ut inloggningsuppgifter brukar kallas ”nätfiske” (phishing) – det hittills största fallet drabbade portalen Yahoo år 2013, då uppgifter om 3 miljarder användarkonton läckte ut. Specialmetoder är spear phishing (”spjutfiske” riktat mot en enskild person), whaling (spjutfiske riktat mot höga befattningshavare) och angler phishing (att låtsas företräda etablerade organisationer på nätet).
Misstro skyddar
Förr gällde vallgravsprincipen: Den som väl kom över vindbryggan och in i borgen kunde ta för sig av det mesta. I dag är zero trust (nolltillit) IT-avdelningarnas filosofi. Alla inloggningar och anrop antas härröra från fiender och förrädare, även inne i borgen, och granskas därför minutiöst. Behörigheter och tillgång till filer begränsas så mycket som möjligt.
Rätt användarnamn och lösenord kan skrivas in av framgångsrika nätfiskare, eller av programkod. För att bekräfta att rätt fysisk person loggar in behövs alltså något utöver lösenordet. Principen kallas ”flerfaktorautentisering”, och bygger på att kontrollera något som användaren vet (pinkod eller liknande), har (såsom en telefon som engångskoder skickas till) eller är (fingeravtryck, iris eller andra biometriska egenskaper).
Här kommer Yubicos affärsidé in: Yubikey, hårdvarunycklar för flerfaktorautentisering. Företaget startades år 2007 av industridesignern Stina Ehrensvärd (mångårig vd, numera styrelseledamot) och hennes make, civilingenjören Jakob Ehrensvärd (chief innovation officer). Yubikeys liknar USB-minnen och finns med och utan biometrisk teknik (fingeravtrycksläsare). Du loggar in genom att skriva in användarnamnet som vanligt, och sedan ansluta nyckeln till ett USB-uttag och trycka på den (du kan även hålla Yubikey mot en kompatibel telefon). Ett otal inloggningar kan kopplas till samma nyckel.
Yubikey stödjer en rad säkerhetsprotokoll såsom FIDO2. Produkten kan integreras i en mångfald säkerhetsstrukturer och har entusiastiska och lojala varumärkesambassadörer som tenderar att sprida den internt (”land and expand”). Mer än 15 miljoner globala användare och ett tusental tjänster, webbplatser, appar och organisationer är anslutna – 22 miljoner nycklar har sålts sedan lanseringen 2008. Kundlistan är en katalog av tech-iga megabolag, såsom Amazon, Apple, Microsoft och Google. När sökmotorn utvärderade Yubikey konstaterades fördelar som bättre säkerhet, högre produktivitet och lägre supportkostnader tack vare färre IT-incidenter. Enligt kundintervjuer genomförda av konsultfirman Forrester förhindrade Yubikey 99,9 procent av alla försök till phishing och identitetskapning, och en investering betalade sig redan efter 11 månader.
Marknad och försäljning
Enligt en bedömning är den globala cybersäkerhetsmarknaden värd runt 188 miljarder USD i år, med en årlig tillväxttakt på knappt 10 procent fram till år 2030. Yubico verkar i segmentet Identity Access Management, närmare bestämt inom ”avancerad autentisering” – denna delmarknad är värd runt 4,5 miljarder USD i år och växer med närmare 14 procent per år fram till 2027, enligt en analys från IDC.
Yubikey finns i en rad pris- och funktionsklasser och snittpriset var runt 25 EUR år 2022. Yubico ökade försäljningen med 80 procent samma år, till 1 561 MSEK. De närmaste åren minskar tillväxttakten till respektabla 17–20 procent, medan bruttomarginalen håller sig runt 85 procent fram till år 2025 och EBIT ökar från 215 MSEK år 2022 till 491 MSEK år 2025. Bolagets prognos för EBIT-marginalen i år är 5–15 procent – för lågt, anser vi: 17 procent är mer sannolikt, mer om försäljningssiffrorna är oväntat starka.
Investerare gillar återkommande, förutsägbara intäkter. Yubico har en blandning av engångsintäkter (runt 85 procent, främst från konsumenter och mindre företag) och prenumerationsintäkter (främst från större företag och amerikansk offentlig sektor – 75 procent av Yubicos försäljning äger rum i Americas). Engångsintäkterna dominerar således starkt.
Engångsförsäljare nollställer räkneverket varje år, och tillväxt kräver då en mycket större försäljningsökning än i exempelvis SaaS-bolag som säljer mjukvaruabonnemang. Yubikeys är omvittnat robusta och klarar anekdotiskt att bli överkörda av gräsklippare och ätas upp av hundar. Deras mekaniska livslängd torde vara 7–12 år. Eftersom teknik och protokoll utvecklas behöver säkerhetshårdvara dock i regel bytas innan den går sönder. I praktiken ligger Yubikey-livslängden troligen någonstans mellan smarta telefoners (byts i USA efter 2,7 år) och routrars (5 år). Åtminstone vart femte år måste således Yubicos kunder köpa nytt, och denna utbytesaffär växer från runt 22 procent av volymen i år till cirka 38 procent år 2030, enligt vår prognos. Det inger förtroende i ett tillväxtperspektiv.
