Μια νοτιοκορεατική εταιρεία «κάλεσε» χάκερ να διεισδύσουν στα πληροφοριακά της συστήματα.

Για τα πρώτα δύο χρόνια, το πρόγραμμα του Toss λειτουργούσε μόνο για λίγους μήνες, αλλά από τα τέλη του 2023, η εταιρεία το συντηρεί συνεχώς. Οι χάκερ μπορούν να αναφέρουν τρωτά σημεία στην εφαρμογή όποτε τα ανακαλύπτουν. Αυτοί οι white-hat χάκερ μπορούν να ανταμειφθούν έως και 30 εκατομμύρια γουόν (πάνω από μισό δισεκατομμύριο βιετναμέζικα ντονγκ) για την εύρεση κρίσιμων σφαλμάτων.

Η Toss είναι η μόνη χρηματοοικονομική εταιρεία στη Νότια Κορέα που εφαρμόζει τακτικά ένα πρόγραμμα bounty για εντοπισμό bug. Αυτό αντικατοπτρίζει την εμπιστοσύνη της εταιρείας στις δυνατότητες ασφαλείας της, σύμφωνα με τον Lee Jong Ho, έναν white-hat hacker και επικεφαλής ασφαλείας στην Toss.

Μιλώντας στην Korea Herald, ο Lee δήλωσε ότι το πρόγραμμα bug bounty μπορεί να αποκαλύψει τρωτά σημεία στο σύστημα ασφαλείας μιας εταιρείας που η ίδια δεν γνώριζε. Επιπλέον, η Toss είναι η μόνη κορεατική εταιρεία με «κόκκινη ομάδα» — ένας όρος που αναφέρεται σε μια ομάδα επαγγελματιών στον κυβερνοχώρο που έχουν αναλάβει την προσομοίωση επιθέσεων για να ελέγξουν την αποτελεσματικότητα των συστημάτων ή των στρατηγικών ασφαλείας.

Η κόκκινη ομάδα του Toss αποτελείται από 10 white-hat χάκερ, εκτός από τον Lee. Συνεργάζονται με την «μπλε ομάδα» (την ομάδα άμυνας) καθημερινά. «Αφαιρώντας τις προκαταλήψεις, ανακαλύπτουμε τρωτά σημεία που οι εταιρείες παραβλέπουν και προσπαθούν να διεισδύσουν στις άμυνες, ενισχύοντας έτσι την ανθεκτικότητά μας έναντι πραγματικών απειλών», εξηγεί ο Lee.

Η Toss έχει βελτιώσει τα μέτρα ασφαλείας της δημιουργώντας προσαρμοσμένα προγράμματα άμυνας, όπως το Toss Guard και το Phishing Zero, και ενσωματώνοντάς τα εσωτερικά. Αυτά τα μέτρα όχι μόνο διασφαλίζουν ευελιξία και επεκτασιμότητα για να ανταποκριθούν στην ανάπτυξη της εταιρείας, αλλά και ενισχύουν ένα ισχυρό αμυντικό σύστημα κατάλληλο για το μοναδικό περιβάλλον της Toss, τόνισε ο Lee.

Ωστόσο, η δέσμευση για βελτιωμένη ασφάλεια δεν είναι μια απλή επιλογή για τις εταιρείες λόγω του σημαντικού κόστους που συνεπάγεται. Σύμφωνα με έκθεση της Viva Republica, του φορέα εκμετάλλευσης της Toss, από τα 83,9 δισεκατομμύρια γουόν που επενδύθηκαν στην πληροφορική πέρυσι, το 11,5% - που αντιστοιχεί σε 9,6 δισεκατομμύρια γουόν - αφιερώθηκε στην ασφάλεια, ένα από τα υψηλότερα ποσοστά που καταγράφηκαν μεταξύ των εταιρειών τεχνολογίας της Νότιας Κορέας.

Ο Lee ανέφερε ότι αυτή η δέσμευση για βελτιωμένη ασφάλεια ήταν ο λόγος που επέλεξε να ενταχθεί στην Toss. Αφού πέρασε μια δεκαετία στην εταιρεία παροχής λύσεων ασφαλείας RaonSecure, ο Lee έγινε περιζήτητος από πολλές εταιρείες. Αρχικά, απέρριψε την Toss, αλλά αργότερα πείστηκε από τον ιδρυτή και διευθύνοντα σύμβουλο Lee Seung Gun και άλλαξε γνώμη.

Ο Lee τόνισε ότι το αμυντικό σύστημα του Toss δεν είναι τέλειο. Κατά ειρωνικό τρόπο, καθώς η τεχνολογία εξελίσσεται, οι κυβερνοεγκληματίες βρίσκουν ευκολότερο να διεισδύσουν στην καθημερινότητά μας, σημείωσε. Η δημιουργία τεχνολογιών τεχνητής νοημοσύνης, όπως η μοντελοποίηση μεγάλων γλωσσών και το ChatGPT, προσφέρουν νέες μεθόδους επίθεσης, μειώνοντας το εμπόδιο εισόδου για τους κυβερνοεγκληματίες. Επιπλέον, υπάρχει ransomware που προσφέρεται ως μηνιαία υπηρεσία συνδρομής.

Αναγνωρίζοντας την ταχέως αναπτυσσόμενη αγορά, ο Lee υποστηρίζει ότι είναι ζωτικής σημασίας για τις εταιρείες να αναπτύξουν τα δικά τους συστήματα ασφαλείας αντί να βασίζονται σε έτοιμες λύσεις. Ταυτόχρονα, πιστεύει ότι η ευαισθητοποίηση του κοινού είναι απαραίτητη για τον μετριασμό του κινδύνου κυβερνοεπιθέσεων. Προτείνει την ενσωμάτωση της κυβερνοασφάλειας στα υποχρεωτικά εκπαιδευτικά προγράμματα, παρόμοια με την εκπαίδευση για την πυρασφάλεια στα σχολεία.

(Σύμφωνα με την Korea Herald)