काठमाडौं- पछिल्लो तीन वर्ष अवधिमा नेपालको बैंक तथा वित्तीय क्षेत्रमा साइबर डकैतीका तीन ठूला घटना घटे।
२०७६ भदौमा विभिन्न बैंकका एटिएम ह्याक गरिरहेको अवस्थामा पाँच जना चिनियाँ नागरिक पक्राउ परे। त्यसको ठीक एक महिनापछि ह्याकरहरुले कृषि विकास बैंकको ‘जनरल लेजर’ (जिएल) अर्थात् ‘समरी सिट’मै पहुँच पुर्याएर करिब पाँच करोड रुपैयाँ डकैती गरेको घटना बाहिरियो।
त्यस्तै, २०७४ कात्तिकमा एनआइसी एसिया बैंकको ‘स्वीफ्ट ह्याक’ गरेर ह्याकरहरुले विदेशी बैंकका खातामा पैसा पठाए। साइबर डकैती र वित्तीय अपराधसँग जोडिएका यी तीन घटनाले बैंक तथा वित्तीय क्षेत्रलाई तरङ्गित त तुल्यायो नै सँगसँगै एउटा गम्भीर प्रश्नसमेत उठायो- ‘के नेपालका बैंक तथा वित्तीय संस्था साइबर सुरक्षामा साँच्चिकै कमजोर छन्?’
जोखिम
अहिले प्रविधिको विकाससँगै त्यसका चुनौती पनि बढ्दै गइरहेका छन्। साइबर डकैती पनि त्यस्तै चुनौतीमध्येको एक हो। अविकसित र विकासशील मुलुकमात्र नभई विकसित मुलुकका बैंक तथा वित्तीय संस्थाहरुमा पनि साइबर डकैतीका घटनाहरु सार्वजनिक हुँदै आएका छन्।
बैंक तथा वित्तीय संस्थाले प्रयोग गर्ने ‘कोर बैंकिङ सिस्टम’ (सिबिएस), वेबसाइट, मोबाइल एप्लिकेसन, भुक्तानी प्रणाली र आधिकारिक सामाजिक सञ्जालको माध्यमबाट साइबर डकैतीको चुनौती रहन्छ। ह्याकरहरुले यी प्रणालीमा पहुँच राख्न मालवेयर तथा रान्समवेर भाइरसको प्रयोग, स्पाम, फिसिङ, स्पोफिङजस्ता अवैधानिक (अनएथिकल) गतिविधि गर्छन्। साइबर सुरक्षासँग सम्बन्धित अरु बाह्य जोखिमहरु रहन्छन्। यस्ता जोखिममा सिबिएसमा अनधिकृत पहुँच पुर्याएर पनि सूचनाको चुहावट हुनसक्छ। कुनै कर्मचारीको ‘युजर आइडी’ र ‘पासवर्ड’मा पहुँच पुर्याउने र त्यसैको गलत प्रयोगबाट डकैती गर्ने गरेका उदाहरण पनि प्रसस्तै छन्।
नेपालमा साइबर डकैतीका माध्यमबाट भएका वित्तीय अपराधको शैली हेर्दा ‘स्वीफ्ट ह्याक’का घटना बढी देखिन्छन्। त्यस्तै नेपाल इलेक्ट्रोनिक पेमेन्ट सिस्टम (नेप्स) तथा एटिएमका माध्यमबाट हुने अन्तरबैंक कारोबारमा प्रयोग हुने भिसा प्रणालीमा ह्याकरहरुले कसरी खेल्न सक्छन् र साइबर डकैती गर्न सक्छन् भन्ने कुरा गत वर्षको एटिएम ह्याक प्रकरणले देखाइसकेको छ।
नियामकको पहल
नियामक निकाय नेपाल राष्ट्र बैंकले सबै बैंक तथा वित्तीय संस्थाहरुले सूचना प्रविधि प्रणालीमा अन्तर्निहित आन्तरिक एवं बाह्य सुरक्षाको जोखिम न्यूनीकरण तथा व्यवस्थापनका लागि भन्दै साइबर सुरक्षामा विशेष ध्यान पुर्याउन बेला-बेला निर्देशन दिँदै आएको छ। साइबर सुरक्षासँग जोडिएका विषयमा सूचना प्रविधि कार्यविधि र एकीकृत निर्देशिकाको पालना भए/नभएकोबारे पनि राष्ट्र बैंकले नियमित अनुगमन गर्ने गरेको सहप्रवक्ता नारायणप्रसाद पोखरेल बताउँछन्।
