ในช่วงสองปีแรก โปรแกรมของ Toss ดำเนินการเพียงไม่กี่เดือน แต่ตั้งแต่ปลายปี 2023 บริษัทได้ดูแลรักษาโปรแกรมนี้อย่างต่อเนื่อง แฮกเกอร์สามารถรายงานช่องโหว่ของแอปพลิเคชันได้ทุกเมื่อที่ค้นพบ แฮกเกอร์สายขาวเหล่านี้จะได้รับรางวัลสูงถึง 30 ล้านวอน (มากกว่าห้าแสนล้านดองเวียดนาม) สำหรับการค้นพบข้อบกพร่องที่สำคัญ

Toss เป็นบริษัททางการเงินเพียงแห่งเดียวในเกาหลีใต้ที่ดำเนินโครงการให้รางวัลสำหรับการค้นหาช่องโหว่ด้านความปลอดภัยอย่างสม่ำเสมอ ซึ่งสะท้อนให้เห็นถึงความมั่นใจของบริษัทในความสามารถด้านความปลอดภัยของตน ตามคำกล่าวของ ลี จง โฮ แฮกเกอร์สายขาวและหัวหน้าฝ่ายความปลอดภัยของ Toss

8ax1ybjo.png
ลี จง โฮ หัวหน้าฝ่ายรักษาความปลอดภัยของบริษัททอสส์ ภาพ: โคเรีย เฮรัลด์

ลีกล่าวกับ Korea Herald ว่า โปรแกรมการให้รางวัลสำหรับการค้นหาช่องโหว่ (bug bounty program) สามารถเปิดเผยจุดอ่อนในระบบรักษาความปลอดภัยของบริษัทที่บริษัทไม่เคยรู้มาก่อนได้ ยิ่งไปกว่านั้น Toss เป็นบริษัทเดียวในเกาหลีที่มี "ทีมสีแดง" (red team) ซึ่งเป็นคำที่หมายถึงทีมผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่ได้รับมอบหมายให้จำลองการโจมตีเพื่อทดสอบประสิทธิภาพของระบบหรือกลยุทธ์ด้านความปลอดภัย

ทีมสีแดงของ Toss ประกอบด้วยแฮกเกอร์หมวกขาว 10 คน นอกเหนือจากลี พวกเขาทำงานร่วมกับ "ทีมสีน้ำเงิน" (ทีมป้องกัน) ทุกวัน "ด้วยการขจัดอคติ เราจึงค้นพบช่องโหว่ที่บริษัทต่างๆ มองข้ามและพยายามเจาะระบบป้องกัน ซึ่งจะช่วยเสริมสร้างความยืดหยุ่นของเราต่อภัยคุกคามที่แท้จริง" ลีอธิบาย

บริษัท Toss ได้ยกระดับมาตรการรักษาความปลอดภัยโดยการสร้างโปรแกรมป้องกันเฉพาะทาง เช่น Toss Guard และ Phishing Zero และบูรณาการโปรแกรมเหล่านั้นเข้ากับระบบภายใน ลีเน้นย้ำว่า มาตรการเหล่านี้ไม่เพียงแต่ช่วยให้มีความยืดหยุ่นและปรับขนาดได้เพื่อรองรับการเติบโตของบริษัทเท่านั้น แต่ยังส่งเสริมระบบป้องกันที่แข็งแกร่งซึ่งเหมาะสมกับสภาพแวดล้อมเฉพาะของ Toss อีกด้วย

อย่างไรก็ตาม การมุ่งมั่นที่จะยกระดับความปลอดภัยไม่ใช่เรื่องง่ายสำหรับบริษัทต่างๆ เนื่องจากค่าใช้จ่ายที่เกี่ยวข้องนั้นสูงมาก จากรายงานของ Viva Republica ผู้ให้บริการ Toss พบว่า จากเงินลงทุนด้านไอที 83.9 พันล้านวอนเมื่อปีที่แล้ว มีเพียง 11.5% หรือ 9.6 พันล้านวอนเท่านั้นที่ใช้ไปกับด้านความปลอดภัย ซึ่งเป็นหนึ่งในเปอร์เซ็นต์ที่สูงที่สุดที่บันทึกไว้ในกลุ่มบริษัทเทคโนโลยีของเกาหลีใต้

ลีเล่าว่า ความมุ่งมั่นในการยกระดับความปลอดภัยเป็นเหตุผลที่ทำให้เขาเลือกเข้าร่วมงานกับ Toss หลังจากทำงานที่ RaonSecure ผู้ให้บริการโซลูชันด้านความปลอดภัยมานานกว่าสิบปี ลีได้รับการทาบทามจากหลายบริษัท ในตอนแรกเขาปฏิเสธ Toss แต่ต่อมาถูกโน้มน้าวโดยผู้ก่อตั้งและซีอีโอ ลี ซึง กุน และเปลี่ยนใจ

ลีเน้นย้ำว่าระบบป้องกันของทอสไม่ได้สมบูรณ์แบบ เขากล่าวอย่างเสียดสีว่า ในขณะที่เทคโนโลยีพัฒนาไป อาชญากรไซเบอร์กลับแทรกซึมเข้ามาในชีวิตประจำวันของเราได้ง่ายขึ้น เทคโนโลยี AI อย่างเช่น การสร้างแบบจำลองภาษาขนาดใหญ่และ ChatGPT นำเสนอวิธีการโจมตีใหม่ๆ ซึ่งลดอุปสรรคในการเข้าถึงสำหรับอาชญากรไซเบอร์ นอกจากนี้ยังมีแรนซัมแวร์ที่ให้บริการในรูปแบบการสมัครสมาชิกรายเดือนอีกด้วย

ลีมองว่าตลาดนี้กำลังเติบโตอย่างรวดเร็ว จึงเป็นเรื่องสำคัญที่บริษัทต่างๆ จะต้องพัฒนาระบบรักษาความปลอดภัยของตนเองแทนที่จะพึ่งพาโซลูชันสำเร็จรูป ในขณะเดียวกัน เขาก็เชื่อว่าการสร้างความตระหนักรู้โดยรวมเป็นสิ่งจำเป็นเพื่อลดความเสี่ยงจากการโจมตีทางไซเบอร์ เขาเสนอให้รวมการรักษาความปลอดภัยทางไซเบอร์เข้าไว้ในหลักสูตร การศึกษา ภาคบังคับ เช่นเดียวกับการให้ความรู้ด้านความปลอดภัยจากอัคคีภัยในโรงเรียน

(อ้างอิงจาก Korea Herald)