โปรแกรมของ Toss ใช้งานได้เพียงไม่กี่เดือนในช่วงสองปีแรก แต่บริษัทก็ยังคงพัฒนาอย่างต่อเนื่องมาตั้งแต่ปลายปี 2023 แฮกเกอร์สามารถรายงานช่องโหว่ใดๆ ที่พบไปยังแอปได้ แฮกเกอร์หมวกขาวเหล่านี้สามารถรับรางวัลสูงสุด 30 ล้านวอน (มากกว่า 500 ล้านดอง) หากค้นพบบั๊กร้ายแรง

Toss เป็นบริษัทการเงินแห่งเดียวในเกาหลีที่ดำเนินโครงการ Bug Bounty เป็นประจำ ซึ่งสะท้อนให้เห็นถึงความมั่นใจของบริษัทในศักยภาพด้านความปลอดภัย ตามที่ Lee Jong Ho แฮกเกอร์หมวกขาวและหัวหน้าแผนกความปลอดภัยของ Toss กล่าว

8ax1ybjo.png
อี จองโฮ หัวหน้าฝ่ายรักษาความปลอดภัยของ Toss ภาพ: Korea Herald

ลีกล่าวกับหนังสือพิมพ์ Korea Herald ว่าโครงการ Bug Bounty สามารถเปิดเผยช่องโหว่ทั้งหมดที่บริษัทไม่ทราบในระบบรักษาความปลอดภัย นอกจากนี้ Toss ยังเป็นบริษัทเดียวในเกาหลีที่มี “ทีมแดง” ซึ่งเป็นคำที่ใช้เรียกทีมเจ้าหน้าที่รักษาความปลอดภัยทางไซเบอร์ที่มีหน้าที่จำลองการโจมตีเพื่อทดสอบประสิทธิภาพของระบบหรือกลยุทธ์ด้านความปลอดภัย

ทีมแดงของทอสส์ประกอบด้วยแฮ็กเกอร์หมวกขาว 10 คน นอกเหนือจากลี พวกเขาทำงานร่วมกับ “ทีมน้ำเงิน” (ทีมป้องกัน) เป็นประจำทุกวัน “การขจัดอคติช่วยให้เราค้นพบช่องโหว่ที่บริษัทต่างๆ มองข้ามและพยายามเจาะระบบป้องกัน ส่งผลให้เราแข็งแกร่งขึ้นในการรับมือกับภัยคุกคามที่แท้จริง” ลีอธิบาย

Toss ได้ยกระดับมาตรการรักษาความปลอดภัยด้วยการสร้างโปรแกรมป้องกันที่ออกแบบเฉพาะ เช่น Toss Guard และ Phishing Zero และบูรณาการเข้าด้วยกันภายในองค์กร มาตรการเหล่านี้ไม่เพียงแต่รับประกันความยืดหยุ่นและความสามารถในการปรับขนาดเพื่อรองรับการเติบโตของบริษัทเท่านั้น แต่ยังส่งเสริมระบบป้องกันที่เข้มงวดซึ่งปรับให้เหมาะกับสภาพแวดล้อมเฉพาะของ Toss อีกด้วย ลีกล่าวเน้นย้ำ

อย่างไรก็ตาม การมุ่งมั่นยกระดับความปลอดภัยไม่ใช่ทางเลือกที่ง่ายสำหรับบริษัทต่างๆ เนื่องจากต้นทุนที่สูงลิ่ว รายงานของ Viva Republica ผู้ให้บริการ Toss ระบุว่า จากเงินลงทุนด้านเทคโนโลยีสารสนเทศทั้งหมด 83.9 พันล้านวอนในปีที่แล้ว 11.5 เปอร์เซ็นต์ หรือ 9.6 พันล้านวอน ถูกจัดสรรให้กับความปลอดภัย ซึ่งเป็นหนึ่งในอัตราส่วนที่สูงที่สุดในบรรดาบริษัทเทคโนโลยีของเกาหลี

ลีกล่าวว่าความมุ่งมั่นในการพัฒนาความปลอดภัยนี้คือเหตุผลที่เขาเลือกร่วมงานกับ Toss หลังจากทำงานให้กับ RaonSecure ผู้ให้บริการโซลูชันด้านความปลอดภัยมากว่าสิบปี ลีก็เป็นที่ต้องการตัวจากหลายบริษัท ในตอนแรกเขาปฏิเสธ Toss แต่ถูกชักชวนจากลี ซึงกัน ผู้ก่อตั้งและซีอีโอ ชักชวนให้เปลี่ยนใจ

ลีเน้นย้ำว่าระบบป้องกันของทอสส์ยังไม่สมบูรณ์แบบ ด้วยความที่เทคโนโลยีก้าวหน้าขึ้น อาชญากรไซเบอร์กลับแทรกซึมเข้ามาในชีวิตประจำวันของเราได้ง่ายขึ้นอย่างน่าประหลาดใจ เทคโนโลยี AI เชิงสร้างสรรค์ เช่น แบบจำลองภาษาขนาดใหญ่ ChatGPT และอื่นๆ นำเสนอเวกเตอร์การโจมตีใหม่ๆ ซึ่งช่วยลดอุปสรรคในการเข้าถึงของอาชญากรไซเบอร์ นอกจากนี้ยังมีแรนซัมแวร์ที่พร้อมให้บริการแบบสมัครสมาชิกรายเดือน

ลีกล่าวว่าตลาดกำลังเติบโตอย่างรวดเร็ว บริษัทต่างๆ จำเป็นต้องพัฒนาระบบรักษาความปลอดภัยของตนเอง แทนที่จะพึ่งพาโซลูชันสำเร็จรูป ขณะเดียวกัน ก็จำเป็นต้องสร้างความตระหนักรู้โดยรวมเพื่อลดความเสี่ยงจากการโจมตีทางไซเบอร์ เขาเสนอแนะว่าควรรวมความปลอดภัยทางไซเบอร์ไว้ในหลักสูตร การศึกษา ภาคบังคับ เช่นเดียวกับความปลอดภัยจากอัคคีภัยในโรงเรียน

(อ้างอิงจากหนังสือพิมพ์โคเรียเฮรัลด์)