investering

Usikkerhetens porteføljetanker #2

Eivind Berg 14 min å lese
Usikkerhetens porteføljetanker #2

Det er et halvt år siden jeg skrev Usikkerhetens porteføljetanker. Mye har skjedd siden og det er på tide med en oppdatering.

I innlegget skrev jeg at USA som var på vei mot en koronakatastrofe. Det har så til de grader slått til. I tillegg skrev jeg at mine veddemål var spill, netthandel og innovasjon. Det har også truffet bra.

Samtidig skrev jeg om risiko:

Jeg pådrar meg mye valutarisiko. USA ønsker nok en svakere dollar og Norge ønsker nok en sterkere krone. Men kommer det et nytt krakk vil alle flykte til dollar igjen.

Dollaren er ned drøyt ti prosent siden forrige innlegg noe som gjør at jeg tar med meg et solid valutatap til nå da jeg aldri tjente på at dollaren steg i verdi siden jeg var ute av markedet.

Vaksine og sektorrotasjon og hva jeg investerer i nå.

På mandag kom nyheten fra Pfizer om at de har utviklet en vaksine med 90 prosent som er 90 prosent effektiv mot korona.

Det medførte at en portefølje med spill, netthandel og innovasjon falt i bakken.

Der er det veldig mye teknologi. Et fond som VanEck Vectors Video Gaming and Esports (ESPO) falt åtte prosent på et par dager. ARK Innovation ETF falt ti prosent. Netthandelselskaper kollapset. Etsy falt 19 prosent på det meste på én dag. Zoom var også ned 20 prosent.

At jeg har delt opp en portefølje i netthandel, innovasjon og spill forhindrer ikke at alt faller samtidig når aksjemarkedet bestemmer seg for å gå for verdiaksjer igjen.

Var det et signal på at det er på tide for meg å dumpe teknologi, spill og netthandel og komme seg over til olje, butikker og flyselskaper? For hvem har vel ikke lyst til å reise nå?

Jeg tenker nei. En vaksine endrer ikke på mange sekulære trender:

  • Underholdningstimer flyttes fra lineær-TV til andre medier som spillindustrien.
  • En vaksine vil ikke endre at netthandel fremdeles bare har 25 prosent og at det bare kommer til å øke.
  • En vaksine vil ikke endre skytransformasjonen innen IT.
  • En vaksine vil heller ikke endre skiftet fra fossilbiler til elektriske biler.

Med andre ord går jeg ikke tilbake til en fondsportefølje med 75 prosent indeksfond som beskrevet i Min fondsportefølje: Trygg, tematisk og spekulativ i fjor sommer.

Når 2020 ser såpass bra ut er det også vanskelig å gå tilbake til bare indeksfond. Jeg har investert i en portefølje som er fremtidsrettet og ser langt forbi korona.

Som mer aktiv investor gjør jeg ikke alt riktig. Jeg har også holdt meg unna den grønne euforien på Oslo Børs. Jeg hadde planer om å kjøpe Storebrand Fornybar Energi da det kom ut på Nordnet. Dessverre kom jeg aldri så langt og det har helt klart vært en tabbe.

I Usikkerhetens porteføljetanker skrev jeg at mine veddemål på er gaming, netthandel og innovasjon. Det gjelder fremdeles foruten at jeg har solgt meg ut av CLIX for å unngå shortdelen av fondet.

Den største endringen er at jeg har lagt til et fjerde tema de siste månedene: Fremtidens arbeidsplass.

Å jobbe hjemmefra

Til tross for vaksinenyheter ser det ut til å bli en tøff vinter. De som kan jobbe hjemmefra blir sendt hjem for å jobbe. Mange selskaper, spesielt amerikanske teknologiselskaper, har gjort hjemmekontor til permanent løsning.

Det sparer penger på lokaler. Det sparer penger på utstyr. Selskaper har ingen grunn til å lease biler til sine ansatte lenger. For teknologiselskaper muliggjør det rekruttering fra hele verden. Sist men ikke minst: Fleksibilitet gir mer fornøyde ansatte. Spesielt i storbyer som London der det ikke er uvanlig å pendle to timer hver vei.

