ในช่วงสองปีแรก โปรแกรมของ Toss ดำเนินไปเพียงไม่กี่เดือน แต่ตั้งแต่ปลายปี 2023 เป็นต้นมา บริษัทก็ดูแลรักษาโปรแกรมดังกล่าวอย่างต่อเนื่อง แฮกเกอร์สามารถรายงานช่องโหว่ได้ทุกครั้งที่ค้นพบช่องโหว่เหล่านั้นสำหรับแอปพลิเคชัน แฮกเกอร์หมวกขาวเหล่านี้อาจได้รับรางวัลมากถึง 30 ล้านวอน (มากกว่าครึ่งพันล้านดอง) หากพวกเขาพบจุดบกพร่องที่ร้ายแรง

Toss เป็นบริษัทการเงินแห่งเดียวที่ดำเนินโครงการ Bug Bounty เป็นประจำในเกาหลี สิ่งนี้สะท้อนให้เห็นถึงความมั่นใจของบริษัทในศักยภาพด้านความปลอดภัยของตน ตามที่ Lee Jong Ho แฮกเกอร์หมวกขาวและหัวหน้าฝ่ายความปลอดภัยของ Toss กล่าว

8ax1ybjo.png
อี จอง โฮ หัวหน้าแผนกความปลอดภัยของทอส ภาพ: Korea Herald

ลีให้สัมภาษณ์กับ Korea Herald ว่าโปรแกรม Bug Bounty สามารถเปิดเผยช่องโหว่ทั้งหมดที่บริษัทไม่ทราบในระบบความปลอดภัยของตนได้ นอกจากนี้ Toss ยังเป็นบริษัทเกาหลีเพียงแห่งเดียวที่มี “ทีมแดง” ซึ่งเป็นคำที่ใช้เรียกทีมเจ้าหน้าที่ด้านความปลอดภัยทางไซเบอร์ที่มีหน้าที่จำลองการโจมตีเพื่อทดสอบประสิทธิภาพของระบบหรือกลยุทธ์ด้านความปลอดภัย

ทีมสีแดงของ Toss ประกอบด้วยแฮกเกอร์หมวกขาวอีก 10 คน นอกเหนือจากลี โดยจะประสานงานกับ “ทีมสีฟ้า” (ทีมรับ) เป็นประจำทุกวัน “การขจัดอคติออกไป จะทำให้เราเปิดเผยจุดอ่อนที่บริษัทต่างๆ มองข้ามและพยายามแทรกแซงการป้องกัน ส่งผลให้เรามีความสามารถในการต้านทานต่อภัยคุกคามที่แท้จริงแข็งแกร่งยิ่งขึ้น” ลีอธิบาย

Toss ได้ปรับปรุงมาตรการรักษาความปลอดภัยด้วยการสร้างโปรแกรมป้องกันแบบกำหนดเอง เช่น Toss Guard และ Phishing Zero และบูรณาการไว้ภายใน มาตรการเหล่านี้ไม่เพียงแต่จะช่วยให้เกิดความยืดหยุ่นและความสามารถในการปรับขนาดเพื่อรองรับการเติบโตของบริษัทเท่านั้น แต่ยังส่งเสริมระบบการป้องกันที่เข้มงวดซึ่งเหมาะกับสภาพแวดล้อมเฉพาะตัวของ Toss อีกด้วย ลีเน้นย้ำ

อย่างไรก็ตาม การมุ่งมั่นที่จะเพิ่มความปลอดภัยไม่ใช่ทางเลือกที่ง่ายสำหรับบริษัท เนื่องจากมีค่าใช้จ่ายที่เกี่ยวข้องจำนวนมาก จากยอดลงทุนด้านเทคโนโลยีสารสนเทศทั้งหมด 83,900 ล้านวอนในปีที่แล้วนั้น 11.5 เปอร์เซ็นต์ หรือ 9,600 ล้านวอน ถูกจัดสรรให้กับการรักษาความปลอดภัย ซึ่งถือเป็นอัตราส่วนที่สูงที่สุดอัตราส่วนหนึ่งในบรรดาบริษัทเทคโนโลยีของเกาหลี ตามรายงานของ Viva Republica ผู้ดำเนินการ Toss

ลีแบ่งปันความมุ่งมั่นในการเพิ่มความปลอดภัยนี้เป็นเหตุผลที่เขาเลือกเข้าร่วม Toss หลังจากทำงานให้กับ RaonSecure ซึ่งเป็นผู้ให้บริการโซลูชันด้านความปลอดภัยมานานกว่าทศวรรษ ในที่สุด Lee ก็เป็นที่ต้องการตัวของบริษัทต่างๆ หลายแห่ง ในช่วงแรก เขาปฏิเสธ Toss แต่ต่อมาก็ได้รับการชักชวนและเปลี่ยนใจโดยผู้ก่อตั้งและซีอีโอ Lee Seung Gun

ลีเน้นย้ำว่าระบบการป้องกันของทอสส์ไม่สมบูรณ์แบบ ในขณะที่เทคโนโลยีมีความก้าวหน้าขึ้น กลับทำให้ผู้ก่ออาชญากรรมทางไซเบอร์สามารถแทรกซึมเข้ามาในชีวิตประจำวันของเราได้ง่ายขึ้นอย่างที่กล่าวอ้าง เทคโนโลยี AI เชิงสร้างสรรค์ เช่น โมเดลภาษาขนาดใหญ่ ChatGPT... นำมาซึ่งวิธีการโจมตีใหม่ๆ ช่วยลดอุปสรรคในการเข้าถึงของผู้ก่ออาชญากรรมทางไซเบอร์ นอกจากนี้ ยังมีแรนซัมแวร์ที่พร้อมให้บริการในรูปแบบการสมัครสมาชิกรายเดือน

ลีกล่าวว่าเนื่องจากตลาดนี้กำลังเติบโตอย่างรวดเร็ว จึงเป็นเรื่องสำคัญที่บริษัทต่างๆ จะต้องพัฒนาระบบความปลอดภัยของตนเองแทนที่จะพึ่งพาโซลูชันสำเร็จรูป ในเวลาเดียวกันจำเป็นต้องสร้างการตระหนักรู้โดยรวมเพื่อลดความเสี่ยงจากการโจมตีทางไซเบอร์ให้เหลือน้อยที่สุด เขาเสนอว่าควรมีการรวมการรักษาความปลอดภัยทางไซเบอร์ไว้ในโปรแกรมการศึกษาภาคบังคับ เช่นเดียวกับการสอนความปลอดภัยจากอัคคีภัยในโรงเรียน

(อ้างอิงจากหนังสือพิมพ์ Korea Herald)