Biometrické údaje jako otisk prstu či sken obličeje se již pro kontrolu identity běžně využívají, podle Robertina Matausche, zakladatele a CEO startupu CardioID, ale mají zásadní vady. Proto se rozhodl pro vývoj softwaru, který bude ověřovat identitu pomocí EKG. Účelem je podle jeho slov pro StartupJobs Newsroom, aby každý člověk mohl být v digitálním světě ověřitelný bez hesla, jen podle tlukotu srdce.
EKG je vyšetřovací metoda zobrazující elektrickou aktivitu srdce. Srdce vystřeluje elektrický signál, po kterém následuje kontrakce srdečního svalu. Existuje zhruba 130 a více genetických faktorů, které tuto část popisují. Tělo tak podle Matausche můžeme vnímat jako orchestr, který hraje jedinečnou melodii. Pokud se změní srdeční rytmus, například při cvičení nebo stresu, mění se rychlost melodie, noty ale zůstávají stejné. CardioID by se proto podle svého zakladatele původem z Německa dalo při troše kreativity přirovnat k aplikaci Shazam, pouze místo hudby detekuje EKG. „Vezměte si například Sound of Silence od Paula Simona - je velmi plynulé, velmi pomalé. A pak z toho uděláte rockovou verzi, nebo dokonce metalovou. Stejné noty, jiný orchestr, jiný zvuk, ale stejná píseň. A váš mozek stále detekuje Sound of Silence,“ vysvětluje CEO Matausch, jenž má zkušenosti i z německých tajných služeb.
Jeho firma se zaměřuje na vývoj softwaru, který identifikuje osobní „srdeční melodii“ a současně generuje data, jež slouží jako ověření totožnosti. EKG bude zachyceno pomocí náramku, prstenu nebo kreditní karty, umělá inteligence data následně porovná, a pokud budou souhlasit, povolí přístup. „Vstup je jako černá skříňka, ani my nevíme, kolik má zámků. A jak jsem již řekl, orchestr i píseň je jedinečný. Hlasitost jednotlivých nástrojů se stále mění. Pokud tedy někdo chce hacknout náš systém, stojí v pomyslných dveřích s neznámým počtem nástrojů a neznámým počtem variací hlasitosti. A jediná reakce, kterou od systému máte, je, zda máte správnou nebo špatnou kombinaci,“ vysvětluje Matausch a dodává, že vkládání kombinací hrubou silou proto nedává smysl.
Každá komunikace mezi zařízením a koncovým bodem, ať už bankou nebo e-mailovou adresou, je šifrována a probíhá pouze v reálném čase. EKG se v zařízení neukládá a po sejmutí náramku přestane poskytovat přístup. „Klíčem jste vy a ne jakýkoli mobilní telefon nebo tablet. Spojení je mezi biometrickým měřením a vámi a mezi tím není žádná mezera,“ dodává Matausch. Software by chtěli poskytnout například bankám, poskytovatelům platebních portálů, technologickým gigantům nebo i státní správě.
Indiánský náčelník ve falešném pasu
Matausch začal pracovat u německé vojenské rozvědky a následně se přesunul k IT. Mimo jiné působil ve firmách, jako je Microsoft, Compaq nebo Světové ekonomické fórum. K založení startupu se rozhodl po zkušenostech s bezpečnostními problémy v obou odvětvích. „Jako mladý jsem pracoval na letišti. Jeden muž tam prošel kontrolou s falešným pasem, ve kterém byl obrázek Sedícího býka, indiánského náčelníka, a nikdo ho nezastavil. Později jsem si říkal, že pokud to funguje tváří v tvář, funguje to také v síti,“ vysvětluje.
Právě internet zcela zásadně ovlivnil způsob ověřování identity. „Vždy se předpokládá, že osoba, která odesílá e-mail, je skutečně osobou, která e-mail píše. Před pár týdny byla hacknuta Okta, jeden z největších poskytovatelů elektronických identit na světě. Spravují 100 milionů účtů. A jaký to má potom dopad? Nemůžete si být ani jisti, že osoba, která transakci provádí, není ve skutečnosti umělá inteligence. Ověření identity je pouze předpoklad. A to je špatně,“ popisuje Matausch skutečnost, která ho vedla k založení startupu.
Robertino Matausch pochází z Německa, dokonce v minulosti působil v tamní vojenské rozvědce. (Foto: Archiv R.M.)
Několik způsobů biometrického ověřování identity se už běžně používá, například rozpoznávání obličeje a hlasu, skenování sítnice, otisk prstu nebo rukopis. Podle Matausche ale ani jeden není dostatečně bezpečný a není problém je zfalšovat. „Někdo vám může zavolat a nahrát váš hlas. Někdo vás může vyfotit. Teoreticky mohu s osmimegapixelovým fotoaparátem získat sken vaší duhovky a samozřejmě ID obličeje,“ říká. Problémové je podle něj i to, že samotné technologie se dále nevyvíjejí, pouze se přidávají nové faktory ověřování.
„Samotný snímač otisků prstů je nejlevnější součástí mobilu. Stojí zhruba tři koruny. A teď přemýšlejte o tom, jak dobrá to může být technologie, když chrání všechny vaše sociální účty, veškeré vaše bankovnictví atd. EKG je ve vašem těle. Nikdo ho nemůže zkopírovat ani naklonovat. A je unikátnější než otisk prstu nebo duhovka.“
Česko průkopníkem?
Společnost CardioID se aktuálně nachází na třech místech: zatímco hlavní kancelář má v Mnichově a sales a business development v haagské Security Delta, centrum výzkumu je situované v Brně, a to především kvůli investičním příležitostem. „Byl jsem pozván CzechInvestem do Prahy na startupový summit. Brno mi ukázal jeden z mentorů a byl jsem jím ohromen. V Německu máme striktní oddělení vědy a byznysu, zatímco Česká republika je dokáže propojit a začlenit i studenty z univerzit,“ říká.
Podle něj se také Češi rychleji přizpůsobují novým technologiím. „Jen si představte, že Česká republika má první elektronický průkaz totožnosti, který je skutečně biometrický. Řidičské průkazy, bezklíčové systémy pro auta nebo platební systémy, beze strachu, že vám někdo ukradne PIN kód,“ popisuje Matausch, jak by mohla vypadat blízká budoucnost.
S výzkumem startup začal ještě před pandemií covid-19. V té době měl další dva konkurenty, ani jeden z nich ale neuspěl. „Udělali jsme stejné chyby jako oni, ale po roce 2019 jsme zjistili, že se špatně díváme na elektromagnetické výboje. Proto jsme začali pracovat s umělou inteligencí,“ říká.
Pandemie koronaviru je výrazně zpomalil ve sběru dat. Trvalo rok, než získali data sta osob, na kterých provedli skoro 25 tisíc měření. Aktuálně spolupracují s nizozemskou firmou na ověřování identity pro chirurgy a s LifeCore na ACG kreditní kartě, která současně funguje jako univerzální klíč.
Na projektu se podílí pět lidí a Matausch, který ho celý financuje, je jediný podílník. Přesto startup v minulosti vybral na Kickstarteru 50 tisíc eur (zhruba 1 220 000 korun), a hledá nové investory. Vydělávat chce CardioID během šesti až osmnácti měsíců.
Foto: CardioID