Před mikrofonem: Chráníme vaše peníze online

Petře, letos uplyne 10 let od chvíle, kdy jste Wultru založil. Co vás k tomu vedlo, viděl jste díru na trhu a tu chtěl zaplnit?

Petr Dvořák (Wultra): To už je deset let? Uteklo to jako voda, a přitom je to více než čtvrtina mého života.

Pro mě byla hlavní osobní motivace pro založení firmy snaha se osvobodit a začít podnikat na sebe. Naopak jsem ze začátku příliš nevěděl, co bude firma přesně dělat. Věděl jsem jistě jen to, že hlavně už nechci dělat nic v bankovnictví, protože jsem v této vertikále strávil řadu let a měl jsem pocit, že změna by mi prospěla. Bohužel se nakonec ukázalo, že ničemu jinému než bankovním technologiím nerozumím. Proto jsem se do odvětví vrátil a postavil produkt v oblasti, které rozumím nejlépe: kryptograficky silná autentizace bankovních klientů.

 A nyní, po 10 letech, poskytujete pořád do velké míry ty služby, se kterými jste před 10 lety na trh vstupovali. Čím to je, poradíte, jak se tak dobře strefit?

Petr Dvořák (Wultra): Nemyslím si, že existuje obecný návod, jak se trefovat do produktů. U nás každý rok až dva zkusíme přivést na svět nový produkt, následně mu dáme tři roky dobu hájení. Něco se uchytne, něco ne. Pokud bych měl tedy poradit začínajícím podnikatelům, rada by směřovala spíše k budování odolnosti a schopnosti se po každém neúspěchu zvednout, nadechnout a začít znova.

S naším primárním produktem, autentizací do finančních aplikací, jsme ale postupovali relativně bezpečně. Míříme na poměrně dobře definovaný trh vícefaktorové autentizace ve finančním sektoru. Ten v roce 2024 globálně činí přibližně 6,5 miliard EUR. Měli jsme podle mě velké štěstí, že jsme začali brzy, protože na tento trh nebude s ohledem na zpřísňující se regulaci za 2-3 roky reálně možné vstoupit.

Nevymysleli jsme ale nic, co by bylo zcela revolučního. Náš diferenciátor je zejména v lepším a modernějším zabalení produktu do nástrojů pro vývojáře (SDK, API). Jsem přesvědčený, že i díky tomu jsme dnes na světě z pohledu kvality řešení na špici. Finanční instituce u nás vnímají rychlejší implementaci a rozvoj, než je tomu zvykem u konkurence. Proto se nám daří růst. Samozřejmě máme v produktu i celou řadu unikátních vlastností, jako například proximity-based autentizace nebo funkce pro prevenci útoků založených na social engineeringu, ale to jsou spíš specifické vlastnosti dobře definovaného produktu, cinkátka do obchodních prezentací…

Zaměřujete se na mj. na ochranu mobilních aplikací, resp. online komunikačních kanálů finančních institucí. Jaké jsou trendy na straně útočníků? Pokročilé technické útoky, phishing, spoofing, zneužívání uniklých hesel, intenzivnější využívání AI?

Petr Dvořák (Wultra): Stále naštěstí žijeme v době, kdy je většina probíhajících útoků technicky poměrně nepokročilých.

Zdaleka nejvyšší výtěžnost mají útoky z kategorie vishing („phishing po telefonu“). Při něm podvodník přinutí uživatele buď k potvrzení podvodných plateb („authorized push fraud“), nebo k tomu, aby účet spároval s telefonem podvodníka, který si pak s účtem dělá, co chce („account takeover“). Typicky se scénář takového útoku odehrává pod záminkou výhodné investice, případně smyšleného bezpečnostního problému s účtem. 

Samozřejmě někteří klienti stále ještě naletí na jednodušší „bazoš útoky“, kdy útočník předstírá zájem o inzerované zboží a nabízí zajištění dopravy a odeslání peněz na kartu. Tím z uživatele vyloudí informace o platební kartě. Několikrát do roka potkáme také mobilní malware, který se aktivuje po spuštění mobilního bankovnictví a uživateli zobrazí výzvu k zadání přihlašovacích dat nebo rovnou čísla karty.

Budoucnost z pohledu bezpečnosti bohužel nevypadá příliš růžově. Největší praktickou hrozbou bude právě AI, která nejen že umožní automatizaci scénářů útoků a více důvěryhodnou komunikaci vůči oběti (a tedy vyšší dopad), ale také podrývá základy pro biometrickou autentizaci. Hlasová biometrie je již prostřednictvím AI dávno překonaná a biometrie obličeje je pod výrazným tlakem.

A jaké jsou trendy na druhé straně, na straně finančních institucí? Paswordless přístup nebo renesance fyzických hardwarových autentikátory? O hardwarových autentizačních nástrojích jste psal loni na blogu a docela mě to překvapilo, chápal jsem je spíš jako už překonaný prostředek pro identifikaci, resp. autentizaci uživatele.  

Petr Dvořák (Wultra): Hardwarové autentikátory jsou prozatím moje spekulace. Chápu, že dnes se za mainstreamem považuje to, co děláme hlavně: Mobile-first autentizace neboli přihlašování v podobě mobilních klíčů a potvrzování přes push notifikace.

Pokusím se napřed předat trochu fundamentu, a tím svou úvahu ukotvit. V klasické interpretaci vícefaktorové autentizace lze využívat právě tři různé faktory: co máte, co víte (hesla), co jste (biometrie). Přestože existují různé „derivované faktory“ (poloha, sociální kontext…), primárními prvky pro autentizaci uživatele jsou právě ty tři zmíněné.

