במשך השנתיים הראשונות, התוכנית של Toss פעלה רק כמה חודשים, אך מאז סוף 2023, החברה מתחזקת אותה באופן רציף. האקרים יכולים לדווח על פגיעויות באפליקציה בכל פעם שהם מגלים אותן. האקרים מסוג "כובע לבן" אלה יכולים לקבל תגמול של עד 30 מיליון וון (מעל חצי מיליארד דונג וייטנאמי) על מציאת באגים קריטיים.

טוס היא החברה הפיננסית היחידה בדרום קוריאה שמפעילה באופן קבוע תוכנית "באגים באונטי". דבר זה משקף את אמון החברה ביכולות האבטחה שלה, לדברי לי ג'ונג הו, האקר לבן-כובע וראש מחלקת אבטחה בטוס.

8ax1ybjo.png
לי ג'ונג הו, ראש מחלקת האבטחה בטוס. צילום: קוריאה הראלד

בשיחה עם ה"קוריאה הראלד", אמר לי שתוכנית הבאגים באונטי יכולה לחשוף פגיעויות במערכת האבטחה של חברה שלא הייתה מודעת להן. יתר על כן, טוס היא החברה הקוריאנית היחידה עם "צוות אדום" - מונח המתייחס לצוות של אנשי מקצוע בתחום אבטחת הסייבר שתפקידם לדמות התקפות כדי לבחון את יעילותן של מערכות או אסטרטגיות אבטחה.

הצוות האדום של טוס מורכב מ-10 האקרים מסוג "white hat" בנוסף ללי. הם משתפים פעולה עם "הצוות הכחול" (צוות ההגנה) מדי יום. "על ידי הסרת ההטיות, אנו מגלים פגיעויות שחברות מתעלמות מהן ומנסות לחדור את ההגנות, ובכך מחזקים את החוסן שלנו מפני איומים אמיתיים", מסביר לי.

חברת Toss שיפרה את אמצעי האבטחה שלה על ידי יצירת תוכניות הגנה מותאמות אישית, כגון Toss Guard ו-Phishing Zero, ושילובן באופן פנימי. אמצעים אלה לא רק מבטיחים גמישות וגמישות כדי להתאים את עצמם לצמיחת החברה, אלא גם מטפחים מערכת הגנה חזקה המתאימה לסביבה הייחודית של Toss, הדגיש לי.

עם זאת, התחייבות לאבטחה משופרת אינה אופציה פשוטה עבור חברות עקב העלויות המשמעותיות הכרוכות בכך. על פי דו"ח של Viva Republica, מפעילת Toss, מתוך 83.9 מיליארד וון שהושקעו ב-IT בשנה שעברה, 11.5% - שווה ערך ל-9.6 מיליארד וון - הוקדשו לאבטחה, אחד האחוזים הגבוהים ביותר שנרשמו בקרב חברות טכנולוגיה דרום קוריאניות.

לי שיתף כי מחויבות זו לאבטחה משופרת הייתה הסיבה שבחר להצטרף ל-Toss. לאחר עשור בספקית פתרונות האבטחה RaonSecure, לי היה מבוקש על ידי חברות רבות. בתחילה, הוא דחה את Toss אך מאוחר יותר שוכנע על ידי המייסד והמנכ"ל לי סונג גאן ושינה את דעתו.

לי הדגיש שמערכת ההגנה של טוס אינה מושלמת. באופן אירוני, ככל שהטכנולוגיה מתקדמת, פושעי סייבר מוצאים שקל יותר לחדור לחיי היומיום שלנו, הוא ציין. טכנולוגיות בינה מלאכותית כמו מודלים של שפות גדולות ו-ChatGPT מציעות שיטות תקיפה חדשות, מה שמוריד את מחסום הכניסה עבור פושעי סייבר. בנוסף, ישנה תוכנת כופר המוצעת כשירות מנוי חודשי.

לי, בהכירו בשוק הצומח במהירות, טוען כי חיוני שחברות יפתחו מערכות אבטחה משלהן במקום להסתמך על פתרונות מוכנים מראש. במקביל, הוא מאמין שהעלאת המודעות הכוללת נחוצה כדי להפחית את הסיכון למתקפות סייבר. הוא מציע לשלב אבטחת סייבר בתוכניות חינוך חובה, בדומה לחינוך לבטיחות אש בבתי ספר.

(על פי קוריאה הראלד)