Petře, letos uplyne 10 let od chvíle, kdy jste Wultru založil. Co vás k tomu vedlo, viděl jste díru na trhu a tu chtěl zaplnit?
Petr Dvořák (Wultra): To už je deset let? Uteklo to jako voda, a přitom je to více než čtvrtina mého života.
Pro mě byla hlavní osobní motivace pro založení firmy snaha se osvobodit a začít podnikat na sebe. Naopak jsem ze začátku příliš nevěděl, co bude firma přesně dělat. Věděl jsem jistě jen to, že hlavně už nechci dělat nic v bankovnictví, protože jsem v této vertikále strávil řadu let a měl jsem pocit, že změna by mi prospěla. Bohužel se nakonec ukázalo, že ničemu jinému než bankovním technologiím nerozumím. Proto jsem se do odvětví vrátil a postavil produkt v oblasti, které rozumím nejlépe: kryptograficky silná autentizace bankovních klientů.
A nyní, po 10 letech, poskytujete pořád do velké míry ty služby, se kterými jste před 10 lety na trh vstupovali. Čím to je, poradíte, jak se tak dobře strefit?
Petr Dvořák (Wultra): Nemyslím si, že existuje obecný návod, jak se trefovat do produktů. U nás každý rok až dva zkusíme přivést na svět nový produkt, následně mu dáme tři roky dobu hájení. Něco se uchytne, něco ne. Pokud bych měl tedy poradit začínajícím podnikatelům, rada by směřovala spíše k budování odolnosti a schopnosti se po každém neúspěchu zvednout, nadechnout a začít znova.
S naším primárním produktem, autentizací do finančních aplikací, jsme ale postupovali relativně bezpečně. Míříme na poměrně dobře definovaný trh vícefaktorové autentizace ve finančním sektoru. Ten v roce 2024 globálně činí přibližně 6,5 miliard EUR. Měli jsme podle mě velké štěstí, že jsme začali brzy, protože na tento trh nebude s ohledem na zpřísňující se regulaci za 2-3 roky reálně možné vstoupit.
Nevymysleli jsme ale nic, co by bylo zcela revolučního. Náš diferenciátor je zejména v lepším a modernějším zabalení produktu do nástrojů pro vývojáře (SDK, API). Jsem přesvědčený, že i díky tomu jsme dnes na světě z pohledu kvality řešení na špici. Finanční instituce u nás vnímají rychlejší implementaci a rozvoj, než je tomu zvykem u konkurence. Proto se nám daří růst. Samozřejmě máme v produktu i celou řadu unikátních vlastností, jako například proximity-based autentizace nebo funkce pro prevenci útoků založených na social engineeringu, ale to jsou spíš specifické vlastnosti dobře definovaného produktu, cinkátka do obchodních prezentací…
Zaměřujete se na mj. na ochranu mobilních aplikací, resp. online komunikačních kanálů finančních institucí. Jaké jsou trendy na straně útočníků? Pokročilé technické útoky, phishing, spoofing, zneužívání uniklých hesel, intenzivnější využívání AI?
Petr Dvořák (Wultra): Stále naštěstí žijeme v době, kdy je většina probíhajících útoků technicky poměrně nepokročilých.
Zdaleka nejvyšší výtěžnost mají útoky z kategorie vishing („phishing po telefonu“). Při něm podvodník přinutí uživatele buď k potvrzení podvodných plateb („authorized push fraud“), nebo k tomu, aby účet spároval s telefonem podvodníka, který si pak s účtem dělá, co chce („account takeover“). Typicky se scénář takového útoku odehrává pod záminkou výhodné investice, případně smyšleného bezpečnostního problému s účtem.
Samozřejmě někteří klienti stále ještě naletí na jednodušší „bazoš útoky“, kdy útočník předstírá zájem o inzerované zboží a nabízí zajištění dopravy a odeslání peněz na kartu. Tím z uživatele vyloudí informace o platební kartě. Několikrát do roka potkáme také mobilní malware, který se aktivuje po spuštění mobilního bankovnictví a uživateli zobrazí výzvu k zadání přihlašovacích dat nebo rovnou čísla karty.
