Software, který na pozadí bankovní aplikace ověřuje, jestli se vám někdo nepokouší ukrást peníze – to je produkt brněnského startupu ThreatMark. S Michalem Tresnerem, jeho CEO, jsme se bavili o expanzi do Ameriky a zákulisí moderní online bezpečnosti.
Dnes už ziskový startup vznikl v roce 2015, první větší pozornost pak přitáhl o tři roky později, kdy jej CzechInvest a magazín Forbes vyhlásili Startupem roku. Že ThreatMark vytrvale roste potvrzuje i fakt, že ho letos Deloitte zařadil do svého seznamu padesáti nejrychleji rostoucích technologických firem v regionu střední a východní Evropy. Tým 65 expertů na bezpečnost a odhalování podvodů dnes hlídá bankovní účty nižších desítek milionů lidí, aktuálně ale připravuje rychlou expanzi – a to geograficky, i na zcela nové trhy.
Je internet bezpečné místo?
To je složitá otázka. Záleží, jakým způsobem se člověk na internetu pohybuje. Většina lidí ho bezpečně nevnímá – když třeba jdete do fyzické pobočky banky uložit větší sumu peněz, je to běžná operace a nikdo se necítí ohrožený. Ale minimálně starší generace má v online světě strach.
Ty sám máš nějakou zkušenost s podvodem?
Dá se říct, že ano. Před mnoha lety jsem provozoval bitcoinovou směnárnu, jako jeden ze svých předchozích startupů. A docela se nám dařilo – až do momentu, než jsme zjistili, že spousta transakcí, které přes nás lidé dělají, je v podstatě praní špinavých peněz. České koruny nebo eura jsme jim pomohli převést do bitcoinů. Zjistili jsme to až tak, že nás kontaktovala policie a museli jsme vysvětlovat, jaká transakce kam vedla a jak jsme v tom zapojení. Problém byl, že jsme dostatečně neověřovali identitu lidí, kteří přes nás směňovali peníze. I tohle mě dovedlo k založení ThreatMarku.
Posláním ThreatMarku je dělat z online světa pomocí technologií bezpečné místo. Jak k tomuto cíli jdete?
V širším slova smyslu se podle toho, jakým způsobem se uživatel v online prostředí chová, snažíme rozpoznat, jestli je opravdu tím, kým se zdá býti, a jestli má nějaký legitimní záměr. To je samozřejmě hodně široké pojetí. Abych to zkonkretizoval – sledujeme každý pohyb uživatele, hlavně když přistupuje do nějaké online aplikace a na základě toho, jak hýbe myší, jakým způsobem ťuká na klávesy klávesnice nebo jakým způsobem drží zařízení, jsme schopni poznat jeho záměr a identitu. Ověříme, jestli je to on, nebo nějaký útočník, který se za něj vydává. A toto kombinujeme s dalšími daty, jako je třeba konkrétní typ transakce v online bankingu. Dohromady to vytváří unikátní behaviorální otisk uživatele.
Na jaké typy podvodů a útoků narážíte nejčastěji?
Nejvíc řešíme útoky, které vedou k převzetí účtu útočníkem. To bývá důsledek kyberútoku, například pomocí nějakého malwaru nebo phishingu, anebo „social engineeringu“, kdy z vás někdo vyláká přístupové údaje a převezme váš účet. Spolupracujeme s bankami, takže teď mluvím o podvodných platbách, ale samozřejmě to může být i něco jiného. Třeba letecké společnosti, které používají bonusový program, kdy střádáte nalétané míle – když někdo přijde a převezme kontrolu nad vaším účtem, může si je prostě převést někam jinam. Ale naše největší motivace je rozhodně chránit vaše finance.
Kdo je tedy typický zákazník ThreatMarku?
Banka – a děláme pro ni hned několik věcí. Boj s útoky na účty a převody je jedna věc. Zároveň banka třeba půjčuje peníze, takže potřebuje vědět, jestli je dává někomu, kdo má záměr půjčku splatit. My se snažíme detekovat, jestli mu ty peníze banka vůbec má půjčit. A pak je pro nás velké téma obecně autentizace. Dneska se všude prosazuje minimálně dvoufaktorové ověřování, my ale přinášíme velkou revoluci v podobě behaviorálního profilingu v reálném čase, kdy jsme schopní bance pomoct tak, že ve více než 90 % případů nemusí žádat ověření pomocí druhého faktoru. Uživateli stačí znát jenom login a heslo, a napsat je „jako obvykle” – takže zásadně zlepšujeme user experience.
