Eyeonid - 2017-18s hetaste bolag

2017-09-25 08:45, Edited at: 2017-09-25 08:45

Eyeonid är ett bolag som många fått upp ögonen för under 2017 och som haft en fantastisk utveckling men ändå är i sin start. Men varför är det en självklarhet att man ska äga aktier i Eyeonid? Varför anser jag att Eyeonid ligger helt rätt i tiden och att resan precis börjat?

Vikten av IT-säkerhet

Sommaren har präglats av den stora skandalen med uppgifter läckta via Transportstyrelsen där känsliga uppgifter har läckt som kan få stora konsekvenser framöver. Vad som läckt är bland annat:

• Körkortsregister med namn och körkortsnummer på samtliga med körkort i Sverige (inklusive de som lever med skyddad identitet.)
• Bilregister på samtliga med bil i Sverige.
• Register över Sveriges militärfordon. Inklusive de som är ur funktion. Även hemliga fordon har läckts med uppgifter på till exempel stridspiloter.
• Uppgifter om var Sverige är som mest sårbar vid attack. (Vägar och broar).

 Men det har inte bara varit staten som haft brister, även företagen Equifax i USA hade i sommar ett intrång där över 140 miljoner amerikanare drabbats med läckta uppgifter om namn, födelsedatum, socialförsäkringsnummer och i vissa fall kreditkortsnummer som kommer inom kort leta sig in på dark-web till försäljning. Det är ett lavinartat problem som vi inte ser någon vändning i och konsumenter har förståeligt stark syn på detta problem vilket en studie färsk studie från Handelshögskolan i Stockholm visar på:

 _En omfattande undersökning från Handelshögskolan totalt baserad på drygt 10 000 respondenter, har forskarna undersökt olika intres­sen­ters reaktioner på ett antal olika företagsbeteenden som kan uppfattas negativt (oetiska) respek­tive positivt (etiska)._

Av 13 undersökta ageranden är det bara bristande kontroll av underleverantörers eventuella användande av barnarbete som de reagerar mer negativt på. Det innebär att bristande dataskydd kan få mycket stora ekonomiska konsekvenser för företagen.

 Av dessa var det bristande kontroll av underleverantörers använd­ning av barnarbete och bristande dataskydd som gav de starkaste negativa reaktio­nerna. Ett riskindex från -100 till +100 visade ett genomsnittligt värde på -69 för bristande kontroll av barnarbete och på -65 för bristande dataskydd.

 -    Dataskyddsfrågan utmärker sig genom att det är svårt för företagen att kompensera de negativa effekterna. Kränkning av ens integritet är något vi reagerar starkt emot och har svårt att förlåta. Det innebär att bristande dataskydd i sig uppfattas som diskvalifice­rande. Ett strikt dataskydd borde därför ligga både i företagens och i samhällets intresse, säger Erik Lakomaa, disputerad forskare vid Handelshögskolan i Stockholm.

Bild: https://www.hhs.se/contentassets/9fe5d15de66b431a9a27da5eace0b3a9/stapeldiagram.png

Detta visar tydligt vikten av att företag tar IT-säkerhet på största alvar för varumärkets styrka, vilket blir en väldigt viktig komponent i att ha övervakning över ens uppgifter, anställdas inloggningsuppgifter och annat som kan leda till läckor. Då 40% av alla intrång och läckor kommer via leverantörer och partners blir det även allt viktigare att ligga steget före, även om företaget i sig inte märkt någon läcka eller intrång kan man med övervakning hitta sådant som läckt via andra eller tredje part. Detta är även vad Transportstyrelsens läcka berodde på.

 General Data Protection Regulation och EyeonID

GDPR är (General Data Protection Regulation) är ett regelverk som träder i kraft den 25e maj 2018. Detta regelverk påverkar alla företag som hanterar och sparar personuppgifter i någon grad och anledningen till att de flesta bolag tar detta på största allvar är på grund av de stora böter det kan innebära vilka ligger på upp till 4% av koncernomsättningen, vilket för ett företag som Swedbank skulle innebära 1.6 miljarder kronor i böter. Stora övergripande skillnader mot vad vi har idag genom PUL är bland annat:

-PIA(Privacy impact assesment)

• Bolag som arbetar i en högre utsatt bransch behöver göra en konsekvensbedömning.
• Det kan röra sig om profilering, ny teknik, svaga registrerade(Arbetstagare, patienter, barn) bland annat, och om man berörs av detta är det högt krav på hög säkerhet.

-Missbruksregeln försvinner

Idag råder PUL och då använder man sig av Missbruksregeln gällande datahantering i ostrukturerad form. Missbruksregeln innebär att man idag kan använda enklare regler för personuppgifter i ostrukturerat material. Det gäller ofta till exempel information om personer i e-post, på internet eller i en enkel lista som man har i datorn. När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i databaser och ärendehanteringssystem, också ska användas för det som skrivs om personer i exempelvis e-post och på webbplatser.

