Почему Positive Technologies Лучшая IT акция на Мосбирже? Полный разбор

Позитив — это одно из немногих «новых» IPO IT-компаний на Мосбирже, которое прям смогло.

Акции выросли на 260% за 2 года и 9 месяцев, что двинуло капитализацию к 180 млрд рублей. Forbes поместил компанию на 9 строчку в списке самых дорогих компаний рунета. Впечатляющие цифры! Что послужило причиной подобного роста? Уход иностранных вендоров и общий рост рынка кибербезопастности в РФ создали те самые «тепличные» условия, о которых мечтают все отчественные АйТи фирмы.

Но получилось не у всех… глубоко убыточный ВК, например, находится в той же яме, которую рыл сам себе задолго до всех этих событий, а условный Диасофт даже близко не растёт такими темпами. В чём же тогда уникальность кейса POSI? Обо всём по порядку.

Продукты и позиции на рынке кибербеза

Разбор любой компании следует начинать с глубокого анализа операционной деятельности, потому что никакие цифры, никакие мультипликаторы не вам дадут понимания реального положения дел в бизнесе и в полную картину всё не сложится.

Positive Technologies самостоятельно разрабатывает и поставляет продукты и решения для обеспечения кибербезопастности предприятий в РФ и странах СНГ. На данный момент таких продуктов накопилось уже более 20. Программы делятся на три основных сегмента: безопасность инфраструктуры (таких большинство), безопасность промышленных сетей и безопасная обработка. Также есть метапродукты, которые позволяют под один центр управления встроить несколько полноценных решений, это позволяет снизить человеческие затраты на поиск, анализ и предотвращение угроз. Ценообразование, по сообщениям, выглядит следующим образом: 100% от стоимости за лицензию и 40% за продление.

Компания также предоставляет комплекс услуг, в который входят расширенная тех. поддержка и собственная проверка программистами из Positive наличия компроментаций, анализа защищённости и т.д.

Сразу стоит отметить, что Positive живёт отгрузками, а не выручкой. Отгрузки учитывают всю сумму контрактов, которые компания заключила за отчётный период. Несмотря на то, что выручка всё ещё признаётся «по отгрузкам», а не «по начислению», у этих двух показателей есть существенные отличия в случае пролонгации лицензий и продажи сертификатов на тех. поддержку. Также отгрузки признаются только в том случае, если выплату за ПО поступит до конца первого квартала следующего года.

На 6 продуктов приходится примерно 76% всех отгрузок, на услуги ещё 13%, а на остальное — всего 11%:

Почему такое расхождение? Все эти 6 продуктов — флагманские и достаточно зрелые, которые успели зарекомендовать себя на рынке КБ. Остальные — либо появились недавно и не успели хорошо продаться, либо покрывают более нишевые направления, поэтому не пользуются большим спросом. 

MaxPatrol SIEM — самая крупная кэш-машина для Позитива c 7,3 млрд отгрузок в 2023 году. SIEM (Security Information and Event Management) — это софт, который собирает информацию с серверов, рабочих станций, IDS, фаервола и т.д. и сортирует и выводит её в виде отчётов и предупреждений об угрозах. Другими словами, это огромная воронка, которая пропускает через себя кучу логов и алертов для того, чтобы наглядно показать сисадмину, что происходит в большой IT системе организации, оповестить об угрозах в режиме реального времени до реализации рисков.

До 2022 года на российском рынке SIEM доминировали решения от IBM (Qradar) и Hewlett-Packard (ArcSight). С прекращением продаж лицензий и обновления программ, лидером отрасли стал MaxPatrol SIEM c 30-40% долей рынка (оценка самого Позитива). Рынок SIEM в 2023 г. составил 19,5 млрд рублей, доля позитива, соотвественно, 7,3/19,5=37,4% (в 2022 году доля была 31,8%), всё сходится.

Основными конкурентами Позитива в SIEM являются KUMA Касперского, RuSIEM, SearchInform и KOMRAD. Причём растут они достаточно шустро: выручка KUMA выросла на 134% в прошлом году, RuSIEM — в 2,5 раза до 430 млн, по остальным, данных, к сожалению, нет. Тут также стоит отметить, что это скорее рост с низкой базы, т.к. доли рынка этих решений в 2022 году не превышали 4%, даже несколько крупных клиентов «пересевших» с инностранного ПО дали бы существенный буст продажам.