Her hjemme virker praksisen litt ulik. Det er skrevet mange, men få gode, kronikker om å jobbe hjemmefra i norske medier. Stort sett er de skrevet av mellomledere som elsker at de kan trene før jobb, men som ikke stoler på at ansatte gjør jobben de er satt til.

Jeg ser flere aspekter:

  • For småbarnsfamilier (som meg) er det fantastisk. Dagene går faktisk opp og det sosiale livet var allerede begrenset.
  • Mellomledere har en til tider umulig jobb fordi de er ansatt for å passe på andre.
  • Ledere som bruker hele dagen i møter på telefon og videokonferanser blir helt gal av den nye tilværelsen. Forståelig nok.
  • For unge uten bredt sosialt nettverk i trange leiligheter er det krise.
  • For nyansatte blir det vanskelig å komme seg inn sosialt på arbeidsplassen.
  • For folkehelsen er det dårlig.

Jobbmessig er arbeidshverdagen nå mer transaksjonell. Du knytter ikke samme sosiale bånd som tidligere og du går glipp av den uformelle praten. Du går glipp av den faglige diskusjonen som ble satt i gang på nabopulten.

Jeg tror mange arbeidsplasser, spesielt i Norge, vender tilbake til normalen etter korona. Samtidig blir jeg overrasket hvis det ikke blir mer fleksibilitet enn før korona. Og uansett om du jobber hjemme to dager eller fem dager i uka stiller det like sterke krav til teknologivalgene selskapene må tilfredsstille for å kunne fasilitere arbeidet.

En forlengelse av å jobbe hjemmefra er cybersikkerhet. Håkon stilte følgende spørsmål i kommentarfeltet i Usikkerhetens porteføljetanker:

Har du vurdert å investere i cybersecurity ETFer?

Det var det som satte meg på sporet av at cybersikkerhet åpenbart blir viktigere de neste årene.

Hva er cybersikkerhet?

Cybersikkerhet handler om et bedre og tryggere internett. Nesten daglig kan du lese om hackinger. Her hjemme har Schibsted blitt hacket. Stortinget ble hacket. Sykehuset i Innlandet ble hacket. Hydro ble hacket. Sopra Steria ble forsøkt hacket. Telenor ble angrepet.

Angrepet på Hydro medførte lavere produksjon og en artikkel fra måneden etter satte kostnaden på opp til 450 millioner kroner. Andre hackinger, som den nylige skandalen i Finland der personnumre, adresser og journaler om 40.000 psykiatriske pasienter ble hentet oppfattes som mye verre. Tapet er ikke bare i kroner og ører. Med personopplysninger på avveie medfører det permanent manglende tillit til systemet og det rammer helt uskyldige tredjeparter (pasienter) fordi selskapet bak ikke har tatt sikkerhet på alvor.

En av de større skandalene de siste årene er hackingen av kredittbyrået Equifax. Personopplysninger om 147(!) millioner amerikanere (mange som ikke en gang hadde brukt Equifax) ble hentet ut i løpet av 76 dager før hackerne ble oppdaget.

Listen av hackinger er endeløs. Bare i den artikkelen over refererer de til hackinger av Ticketfly, Orbitz, Delta, Sears, K-Mart, Macy’s og Adidas. Alle selskaper som typisk behandler kundedata og kredittkortinformasjon. Her er en lang liste over selskaper som er hacket, men det mest interessante er kanskje dette sitatet:

Most breaches occur in North America. It is estimated that the average cost of a data breach will be over $150 million by 2020, with the global annual cost forecast to be $2.1 trillion.