Budoucnost z pohledu bezpečnosti bohužel nevypadá příliš růžově. Největší praktickou hrozbou bude právě AI, která nejen že umožní automatizaci scénářů útoků a více důvěryhodnou komunikaci vůči oběti (a tedy vyšší dopad), ale také podrývá základy pro biometrickou autentizaci. Hlasová biometrie je již prostřednictvím AI dávno překonaná a biometrie obličeje je pod výrazným tlakem.
A jaké jsou trendy na druhé straně, na straně finančních institucí? Paswordless přístup nebo renesance fyzických hardwarových autentikátory? O hardwarových autentizačních nástrojích jste psal loni na blogu a docela mě to překvapilo, chápal jsem je spíš jako už překonaný prostředek pro identifikaci, resp. autentizaci uživatele.
Petr Dvořák (Wultra): Hardwarové autentikátory jsou prozatím moje spekulace. Chápu, že dnes se za mainstreamem považuje to, co děláme hlavně: Mobile-first autentizace neboli přihlašování v podobě mobilních klíčů a potvrzování přes push notifikace.
Pokusím se napřed předat trochu fundamentu, a tím svou úvahu ukotvit. V klasické interpretaci vícefaktorové autentizace lze využívat právě tři různé faktory: co máte, co víte (hesla), co jste (biometrie). Přestože existují různé „derivované faktory“ (poloha, sociální kontext…), primárními prvky pro autentizaci uživatele jsou právě ty tři zmíněné.
Bohužel, hesla jsou pro uživatele dlouhodobě problém. Nejenže většinou nedodržují správnou hygienu hesel (volba dlouhého náhodného hesla unikátního pro danou službu), ale také heslo ochotně předají např. do phishingové stránky. My jsme díky našim zkušenostem došli k závěru, že cokoliv uživatel může někam napsat, tak to tam napíše, pokud ho k tomu někdo chytře zmanipuluje.
Proto mnoho firem upnulo svou naději ke konceptu „passwordless“, čili bezheslovému přihlašování. Pokud má být ale takové přihlášení vícefaktorové, můžeme použít právě jen dva zbývající faktory - vlastnictví a biometrii. To ale dlouhodobě představuje problém, protože i biometrická autentizace má svoje limity. To, jak jsme jako lidé unikátní, si nemůžeme vybrat – podklad pro biometrickou autentizaci je přírodní biologický produkt, který následně měříme a zkoumáme podobnost. Kdybychom lidi přirovnali k rajčatům, rostou si na keříku a vypadají tak nějak všichni stejně, ale když je budeme měřit, dokážeme je od sebe do jisté míry rozlišit. Ale jak rajče vyroste, takové je. Stejně tak ani entropie otisku prstů se nedá zvýšit, nelze změnit charakteristiku obličeje nebo jaký máte hlas. A právě biometrii hlasu a obličeje dává již dnes umělá inteligence pořádně zabrat. Existují sice cesty, jak takovou autentizaci udělat více odolnou a bezpečnou, ale je otázkou, na jak dlouho to bude stačit. Problém totiž není v měření, ale v měřeném materiálu. Jestliže se extrapolací přítomnosti podíváme do budoucnosti, dokážu si představit, že bude možné vytvořit váš dokonalý digitální klon. S dostatečnou přesností „okopírovat tvar a jiné vlastnosti rajčete“.
Proto se domnívám, že ve vícefaktorové autentizaci bude již ve střednědobém horizontu dominantní faktor vlastnictví, jehož datovou entropii a „form factor“ můžeme měnit. Autentizační prostředek tak bude založený na principu „faktor ‚něco mám‘ to dokazuje, a navíc k tomu sedí i biometrie.“ Bankovní operace tak budete moci provádět vy, případně váš klon po odcizení faktoru vlastnictví.
Ale – jak už to v byznysu bývá – možná se mýlím.
Mezi vašimi klienty je řada bank působících v ČR. Jak se za uplynulých 10 let změnilo vnímání kybernetické bezpečnosti mezi českými finančními institucemi?