Почему я думаю, что MaxPatrol здесь продолжит лидировать? Во-первых, этот продукт всегда занимал сильные позиции на нашем рынке, в далёком 2021 году IDC признавал Positive как одного из крупнейших и быстрорастущих игроков на рынке SIEM в мире (в 2022 г. был исключен из покрытия по причине ухода сложности для анализа российского рынка). Во-вторых, в развитие продукта вливаются очень большие средства, затраты на R&D для MP SIEM составили 16% от всех R&D или 368 млн за 2023 год — почти годовая выручка конкурентов. Это выливается в существенные технические преобразования — в конце 2023 года была выпущена MaxPatrol SIEM 8.0, которая теперь может обрабатывать до 540к событий в секунду c >900 правилами корреляции из коробки, при этом снизились системные требования к железу, а также был добавлен новый уникальный ML-модуль BAD для присвоения уровня риска угрозам. Сам Позитив считает, что новая версия поможет увеличить процент проникновения продукта в RAEX 600 (600 крупнейших компаний в РФ) на треть. 

Ниже см. таблицу сравнения тех. характеритик SIEM программ.

Сохранить позиции на этом рынке предельно важно, т.к. SIEM — это основа любого SOC и потеря технического преимущества, вероятно, приведёт и к снижению отгрузок смежных продуктов. К тому же этот рынок очень быстро растёт с прогнозируемым CAGR в 34,8% (с 2023 по 2026). Если сохранить долю, продажи вырастут до 11 млрд рублей в этом году и до 18,3 млрд рублей в 2026 году, но Позитив стабильно растёт в 1,5-2 раза быстрее рынка, отгрузки в 2023 году — +74% г/г.

MaxPatrol VM/8 - инструмент для управления уязвимостями (Vulnerability Management). Эксплуатация и хакинг веб-уязвимостей составляет 43% всех способов аттак на организации, а каждый год появляется всё больше и больше новых уязвимостей:

Важно понимать, что просто просканировать всю систему и надеется, что мы видим и покрываем все дыры в ПО, конфигурациях и портах — недостаточно, для этого существуют обычные сканеры уязвимостей. Процесс управления уязвимостями большой и трудоёмкий. Во-первых, нужен качественный ассет-менеджмент, благодаря которому, IT департамент будет достаточно знать о состоянии активов: версия ПО (и, соответственно, известные уязвимости этого ПО), версия операционной системы, типология сети и т.д. Во-вторых, уязвимостей сейчас слишком много и их нужно правильно приоритизировать: какие-то являются критическими и должны устраняться немедленно, а какие-то можно отложить на второй план. В третьих, уязвимости нужно устранять патчами и обновлениями, поэтому нужно проводить сложный патч-менеджмент всех конечных точек.

После ухода иностранных вендоров, российские фирмы с госучастием (и не только) оказались в некой растерянности, ведь сидеть на решениях от иностранных Tenable и Rapid7 с 2025 года не получится, а российские вендоры максимум развивали собственные сканеры уязвимостей, но никак не полноценные системы управления. 

В то же время, MaxPatrol VM действительно можно назвать полноценным VM системой, схожими с западными решениями. Для Позитива здесь ситуация сложилась даже лучше, чем в SIEM, т.к. свою долю компания оценивает уже в 60-70%.

Продажи MaxPatrol VM выросли в 3,3 раза, но это отчасти был эффект от перехода клиентов с MaxPatrol 8 на более совершенную версию (MaxPatrol 8 ведёт только сканинг угроз). Общие продажи MaxPatrol VM и MaxPatrol 8 выросли на 78%, что всё равно много.

Из конкурентов до недавнего времени тут не было толком вообще никого — только те самые преславутые сканеры. Но недавно компания Фродекс представила свою Vulns IO Enterprise VM, которая также покрывает весь цикл управления уязвимостями. Насколько удачным получился продукт можно будет понять только в 2025 или даже в 2026 году. Но тут сразу стоит обговорить, что большую роль в VM играет база знаний о новых уязвимостях и патчах, а также то, как программа встраивается в конкретный контекст, т.е. архитектуру организации. База знаний для VM у Позитива копится уже годами, а опыта в построении контекста у них больше, чем у любого потенциального конкурента, поэтому эффект масштаба играет им на руку.

