जोखिममा नेपालको बैंकिङ प्रणाली, ‘स्विफ्ट ह्याक’सँगै ‘एटिएम ह्याक’को चुनौती

हेमन्त जोशी | २०७६ भदौ १५ आइतबार | Sunday, September 01, 2019 २१:५३:०० मा प्रकाशित

काठमाडौं- प्रविधिको विकाससँगै वित्तीय क्षेत्रमा चुनौती पनि बढ्दै गइरहेका छन्। बैंक तथा वित्तीय  क्षेत्रमा हुने साइबर डकैती पनि त्यस्तै चुनौतीमध्येको एक हो। अविकसित र विकासशील देश मात्र नभई विकसित देशमा पनि साइबर डकैतीका घटना सार्वजनिक हुँदै आएका छन्। 

बैंकिङ प्रणाली ह्याक गरेर नक्कली एटिएमबाट बैंक डकैती गरिरहेको अवस्थामा आइतबार नेपाल प्रहरीले ५ जना चिनियाँ नागरिकलाई पक्राउ गर्‍यो। केही समयअघिसम्म बैंकहरूको स्विफ्ट सर्भर ह्याक गरेर एक ठाउँबाट अर्को ठाउँ वा एक मुलुकबाट अर्को मुलकमा पैसा पठाएर डकैती गरिन्थ्यो। विश्वभर नै बैंक वित्तीय क्षेत्रमा हुने धेरैजसो साइबर डकैती यही प्रकृतिका हुन्थे। सन् २०१६ फेब्रुअरीमा बंगलादेशको बंगलादेश बैंक र २०१८ अगस्ट १३ मा भारतको कसमस बैंकमा भएका साइबर डकैतीका घटना स्विफ्ट कोड ह्याक गरी भएका डकैतीका पछिल्ला उदाहरण हुन्। 

नेपाल पनि साइबर डकैती गर्ने समूहको निसानामा पर्दै आएको छ। केही समयअघि मात्रै एनआइसी एसिया बैंकको स्विफ्ट कोड ह्याक गरी ह्याकरले करिब ४ करोड रुपैयाँ चीन, जापान, अमेरिका, बेलायत र सिंगापुर पुर्‍याएका थिए। 

तर पहिल्लो घटनाक्रमले एटिएमका माध्यमबाट हुन सक्ने साइबर डकैतीका विषयलाई पनि नेपालको सन्दर्भमा उजागर गरिदिएको छ। नेपालका बैंकहरुले प्रयोग गर्दै आएको कोर बैंकिङ सिस्टम (सिबिएस), इलोक्ट्रोनिक पेमेन्ट सिस्टम (नेप्स) तथा एटिएमका माध्यमबाट हुने अन्तर-बैंक कारोबारमा प्रयोग हुने भिजा प्रणालीमा ह्याकरहरूले कसरी खेल्न सक्छन् र साइबर डकैती गर्न सक्छन् भन्ने कुरा नेपालका बैंक वित्तीय क्षेत्रमा पछिल्लो चुनौतीका रूपमा देखिएको छ। 

नेपालका बैंक तथा वित्तीय संस्थाले जारी गरेका भिजा कार्ड भारत र भुटानमा चल्छन्। तर भिजा कार्डसम्बन्धी सेवा दिने कम्पनी भिजाको कार्यालय नेपालमा छैन। छिमेकी मुलुक भारतमा रहेको कार्यालयले नै नेपालको पनि काम हेर्ने गरेको छ। 

प्रविधिलाई कम आंकलन गर्दाको नियति
नेपाल राष्ट्र बैंकका पूर्व गभर्नर दीपेन्द्रबहादुर क्षेत्री नेपालको बैंक वित्त क्षेत्रले साइबर चुनौतीलाई कम आँकलन गरेका कारण यस्ता गतिविधि दोहोरिने गरेको बताउँछन्। 

‘पहिला पूर्वी युरोपका मुलुकबाट यस्ता गतिविधि संचालन हुने गरेका थिए। अहिले चिनियाँहरुबाट पनि चुनौती देखियो,' क्षेत्री बताउँछन्, ‘हामी प्रविधिको प्रयोगमा पनि नयाँ र ओरिजिनल प्रविधि प्रयोग गर्न हिच्किचाउँछौं। किनभने त्यो महंगो पनि हुन्छ। काम चलाउनका लागि भइहाल्छ भनेर पुरानै र डुप्लिकेट प्रविधि प्रयोग गरिरहँदा बैंकिङ प्रणाली असुरक्षित भएको हो।’

