Протягом перших двох років програма Toss працювала лише кілька місяців, але з кінця 2023 року компанія постійно підтримує її. Хакери можуть повідомляти про вразливості в додатку щоразу, коли вони їх виявляють. Ці «білі» хакери можуть отримати винагороду до 30 мільйонів вон (понад півмільярда в'єтнамських донгів) за знаходження критичних помилок.

Toss — єдина фінансова компанія в Південній Кореї, яка регулярно проводить програму винагороди за виявлені помилки. За словами Лі Чон Хо, хакера-білого хет-хета та керівника відділу безпеки Toss, це відображає впевненість компанії у своїх можливостях безпеки.

8ax1ybjo.png
Лі Чон Хо, керівник служби безпеки в Toss. Фото: Korea Herald

В інтерв'ю Korea Herald Лі сказав, що програма винагороди за виявлення помилок може виявити вразливості в системі безпеки компанії, про які вона не знала. Крім того, Toss — єдина корейська компанія з «червоною командою» — терміном, що стосується команди фахівців з кібербезпеки, яким доручено симулювати атаки для перевірки ефективності систем або стратегій безпеки.

Червона команда Тосса, окрім Лі, складається з 10 хакерів-«білих капелюхів». Вони щодня співпрацюють із «синьою командою» (командою захисту). «Усуваючи упередження, ми виявляємо вразливості, які компанії ігнорують, і намагаємося проникнути крізь захист, тим самим зміцнюючи нашу стійкість до реальних загроз», – пояснює Лі.

Компанія Toss покращила свої заходи безпеки, створивши індивідуальні програми захисту, такі як Toss Guard та Phishing Zero, та інтегрувавши їх внутрішньо. Ці заходи не лише забезпечують гнучкість та масштабованість для адаптації до зростання компанії, але й сприяють створенню надійної системи захисту, що відповідає унікальному середовищу Toss, наголосив Лі.

Однак, зобов'язання щодо посилення безпеки не є простим варіантом для компаній через значні пов'язані з цим витрати. Згідно зі звітом Viva Republica, оператора Toss, з 83,9 мільярда вон, інвестованих в ІТ минулого року, 11,5% – що еквівалентно 9,6 мільярда вон – було виділено на безпеку, що є одним із найвищих показників, зафіксованих серед південнокорейських технологічних компаній.

Лі розповів, що саме це прагнення до посилення безпеки стало причиною його вибору в Toss. Після десяти років роботи в компанії, що займається безпекою RaonSecure, Лі став популярним серед багатьох компаній. Спочатку він відмовився від Toss, але пізніше його переконав засновник і генеральний директор Лі Син Ган, і він змінив свою думку.

Лі наголосив, що система захисту Toss не ідеальна. За іронією долі, з розвитком технологій кіберзлочинцям стає легше проникати в наше повсякденне життя, зазначив він. Технології штучного інтелекту, такі як моделювання великих мов та ChatGPT, пропонують нові методи атаки, знижуючи бар'єр входу для кіберзлочинців. Крім того, існує програма-вимагач, що пропонується як щомісячна підписка.

Визнаючи швидкозростаючий ринок, Лі стверджує, що для компаній вкрай важливо розробляти власні системи безпеки, а не покладатися на готові рішення. Водночас він вважає, що підвищення загальної обізнаності необхідне для зменшення ризику кібератак. Він пропонує включити кібербезпеку до обов'язкових освітніх програм, подібно до навчання пожежній безпеці в школах.

(За даними Korea Herald)