Przez pierwsze dwa lata program Tossa działał tylko przez kilka miesięcy, ale od końca 2023 roku firma utrzymuje go nieprzerwanie. Hakerzy mogą zgłaszać luki w zabezpieczeniach aplikacji, gdy tylko je odkryją. Ci „białokapeluszowi” hakerzy mogą otrzymać nagrodę w wysokości do 30 milionów wonów (ponad pół miliarda dongów wietnamskich) za znalezienie krytycznych błędów.

Toss to jedyna firma finansowa w Korei Południowej, która regularnie prowadzi program nagród za wykrycie błędów. Według Lee Jong Ho, hakera w białych kapeluszach i szefa działu bezpieczeństwa w Toss, odzwierciedla to zaufanie firmy do jej możliwości bezpieczeństwa.

8ax1ybjo.png
Lee Jong Ho, szef ochrony w Toss. Zdjęcie: Korea Herald

W rozmowie z „Korea Herald” Lee powiedział, że program „bug bounty” może ujawnić luki w zabezpieczeniach systemu bezpieczeństwa firmy, o których istnieniu firma nie miała pojęcia. Co więcej, Toss jest jedyną koreańską firmą z „czerwonym zespołem” – terminem tym określa się zespół specjalistów ds. cyberbezpieczeństwa, których zadaniem jest symulowanie ataków w celu przetestowania skuteczności systemów lub strategii bezpieczeństwa.

Zespół Red Team firmy Toss składa się z 10 hakerów w białych kapeluszach, oprócz Lee. Codziennie współpracują oni z „zespołem niebieskim” (zespołem ds. obrony). „Usuwając uprzedzenia, odkrywamy luki w zabezpieczeniach, które firmy pomijają, i staramy się je przełamać, wzmacniając w ten sposób naszą odporność na realne zagrożenia” – wyjaśnia Lee.

Toss wzmocnił swoje środki bezpieczeństwa, tworząc spersonalizowane programy obronne, takie jak Toss Guard i Phishing Zero, oraz integrując je wewnętrznie. Środki te nie tylko zapewniają elastyczność i skalowalność, dostosowaną do rozwoju firmy, ale także wspierają solidny system obronny dostosowany do unikalnego środowiska Toss, podkreślił Lee.

Jednak zaangażowanie się w poprawę bezpieczeństwa nie jest prostą opcją dla firm ze względu na wysokie koszty. Według raportu Viva Republica, operatora platformy Toss, z 83,9 miliarda wonów zainwestowanych w IT w zeszłym roku, 11,5% – co odpowiada 9,6 miliardowi wonów – przeznaczono na bezpieczeństwo, co stanowi jeden z najwyższych wskaźników odnotowanych wśród południowokoreańskich firm technologicznych.

Lee przyznał, że to właśnie zaangażowanie w poprawę bezpieczeństwa było powodem, dla którego zdecydował się dołączyć do Toss. Po dekadzie pracy w firmie RaonSecure, dostawcy rozwiązań bezpieczeństwa, Lee był poszukiwany przez wiele firm. Początkowo odrzucił ofertę Toss, ale później, dzięki namowom założyciela i prezesa Lee Seung Guna, zmienił zdanie.

Lee podkreślił, że system obronny Tossa nie jest idealny. Zauważył, że paradoksalnie, wraz z postępem technologicznym, cyberprzestępcy łatwiej infiltrują nasze codzienne życie. Technologie sztucznej inteligencji, takie jak modelowanie dużych języków (BML) i ChatGPT, oferują nowe metody ataków, obniżając barierę wejścia dla cyberprzestępców. Ponadto, ransomware jest oferowane w ramach miesięcznej subskrypcji.

Dostrzegając dynamiczny rozwój rynku, Lee argumentuje, że firmy powinny rozwijać własne systemy bezpieczeństwa, zamiast polegać na gotowych rozwiązaniach. Jednocześnie uważa, że ​​podnoszenie świadomości społecznej jest niezbędne do ograniczenia ryzyka cyberataków. Sugeruje włączenie cyberbezpieczeństwa do obowiązkowych programów edukacyjnych , podobnie jak w przypadku edukacji z zakresu bezpieczeństwa pożarowego w szkołach.

(Według Korea Herald)