एटिएम ह्याकका विषयमा राष्ट्र बैंकको यस्तो छ निष्कर्ष

जोखिम न्यूनीकरण गर्न अल्पकालीन र दीर्घकालीन रणनीति अपनाउन सुझाव
हेमन्त जोशी | २०७६ भदौ २० शुक्रबार | Friday, September 06, 2019 १३:४०:०० मा प्रकाशित

काठमाडौं- भदौ १४ गते नेपाल तथा भारतका विभिन्न बैंकका एटिएमबाट भएका शंकास्पद कारोबारहरुको प्रारम्भिक अध्ययन गरी नेपाल राष्ट्र बैंकले प्रतिवेदन तयार पारेको छ। राष्ट्र बैंकका कार्यकारी निर्देशक बमबहादुर मिश्रको संयोजकत्वमा गठित समितिले अध्ययन प्रतिवेदन तयार गरी राष्ट्र बैंकलाई बुझाएको हो। 

प्रारम्भिक अनुसन्धानबाट भिजा इन्टरनेसनलसँग आबद्ध नेप्सका सदस्य बैंकहरुको क्लोन डेबिड र क्रेडिट कार्ड प्रयोग गरी भदौ १४ गते शनिबार बिहान ११ बजे देखि साँझ ४ः३५ बजेसम्म चिनियाँ ह्याकरहरुले पैसा झिकेको देखिन्छ। 

यस अवधिमा नेपालबाट ७ वटा बैंकका विभिन्न कार्डहरु प्रयोग गरी १७ वटा बैंकका विभिन्न स्थानका ६८ वटाबाट १ करोड ८९ लाख ४४ हजार ५ सय रुपैयाँ झिकेका थिए। 

त्यसैगरी नेपालका ६ वटा वाणिज्य बैंकहरुको विभिन्न कार्डहरु प्रयोग गरी भारतका विभिन्न स्थानका २४ बैंकका १३२ एटिएमबाट १ करोड ५ लाख ८७ हजार २ सय रुपैयाँ चिनियाँ ह्याकरहरुले झिकेको देखिन्छ। 

यसरी नेपाल र भारतबाट कुल ३ करोड ५८ लाख ८४ हजार २ सय रुपैयाँ बराबरको रकम झिकिएको पाइएको छ। यद्यपि उक्त समय भएको कारोबारहरुमध्ये केही कारोबार वास्तविक रहेको पाइएको र थप अन्य कारोबारहरुको भेरिफिकेसन गर्ने कार्य भइरहेकाले क्षति भएको रकम सोभन्दा केही कम हुन सक्ने राष्ट्र बैंकले जनाएको छ।

भिजा नेटवर्क वा नेप्स स्विच वा यी दुवै प्रणालीबीच कहीँकतै कसैले अनधिकृत रुपमा नियन्त्रणमा लिई उल्लेखित ‘फ्रडल्यान्ट कारोबार हुन गएको अनुमान राष्ट्र बैंकको प्रारम्भिक अध्ययनले देखाएको छ। यस सम्बन्धमा विस्तृत विवरण भने फरेन्सिक विज्ञहरुको प्रतिवेदन आएपछि मात्रै थाहा हुने अध्ययन समितिका संयोजक मिश्रको भनाइ छ। 

साइबर डकैतीबाट बच्न तथा बैकिङ सुरक्षा प्रणाली मजबुत बनाउन राष्ट्र बैंकले तत्काल गर्नुपर्ने र दीर्घकालमा गर्नुपर्ने गरी दुई किसिमका सुझाव दिएको छ। 

राष्ट्र बैंकले गठन गरेको अध्ययन समितिले एटिएम ह्याकबाट विदेशी नागरिकले साइबर डकैती गरेको घटना तथा नेपालमा कार्डको प्रयोग गरी हुने भुक्तानी प्रणालीमा देखिएको कमी कमजोरीहरुलाई मध्यनजर गरी सम्भावित जोखिम न्यूनीकरण गर्न अल्पकालीन र दीर्घकालीन रणनीति अगाडि बढाउन सुझाएको छ। 

 