A já jakožto klient české banky nějak poznám, že moje banka používá váš systém?
Běžný klient to nepozná – není nijak vidět, že by ThreatMark nebo jakýkoliv náš systém interagoval s klientem. Na druhou stranu, pokud se vám třeba stává, že občas banka chce přihlášení druhým faktorem a občas ne, nejspíš používá naši technologii. Aktuálně chráníme zhruba 50 procent lidí v České republice. Je dost pravděpodobné, že ho používáte.
Zajímavé je, že pokud jde o mobilní zařízení – telefony, tablety a podobně – naše řešení v rámci České republiky, Rakouska, Maďarska a pár dalších zemí chrání zhruba 30 procent všech přístrojů. Uživatelé o tom ani neví, protože jsme součástí jejich bankovních aplikací. Když to srovnáte s faktem, že největší antiviry, jako je ESET nebo Avast, mají „mobile coverage“ jenom tři nebo čtyři procenta, tak tady vlastně chráníme mnohem víc lidí.
Co je ten nejslabší článek řetězce, pokud jde o zabezpečení?
Samozřejmě je to uživatel, problém je skoro vždy mezi klávesnicí a monitorem. Ale pravdou je, že tato mantra se teď v oblasti „security“ omílá čím dál častěji, protože zabezpečení systémů se stále zdokonaluje, ale uživatel se adaptuje pomalu a vždycky se dá nějakým zákeřným způsobem oklamat.
A to je na našem řešení asi nejlepší – je možná jediné, které dokáže zachránit finanční prostředky lidí i po tom, co se stali obětí nějakého podvodu. Útočník, který uživatele ošálil a vylákal z něj přístupové údaje, je nakonec stejně musí použít. My poznáme, když se nepřihlašuje legitimní uživatel, třeba protože jinak píše na klávesnici nebo drží myš. Toto je kouzelné, protože jakákoliv jiná bezpečnostní technologie nedokáže proti „social engineeringu“ bojovat, zatímco ta naše ano.
Takže jestli to chápu správně, vyhodnocujete obrovské množství parametrů. Jak funguje ta inteligence na pozadí?
Závisí to na celé řadě množin. To, jakým způsobem se uživatel chová, se dá popsat například tím, jak píše na klávesnici, hýbe myší, jaké transakce typicky dělá anebo z jakých zařízení typicky chodí, z jakých geolokací, v jaké časy a podobně. Těch parametrů jsou stovky.
Ale aby byl systém schopen poznat, že uživatel přichází ze svého mobilu, nebo že někdo používá zařízení, které jsme v minulosti identifikovali jako útočníka, je potřeba dělat něco, čemu se říká „device fingerprinting“ – takže sledujeme třeba nainstalované aplikace, konfiguraci, připojené WiFi a Bluetooth sítě nebo wallpaper, co máte na ploše mobilu. A tohle všechno dokážeme využít a anonymizovaným způsobem vytvoříme váš otisk.
A vy potom bance říkáte, že tady je nízké riziko, tady je vysoké riziko a už je na bance, jestli případného podvodníka zablokuje?
Ano, je to tak. Zjistíme, jestli je to ověřený uživatel, jestli nedochází k útoku a jestli jde o typickou platbu. Toto v řádu milisekund předáváme bance a ona se musí rozhodnout, co bude dělat dál.
Jak se váš systém může vyvíjet dál? Je nějaká technologie, na kterou se díváte do budoucna?
Behaviorální biometrie je velice široký, ale velice mladý obor. Až v posledních pěti letech bylo možné zpřesnit technologii tak, aby vůbec byla aplikovatelná. My se teď bavíme jenom o tom, jak rozpoznat uživatele, když jde do banky, ale potenciálních užití je celá řada. Tvoříme třeba nový „use case“, ve kterém se díváme na to, jak pro nás neznámí uživatelé vyplňují třeba žádost o půjčku nebo registrační formulář pro e-shop, a podle jejich chování odhadujeme jejich záměr. A tohle se dá aplikovat napříč internetem – kdekoliv, kde je nějaký „online onboarding“. To je směr, kterým se teď ubíráme. Covid, který lidi uzavřel doma, je pro nás perfektní akcelerační silou, protože se všichni do všech systémů musí registrovat online. V tomhle je velká budoucnost.