PT Application Firewall — межсетевой экран уровня приложения (L7). Веб-приложения — одно из самых уязвимых мест в российских организациях, почти половина всех атак на бизнес приходится них, а количество таких атак в 2023 году выросло на 12,5%. Любая организация, которая в своей деятельности использует собственный веб-сайт или онлайн-сервис, находится под угрозой CSRF (межсайтовая подделка запросов), SQL инъекций, XSS и т.д., от таких проблем и защищает Application Firewall.

Из конкурентов здесь выделяются СБЕРовский BIZONE WAF и Solidwall WAF.

Основное преимущество PT AF — масштабируемость, решение легко встраивается в системы любого размера и сложности. Благодаря поддержке CiscoACI, на ЦОД, которые работают на данной архитектуре, защита от Позитива интегрируется автоматически. Также важно отметить эффективную интеграцию с другим продуктом копмании — PT BlackBox, которое сканирует веб-приложения, API на уязвимости и обменивается данными с Application Firewall. Свою долю Позитив оценивает в 35-40%, а рынок по прогнозам будет расти с CAGR 25% до 2026 года, но у компании отгрузки пока что растут в разы быстрее (+87% г/г в 2023 году).

Стоит также сказать, что основная проблема WAFов состоит в высоких технических требованиях. У Positive Technologies есть PT Cloud Application Firewall, которое позволяет использовать мощности самого Позитива для разворачивания защиты, а платить можно по модели SaaS (по подписке). Решение интересное, но у наших организаций не очень популярное, т.к. большинство предпочитает on-premise из-за внешней зависимости облачных продуктов, но «облачный» рынок растёт намного быстрее, хоть по размерам и меньше.

PT Network Attack Discovery — система анализа трафика (NTA), которая позволяет увидеть действия киберпреступников не только на периметре, как SIEM и NDR, но и внутри инфраструктуры. Это помогает распутывать клубок атаки и находить следы хакера, когда он уже перемещается по сети критической инфраструктуры. NTA входит в триаду важнейших средств для SOC, наряду с SIEM и NDR, согласно Gartner.

Рынок NTA молодой не только для РФ, но и для всего мира, так что логично предположить, что разработка решений у нас на около-зачаточном этапе. Разработка Positive Technologies клиентам пока нравится (отгрузки +150% г/г), но на рынке также есть другие решения: Гарда Монитор, Group-IB NTA и KATA Касперского (XDR, который включает в себя инструкмент со схожими функиями). Выявлять лидера пока рано, но рост отгрузок у PT NAD впечатляет.

Хотя расмотренные выше продукты приносят три четверти всех отгрузок компании, основной упор идёт не только на них. Более половины всех R&D ушло на «другие» продукты (1,1 млрд рублей), а точнее на 6 из них.

В первую очередь это метапродукты — MaxPatrol O2 и недавно вышедший MaxPatrol Carbon. У них под капотом сразу несколько систем с новыми уровнями взаимодействия между собой и единым центром управления, что в разы упрощает работу SoC и минимизирует человеческие затраты. O2 — самый дорогой и позиционируется как полноценный автопилот, компания обещает повысить эффективность команд мониторинга и реагирования в "30-50 раз". Такие продукты, по понятным причинам, очень дорогие и конечные инсталляции за год исчисляются лишь десятками, не все такое себе могут позволить. Известно, что под O2 сидит наш Минсельхоз.

Из других разработок хочется выделить PT NGFW. NGFW (Next-Generation Firewall) — межсетевой экран для глубокой фильтрации трафика, включающий в себя функции обнаружения и предотвращения вторжений (IPS/IDS) и обладающий возможностью контролировать и блокировать трафик на уровне приложений. В общем, стандартный файервол, но прокаченный, который будет обеспечивать стандартные требования к безопасности всей системы.

По оценкам Минцифр, доля импортозамещения NGFW в 2023 году находилась на уровне 50-55%, что критически мало. Слабыми точками в российском ПО называют функциональность и надежность (опрос AM). PT представили свой продукт этой весной, и, по словам представителей компании, уже наблюдается огромный спрос со стороны российских заказчиков, а также была сформирована «несколько миллиардная воронка продаж». Продукт технически превосходит все существующие российские решения и находится на уровне NGFW от CheckPoint и Fortinet: производительность достигает 10 Гб/с при максимальной закгруженности, а IPS работает с более чем 10000 сигнатур. Финам пишет, что 10 компаний приняли участие в бета-тесте, включая Мосбиржу, которая потвердила, что даже урезанная версия полностью справилась с защитой критической инфраструктуры.  