प्रविधिमा आएको विकासलाई विकसित मुलुकहरूले सोही अनुरुप सुरक्षित बनाउँदै लगेका छन्। तर अल्पविकसित र विकासशील मुलुकहरूका लागि यस्तो प्रविधिको प्रयोग निकै चुनौतीपूर्ण छ। किनभने, प्रविधिको विकासलाई समयसापेक्ष स्तरोन्नति गर्न सकियो भने अथवा नयाँ खालका सफ्टवेयर किनेर प्रयोग गर्न सक्यो भने बैंकिङ प्रणाली थप सुरक्षित हुन्छ। त्यो निकै महंगो पनि हुन्छ। 

नेपाल राष्ट्र बैंकले सूचना प्रविधि नीति नै बनाएर साइबर सुरक्षाका विषयमा थप संवेदनशील हुन बैंक वित्तीय संस्थाहरुलाई भन्ने गरेपनि उनीहरूले नै चाँसो नदेखाउँदा समस्या भएको पूर्व गभर्नर क्षेत्रीको बुझाइ छ। 

स्विफ्ट कोड ह्याक गरेर हुने डकैतीमा बैंक/वित्तीय संस्थामा ‘इन्ट्रिग्रिटी लेभल’ दुरुस्त राख्न सकेन भने पनि यस्तो समस्या आउने देखिन्छ। बैंकिङ प्रणालीमार्फत् स्थानीयस्तरको कारोबार र अन्तर्राष्ट्रिय रुपमा कारोबारका लागि दुईवटा प्रणाली प्रयोगमा छन्। अन्तर्राष्ट्रिय स्तरमा प्रयोग हुने स्विफ्ट ह्याकिङमा सेवा दिने ठाउँको र सेवा लिने ठाउँको प्रणालीलाई ह्याकरले निसानामा राख्ने गर्छन्। 

उदाहरणका लागि छिमेकी मुलुक बंगलादेशमा त्यहाँको बंगलादेश बैंकको प्रणालीमा भएको ह्याकिङलाई विश्वमै हालसम्मकै ठूलो साइबर डकैती मानिन्छ। करिब ८१ मिलियन अमेरिकी डलर बराबर चोरी भएको उक्त साइबर डकैती प्रकरणमा बंगलादेश बैंकले आफ्नो स्विफ्टबाट पैसा पठाएपनि ह्याकरहरूले सेवा लिने ठाँउमा नपुगी अन्तै रकम पठाएका थिए। 

स्विफ्ट सेवा प्रदायक पनि आफुहरू के कुरामा विस्वश्त छैनन् भने उनीहरूको प्रणालीमा ह्याक भएको नभई अथवा यो सिस्टमको समस्या नभएर कर्मचारीहरूको बदमासी हुनसक्ने ठान्छन्। किनकि स्विफ्ट प्रणालीमा एक प्रकारको कोड प्रयोग हुन्छ। उक्त कोडलाई बैंकका कर्मचारीले ह्यान्डल गर्छन्। बैंकले विश्वास गरेको कर्मचारीले कथम् कदाचित यताउति गरिदियो र गलत प्रयोग गर्‍यो भने यस्ता समस्या निम्तिएका देखिन्छन्। 

उदाहरणका लागि बैंककै कर्मचारीले विदेशमा रहेका कुनै व्यक्तिलाई स्विफ्ट कोड उपलब्ध गराउने हो भने त प्रविधिमा दक्ष मानिसहरूले सजिलै ह्याक गर्न सक्छन्। त्यसमा कोड उपलब्ध गराउने व्यक्तिको संलग्नता पुष्टि गर्न गाह्रो हुन्छ। किनकि उसले आफैंले र नेपालमै बसेर गरेको हुँदैन। यसमा कर्मचारीको विश्वसनीयतामा प्रश्न रहन्छ। 

एटिएममार्फत् हुने डकैतीमा भने मुख्यतया बैंकको आन्तरिक प्रणाली सिबिएस, उसले प्रयोग गर्ने नेप्सलगायत मुलुकभित्रकै सर्भर र भिजा जस्ता अन्तरराष्ट्रिय सर्भर प्रयोग गरिन्छ। यी विभिन्न किसिमका सर्भरबीच हुने सूचना आदानप्रदान प्रक्रियामा नै ह्याकरले अवरोध गर्छन्। 

