De eerste twee jaar draaide het programma van Toss slechts enkele maanden, maar sinds eind 2023 wordt het continu onderhouden. Hackers kunnen kwetsbaarheden in de applicatie melden zodra ze die ontdekken. Deze ethische hackers kunnen tot 30 miljoen won (meer dan een half miljard Vietnamese dong) beloond worden voor het vinden van kritieke bugs.

Toss is het enige financiële bedrijf in Zuid-Korea dat regelmatig een bug bounty-programma uitvoert. Dit weerspiegelt het vertrouwen van het bedrijf in zijn beveiligingscapaciteiten, aldus Lee Jong Ho, een ethische hacker en hoofd beveiliging bij Toss.

8ax1ybjo.png
Lee Jong Ho, hoofd beveiliging bij Toss. Foto: Korea Herald

In een gesprek met de Korea Herald zei Lee dat het bug bounty-programma kwetsbaarheden in het beveiligingssysteem van een bedrijf aan het licht kan brengen waarvan het bedrijf zich niet bewust was. Bovendien is Toss het enige Koreaanse bedrijf met een "red team"—een term die verwijst naar een team van cybersecurityprofessionals dat de taak heeft aanvallen te simuleren om de effectiviteit van beveiligingssystemen of -strategieën te testen.

Het 'red team' van Toss bestaat naast Lee uit tien 'white hat'-hackers. Zij werken dagelijks samen met het 'blue team' (het verdedigingsteam). "Door vooroordelen weg te nemen, ontdekken we kwetsbaarheden die bedrijven over het hoofd zien en proberen te omzeilen, waardoor we onze weerbaarheid tegen reële bedreigingen versterken", legt Lee uit.

Toss heeft zijn beveiligingsmaatregelen verbeterd door op maat gemaakte verdedigingsprogramma's te ontwikkelen, zoals Toss Guard en Phishing Zero, en deze intern te integreren. Deze maatregelen zorgen niet alleen voor flexibiliteit en schaalbaarheid om de groei van het bedrijf op te vangen, maar bevorderen ook een robuust verdedigingssysteem dat is afgestemd op de unieke omgeving van Toss, benadrukte Lee.

Het is echter voor bedrijven geen eenvoudige optie om te investeren in verbeterde beveiliging vanwege de aanzienlijke kosten die daarmee gepaard gaan. Volgens een rapport van Viva Republica, de exploitant van Toss, werd van de 83,9 miljard won die vorig jaar in IT werd geïnvesteerd, 11,5% – oftewel 9,6 miljard won – besteed aan beveiliging. Dit is een van de hoogste percentages die ooit zijn geregistreerd bij Zuid-Koreaanse technologiebedrijven.

Lee vertelde dat deze focus op verbeterde beveiliging de reden was waarom hij voor Toss koos. Na tien jaar bij beveiligingsleverancier RaonSecure te hebben gewerkt, was Lee zeer gewild bij verschillende bedrijven. Aanvankelijk wees hij Toss af, maar later werd hij door oprichter en CEO Lee Seung Gun overtuigd en veranderde hij van gedachten.

Lee benadrukte dat het verdedigingssysteem van Toss niet perfect is. Ironisch genoeg wordt het voor cybercriminelen, naarmate de technologie vordert, steeds makkelijker om ons dagelijks leven te infiltreren, merkte hij op. Opkomende AI-technologieën zoals big language modeling en ChatGPT bieden nieuwe aanvalsmethoden, waardoor de drempel voor cybercriminelen lager wordt. Daarnaast bestaat er ransomware die als maandelijkse abonnementsdienst wordt aangeboden.

Lee erkent de snelgroeiende markt en stelt dat het cruciaal is voor bedrijven om hun eigen beveiligingssystemen te ontwikkelen in plaats van te vertrouwen op kant-en-klare oplossingen. Tegelijkertijd is hij van mening dat het vergroten van het algemene bewustzijn noodzakelijk is om het risico op cyberaanvallen te beperken. Hij suggereert om cybersecurity op te nemen in verplichte onderwijsprogramma 's, vergelijkbaar met brandveiligheidsonderwijs op scholen.

(Volgens Korea Herald)