Petr Dvořák (Wultra): Banky braly bezpečnost vždy vážně. Myslím, že změna v posledních letech proběhla hlavně v kontextu vnímání mobilního bankovnictví jako primárního kanálu pro správu financí. Během tohoto přerodu banky přestaly většinu bezpečnostních řešení vyvíjet in-house (protože to zkrátka kapacitně není možné) a začaly strukturovaně nakupovat produkty pro jednotlivé oblasti, jakými jsou autentizace, ochrana runtime, anti-fraud, atd.
Vnímání bezpečnosti je pak současně formované legislativou. Například PSD2 legislativa přinesla požadavek na silné ověření klienta nebo na monitoring podvodných transakcí, a tím laťku pro bezpečnost bank do značné míry nastavila.
Pozorujte v tom zásadní rozdíly oproti jiným trhům, kde působíte? Ať už ve střední Evropě, Africe či severní Americe?
Petr Dvořák (Wultra): Trendy, které sledujeme u nás v Česku, se do značné míry dějí všude na světě. Různé trhy se ale samozřejmě od sebe mohou vnímáním bezpečnosti mírně lišit.
Největší záhadou jsou pro nás právě Spojené státy. Zde banky stále nepřistoupily k silné autentizaci klientů. Do značné míry za to může alokace finančních zdrojů směrem k pojištění („když se něco stane, tak to nějak pokryjeme“) a menší důraz na ochranu spotřebitele.
Některé trhy se rychleji přizpůsobují i v oblasti regulace, obvykle podle lokálních hrozeb. Například v Rumunsku nebo Kuvajtu místní regulátor vydal doporučení (kterým se nevyplatí neřídit) na ochranu klientů proti dopadům aplikací pro vzdálený desktop (AnyDesk, TeamViewer), který podvodníci často využívají k ovládnutí zařízení klienta. Ve Vietnamu naopak brzy začíná platit legislativa nařizující bankám používat pro nadlimitní transakce silnou biometrickou autentizaci.
Na naší straně se ale typicky jedná spíše o drobné změny v pozicování na straně marketingu.
Co vás z odborného hlediska nejvíc překvapilo při vstupu na africké či severoamerické trhy? Museli jste své produkty hodně přizpůsobovat např. kvůli odlišnému chování uživatelů či obvyklé komunikaci zdejších finančních institucí, významně odlišným hrozbám nebo specifické regulaci?
Petr Dvořák (Wultra): Zrovna na těchto trzích nevnímáme potřebu pro radikálně jiné produkty či nutnost přizpůsobovat se místní legislativě. Zejména bych rád podtrhl, že evropská legislativa nám dává dobrý základ, protože „legislativní značky“, které zavádí, jsou celosvětově známé. Například v Brazílii se mluví o „brazilské PSD2“ nebo „brazilském GDPR.“ Největší potíž na zmíněných trzích tak pro nás byla jazyková bariéra při domlouvání spolupráce. Dobrá angličtina v těchto zemích vůbec není samozřejmostí, a to ani pro vrcholové manažery bank.
Jakou roli v investicích do kybernetické bezpečnosti v EU aktuálně hrají nová regulace typu NIS2, resp. ve finančním sektoru spíš DORA? Je to pro většinu vašich klientů potvrzení, že jsou na dobré cestě, impuls k tomu věnovat kybernetické bezpečnosti větší pozornost a kapacity, nebo spíš šok, co všechno se na ně valí?
Petr Dvořák (Wultra): Přiznám se, že jsem od našich klientů z oblasti bankovnictví na regulaci DORA nezaznamenal žádnou silnější reakci. Banky ji znají a určitě i řeší, stejně tak ji známe a řešíme my, a myslím, že jsme všichni tak nějak smíření s tím, že přijde a že se na ni připravíme. Pokud bych to měl přeložit do terminologie obchodní prezentace: DORA/NIS2 funguje jako podpůrný argument na uklidnění v duchu „Samozřejmě jsme DORA-ready“, spíš, než že by DORA sama o sobě byla nějaký výrazný impulz pro zahájení obchodní diskuze. Ale takto to vnímáme my, konzultační firmy asi budou mluvit jinak.
Obecně platí, že aktuální bankovní regulace směřují k více uvědomělému postupu organizací a lepší struktuře interní dokumentace. V důsledku pak vylepšení pro koncového klienta banky spočívá v tom, že si může být jistý, že organizace, která spravuje jeho peníze, něco neopomene z důvodu nedostatečného procesu.