‘राष्ट्र बैंकले दिएको निर्देशन र सूचना प्रविधिसँग सम्बन्धित कार्यविधिमा भएको व्यवस्थाभन्दा पनि बैंकहरुले एक कदम अगाडि बढेर साइबर सुरक्षासँग सम्बन्धित विषयको व्यवस्थापन गर्नुपर्छ,’ पोखरेल भन्छन्, ‘राष्ट्र बैंकले बैंक तथा वित्तीय संस्थाको अनुगमन र निरीक्षण गर्दा पनि साइबर सुरक्षासँग सम्बन्धित विषयलाई छुट्टै रुपमा हेरिन्छ।’
साइबर सुरक्षाका विषयमा बैंकका कर्मचारी तथा प्रयोगकर्ताको क्षमता अभिवृद्धि गर्न राष्ट्र बैंकले बेलाबखत बैंक तथा वित्तीय संस्थालाई निर्देशन दिने गरेको छ।
पछिल्लो समय राष्ट्र बैंकले फरेन कमनवेल्थ एण्ड डेभलपमेन्ट अफिस (एफसिडिओ)सँग समन्वय गरेर साइबर सेक्युरिटीका बारेमा विस्तृत अध्ययन गरिरहेको पनि पोखरेलले बताए। ‘हामी एफसिडिओसँग समन्वय गरेर नेपालको बैंकिङ प्रणालीमा साइबर सुरक्षाको अवस्था (साइबर सेक्युरिटी एसिसमेन्ट अफ नेपलिज बैंकिङ सिस्टम) बारेमा एउटा अध्ययन गर्दै छौं,’ पोखरेलले नेपाललाइभसँग भने,‘अध्ययनबाट आएको निष्कर्षले हाम्रो बैंकिङ प्रणालीको साइबर सेक्युरिटीमा कहाँनेर ग्याप छ र त्यसमा के कस्तो करेक्सन गर्नुपर्छ भनेर देखाउँछ। त्यस्तै, हाम्रा निर्देशनहरु के हुनुपर्छ र साइबर सुरक्षासँग सम्बन्धित नयाँ कार्यविधि कसरी तयार पार्नुपर्छ भन्ने बारेमा हामीलाई सुझाव दिन्छ।’
साइबर सुरक्षाका विषयमा बैंकका कर्मचारी तथा प्रयोगकर्ताको क्षमता अभिवृद्धि गर्न पनि राष्ट्र बैंकले बेलाबखत बैंक तथा वित्तीय संस्थालाई निर्देशन दिने गरेको छ। त्यस्तै साइबर हमला हुनबाट रोक्ने, साइबर हमला हुँदा त्यसबारेमा जानकारी दिएर सम्भावित दुर्घटनाबाट बच्ने र हमलापछिका सुरक्षा विधिहरु अपनाउन पनि राष्ट्र बैंकले निर्देशन दिने गरेको छ। गत वर्ष एटिएम ह्याक प्रकरणपछि राष्ट्र बैंकले बैंक तथा वित्तीय संस्थाहरुमा सञ्चालनमा रहेका प्रणालीहरुको ‘प्रिभेन्टिभ, डिटेक्टिभ एण्ड रेस्पोन्सिभ आइटी सेक्युरिटी स्ट्राटेजी’तयार गर्न निर्देशन दिएको थियो।
विद्यमान कानुनी व्यवस्था र सान्दर्भिकताको प्रश्न
राष्ट्र बैंकले अहिले बैंक तथा वित्तीय संस्थाका लागि सूचना प्रविधि कार्यविधि (आइटी गाइडलाइन) २०१३ अनुसार नियमन तथा अनुगमन गर्दै आएको छ। त्यस्तै एकीकृत निर्देशिकामा पनि साइबर सुरक्षासँग सम्बन्धित विषयहरु राखेर कार्यान्वयनका लागि राष्ट्र बैंकले निर्देशन दिँदै आएको छ। यद्यपि, हरेक दिनजसो थप नयाँ प्रणाली विकसित हुने सूचना प्रविधिको क्षेत्रमा आठ वर्षअघि बनेको कार्यविधि कति सान्दर्भिक छ भन्ने प्रश्न पनि उठ्दै आएको छ।
