Το πρόγραμμα του Toss διήρκεσε μόνο λίγους μήνες στα πρώτα δύο χρόνια του, αλλά η εταιρεία το διατηρεί σε συνεχή λειτουργία από τα τέλη του 2023. Οι χάκερ μπορούν να αναφέρουν τυχόν ευπάθειες που ανακαλύπτουν στην εφαρμογή. Αυτοί οι white hat hackers μπορούν να ανταμειφθούν με έως και 30 εκατομμύρια γουόν (πάνω από μισό δισεκατομμύριο ντονγκ) για την εύρεση σοβαρών σφαλμάτων.

Η Toss είναι η μόνη χρηματοοικονομική εταιρεία στην Κορέα που εφαρμόζει ένα τακτικό πρόγραμμα βράβευσης για bugs, το οποίο αντικατοπτρίζει την εμπιστοσύνη της εταιρείας στις δυνατότητες ασφαλείας της, σύμφωνα με τον Lee Jong Ho, έναν white hat hacker και επικεφαλής του τμήματος ασφαλείας της Toss.

8ax1ybjo.png
Λι Γιονγκ Χο, επικεφαλής του τμήματος ασφαλείας του Τος. Φωτογραφία: Korea Herald

Ο Lee δήλωσε στην Korea Herald ότι το πρόγραμμα bug bounty μπορεί να αποκαλύψει όλα τα τρωτά σημεία του συστήματος ασφαλείας της που μια εταιρεία δεν γνωρίζει. Επιπλέον, η Toss είναι η μόνη κορεατική εταιρεία με «κόκκινη ομάδα» - ένας όρος για μια ομάδα προσωπικού κυβερνοασφάλειας που έχει αναλάβει την προσομοίωση επιθέσεων για να ελέγξει την αποτελεσματικότητα των συστημάτων ή των στρατηγικών ασφαλείας.

Η κόκκινη ομάδα του Toss αποτελείται από 10 white hat hackers, εκτός από τον Lee. Συνεργάζονται με την «μπλε ομάδα» (την ομάδα άμυνας) σε καθημερινή βάση. «Αφαιρώντας τις προκαταλήψεις, αποκαλύπτουμε τρωτά σημεία που οι εταιρείες παραβλέπουν και προσπαθούν να διεισδύσουν στις άμυνες, ενισχύοντας έτσι την ανθεκτικότητά μας έναντι πραγματικών απειλών», εξηγεί ο Lee.

Η Toss έχει βελτιώσει τα μέτρα ασφαλείας της δημιουργώντας προσαρμοσμένα προγράμματα άμυνας, όπως το Toss Guard και το Phishing Zero, και ενσωματώνοντάς τα εσωτερικά. Αυτά τα μέτρα όχι μόνο διασφαλίζουν ευελιξία και επεκτασιμότητα για να ανταποκριθούν στην ανάπτυξη της εταιρείας, αλλά και προωθούν ένα αυστηρό σύστημα άμυνας προσαρμοσμένο στο μοναδικό περιβάλλον της Toss, τόνισε ο Lee.

Ωστόσο, η δέσμευση για ενισχυμένη ασφάλεια δεν είναι μια απλή επιλογή για τις εταιρείες λόγω του σημαντικού κόστους που συνεπάγεται. Σύμφωνα με έκθεση της Viva Republica, του φορέα εκμετάλλευσης της Toss, από τα συνολικά 83,9 δισεκατομμύρια γουόν που επενδύθηκαν στην τεχνολογία πληροφοριών πέρυσι, το 11,5% - ή 9,6 δισεκατομμύρια γουόν - αφιερώθηκε στην ασφάλεια, ένα από τα υψηλότερα ποσοστά που καταγράφηκαν μεταξύ των κορεατικών τεχνολογικών εταιρειών.

Ο Λι είπε ότι αυτή η δέσμευση για τη βελτίωση της ασφάλειας ήταν ο λόγος που επέλεξε να ενταχθεί στην Toss. Αφού πέρασε μια δεκαετία στην εταιρεία παροχής λύσεων ασφαλείας RaonSecure, ο Λι έγινε περιζήτητος από πολλές εταιρείες. Αρχικά απέρριψε την Toss, αλλά πείστηκε να αλλάξει από τον ιδρυτή και διευθύνοντα σύμβουλο Λι Σεούνγκ Γκαν.

Ο Lee τονίζει ότι οι άμυνες του Toss δεν είναι τέλειες. Καθώς η τεχνολογία εξελίσσεται, ειρωνικά γίνεται ευκολότερο για τους κυβερνοεγκληματίες να διεισδύσουν στην καθημερινότητά μας, σημειώνει. Οι τεχνολογίες γενετικής τεχνητής νοημοσύνης, όπως τα μεγάλα γλωσσικά μοντέλα, το ChatGPT και άλλα, προσφέρουν νέους φορείς επίθεσης, μειώνοντας το εμπόδιο εισόδου για τους κυβερνοεγκληματίες. Υπάρχει επίσης ransomware που διατίθεται ως μηνιαία υπηρεσία συνδρομής.

Σημειώνοντας ότι η αγορά αναπτύσσεται ραγδαία, ο Lee δήλωσε ότι είναι σημαντικό για τις εταιρείες να αναπτύξουν τα δικά τους συστήματα ασφαλείας αντί να βασίζονται σε έτοιμες λύσεις. Ταυτόχρονα, υπάρχει ανάγκη για ευαισθητοποίηση του κοινού για τη μείωση του κινδύνου κυβερνοεπιθέσεων. Πρότεινε η κυβερνοασφάλεια να συμπεριληφθεί στα υποχρεωτικά εκπαιδευτικά προγράμματα, όπως ακριβώς και η πυρασφάλεια στα σχολεία.

(Σύμφωνα με την Korea Herald)