Заказчики действительно ждали решение именно от Позитива, 70% опрошенных были на стадии принятия решения о покупке NGFW или просто «наблюдали». Наблюдал и Росреестр, который недавно заказал новый PT NGFW на 1 миллиард рублей.

Рынок NGFW по прогнозам составит ~120 млрд рублей по прогнозам Позитива, такие же цифры приводит AM, при этом хотят занять половину рынка. О работе над NGFW также заявили Zecurion и Гарда, но на всех ключевых рынках Positive их обходит и, вероятно, обойдёт и тут.

Подводя итоги подраздела о продуктах и доле рынка, Позитив занимает лидирующие позиции в каждом ключевом быстрорастущем направлении, при этом выходит на новые и формирует своё подобие экосистемы. В этом и есть уникальность кейса и конкурентный ров компании.

Про отгрузки и расходы

Основная особенность и в то же время проблема бизнеса Позитива — это сезонность. Более 50% всех годовых отгрузок приходится на 4-ый квартал, а на 3-й и 4-ый — более 70%.

Компания объясняет это тем, что бюджет на ИБ в российских фирмах выделяется примерно во втором квартале, когда заказчики и начинают искать подходящие решения. Затем происходит большой процесс подготовки к продаже и в 4-ом квартале происходит отгрузка, а также в конце года происходит продление лицензий. Подобная сезонность также преследует бизнес Астры, в этом нет ничего удивительного.

В чем проблема? А в том, что весь кэш за эти отгрузки компания получает в первом квартале следующего года. Это выливается в огромную дебеторскую задолженность в конце года и, соответственно, кассовый разрыв, который приходится перекрывать кредитами. Поэтому с такой сезонностью надо что-то делать, американские вендоры почему-то с такой проблемой не сталкиваются.

Но затраты на масштабирование бизнеса оплату отгрузок ждать не будут и всё так же стремительно растут (+30% г/г в первом полугодии 2024 г.). 

Отдельно стоит отметить «Маркетинг и продвижение». В эту категорию входит реклама и проведения мероприятий, в последнем квартале выделили их в отдельную категорию. Компания действительно часто проводит мероприятия, посвящённые кибербезопасности: рассказывают о новых продуктах, бизнесе и даже устраивают кибербитву «белых» хакеров и киберзащитников. В общем шиканули ребята на 1,8 миллиарда рублей во втором квартале, неплохо.

Менеджмент объясняет траты на продвижение экспансей как в РФ, так и зарубежом. Но если с РФ всё понятно, то с продвижением зарубеж всё не так просто.

Представители PT сами заявляли, что на развивающихся рынках орудуют крупные американские компании и демпингуют цены, вытесняя более мелких поставщиков. Допустим, Позитив считает, что они могут использовать свой масштаб для чего-то подобного. Но, во-первых, масштабы тут всё ещё непостижимые (выручка Fortinet — 500 млрд рублей; Check Point — 220 млрд). А во-вторых, станет ли заказчик из условного Казахстана или, скажем, Израиля, ставить себе софт подсанкционной компании? Я сомневаюсь… Поэтому вся эта идея с экспансией зарубеж выглядит странно и затраты на это — тоже.

Для расчёта прибыльности компания использует стандартные для отрасли EBITDAC и NIC, которые считаются от отгрузок (отличие от EBITDA и чистой прибыли см. ниже).

Большие расходы с незначительными отгрузками в первом полугодии вылились в убыток по EBITDAC и NIC, но по годовой маржинальности всё было хорошо, в этом году намереваются сохранить эти значения, что хорошо.

Прогнозы, оценка и дивиденды

Теперь про будущее. Компания прогнозирует 40-50 миллиардов отгрузок в следующем году и у нас есть все причины верить этому прогнозу. В прошлом году попали идеально в середину гайденса (прогнозировали 20-30 миллиардов). 

Дело в том, что среднее время цикла отгрузки составляет 255 дней, а для ключевых продуктов ещё больше, поэтому компания видит спрос за 9 месяцев до конца года. Недавно эта оценка в 40-50 миллиардов отгрузок с «сохранением маржинальности» был подтверждена, это хороший знак.