Långtidstrender
Antalet unika varianter av skadlig kod ökade kraftigt redan före pandemin, med uppmärksammade utpressningsattacker som Wannacry år 2017. Distansjobbande har drivit på framväxten av molnlösningar som ökar angreppsytorna och därmed intrångsförsöken. I år förväntas cyberbrottslighet kosta världen runt 36 procent mer än 2022, eller 11 500 miljarder USD – mer än två gånger Japans BNP, och en siffra som fördubblas till år 2027.
Statsstödda aktörer runt om i världen lägger stora resurser på cyberkrigföring – även krigsmateriel har blivit mer digital och molnuppkopplad, som framgår av drönarkrigföringen i Ukraina. Andra bredare, tillväxtdrivande marknadstrender är AI och maskininlärning som hjälper hackare, samt skärpta myndighetskrav på intrångsskydd (såsom presidentdekretet Executive Order on Improving the Nation’s Cybersecurity i USA).
Konkurrens
Det finns en rad stora och välkända aktörer inom cybersäkerhet. Ändå är konkurrenslandskapet för Yubicos del ganska begränsat. Typiska verksamhetsområden i sektorn är moderna virusskydd och brandväggar, nätverksövervakning, aktivitetsanalys som spårar misstänkta mönster, mjukvaruadministration, molntjänster samt endpoint-säkerhet (skydd av slutanvändarnas fysiska enheter). Googles hårdvarunyckel Titan stödjer färre protokoll och standarder, medan Feitian är ett kinesiskt företag som därför kan möta viss skepsis, och Solo Keys riktar sig till tech-fantaster snarare än till storföretag.
Uppköp är vardagsmat i cybersäkerhetssektorn och Yubico är ett utmärkt komplement till en rad stora plattformar. Företaget är därmed en given uppköpskandidat.
Värdering
När Carnegie Securities rekommendation publicerades den 18 september var EV/EBIT 20x på 2024 års prognostiserade vinster, medan riktkursen 130 SEK motsvarar EV/EBIT runt 28x. Snittvärderingen bland 32 ledande internationella börsbolag inom cybersäkerhet (vars affärsidéer skiljer från Yubicos) är runt 29x (median: knappt 25x). En annan relevant jämförelse är en svensk grupp om 25 bolag inom IT/tech, däribland Hexagon, Fortnox och Truecaller – för gruppen är EV/EBIT 17x för 2024 års vinster.
Börsnotering
I april 2023 meddelades att det börsnoterade förvärvsbolaget ACQ Bure köper Yubico för motsvarande 8,3 miljarder SEK, och sedan namnändras till Yubico (omvänt förvärv). De största aktieägarna blir investmentbolaget Bure (17,4 procent), Stina Ehrensvärd (10,1 procent), det amerikanska riskkapitalbolaget Andreessen Horwitz (6,1 procent) och Fjärde AP-fonden (4 procent). Den 20 september började Yubico handlas på First North, till kursen 101 SEK. När detta skrivs en dryg vecka senare har aktien klättrat till 116 SEK.
Vi rekommenderar KÖP med riktkurs 130 SEK.
Ovan presenterar Carnegie Private Banking en sammanfattning av en av Carnegie Securities investeringsrekommendationer. Rekommendationen distribuerades till Carnegie Securities kunder första gången den 18 september 2023 kl. 06:50.
Viktig information
Detta är ett urval av Carnegie Securities producerade investeringsrekommendationer sammanfattat av Carnegie Private Banking inom Carnegie Investment Bank AB (publ). Rekommendationen och historik kan du kostnadsfritt få tillgång till genom att maila mar_information@carnegie.se. Rekommendationen har redan distribuerats till Carnegie Securities kunder. Carnegie har tillstånd att driva bankrörelse och samtliga tillstånd att bedriva värdepappersrörelse och står under Finansinspektionens tillsyn.
Potentiella intressekonflikter
Carnegie strävar efter att, genom att tillämpa fasta rutiner, undvika intressekonflikter mellan banken och dess kunder eller mellan bankens kunder. Rutinerna är dokumenterade i Carnegies riktlinjer rörande hantering av intressekonflikter. Om rutinerna och de åtgärder som Carnegie har vidtagit för att undvika en intressekonflikt i en specifik situation inte räcker för att förhindra att kundens intressen kan komma att påverkas negativt, ska Carnegie informera kunden om arten av eller källan till intressekonflikten.
Eventuella intressekonflikter som rör presenterade investeringsrekommendationer finner du här. Om ansvariga personer inom Private Banking för att göra detta urval av investeringsrekommendationer har egna innehav i de värdepapper som rekommenderas redovisas detta nedan.