  • अल्पकालीन
    – हाल भएका घटनाहरुको फरेन्सिक एक्सपर्टद्वारा सूक्ष्म अध्ययन तथा विश्लेषण गरी प्राप्त सुझावहरु कार्यान्वयन गर्नुपर्ने।
    – इजाजतपत्र प्राप्त बैंक तथा वित्तीय संस्थाहरु, पिएसपी र पिएसओलाई आ–आफ्नो सूचना प्रविधि तथा इलेक्ट्रोनिक माध्यमबाट हुने भुक्तानी प्रणालीको जोखिम मूल्यांकन गरी जोखिम न्यूनीकरणका आवश्यक उपायहरु अवलम्बन गर्न निर्देशन दिनुपर्ने।
    – कार्ड प्रणाली लगायत भिसा, मास्टरकार्डको हिसाब मिलान कारोबार भएको अर्को दिन (टि प्लस वान) भित्र गर्ने व्यवस्था मिलाउनुपर्ने।
    – नेपालका बैंक तथा वित्तीय संस्थाहरुबाट जारी भएका नेपाली मुद्राका डेबिट तथा क्रेडिट कार्डहरु अब उप्रान्त अनिवार्य रुपमा एक्युरर र इस्युअर दुवैतर्फ चिप र पिनको माध्यमबाट मात्र कारोबार हुने व्यवस्था मिलाउने। नेपालबाहिर यस्तो कार्ड प्रयोग हुँदा नेपालका इस्युअरले फलब्याक ट्रान्जिसन स्वीकार नगर्ने व्यवस्था मिलाउनुपर्ने।
    – नेपाली बैंक तथा वित्तीय संस्थाहरुले जारी गरेका डलर कार्डको हकमा विदेशी टर्मिनलमा एक्वाइर हुँदा म्याग्नेटिक स्ट्रीप (चिप बिनाका कार्ड) को फल्स ब्याक ट्रान्जिसन नहुने व्यवस्था मिलाउनुपर्ने। (यो घटना पनि म्याग्नेटिक स्ट्रीपको कारणले भएको राष्ट्र बैंकको प्रारम्भिक अनुमान छ।)
    – बैंक तथा वित्तीय संस्थाहरुबाट यसअघि जारी भएका म्याग्नेटिक स्ट्रीप कार्ड (चिप बिनाका कार्ड) कार्डहरु ३ महिनाभित्र चिपमा आधारित कार्डद्वारा विस्थापन गर्ने व्यवस्था मिलाउनुपर्ने।
    – नेपालमा सञ्चालनमा रहेका सम्पूर्ण टर्मिनल डिभाईसहरु (पिओएस/एटिएम) लाई ३ महिनाभित्र चिप र पिनलाई स्वीकार गर्न सक्ने गरी सक्षम बनाउन आवश्यक व्यवस्था मिलाउनुपर्ने।
    – बैंक तथा वित्तीय संस्था र पिएओ तथा पिएसपिले सेक्युरिटी अपरेसन सेन्टर (एसओसी) सञ्चालन गरी सूचना प्रविधिको क्षेत्रमा उत्पन्न हुन सक्ने जोखिमहरुलाई नियमित रुपले अनुगमन गर्ने व्यवस्था मिलाउनुपर्ने ।
  • दीर्घकालीन
    – कार्डसँग सम्बन्धित नेटवर्क र सिस्टमको सुपरीवेक्षण नियमित रुपमा गर्नुपर्ने।
    – कार्डसँग सम्बन्धित सूचना प्रणालीको वार्षिक रुपमा अडिट गर्ने व्यवस्था मिलाउनुपर्ने।
    – कार्डसँग सम्बन्धित प्रणालीको भल्नेराबिलिटी एसिसमेन्ट एन्ड पेनेट्रासन टेस्टिङ (भिएपिटी) अर्धवार्षिक रुपमा गर्ने व्यवस्था मिलाउनुपर्ने।
    – कार्डसँग सम्बन्धित प्रणालीको जोखिम मूल्यांकन त्रैमासिक रुपमा गरी सम्बन्धित बैंकको जोखिम व्यवस्थापन समितिमा छलफल गर्ने व्यवस्था मिलाउनुपर्ने।
    – एटिएम कक्षमा जडित सिसिटिभीको नियमित रुपमा केन्द्रीकृत रुपले अनुगमन गर्ने व्यवस्था मिलाउनुपर्ने। साथै, यस्तो अनुगमन शनिबार लगायत अन्य बिदाको दिनमा समेत नियमित रुपले गर्ने व्यवस्था मिलाउनुपर्ने।
    – इजाजतपत्रप्राप्त वित्तीय सेवा प्रदायक संस्थाहरुले साइबर सेक्युरिटीको जोखिमबाट हुन सक्ने सम्भावित नोक्सानी न्यूनीकरण गर्न साइबर सेक्युरिटी बीमा गर्नुपर्ने व्यवस्था मिलाउनुपर्ने।
    – कार्डबाट हुने कारोबारको सीमा नियन्त्रणका लागि भिसा, मास्टरकार्ड लगायत अन्य भुक्तानी प्रणाली सञ्चालक (पिएसओ) हरुबाट सबै बैंक तथा वित्तीय संस्थाहरुले कारोबारको सीमा निर्धारण गर्ने सेवा लिनुपर्ने व्यवस्था मिलाउनुपर्ने।
    – बैंक तथा वित्तीय संस्था र पिएसओ तथा पिएसपिले प्रिभेलेज एक्सिस मेनेजमेन्ट (पिएमएम) प्रयोग गरी सूचना प्रविधि प्रणालीको महत्वपूर्ण पूर्वाधार सुरक्षित राख्ने व्यवस्था मिलाउनुपर्ने।
    – पेमेन्ट कार्ड इन्ड्रस्ट्री एन्ड डाटा सेक्युरिटी स्टान्डर्ड (पिसिआई–डिएसएस) पालना गर्ने र एटिएम स्वीच सञ्चालन गर्ने बैंकले वार्षिक रुपले पिसिआई–डिएसएस अडिट गर्ने व्यवस्था मिलाउनुपर्ने।