Helt vanvittige summer! Det er mange måter å bli angrepet på. Her er noen av de vanligste:

  1. Utnytte kjente svakheter i maskinvare eller programvare som ikke er blitt oppdatert med siste versjoner.
  2. Lure ansatte til å gi fra seg sensitiv informasjon eller tilganger. Da Twitter ble hacket i sommer (kontoene til Bill Gates, Donald Trump, Elon Musk og en haug med andre kjendiser ble tatt over) var det etter å gått etter ansatte og lurt de.
  3. DDoS (Distributed Denial of Service) som er et koordinert distribuert angrep på tjenester eller servere for ødelegge for normal trafikk. Telenor ble offer for denne versjonen.
  4. SQL Injection: Å sette inn kode i felt du kan fylle ut for å få tilgang til, eller ødelegge, databaser.
  5. Phishing: Litt som punkt to, men den handler om å sende store mengder eposter som ser ut som legitime eposter (f.eks fra Netflix) som igjen skal lure deg til å oppgi kortinformasjon eller passord. Dette er den versjonen jeg føler jeg leser oftest om i avisene.
  6. Ondsinnet programvare (ofte virus) som blir satt inn på servere/nettverket som kan brukes til å hente ut data, ødelegge data eller låse ned servere. Hydro ble offer for en versjon av dette som heter ransomware.
  7. Brute Force: Et angrep som prøver å tvinge seg inn i en konto ved å gjette passordet så mange ganger som mulig.
En gammel klassiker fra XCKD om SQL Injection. 

Det er ikke vanskelig å finne artikler som peker på at det har vært en vanvittig økning i cyberkriminalitet i 2020 etter at alle ble sendt hjem for å jobbe. Denne artikkelen fra ZDNet lister ti punkter om cyberkriminalitet etter korona. Her er tre:

  1. Antallet usikrede remote desktop-maskiner økte med 40 prosent fordi alle ble sendt hjem.
  2. Antallet brute force angrep økte med 400 prosent bare i mars og april.
  3. 72 til 105 prosent økning i ransomware-angrep.

Sjefen for SEC (Securities and Exchange Commission) i USA sa tidlig i november følgende:

Cybersecurity incidents are on the rise, and it’s something we all need to continue to pay attention to. I know companies are burdened in many ways. Our registrants are burdened in many ways right now, but this is one of those things we just can’t lose sight of.

Akamai, et cybersikkerhetselskap sa følgende:

En dobling kvartal for kvartal!

Flytting til skyen

Når vi snakker cybersikkerhet er flytting til skyen relevant. Som jeg skrev i innlegget En aksjeboble? i september:

Det har foregått en innovasjon de siste årene, som kanskje går under radaren for mange, med selskaper som benytter skytjenestene til Microsoft, Amazon og Google til å skalere produktene sine.

Her er Zoom et perfekt eksempel. Når antall videosamtaler øker tigangeren på én måned er det helt utrolig at kvaliteten er stabil og tjenesten er pålitelig. Det er utelukkende fordi de benytter seg av skytjenestene til Amazon.

Det hadde aldri fungert for fem år siden.

I skyen betaler du for den prosesseringen og lagringen du bruker. Trenger du ti ganger så mye er det omtrent like enkelt som å klikke på en knapp. Tidligere måtte du forutsi lang tid i forveien hvor mye maskinvare og lagringskapasitet du hadde behov for (og så installere det i eget fysisk datasenter).

Maskinvare og lagring er ikke lenger en bekymring. Det sparer tid. Det sparer penger.

For å ta et annet selskap. En personlig favoritt hadde sin børsnotering denne uken. Snowflake. Uten å gå for mye i detalj så er Snowflake en skybasert dataplattform (et sted å lagre, behandle og dele hele organisasjonens data). Med egenskapene til Snowflake kan jeg med hånden på hjertet si at jeg kan gjøre samme jobben i Snowflake som det trengtes en hel avdeling for å håndtere for fem år siden. Borte er bekymringene om installasjon og vedlikehold av maskinvare, migreringer, oppgraderinger, sikkerhet, deling av data, tilstrekkelig ytelse, tilgangskontroll og så videre.

På toppen av enkelhet er det mye billigere enn tidligere. Snowflake vinner. Kunden vinner. Amazon, Microsoft og Google vinner også.

