काठमाडौं– अघिल्लो वर्ष १ कात्तिक २०७४ मा भएको एनआइसी एसिया बैंक ह्याक प्रकरण बैंक कर्मचारी तथा व्यवस्थापन समूहको चरम लापरबाहीको उपज भएको तथ्य फेला परेको छ। ह्याकिङपछि स्वयं एनआइसी एसिया बैंक आफैंले तयार पार्न लगाएको रिपोर्टमा समेत बैंकको साइबर सुरक्षा अत्यन्तै कमजोर र लापरबाहीपूर्ण रहेको कुरा उल्लेख छ।
ह्याक प्रकरणपछि नेपाल प्रहरीको केन्द्रीय अनुसन्धान ब्युरो (सिआइबी) लाई बाइपास गरी राष्ट्र बैंकको मिलोमतोमा घटनाको जाँचबुझ गर्न र आफू अनुकूल प्रतिवेदन तयार पार्न बैंक व्यवस्थापनको नेतृत्वले भारतबाट केपीएमजी कम्पनीको टिम झिकाएको थियो।
केपीएमजीले राष्ट्र बैंकमार्फत ढिलो गरी सिआइबीलाई बुझाएको घटना विवरणमा बैंक कर्मचारी र व्यवस्थापनलाई चोख्याए पनि बैंकको साइबर सुरक्षा भने निम्छरो देखाएको छ।
‘त्यतिबेला अनुसन्धान हुँदा बैंक व्यवस्थापनका उच्च पदस्थ तथा कर्मचारीलाई अनुसन्धानको प्रहरी लेन्समा पारिएन, भारतबाट ल्याइएको निजी कम्पनीका व्यक्तिले बैंकका कर्मचारीसँग प्राविधिक विषयमा कुराकानी मात्र गरे,' बैंकका एक कर्मचारीले भने, ‘जनताको पैसा राख्ने बैंकमा कतिसम्म लापरबाही हुने रहेछ भन्ने तथ्य केपीएमजीको रिपोर्ट हेरे पुग्छ।’
सिआइबीले प्राप्त गरेको सोही विवरणका आधारमा विदेशी बैंकमा रहेका ८ देशका १३ खातावालालाई विपक्षी बनाई पाटन उच्च अदालतमा सरकारवादी मुद्दा दर्ता भइसकेको छ। अदालतबाट नेपाल लाइभलाई प्राप्त ६९ पृष्ठको अभियोगपत्रमा बैंकका उच्च कर्मचारीहरु मात्र होइन आइटी विभागमा कार्यरतहरुका भनाइमा समेत बैंक व्यवस्थापन साइबर सुरक्षाप्रति चुस्त र चनाखो नरहेको स्पष्ट हुन्छ।
अभियोगपत्रको ११ र १२ पृष्ठमा संलग्न केपीएमजी प्रालि, भारतले तयार पारेको ह्याक सम्बन्धी फरेन्सिक रिपोर्ट अन्तर्गत ‘अट्याक टाइमलाइन’मा ह्याकअघि बैंकको साइबर संरचनामा देखिएका खराब संकेत र पटकपटक साइवर आक्रमणका शृंखला प्रस्तुत गरिएको छ। एउटा प्रयोगकर्ताको ‘कि लगर’ साटफेर गर्दै प्रयोग गर्ने मात्र होइन कम्प्युटरमा 'मालवेयर'देखि 'स्मोक स्क्रिन' आक्रमणसम्म भएको विवरण टाइमलाइनमा उल्लेख छ।
‘टाइमलाइन’मा यतिसम्म उल्लेख छ कि, बैंक ह्याकिङ हुनु केही दिनअघि नै बैंकमा प्रयोग हुने सबै इमेलहरुमा आक्रमण भएको थियो।
केपीएमजीको रिपोर्टको यो अंश हामीले एक कम्प्युटर इन्जिनियर दीपक शर्मालाई देखाएका थियौं। टाइमलाइन हेरिसकेपछि उनले भने, ‘यो हेर्दा बैंक कर्मचारी र व्यवस्थापनलाई पब्लिकको पैसाको माया छ भन्ने पटक्कै देखिँदैन। बैंकमा यतिसम्मको लापरबाही हुने रहेछ भन्ने थाहा पाउँदा दुःख लाग्यो।’