नेपाल बैकर्स संघका अध्यक्ष ज्ञानेन्द्रप्रसाद ढुंगाना भने नेपालका बैंक तथा वित्तीय क्षेत्रले प्रयोग गरिरहेको बैंकिङ प्रणालीलाई नराम्रो भन्न नमिल्ले बताउँछन्। ‘नेपालमा प्रयोग भइरहेका बैकिङ सफ्टवेयर उच्च प्रविधिका छैनन्। जसका कारण सुरक्षा चुनौती केही त पक्कै छन। तर यसलाई काम नै नलाग्ने र गए गुज्रेको भन्न मिल्दैन,' ढुंगाना भन्छन्। 

यस्ता समस्या आउन नदिन नेपालका बैंक/वित्तीय संस्थाले इन्टरनेसनल सेयरिङको माध्यमबाट पनि काम गर्न सक्छन्। तर यस विषयमा राष्ट्र बैंकले चाँसो देखाएको छैन भने बैंक तथा वित्तीय संस्था आफैं अग्रसर भएर यो काम अगाडि बढाउन सकेका छैनन्। 

इन्टरनेसनल सेयरिङको माध्यामबाट काम गर्दा कुनै बैंक तथा वित्तीय संस्थाको प्रणालीमा केही समस्या देखियो भने त्यसलाई अन्य संस्थासँग पनि जानकारी गराएर समस्या आउन नदिन सकिन्छ। यो नितान्त स्विफ्ट ह्याकसँग सम्बन्धित समस्याको निराकरणका लागि मात्रै हो। तर, अहिले देखिएको भिसाकार्ड, मास्टर कार्डहरूको प्रयोगबाट हुने डकैतीलाई भने अझैपनि विश्वभर चुनौतीका रूपमा हेरिएको छ। यस्ता घटना हुन नदिन बैंक वित्तीय संस्था आफैं सचेत हुनुपर्ने ढुंगानाको भनाइ छ। ‘आउने दिनमा पनि यस्तो अब हुँदैन भनेर कसैले पनि भन्न सक्दैन। किनभने जति हामीले प्रणालीलाई बलियो बनाउँदै जान्छौँ, ह्याकरहरुले सोही अनुसारको काम गर्दै जान्छन्। त्योबाट हामी नै सतर्क हुने हो। हामी मात्र होइन, संसारका अन्य मुलुकमा पनि यो चुनौती छ,’ उनले भने। 

शनिबार भएको एटिएम डकैतीका विषयमा भने अध्यक्ष ढुंगानाले अनुसन्धान भइरहेको र समस्याको वास्तविकता बुझ्न अझै केही समय लाग्ने बताए। ढुंगानाले सिबिएस र नेप्स प्रणालीमा नभई भिजा प्रणालीमा ह्याक गरेर डकैती गर्न खोजिएको हुन सक्ने बताए। 

भिजा सर्भर प्रणालीमै ह्याक गरेर वा भिजा प्रणालीसँग नेप्सलगायत यहाँका सर्भरले गर्ने सूचना आदानप्रदानमा ह्याकरहरूले तलमाथि गरेको भन्ने ढुंगानाको भनाइमा नेपाल राष्ट्र बैंकका कार्यकारी निर्देशक बमबहादुर मिश्र पनि सहमत छन्। मिश्रका अनुसार भिजा प्रणालीको विवरण र नेप्सलगायत यहाँको सर्भरहरूको विवरण दाँजेपछि के भएको हो भन्ने वास्तविकता बाहिर आउने छ। 

‘राष्ट्र बैंकले कुन प्रणाली ह्याक गरेर एटिएममार्फत् पैसा झिकियो भनेर विस्तृत अध्ययन गरिरहेको छ। सिबिएस, नेप्स र भिजाबाट भएका कारोबारसम्बन्धी विवरण दाँजेपछि वास्तविकता थाहा हुन्छ। हाम्रो अनुमान भिजामै ह्याक गरेको भन्ने छ,‘ मिश्र भन्छन्।

स्वर्ण रजत कास्य जम्मा
भारत
७२ ५४ २५ १५१
नेपाल
४१ २७ ४२ ११०
श्रीलंका
२० ३९ ६१ १२०
पाकिस्तान
१८ २४ २६ ६८
बंगलादेश
११ ४५ ६०
माल्दिभ्स
भुटान