I tillegg handler det om å bruke de siste teknologiene og arbeidsmønstrene. Det som er nytt i dag bygges for skyen. Snowflake er et godt eksempel. Med korona har flytting til sky akselerert flere år. Det ville uansett skjedd, det har bare skjedd mye fortere.

Over tid skal nær sagt alle selskaper over til skyen. Vi er langt unna å komme dit. CEO i Microsoft Satya Nadella sa dette i forbindelse med siste kvartalsrapport:

The most secular need, it’s the need for distributed cloud infrastructure, it’s both needed for modernizing existing applications you have, and so that’s — by the way, what? 20 % penetrated. So there is more 80 % that needs to move.

Anerkjente Gartner anslår at vi er på 45 prosent innen 2024. Nadella sa også følgende:

The next decade of economic performance for every business will be defined by the speed of their digital transformation.

Det er noe å tenke på neste gang noen sier teknologi er en boble (eller fraråder deg mot å investere i USA de neste ti årene). Alle selskaper kommer til å være teknologiselskaper til slutt. Spørsmålet er bare om selskapene lager løsningene selv eller om de outsourcer løsningene til andre.

Selskaper som ikke evner å omstille seg til skyen kommer til å slite. Det gjør de allerede. Tek er ikke bare tek. Ta en titt på aksjekursen til SAP for eksempel. Gamle kjemper sliter med å omstille seg nye løsninger og forretningsmodeller.

Man flytter heller ikke til skyen bare for å flytte til skyen. Fra Gartner:

The next major wave of technology disruption is already emerging in the form of artificial intelligence (AI), IoT, edge computing and advanced data analytics. These innovations are almost always tied to a cloud foundation as part of an organization’s digital business technology platform.

Det er verdt å legge merke til den siste setningen. “These innovations are almost always tied to a cloud foundation”. Hvem er cloud foundation? Jo. Amazon, Google og Microsoft. Skyinfrastruktur med lagring og prosessering, og å skille lagring og prosessering fra hverandre, er nå et løst problem. Verdiene i fremtiden vil bli skapt på toppen av den infrastrukturen.

Vi har to trender her som borger for videre vekst i årene som kommer:

  1. Antall cyberangrep øker kraftig.
  2. Økt digitalisering og flytting til skyen.

Hva har flytting til skyen å si for cybersikkerhet? Det er et et nytt paradigmeskifte.

Flytting til skyen og cybersikkerhet

Cloudflare er et selskap som blant annet beskytter 25 millioner nettsider beskrev beskrevet situasjonen før og nå forbilledlig da de lanserte Cloudflare One i oktober:

Legacy corporate security followed a castle and moat approach. You put all your sensitive applications and data in the castle, you required all your employees to come to work in the castle every day, and then you built a metaphorical moat around the castle using firewalls, DDoS appliances, gateways and more: an unmanageable mess of devices and vendors.

Før kom du langt med å sikre at ingen kom forbi vollgraven din, men du hadde ansvar for å lage vollgraven. Sett opp en brannmur og antivirus så var mye av jobben gjort. Og du hadde selv ansvar for hvem som hadde tilganger og å oppdatere alt av maskinvare og servere. Det er både komplisert, tid- og ressurskrevende. Så kom både sky og korona. Nå er det et helt annet kaos:

Cloudflare fortsetter:

While smarter attackers finding ways to breach moats were always a concern for the castle and moat approach, ultimately they weren’t what caused the approach to fail. Instead the change came from transformation of the technical landscape. Smartphones made workers increasingly mobile, letting them venture outside the moat. SaaS and the public cloud moved data and corporate applications out of the metaphorical castle.

And, in 2020, COVID-19 changed everything by forcing everyone who could to work remotely. If the employees weren't coming to work in the castle anymore, the whole paradigm completely breaks down. This transition was happening already, but this year poured gasoline on the already smoldering fire. Increasingly companies are realizing that the only way forward is to embrace the fact that employees, servers and applications are now “on the Internet” and not “in the castle.” This new paradigm is known as “Zero Trust.”

