Первые два года программа Toss работала всего несколько месяцев, но с конца 2023 года компания поддерживает её непрерывно. Хакеры могут сообщать об обнаруженных уязвимостях в приложение. За обнаружение критических ошибок эти «белые хакеры» могут получать вознаграждение до 30 миллионов вон (более полумиллиарда вьетнамских донгов).

Toss — единственная финансовая компания в Южной Корее, которая регулярно проводит программу вознаграждения за обнаружение уязвимостей. По словам Ли Чон Хо, «белого хакера» и руководителя службы безопасности Toss, это отражает уверенность компании в своих возможностях в области безопасности.

8ax1ybjo.png
Ли Чон Хо, начальник службы безопасности компании Toss. Фото: Korea Herald.

В интервью газете Korea Herald Ли заявил, что программа вознаграждения за обнаружение уязвимостей может выявить слабые места в системе безопасности компании, о которых она не знала. Более того, Toss — единственная корейская компания, имеющая «красную команду» — термин, обозначающий группу специалистов по кибербезопасности, задача которой — моделировать атаки для проверки эффективности систем или стратегий безопасности.

Красная команда Тосса, помимо Ли, состоит из 10 «белых хакеров». Они ежедневно сотрудничают с «синей командой» (командой защиты). «Устраняя предвзятость, мы обнаруживаем уязвимости, которые компании упускают из виду и пытаются преодолеть, тем самым повышая нашу устойчивость к реальным угрозам», — объясняет Ли.

Компания Toss усилила меры безопасности, разработав специализированные программы защиты, такие как Toss Guard и Phishing Zero, и интегрировав их в свою внутреннюю систему. Эти меры не только обеспечивают гибкость и масштабируемость для соответствия росту компании, но и способствуют созданию надежной системы защиты, адаптированной к уникальной среде Toss, подчеркнул Ли.

Однако внедрение мер по повышению безопасности — непростая задача для компаний из-за значительных затрат. Согласно отчету Viva Republica, оператора Toss, из 83,9 млрд вон, инвестированных в ИТ в прошлом году, 11,5% — что эквивалентно 9,6 млрд вон — было направлено на безопасность, что является одним из самых высоких показателей среди южнокорейских технологических компаний.

Ли рассказал, что именно стремление к повышению безопасности стало причиной его решения присоединиться к Toss. После десяти лет работы в компании RaonSecure, занимающейся разработкой решений в области безопасности, Ли пользовался спросом у многих компаний. Первоначально он отказался от предложения Toss, но позже его убедил основатель и генеральный директор Ли Сын Гон, и он изменил свое решение.

Ли подчеркнул, что система защиты Toss не идеальна. По иронии судьбы, по мере развития технологий киберпреступникам становится все легче проникать в нашу повседневную жизнь, отметил он. Новые технологии искусственного интеллекта, такие как моделирование больших языков и ChatGPT, предлагают новые методы атак, снижая барьер для проникновения киберпреступников. Кроме того, существует программа-вымогатель, предлагаемая в качестве ежемесячной подписки.

Признавая стремительный рост рынка, Ли утверждает, что компаниям крайне важно разрабатывать собственные системы безопасности, а не полагаться на готовые решения. Одновременно он считает необходимым повышать общую осведомленность для снижения риска кибератак. Он предлагает включить вопросы кибербезопасности в обязательные образовательные программы, аналогично обучению пожарной безопасности в школах.

(По данным Korea Herald)