Bohužel, hesla jsou pro uživatele dlouhodobě problém. Nejenže většinou nedodržují správnou hygienu hesel (volba dlouhého náhodného hesla unikátního pro danou službu), ale také heslo ochotně předají např. do phishingové stránky. My jsme díky našim zkušenostem došli k závěru, že cokoliv uživatel může někam napsat, tak to tam napíše, pokud ho k tomu někdo chytře zmanipuluje.

Proto mnoho firem upnulo svou naději ke konceptu „passwordless“, čili bezheslovému přihlašování. Pokud má být ale takové přihlášení vícefaktorové, můžeme použít právě jen dva zbývající faktory - vlastnictví a biometrii. To ale dlouhodobě představuje problém, protože i biometrická autentizace má svoje limity. To, jak jsme jako lidé unikátní, si nemůžeme vybrat – podklad pro biometrickou autentizaci je přírodní biologický produkt, který následně měříme a zkoumáme podobnost. Kdybychom lidi přirovnali k rajčatům, rostou si na keříku a vypadají tak nějak všichni stejně, ale když je budeme měřit, dokážeme je od sebe do jisté míry rozlišit. Ale jak rajče vyroste, takové je. Stejně tak ani entropie otisku prstů se nedá zvýšit, nelze změnit charakteristiku obličeje nebo jaký máte hlas. A právě biometrii hlasu a obličeje dává již dnes umělá inteligence pořádně zabrat. Existují sice cesty, jak takovou autentizaci udělat více odolnou a bezpečnou, ale je otázkou, na jak dlouho to bude stačit. Problém totiž není v měření, ale v měřeném materiálu. Jestliže se extrapolací přítomnosti podíváme do budoucnosti, dokážu si představit, že bude možné vytvořit váš dokonalý digitální klon. S dostatečnou přesností „okopírovat tvar a jiné vlastnosti rajčete“.

Proto se domnívám, že ve vícefaktorové autentizaci bude již ve střednědobém horizontu dominantní faktor vlastnictví, jehož datovou entropii a „form factor“ můžeme měnit. Autentizační prostředek tak bude založený na principu „faktor ‚něco mám‘ to dokazuje, a navíc k tomu sedí i biometrie.“ Bankovní operace tak budete moci provádět vy, případně váš klon po odcizení faktoru vlastnictví.

Ale – jak už to v byznysu bývá – možná se mýlím.

Mezi vašimi klienty je řada bank působících v ČR. Jak se za uplynulých 10 let změnilo vnímání kybernetické bezpečnosti mezi českými finančními institucemi?

Petr Dvořák (Wultra): Banky braly bezpečnost vždy vážně. Myslím, že změna v posledních letech proběhla hlavně v kontextu vnímání mobilního bankovnictví jako primárního kanálu pro správu financí. Během tohoto přerodu banky přestaly většinu bezpečnostních řešení vyvíjet in-house (protože to zkrátka kapacitně není možné) a začaly strukturovaně nakupovat produkty pro jednotlivé oblasti, jakými jsou autentizace, ochrana runtime, anti-fraud, atd.

Vnímání bezpečnosti je pak současně formované legislativou. Například PSD2 legislativa přinesla požadavek na silné ověření klienta nebo na monitoring podvodných transakcí, a tím laťku pro bezpečnost bank do značné míry nastavila.

Pozorujte v tom zásadní rozdíly oproti jiným trhům, kde působíte? Ať už ve střední Evropě, Africe či severní Americe?

Petr Dvořák (Wultra): Trendy, které sledujeme u nás v Česku, se do značné míry dějí všude na světě. Různé trhy se ale samozřejmě od sebe mohou vnímáním bezpečnosti mírně lišit.

Největší záhadou jsou pro nás právě Spojené státy. Zde banky stále nepřistoupily k silné autentizaci klientů. Do značné míry za to může alokace finančních zdrojů směrem k pojištění („když se něco stane, tak to nějak pokryjeme“) a menší důraz na ochranu spotřebitele.

Některé trhy se rychleji přizpůsobují i v oblasti regulace, obvykle podle lokálních hrozeb. Například v Rumunsku nebo Kuvajtu místní regulátor vydal doporučení (kterým se nevyplatí neřídit) na ochranu klientů proti dopadům aplikací pro vzdálený desktop (AnyDesk, TeamViewer), který podvodníci často využívají k ovládnutí zařízení klienta. Ve Vietnamu naopak brzy začíná platit legislativa nařizující bankám používat pro nadlimitní transakce silnou biometrickou autentizaci.

Na naší straně se ale typicky jedná spíše o drobné změny v pozicování na straně marketingu.

Celé znění rozhovoru naleznete na gdrp.cz.

Společnost Wultra je strážcem digitálních financí, který poskytuje bankám a fintech společnostem snadno použitelná moderní autentizační řešení, která reálně zlepšují uživatelskou zkušenost. Prostřednictvím svých produktů poskytuje finančním institucím a jejich klientům klid, obnovený pocit důvěry a soulad s právními předpisy. Díky detekci a prevenci útoků a ochraně aplikací před širokou škálou kybernetických hrozeb umožňuje lidem využívajícím bankovní služby po celém světě využívat uživatelsky přívětivé aplikace, zatímco jejich data jsou v bezpečí.

Petr Dvořák je CEO a zakladatel společnosti Wultra. Před založením vlastní společnosti byl Petr vedoucím inovačního inkubátoru mobilní divize společnosti Avast. Tam nastoupil poté, kdy Avast v červenci roku 2014 koupil společnost Inmite, ve které byl Petr partnerem. Je autorem dvou patentů z oblasti digitální bezpečnosti a spoluautorem Českého standardu QR Platba pro platby s využitím QR kódů.

Článek byl převzat z gdrp.cz.