Zero trust ble unnfanget av Google i 2014 og begynner nå å ta av og er en arkitektur som passer både skyen og moderne systemutvikling.

Crowdstrike holdt en presentasjon i oktober der de viser at selskaper bruker for lite penger av IT-budsjettet på sikkerhet og at totalmarkedet deres kan vokse tigangeren frem til 2023. Anslag fra Gartner viser at 85 prosent av globale selskaper vil ha jobber i skyen basert på færre enn 35 prosent i 2019.

Så cybersikkerhet handler ikke bare om å sikre seg mot angrep. Det handler om fremtidens bedriftsnettverk som vil være skybasert.

Hvordan investere i cybersikkerhet

Jeg ser etter selskaper som driver innenfor cybersikkerhet i skyen. Som med gaming finnes det en rekke ETFer som er spesialiserte innenfor cybersikkerhet:

  • Global X Cybersecurity ETF (Ticker: BUG)
  • First Trust NASDAQ Cybersecurity ETF (Ticker: CIBR)
  • IHAK iShares Cybersecurity and Tech ETF (Ticker: IHAK)
  • HACK ETFMG Prime Cyber Security ETF (Ticker: HACK)

Av disse er helt klart BUG min favoritt, men problemet her er at disse ETF’ene har 25-60 selskaper innenfor en nisje jeg ikke tror det er 25-60 vinnere i. Spesielt ikke når jeg mener fremtiden er skyen og i disse ETFene finner du både selskaper som tjener godt med penger på løsninger for de 80 prosentene som ikke er i skyen og selskaper som er laget utelukkende for å håndtere cybersikkerhet i skyen.

Jeg er overbevist om at cybersikkerhet er et felt som kommer til å vokse voldsomt i takt med økt digitalisering og flytting til skyen. Samtidig er ingen av fondene innenfor nisjen spesielt interessante. Da er det ingen vei utenom å lese seg opp på selskapene fondene har valgt.

Med andre ord: Jeg har brukt veldig mange ord på å si at jeg investerer i enkeltaksjer igjen (to og et halvt år etter at jeg skrev Hvorfor jeg solgte alle enkeltaksjer.

Forskjellen fra da er at jeg bruker enkeltaksjer som supplement til en fondsportefølje. Mer om det i et senere innlegg.

Selskaper innenfor cybersikkerhet

Det er mange selskaper innenfor cybersikkerhet og konkurransen er knallhard. Jeg har langt på nær oversikt over alle, men jeg ser etter selskaper som er:

  • De har løsninger bygget for skyen.
  • Sticky forretningsmodell.
  • Vokser bra (klarer du ikke å vokse under disse forutsetningene er det ikke håp).

I hovedsak vil dette være SaaS-selskaper som gjerne fremstår som veldig dyre. Okta (Ticker: Okta) er et perfekt eksempel. Okta er innenfor et segment for sikkerhet som handler om identitet og tilganger. Målet er at ansatte kun trenger å logge inn i Okta og dermed er du innlogget i alle andre av bedriftens applikasjoner. Ifølge Oktas Business at work 2020 bruker kundene til Okta i snitt 88 forskjellige applikasjoner. Utfordringen er åpenbar:

  1. Hvordan holder selskapene styr på tilgangene til så mange applikasjoner uten å bruke vanvittig med tid og ressurser?
  2. Hvordan holder ansatte styr på egne innlogginger?
  3. Hvordan sikrer de det?

Okta kan kobles til alle applikasjoner. Gjør du først den jobben med å integrere alle applikasjoner for at ansatte skal kunne håndtere ett brukernavn og passord kommer du aldri til å flytte igjen. Det er sticky. Okta koster ned mot 20 kroner per bruker per måned. Med andre ord i praksis gratis for funksjonaliteten du får.

I tillegg gir det gode muligheter for å selge ekstra funksjonalitet når du først er kommet på innsiden.