DORA dopadne nejen na vaše klienty, ale zřejmě i na vás jako na poskytovatele významných IT služeb ve finančním sektoru. Jak se na novou regulaci připravujete uvnitř vaší společnosti? Je tam pro vás jako zkušeného dodavatele bezpečnostních nástrojů pro finanční trh něco nového, překvapivého?
Petr Dvořák (Wultra): Regulaci finančního sektoru samozřejmě pečlivě sledujeme, a proto pro nás DORA nebyla žádným překvapením – ani tím, že přišla, ani svým obsahem. Od naší právní kanceláře jsme o legislativě věděli již od prvních obrysů. V tuto chvíli jsme v procesu zavádění souladu s DORA. Díky pečlivosti a pracovitosti našeho provozního oddělení, které má na starosti moje sestřenice Anička, jsem přesvědčený, že vše pohodlně zvládneme. Největší obavy máme z dopadu do kontraktů se zákazníky, kdy nelze vyloučit, že některé starší zákazníky budeme muset z formálních důvodů překontraktovat.
A co byste poradil IT firmě, která na finanční trh dodává méně, má méně zkušeností, a DORA se bojí? Čím začít? Pomůže třeba ISO certifikace v oblasti bezpečnosti informací, kterou Wultra má?
Petr Dvořák (Wultra): Myslím, že ISO 27001 je něco, co by mělo být povinnou hygienou každé IT společnosti.
Pro soulad s regulacemi jako DORA nebo NIS2 je podle mě příprava skrze ISO 27001 opravdu naprosto zásadní a představuje nutné minimum. IT společnosti se často obávají toho, že na ně ISO 27001 bude mít negativní dopad z pohledu efektivity práce. To ale často plyne z nepochopení toho, jak tato a podobné normy fungují.
Pokud bych to měl shrnout pro kolegy, kteří ISO 27001 zvažují, ale bojí se ho zavést: Norma je v podstatě kolekce nadpisů, které popisují témata, jež je ve firmě nutné řešit. Tato témata je potřeba naplnit obsahem dle toho, jak vaše společnost funguje. Jinak vypadá realizace ISO 27001 v rodinné firmě o 5 zaměstnancích a jinak pro banku. ISO 27001 proto nelze hodnotit optikou „v bance to mají a jsou pomalí, protože kvůli ISO mají složité procesy.“
Wultra slaví 10 let. Vyhnu se HR klišé a nebudu se ptát, kde vidíte sebe nebo svoji firmu za dalších 10 let. Ale zajímalo by mě, kde vidíte finance, platby a jejich digitální bezpečnost a odolnost. Jak budeme platit za 10 let a jakými nástroji a postupy budeme svoje peníze chránit?
Petr Dvořák (Wultra): V kontextu technologií je 10 let strašně dlouhá doba. Pokud se spojí trendy umělé inteligence a automatizace skrze robotiku, budeme se víc bavit o podstatě společnosti, fungování ekonomik a konceptu peněz než o tom, jak konkrétně budeme platit. V principu si umím představit téměř vše, co dnes vídáme ve sci-fi filmech. A jako firma u toho v každém případě budeme.
Společnost Wultra je strážcem digitálních financí, který poskytuje bankám a fintech společnostem snadno použitelná moderní autentizační řešení, která reálně zlepšují uživatelskou zkušenost. Prostřednictvím svých produktů poskytuje finančním institucím a jejich klientům klid, obnovený pocit důvěry a soulad s právními předpisy. Díky detekci a prevenci útoků a ochraně aplikací před širokou škálou kybernetických hrozeb umožňuje lidem využívajícím bankovní služby po celém světě využívat uživatelsky přívětivé aplikace, zatímco jejich data jsou v bezpečí.
Petr Dvořák je CEO a zakladatel společnosti Wultra. Před založením vlastní společnosti byl Petr vedoucím inovačního inkubátoru mobilní divize společnosti Avast. Tam nastoupil poté, kdy Avast v červenci roku 2014 koupil společnost Inmite, ve které byl Petr partnerem. Je autorem dvou patentů z oblasti digitální bezpečnosti a spoluautorem Českého standardu QR Platba pro platby s využitím QR kódů.