‘हाम्रो आइटी गाइडलाइन अलि पुरानै छ। त्यसले धेरै कुरा समेट्दैन। त्यसकारण त्यतिले मात्रै बैंकहरुको सर्भर प्रणाली सुरक्षित हुन्छ भन्ने होइन। तर, कार्यविधि र बेला-बेला जारी हुने सर्कुलर अनुरुप मापदण्ड पूरा भएका छैनन् भने राष्ट्र बैंकले तत्काल निर्देशन दिइहाल्छ,’ सहप्रवक्ता पोखरेल भन्छन्।
सेक्युरिटी/आइटी अडिटको अन्योल
बैंक वित्तीय संस्थाका लागि राष्ट्र बैंकले जारी गरेको सूचना प्रविधि कार्यविधि पालना गर्नु बाध्यात्मक हो। तर, कार्यविधिमा सूचना प्रविधिको लेखापरीक्षण (आइटी अडिट) गर्नुपर्ने बाध्यात्मक व्यवस्था छैन। तर, एकीकृत निर्देशिकाले यो विषय समेटेको छ। राष्ट्र बैंकले जारी गरेको एकीकृत निर्देशिकाले ‘सूचना प्रविधि प्रणालीको अडिटका लागि अन्तर्राष्ट्रिय असल अभ्यास (इन्टरनेसनल बेस्ट प्राक्टिस) अनुरुपको पूर्व सक्रियता अपनाइ त्यसको व्यवस्थापन गर्नुपर्ने’ उल्लेख गरेको छ।
नेपाल बैंकर्स एसोसियसनका प्रमुख कार्यकारी अधिकृत (सिइओ) अनिल शर्मा राष्ट्र बैंकको निर्देशनपछि अहिले सबै वर्गका वित्तीय संस्थाले आइटी अडिट गर्न थालेको बताउँछन्। ‘बैंक, वित्तीय संस्थाले आइटी अडिट अहिले वार्षिक रुपमै गर्छन्। राष्ट्र बैंकबाट पनि यसको निरीक्षण, अनुगमन हुने भएपछि यो बाध्यात्मक व्यवस्था जस्तै हो,’ शर्माले भने।
राष्ट्र बैंकका अनुसार आइटी अडिट नगरेकै कारण कुनै संस्थालाई कारबाही गरेको उदाहरण भने हालसम्म छैन।
बैंकिङ प्रणालीको आन्तरिक सुरक्षा कस्तो?
प्रविधिमा आएको विकासलाई विकसित मुलुकहरुले सोहीअनुरुप सुरक्षित बनाउँदै लगेका छन्। तर, अल्पविकसित र विकासशील मुलुकहरुका लागि यस्तो प्रविधिको प्रयोग निकै चुनौतीपूर्ण छ। किनभने, प्रविधिको विकासलाई समयसापेक्ष स्तरोन्नति गर्न सकियो भने अथवा नयाँ खालका सफ्टवेयरहरु किनेर प्रयोग गर्न सक्यो भने बैंकिङ प्रणाली थप सुरक्षित हुन्छ। त्यो निकै महँगो पनि हुन्छ।
सूचना चुहावट र चोरीबाट हुने आर्थिक जोखिम एवं आधिकारिक सेवाको पहुँच रोक्नेलगायत जोखिमबाट बच्न बैंक तथा वित्तीय संस्था सचेत हुन आवश्यक छ।
स्वीफ्ट कोड ह्याक गरेर हुने डकैतीमा बैंक तथा वित्तीय संस्थामा ‘इन्टिग्रिटी लेभल’ दुरुस्त राख्न सकेन भने पनि यस्तो समस्या देखिन्छ। बैंकिङ प्रणालीमार्फत स्थानीयस्तरको कारोबार र अन्तर्राष्ट्रिय रुपमा कारोबारका लागि दुईवटा प्रणाली प्रयोगमा छन्।
अन्तर्राष्ट्रियस्तरमा प्रयोग हुने स्वीफ्ट ह्याकिङमा सेवा दिने ठाउँको र सेवा लिने ठाउँको प्रणालीलाई ह्याकरहरुले हेर्ने गर्छन्। उदाहरणका लागि छिमेकी मुलुक बंगलादेशमा त्यहाँको बंगलादेश बैंकको प्रणालीमा भएको ह्याकिङलाई विश्वमै हालसम्मकै ठूलो साइबर डकैती मानिन्छ। करिब ८१ मिलियन अमेरिकी डलर बराबर चोरी भएको उक्त साइबर डकैती प्रकरणमा बंगलादेश बैंकले आफ्नो स्वीफ्टबाट पैसा पठाए पनि ह्याकरहरुले सेवा लिने ठाउँमा नपुगी अन्तै रकम पठाइएको थियो। त्यस्तै गत वर्ष कृषि विकास बैंक र तीन वर्षअघि एनआइसी एसिया बैंकमा भएको साइबर डकैती पनि स्वीफ्ट कोड ह्याक भएको थियो।