De fleste interessante selskaper for meg tror jeg at jeg finner igjen i Nasdaq Emerging Cloud Index. Her er i hvert fall noen av de jeg har et øye på:

  • Datadog
  • Crowdstrike
  • Okta
  • Zscaler
  • Cloudflare
  • Elastic
  • Fastly
  • Proofpoint

Det er en del overlapp. Datadog og Elastic er heller ikke rene cybersikkerhetsselskaper, men jeg inkluderer de likevel. Akkurat nå har jeg posisjon i to av dem: Crowdstrike og Cloudflare og jeg kommer sikkert til å skrive om de mer på et senere tidspunkt.

Beskytt deg selv (og bedriften din)!

Jeg kan ikke skrive et slikt innlegg uten å skrive noe om hva du kan gjøre for å beskytte deg selv: I bunn og grunn. Ikke stol på en eneste tjeneste.

Det svake punktet er ikke nødvendigvis en maskin. Det er ofte en person. Det har vi også sett på hvor ofte phishing-angrep er vellykkede. Du kan gjøre mye for å beskytte deg selv ved å ta noen enkle grep.

Det mest umiddelbare du bør gjøre er å skaffe deg kontroll på dine passord og innlogginger. Sjekk siden www.haveivebeenpwnd.com om dine passord er lekket på nettet. Min private epost har vært samlet av 14 forskjellige sikkerhetsbrudd (for eksempel Adobe, LinkedIn, Canva og 500px). Det har ført til at eposten min, og gjerne passordet, har havnet på internett. Som oftest til salg.

På grunn av én av hackene har jeg fått en utpressingsepost som ba om Bitcoin hvis ikke skulle de gjøre et eller annet lite hyggelig. Eposten inneholdt både epost og passord. Det er lett å bli skremt av slikt, men når passordet er så gammelt at jeg ikke har brukt det på mange, mange år vet jeg at det kommer fra en passorddump som sannsynligvis er kjøpt på nettet.

Mange bruker samme passord på flere forskjellige nettsteder. Det er en forferdelig dårlig idé:

  1. Bruk en passord-manager på nett (jeg bruker, og elsker, 1password). Lastpass er også bra.
  2. Bruk forskjellig passord på alle innlogginger. Jeg har flere hundre forskjellige tjenester jeg har konto hos og ingen har samme passord. Alle passord er over 30 tegn og jeg kan ikke et eneste passord utenat.
  3. Alltid bruk 2FA (tofaktorautentisering) der det er mulig. Bruker du Nordnet kan du be om å få lagt det til (at de ikke har fikset det som standard er en liten skandale i seg selv) slik at en person med brukernavn og passord ikke kan få tilgang til kontoen din uten å også ha telefonen din.

Dette kommer du langt med.

Hvis du skal være veldig paranoid så bør du aldri logge deg på usikrede trådløse nettverk eller lade mobiltelefonen i USB-porter på tog eller flyplasser.

Og når det gjelder å ikke stole på noen. Når du legger fra deg en epost vet du aldri helt hva du får. Av 6.200 personer på epostlisten min bruker 4.200 Gmail. Av de har 16 stykker lagt til en + bak eposten sin for å kunne spore meg om jeg selger eposten videre.

dittnavn@gmail.com og dittnavn+eivindberg@gmail.com går for det samme, men bruker du sistnevnte vet du at du kun skal få eposter fra meg.

Alle som har +eivindberg i eposten sin får en stille applaus fra meg.

Del innlegget
Kommentarer

Logg inn for å kommentere

Flere innlegg Eivind Berg

Sparing og investering forklart

Bli med 8500+ andre som ser forbi markedsføringen til bankene og får den informasjonen de trenger.

Herlig! Du er nå medlem.

Velkommen tilbake! Du er nå innlogget.

Herlig! Du har nå meldt deg inn på Eivind Berg.

Herlig! Sjekk eposten din for å logge inn.

Betalingsinformasjonen din ble oppdatert.

Obs! Betalingsinformasjonen ble ikke oppdatert.