โปรแกรมของ Toss เปิดใช้งานเพียงไม่กี่เดือนในช่วงสองปีแรก แต่บริษัทได้เปิดใช้งานอย่างต่อเนื่องมาตั้งแต่ปลายปี 2023 แฮกเกอร์สามารถรายงานช่องโหว่ใดๆ ที่พวกเขาค้นพบให้กับแอปได้ แฮกเกอร์หมวกขาวเหล่านี้อาจได้รับรางวัลมากถึง 30 ล้านวอน (มากกว่าครึ่งพันล้านดอง) สำหรับการค้นพบจุดบกพร่องที่ร้ายแรง

Toss เป็นบริษัทการเงินเพียงแห่งเดียวในเกาหลีที่ดำเนินโครงการ Bug Bounty เป็นประจำ ซึ่งสะท้อนให้เห็นถึงความมั่นใจของบริษัทในศักยภาพด้านความปลอดภัย ตามที่ Lee Jong Ho แฮกเกอร์หมวกขาวและหัวหน้าแผนกความปลอดภัยของ Toss กล่าว

8ax1ybjo.png
อี จองโฮ หัวหน้าฝ่ายรักษาความปลอดภัยของบริษัท Toss ภาพ: Korea Herald

Lee กล่าวกับ Korea Herald ว่าโครงการ Bug Bounty สามารถเปิดเผยช่องโหว่ทั้งหมดที่บริษัทไม่ทราบในระบบความปลอดภัยของตนได้ นอกจากนี้ Toss ยังเป็นบริษัทเกาหลีเพียงแห่งเดียวที่มี "ทีมแดง" ซึ่งเป็นคำที่ใช้เรียกทีมเจ้าหน้าที่ด้านความปลอดภัยทางไซเบอร์ที่มีหน้าที่จำลองการโจมตีเพื่อทดสอบประสิทธิภาพของระบบหรือกลยุทธ์ด้านความปลอดภัย

ทีมสีแดงของ Toss ประกอบด้วยแฮกเกอร์หมวกขาว 10 คนนอกเหนือจาก Lee พวกเขาทำงานร่วมกับ "ทีมสีน้ำเงิน" (ทีมป้องกัน) เป็นประจำทุกวัน "การขจัดอคติทำให้เราเปิดเผยจุดอ่อนที่บริษัทมองข้ามและพยายามเจาะเข้าไปในระบบป้องกัน ส่งผลให้เราแข็งแกร่งขึ้นในการรับมือกับภัยคุกคามที่แท้จริง" Lee อธิบาย

Toss ได้ปรับปรุงมาตรการรักษาความปลอดภัยด้วยการสร้างโปรแกรมป้องกันที่ปรับแต่งได้ เช่น Toss Guard และ Phishing Zero และบูรณาการโปรแกรมเหล่านี้ภายในองค์กร มาตรการเหล่านี้ไม่เพียงแต่ช่วยให้มีความยืดหยุ่นและปรับขนาดได้เพื่อรองรับการเติบโตของบริษัทเท่านั้น แต่ยังส่งเสริมระบบป้องกันที่เข้มงวดซึ่งปรับให้เหมาะกับสภาพแวดล้อมเฉพาะของ Toss อีกด้วย Lee กล่าวเน้นย้ำ

อย่างไรก็ตาม การมุ่งมั่นในการเพิ่มความปลอดภัยนั้นไม่ใช่ทางเลือกที่ง่ายสำหรับบริษัทต่างๆ เนื่องจากมีค่าใช้จ่ายจำนวนมากที่เกี่ยวข้อง ตามรายงานของ Viva Republica ผู้ดำเนินการ Toss จากเงินลงทุนทั้งหมด 83,900 ล้านวอนในเทคโนโลยีสารสนเทศในปีที่แล้ว 11.5 เปอร์เซ็นต์ หรือ 9,600 ล้านวอน ถูกจัดสรรให้กับความปลอดภัย ซึ่งถือเป็นอัตราส่วนที่สูงที่สุดในบรรดาบริษัทเทคโนโลยีของเกาหลี

ลีกล่าวว่าความมุ่งมั่นในการพัฒนาความปลอดภัยเป็นเหตุผลที่เขาตัดสินใจเข้าร่วม Toss หลังจากทำงานให้กับ RaonSecure ซึ่งเป็นผู้ให้บริการโซลูชันด้านความปลอดภัยมาเป็นเวลาสิบปี ลีก็ได้รับการติดต่อจากบริษัทต่างๆ มากมาย ในตอนแรกเขาปฏิเสธ Toss แต่ผู้ก่อตั้งและซีอีโอ ลี ซึง กุน ได้โน้มน้าวให้เขาเปลี่ยนใจ

ลีเน้นย้ำว่าระบบป้องกันของ Toss นั้นไม่สมบูรณ์แบบ ในขณะที่เทคโนโลยีก้าวหน้าขึ้น อาชญากรไซเบอร์กลับสามารถแทรกซึมเข้ามาในชีวิตประจำวันของเราได้ง่ายขึ้นอย่างน่าประหลาดใจ เทคโนโลยี AI เชิงสร้างสรรค์ เช่น โมเดลภาษาขนาดใหญ่ ChatGPT และอื่นๆ นำเสนอเวกเตอร์การโจมตีใหม่ๆ ช่วยลดอุปสรรคในการเข้าถึงสำหรับอาชญากรไซเบอร์ นอกจากนี้ยังมีแรนซัมแวร์ที่พร้อมให้บริการในรูปแบบการสมัครสมาชิกรายเดือน

Lee สังเกตว่าตลาดกำลังเติบโตอย่างรวดเร็ว เขากล่าวว่าบริษัทต่างๆ ควรพัฒนาระบบความปลอดภัยของตนเองแทนที่จะพึ่งพาโซลูชันสำเร็จรูป ในขณะเดียวกัน ก็จำเป็นต้องสร้างความตระหนักรู้โดยรวมเพื่อลดความเสี่ยงจากการโจมตีทางไซเบอร์ เขาเสนอแนะว่าควรนำความปลอดภัยทางไซเบอร์ไปรวมไว้ในโปรแกรม การศึกษา ภาคบังคับ เช่นเดียวกับความปลอดภัยจากอัคคีภัยในโรงเรียน

(อ้างอิงจากหนังสือพิมพ์ Korea Herald)