Toss’ Programm lief in den ersten beiden Jahren nur wenige Monate, doch seit Ende 2023 läuft es kontinuierlich. Hacker können entdeckte Schwachstellen an die App melden. Für das Auffinden schwerwiegender Schwachstellen können diese White-Hat-Hacker mit bis zu 30 Millionen Won (mehr als einer halben Milliarde Dong) belohnt werden.

Toss ist das einzige Finanzunternehmen in Korea, das ein regelmäßiges Bug-Bounty-Programm durchführt, was das Vertrauen des Unternehmens in seine Sicherheitskapazitäten widerspiegelt, so Lee Jong Ho, ein White-Hat-Hacker und Leiter der Sicherheitsabteilung von Toss.

8ax1ybjo.png
Lee Jong Ho, Leiter der Sicherheitsabteilung von Toss. Foto: Korea Herald

Lee erklärte dem Korea Herald, dass das Bug-Bounty-Programm alle Schwachstellen in den Sicherheitssystemen eines Unternehmens aufdecken könne, die diesem nicht bewusst seien. Darüber hinaus sei Toss das einzige koreanische Unternehmen mit einem „Red Team“ – einem Team von Cybersicherheitsexperten, das Angriffe simuliert, um die Wirksamkeit von Sicherheitssystemen oder -strategien zu testen.

Toss’ Red Team besteht neben Lee aus zehn White-Hat-Hackern. Sie arbeiten täglich mit dem „Blue Team“ (dem Verteidigungsteam) zusammen. „Indem wir Vorurteile ausräumen, decken wir Schwachstellen auf, die Unternehmen übersehen, und versuchen, die Abwehrmechanismen zu durchbrechen. So stärken wir unsere Widerstandsfähigkeit gegen reale Bedrohungen“, erklärt Lee.

Toss hat seine Sicherheitsmaßnahmen durch die Entwicklung maßgeschneiderter Abwehrprogramme wie Toss Guard und Phishing Zero verbessert und diese intern integriert. Diese Maßnahmen gewährleisten nicht nur Flexibilität und Skalierbarkeit, um dem Unternehmenswachstum gerecht zu werden, sondern fördern auch ein straffes, auf die individuelle Umgebung von Toss zugeschnittenes Abwehrsystem, betonte Lee.

Für Unternehmen ist die Investition in mehr Sicherheit jedoch aufgrund der damit verbundenen hohen Kosten keine einfache Entscheidung. Laut einem Bericht von Viva Republica, dem Betreiber von Toss, entfielen von den insgesamt 83,9 Milliarden Won, die im vergangenen Jahr in Informationstechnologie investiert wurden, 11,5 Prozent – ​​also 9,6 Milliarden Won – auf Sicherheit. Dies ist eine der höchsten Quoten, die je unter koreanischen Technologieunternehmen verzeichnet wurde.

Lee sagte, sein Engagement für mehr Sicherheit sei der Grund für seine Entscheidung gewesen, bei Toss anzuheuern. Nach zehn Jahren beim Sicherheitslösungsanbieter RaonSecure war Lee bei vielen Unternehmen gefragt. Er lehnte Toss zunächst ab, wurde aber von Gründer und CEO Lee Seung Gun zu einem Wechsel überredet.

Lee betont, dass Toss’ Abwehrmaßnahmen nicht perfekt sind. Mit dem technologischen Fortschritt werde es für Cyberkriminelle ironischerweise immer einfacher, in unseren Alltag einzudringen, bemerkt er. Generative KI-Technologien wie große Sprachmodelle, ChatGPT und andere bieten neue Angriffsmethoden und senken so die Eintrittsbarriere für Cyberkriminelle. Es gibt auch Ransomware, die als monatliches Abonnement verfügbar ist.

Angesichts des rasanten Marktwachstums betonte Lee, dass es für Unternehmen wichtig sei, eigene Sicherheitssysteme zu entwickeln, anstatt auf Standardlösungen zu setzen. Gleichzeitig müsse das allgemeine Bewusstsein geschärft werden, um das Risiko von Cyberangriffen zu verringern. Er schlug vor, Cybersicherheit in die Pflichtschulbildung aufzunehmen, ähnlich wie Brandschutz an Schulen.

(Laut Korea Herald)