भुक्तानी प्रणाली र एटिएम ह्याक गरेर हुने डकैती पनि अहिलेको मुख्य चुनौती हो। भिसा कार्ड, मास्टर कार्डहरुको प्रयोगबाट हुने डकैतीलाई अहिले विश्वभर नै चुनौतीका रुपमा हेरिएको छ। नेपालका बैंक तथा वित्तीय क्षेत्रमा हाल सञ्चालनमा रहेका स्मार्ट च्वाइस टेक्नोलोजी (एससिटी), नेसनल पेमेन्ट नेटवर्क (एनपिएन), नेपाल इलेक्ट्रोनिक सिस्टम (नेप्स) भिसा कार्डको स्विचिङ नेपाल इन्भेस्टमेन्ट बैंकले गर्ने गरेको छ भने मास्टर कार्डको स्विचिङ हिमालयन बैंकले गर्ने गरेको छ।
त्यस्तै मास्टर कार्डको नगद व्यवस्थापन भारतको पुनेबाट भइरहेको छ भने भिसाको सिंगापुरबाट भइरहेको छ। नेपालका बैंक तथा वित्तीय संस्थाले जारी गरेका भिसा कार्डहरु भारत र भुटानमा चल्छन्। तर, भिसा कार्डसम्बन्धी सेवा दिने कम्पनी भिसाको कार्यालय नेपालमा छैन। छिमेकी मुलुक भारतमा रहेको कार्यालयले नै नेपालको पनि काम हेर्ने गरेको छ।
सूचना चुहावट र चोरीबाट हुने आर्थिक जोखिम एवं आधिकारिक सेवाको पहुँच रोक्नेलगायत जोखिमबाट बच्न बैंक तथा वित्तीय संस्था सचेत हुन आवश्यक छ। साइबर डकैतीको जोखिम न्यूनीकरण गर्न आवश्यक पेरिमिटर डिफेन्स, एक्सिस कन्ट्रोल, इन्क्रिप्सन, एन्टिभाइरस, फाइरवाल आदिजस्ता प्राविधिक क्षमता वृद्धि र अद्यावधिक गर्नु प्रमुख जिम्मेवारी हुन जान्छ। त्यसैगरी, सूचना आदानप्रदान गर्दा, भुक्तानी आदेश गर्दा एवं सेवा प्रवाह गर्दा अबलम्बन गरेका प्रणालीको सत्यता जाँच गरिनु पनि उत्तिकै आवश्यक छ। कतिपय असम्बन्धित व्यक्ति र स्थानबाट नक्कली तथा झुटो सूचना प्रवाह एवं भुक्तानीको आदेशसमेतबाट बैंकिङ प्रणालीको दुरुपयोग गर्ने गरेको दृष्टान्त विगतदेखि नै देखिँदै आएका छन्।
साइबर डकैतीसँग सम्बन्धित समस्या आउन नदिन नेपालका बैंक तथा वित्तीय संस्थाहरुले ‘इन्टरनेसनल सेयरिङ’को माध्यमबाट पनि काम गर्न सक्छन्। तर, यस विषयमा राष्ट्र बैंकले चासो देखाएको छैन भने बैंक तथा वित्तीय संस्थाहरु आफैं अग्रसर भएर यो काम अगाडि बढाउन सकेका छैनन्। ‘इन्टरनेसनल सेयरिङ’को माध्यमबाट काम गर्दा कुनै बैंक तथा वित्तीय संस्थाको प्रणालीमा केही समस्या देखियो भने त्यसलाई अन्य संस्थासँग पनि जानकारी गराएर समस्या आउन नदिन सकिन्छ। यो नितान्त स्वीफ्ट ह्याकसँग सम्बन्धित समस्याको निराकरणका लागि मात्रै हो।
नेपाललाइभमा प्रकाशित सामग्रीबारे कुनै गुनासो, सूचना तथा सुझाव भए हामीलाई nepallivenews@gmail.com मा पठाउनु होला।