 -Incidenthantering

• Man kommer bli skyldig att rapportera ett dataintrång, säkerhetsproblem eller förlust av data i mycket större utsträckning.
• Detta behöver ske inom 72 timmar från vetskap och i Sverige görs det till Datainspektionen. Man kommer även behöva anmäla detta till berörd individ som blivit kränkt.
• Vad detta öppnar upp för också är en marknad för individen att få skadestånd från företaget som läckt uppgifterna och det gäller inte bara personuppgiftsansvarig(tillexempel företaget man beställt tjänst genom) utan även personuppgiftsbiträde(bolag som hanterar personuppgifter på uppdrag av personuppgiftsansvarig).
• Vad vi kan komma att se är både ur ett företagsperspektiv där man aktivt arbetar med att försöka minimera läckor, men även ur ett individperspektiv där en ny standard blir att man kommer bli mer medveten över läckor innan företagen rapporterar dessa.

-Privacy by design

Inbyggt dataskydd (privacy by design) innebär att man tar hänsyn till integritetsskyddsreglerna redan när man utformar it-system och rutiner. Detta innebär att man krypterar, pseudonymiserar i så stor grad som möjligt. Detta ställer högre krav på dom skydd företagen har idag med både dom brandväggana företagen har, men även där kan man frågan ställas var gränsen går när det kommer till att skydda inloggningsuppgifter proaktivt för att förhindra potentiella kommande intrång. 

Vad som räknas som en personuppgift är information som indirekt eller direkt kan hänföras till en idag levande, fysisk person. Några självklara exempel på dessa uppgifter är Adress, Personnummer och Namn, Foton, men även några mindre självklara som: IP-nummer, Genetiska(DNA/Kromosomer) och Biometriska (fingeravtryck/ansiktsigenkänning/ögon) uppgifter. Även om de uppgifterna är krypterade eller pseudonymiserade, till skillnad mot om de är anonymiserade, går det under personuppgifter. För att kunna använda ett fingeravtryck som lösenord måste det som avläses möta den koden som ditt fingeravtryck sparats i. Om den matchningskoden läcker har det alltså enligt GDPR läckt personuppgifter och företaget i sig kan bli skyldiga till böter på 4% av koncernomsättningen.

Eyeonids VD Daniel har uttryckt sig flera gånger om att plattformen är byggd för att kunna addera sökobjekt. Att man nu med lägger till fler sökobjekt kommer sannolikt ske med företag efter företag som ansluter sig till företagets tjänst. Detta innebär alltså att även om världen skulle röra sig mer mot biometri kommer Eyeonids tjänst vara fullt lika aktuell.

Sammanfattning:

Vi rör oss mot en mycket starkare medvetenhet om hur utsatt vår integritet kan vara på internet. Företag och privatpersoner kommer bli mer angelägna om hur ens personuppgifter hanteras, av vem och att de hanteras på ett säkert sätt. När ett kundbeteende växer fram är det något som både stora försäkringsbolag kommer vilja möta men också banker, telecombolag, affärskoncerner och myndigheter för att nämna få. Transportstyrelsen hade kanske kunnat ligga steget före om en proaktiv bevakning hade funnits över delar av de uppgifter som läckt. Gekås och Ikano bank kanske inte hade blivit del av den bedrägerihärvan som uppstod i somras om övervakningen hade skett på en större nivå.

Vad man kan räkna på är den marknaden som det kommer innebära för att skydda sig mot intrång och i den mån Eyeonid kan förhindra och motverka sannolikheten att få böter på 4% av omsättningen utan kanske endast en varning eller rättelse om man kan yrka på att man varit proaktiv i sin hantering. Det är en mångmiljardmarknad, då all kostnad för att undvika böter på en sådan summa vore väl spenderade pengar om den kan undvikas.

Vad jag tror att vi ser inom kort framöver

Jag tror att vi ser en kraftig expansion inom den närmsta framtiden. Under september månad kan vi vänta oss att de slutför PCI certifieringen för att kunna hantera kreditkort i plattformen. Vi kanske även ser någon av de LOI som finns ute bli skarpt avtal, men annars tror jag att vi har flera bolag som står runt hörnet.

Bolaget räknar med att nå lönsamhet under 2018 och då kan man ställa sig frågan vilka bolag med en liknande expansionspotential i en växande marknad är lönsamma med en sådan värdering. Avtalen med Mysafety och SRS endast lär inte generera lönsamhet för bolaget enbart under 2018 utan fler avtal krävs och då har vi en bra mycket högre kurs när man kan se lönsamhet i böckerna, de som tar position idag gör den chansningen att gå på VDs ord, de som inte gör det får i min tro köpa till en dyrare kurs.

Upplysning: Detta är ingen analys utan en blandning av mina personliga slutsatser och åsikter samt hänvisning till källor för övrigt citerade källor. Jag äger aktier i EyeOnID.

Källor: https://www.hhs.se/en/research/institutes/institute-for-research/institute-for-research/2016/ny-forskning-fran-handelshogskolan-stora-risker-med-bristande-dataskydd/

http://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/

https://www.sydsvenskan.se/2017-07-26/it-skandalen-pa-transportstyrelsen-detta-har-hant