To mi zní jako šance pro rychlý růst startupu…
To je asi velká pravda. Bankovní svět je velice strnulý a všechno hrozně dlouho trvá. A našemu bankovnímu byznysu se sice perfektně daří, nicméně potřebovali bychom naškálovat celou firmu, abychom ho byli schopni dodávat bankám na celém světě. Takže se díváme na možnosti akcelerace v nových oblastech. Ono to nepůjde ze dne na den, ale nebudou to ani roky.
A proč jste tedy začali u bank?
To je dobrá otázka. (smích) Úplně na začátku jsme vymysleli technologii detekující kyberútoky, které ale byly specifické pro banking. Ale záhy jsme zjistili, že to je opravdu honění se kočky s myší, kdy se snažíte popsat nějaké minulé podvodné chování. Už v prvním roce ThreatMarku jsme si uvědomili, že to musíme otočit, a tak se snažíme popsat, co je to legitimní chování uživatelů. Je to mnohem stabilnější do budoucna a posouvá nás to do něčeho mnohem, mnohem většího.
Ještě se vrátím ke covidu. Co se během posledního roku stalo a jaký to mělo vliv na váš byznys?
Covid na nás měl negativní i pozitivní dopady. Některé banky dostaly strach, takže část projektů se odsunula, jiné se úplně zrušily. Na druhou stranu si celá řada dalších zákazníků uvědomila potřebu výrazněji chránit své uživatele. Když si vezmeme, kolik lidí se přesunulo do online světa, třeba i v oblasti bankovních služeb, kolik lidí začalo nakupovat na Košíku a objednávat online… Pro nás to jsou velké drivery, protože ať už vlezete kamkoli do online světa, potřebujete, aby vaše data byla chráněna.
Každý rok nám rostou tržby zhruba o 70 až 100 procent a letos se to nezmění. Covid neměl přímý dopad na banky, protože banking je prostě hrozně pomalý stroj. Ale je pravda, že třeba co se týče detekce kyberútoků, zaznamenali jsme v průběhu roku 2020 nárůst útoků pomocí phishingu o 400 procent. Útočníci se snažili využít strachu lidí a pod záminkou nějakých dodatečných informací kolem covidu, očkování a podobných témat škodili více, než kdo čekal. Pro nás je to ale příležitost, upozorňuje to na důležitost solidního zabezpečení.
Říkáte, že chcete být „number one“ v detekci podvodů. Jak daleko jste od tohoto cíle?
V České republice jsme určitě nejčastějším řešením pro banky. Nicméně globálně je tato oblast tak velká a je v ní i tolik peněz, že samozřejmě nejsme rozhodně jediní. Konkurence je hodně a nová stále vzniká. Ale já myslím, že důležitý benchmark pro nás byl, když jsme se dostali do reportů velkých analytických organizací, jako je Gartner, Forrester, Aite, KuppingerCole a podobně.
Co vás čeká v blízké budoucnosti?
Plán je růst co nejrychleji. Teď je před námi velký krok, chceme se dostat do Ameriky a založit tam opravdu funkční pobočku. Zrovna řešíme, jak to udělat nejlépe, aby to nebyl naivní plán. A jednou tam snad přesuneme headquarters.
Jak důležitý partner je pro vás Rockaway?
Od začátku vnímám Rockaway jako nositele znalostí. Když bych neměl mluvit o tom přínosu, který je zjevný – tedy o investicích na začátku a v průběhu našeho vztahu – tak jde hlavně o „advisory“ toho, jak dělat byznys. A to se vždycky hodí.
Profesionální fotbalista, pojistný matematik, consulting manager. Tímhle vším se mohl Max Palko stát, ale – naštěstí pro Rockaway tým – vedly jeho cesty nakonec jinam a dovedly ho na pozici investičního…
„Uklidňuje mě, když mám plán a vím, od čeho se odrazit,“ prozrazuje Karin svou strategii v momentech, kdy v práci takzvaně přituhuje. Jakožto COO se od začátku léta 2022 stará v Rockaway Ventures…
Rok 2021 byl pro celý ekosystém evropského rizikového kapitálu bezesporu opravdu výjimečným. Jen fundraising pro růstové fondy dosáhl nového rekordu ve výši 20 miliard EUR a venture kapitál osmnáct…