Т.е. по прогнозам видно, что рост бизнеса не замедляется, даже если не брать 2025 год.

Сравнивать тут особо не с кем. Схожие темпы роста имеют Астра и Ива (с натяжкой), но Ива гайденс не предоставляет, зато Астра обещает утроить прибыль к 2025 году. Тогда расклад выходит такой:

Получается, что Астра к 2025 году по текущим ценам будет стоит на 60% дороже Позитива, несмотря на то, что спред сокращается! Есть ли для этого основания? Я не думаю, потому что у Астры чистая рентабельность даже меньше. Поэтому либо ASTR переоценён, либо POSI недооценён, либо и то, и другое.

Касательно дивидендов, дивполитика предполагает выплату 50-100% NIC каждый год. За 2023 год выплатили 75% от NIC, что к текущим ценам — див. доходность в 3,5%, но при кратном росте NIC к 2025 году доходность может превысить 9,8%, что много для IT компании

Чистый долг у компании небольшой — всего 6 миллиардов, которые в большинстве своём были привлечены под льготную ставку, поэтому финансовые расходы — крошечные (148 млн рублей за 2023 г.). Чистый долг/EBITDA 2023 = 0,54x — комфортно, поэтому проблем с выплатами акционерам быть не должно.

Ложка дёгтя

Можно ли испортить такую красивую историю роста? Естественно! И менеджмент Позитива неплохо для этого постарался.

В конце прошлого года руководство объявило о планах проводить допэмиссию в 25% при каждом удвоении капитализации.

Инвесторам такие новости, понятное дело, не понравились и акции тогда падали на 20-25%. Помнится даже основатель компании объяснялся перед сообществом, но получилось так себе, рынок не оценил.

Принято, переигрываем. В начале этого года решили снизить максимальную допэмиссию с 25% до 15%. Допка происходит каждый год, если акции выросли на 50% за 12 месяцев, долю размоют на 7,5%, если акции выросли на 25% — на 3,75% и т.д.

Казалось бы, уже не так больно. Компания растущая, а выпуск новых акций — хороший источник средств для роста и пока эти деньги идут на развитие бизнеса, всё хорошо… Они же на развитие бизнеса идут, верно? Ну, не совсем.

Допэмиссия проводится в пользу дочерней операционной компании АО «Позитив текнолоджиз», а оплачиваться новые акции будут правами на использование софта, который принадлежит материнской ПАО «Группа Позитив». Другими словами, печатаем ещё 5,2 млн акций -> передаём права на софт дочерней компании, которая фактически и так их использовала -> в компанию не поступило новых средств, но акционеров размоет на 8%. Вернее, размоет не всех, акций-то стало больше, а значит их можно раздать «ключевым контрибуторам», согласно программе мотивации сотрудников, а размоет только миноритариев.

Вот смотришь на это и думаешь, господи, ну выпишите вы себе и всем этим «контрибуторам» бонусы на пару сотен миллионов, сделайте нормальный байбек для раздачи акций сотрудником наконец, но нет, будем гонять исключительные права внутри контура и размывать миноритариев. Чтож, догонялись...

Хочется верить, что это не просто организационный момент, а принципиальная позиция ЦБ по защите миноритарных инвесторов. Как на самом деле — покажет время, но одно ясно точно — планы по допэмиссии, по заявлениям компании, сохраняются, а поэтому все графики выше подразумевают 8% допку в конце этого года и 6% — в конце следующего (исходя из роста акций с начала года).

Что в итоге

Кто бы что не говорил, а у Позитива реально всё получилось: завоевать лидерство в важных уголках отрасли, получить признание как в РФ, так и зарубежом и, самое главное, увеличить акционерную стоимость в разы, обогатив всех, кто поверил в компанию. 

Будущее выглядит очень солидно — рост и не думает замедлятся, засчёт чего будут падать мультипликаторы, делая POSI лучшей IT компанией по соотношению оценка/темпы роста на нашем рынке. Трюки с допкой смазывают картину, но на фоне общих трендов даже такое мини-кидалово выглядит незначительно.

По технике привлекательно выглядят уровни у нижней границы канала (2500-2550), там находится локальная поддержка, по этим ценам стоит набирать позицию для средне- и долгосрочных портфелей. Если выходим из канала вниз, то ниже есть относительно сильная поддержка на 2280.

Как-то так.