Trong hai năm đầu tiên, chương trình của Toss chỉ chạy trong vài tháng, nhưng từ cuối năm 2023, công ty đã duy trì liên tục. Tin tặc có thể báo cáo lỗ hổng bất cứ khi nào họ phát hiện cho ứng dụng. Những hacker mũ trắng này có thể được thưởng tới 30 triệu won (hơn nửa tỷ đồng) nếu tìm ra lỗi nghiêm trọng.

Toss là công ty tài chính duy nhất vận hành chương trình săn tiền thưởng (bug bounty) thường xuyên tại Hàn Quốc. Nó phản ánh sự tự tin của hãng trong khả năng bảo mật, theo Lee Jong Ho – một hacker mũ trắng kiêm người dẫn đầu bộ phận bảo mật của Toss.

8ax1ybjo.png
Lee Jong Ho, người đứng đầu bộ phận bảo mật của Toss. Ảnh: Korea Herald

Chia sẻ với Korea Herald, Lee cho biết chương trình bug bounty có thể phơi bày tất cả lỗ hổng mà một công ty không hề hay biết trong hệ thống bảo mật. Ngoài ra, Toss còn là công ty Hàn Quốc duy nhất có “đội đỏ” – thuật ngữ chỉ đội ngũ nhân viên an ninh mạng được giao nhiệm vụ mô phỏng các cuộc tấn công kiểm tra tính hiệu quả của các hệ thống hoặc chiến lược bảo mật.

Đội đỏ của Toss gồm 10 hacker mũ trắng ngoài Lee. Họ phối hợp với “đội xanh” (đội phòng thủ) hàng ngày. “Khi loại bỏ những định kiến, chúng tôi phát hiện ra những lỗ hổng mà công ty bỏ qua và cố gắng xuyên thủng hệ thống phòng thủ, do đó củng cố khả năng phục hồi của chúng tôi trước các mối đe dọa thực sự”, Lee giải thích.

Toss đã nâng cao các biện pháp bảo mật của mình bằng cách tạo ra các chương trình phòng thủ tùy biến, như Toss Guard và Phishing Zero, tích hợp chúng trong nội bộ. Những biện pháp này không chỉ đảm bảo tính linh hoạt và khả năng mở rộng để phù hợp với sự phát triển của công ty mà còn thúc đẩy một hệ thống phòng thủ chặt chẽ phù hợp với môi trường đặc biệt của Toss, Lee nhấn mạnh.

Tuy nhiên, cam kết tăng cường bảo mật không phải là một lựa chọn đơn giản cho các công ty do cần chi phí đáng kể. Theo báo cáo của Viva Republica – nhà điều hành Toss, trong tổng số 83,9 tỷ won đầu tư vào công nghệ thông tin năm ngoái, 11,5% – tương đương 9,6 tỷ won – dành riêng cho bảo mật, một trong những tỷ lệ cao nhất được ghi nhận trong số các công ty công nghệ Hàn Quốc.

Lee chia sẻ cam kết tăng cường an ninh này là lý do anh chọn tham gia Toss. Sau khi dành một thập kỷ tại nhà cung cấp giải pháp bảo mật RaonSecure, Lee được nhiều công ty săn đón. Ban đầu, anh từ chối Toss nhưng sau đó được nhà sáng lập kiêm CEO Lee Seung Gun thuyết phục và thay đổi.

Lee nhấn mạnh hệ thống phòng thủ của Toss không hoàn hảo. Khi công nghệ tiến bộ, trớ trêu thay, tội phạm mạng lại dễ dàng xâm nhập vào cuộc sống hàng ngày của chúng ta hơn, anh lưu ý. Các công nghệ AI tạo sinh như mô hình ngôn ngữ lớn, ChatGPT… mang đến những phương pháp tấn công mới, giảm rào cản gia nhập đối với tội phạm mạng. Bên cạnh đó, còn có mã độc tống tiền cung cấp dưới dạng dịch vụ đóng phí hàng tháng.

Nhận định thị trường này đang phát triển nhanh chóng, Lee cho rằng, điều quan trọng là các công ty phát triển hệ thống bảo mật của riêng họ thay vì dựa vào các giải pháp có sẵn. Song song với đó, cần nâng cao nhận thức tổng thể để giảm thiểu rủi ro bị tấn công mạng. Anh đề xuất nên đưa an ninh mạng vào chương trình giáo dục bắt buộc giống như tìm hiểu an toàn phòng cháy chữa cháy trong trường học.

(Theo Korea Herald)