शर्माका विचारमा विश्वासका आधारमा जनताको पैसा राख्ने ठाउँमा जुन प्रकारको लापरबाही देखियो, अनुसन्धान त्यहीँबाट सुरु हुनुपर्ने थियो, तर भएनछ।
बैंक ह्याक हुँदा मोहन रन्जित, प्रधुम्न नेपाली र प्रतिना प्रधानको युजर आइडी र पासवर्ड प्रयोग गरी ३१ वटा स्विफ्ट म्यासेजमार्फत बैंकको ४६ करोड ५६ लाख ५० हजार ५ सय ५ रुपैयाँ रकमान्तर भएको देखिन्छ। अभियोगपत्रमा समाविष्ट निजहरुका बयानमा समेत बैंकमा रहेको साइबर प्रणालीमा पटकपटक आक्रमण भएको र आफूहरुले सम्बन्धित पक्षलाई जानकारी दिने गरेको उल्लेख छ।
आइटी विभागमा कार्यरत त्यतिबेलाका अन्य कर्मचारीले पनि स्विफ्टबारे आफूहरुलाई पर्याप्त तालिम नभएको बताउनुले वित्तीय सुरक्षामा बैंक व्यवस्थापन कतिसम्म उदासीन रहेछ भन्ने स्पष्ट हुन्छ। अभियोगपत्रमा राखिएका विवरणहरु पढ्दा, बैंकको साइबर प्रणालीमा १ गते नै समस्या भइसकेपछि ढिलो गरी दोस्रो दिन मात्र साइबर सुरक्षामा ध्यान दिनुले पनि लापरबाही प्रकट गर्छ।
‘बैंक व्यवस्थापनले साइबर सुरक्षाबारे आइटी विभागलाई बेला-बेलामा तालिम दिने, साइबर सुरक्षाको मौजुदा अवस्थाबारे लेखाजोखा गरिरहने र सम्बन्धित विज्ञहरुबाट सूचना र प्रविधिको अडिट गराइरहनुपर्छ, त्यो पनि देखिएन,’ इन्जिनियर शर्मा भन्छन्, ‘बैंक व्यवस्थापनको लापरबाही भनेको यही हो।’
बैंक ह्याक हुने बेलाका एक्टिङ सिइओ तथा अहिलेका डेपुटी सिइओ सुधीरकुमार पाण्डेले आफ्नो बयान विवरणमा 'बैंकका कर्मचारीका लागि ‘फिक्स सेड्युलमा स्विफ्टको तालिम हुने गरेको छैन’ भनेका छन्। नेपालमा स्विफ्ट सर्भर सञ्चालनको तालिम दिने कुनै संस्थाहरु नै छैनन् भन्ने तर्क उनको छ। बयानमा भनिएको छ, ‘विदेशी संस्थाहरुले नेपालमा कहिलेकाहीँ मात्र तालिम सञ्चालन गर्छन्।’
अभियोगपत्रमा समाविष्ट तत्कालीन एक्टिङ सिइओ रोशनकुमार न्यौपानेको बयानमा ‘अपरेसनल विभागहरुको रिपोर्टिङ सहायक प्रमुख कार्यकारी अधिकृत सुधीर पाण्डेले लिने गरेको’ उल्लेख गर्दै स्विफ्ट पासवर्डको सुरक्षा तथा गोपनीयताको प्राथमिक जिम्मेवारी सम्बन्धित कर्मचारीकै हुन्छ’ भनिएको छ।
हालै मात्रै बैंक बोर्डले सिइओमा पदोन्नति गरेका न्यौपानेले स्विकारेका छन्, ‘सामान्यतया कम्युटर खरिद गर्दा नै विन्डोज अपरेटिङ सिस्टमको लाइसेन्ससमेत लिने गरिन्छ। मेरो जानकारीमा भएसम्म कहिलेकाहीँ क्रयाक्ड विन्डोज अपरेटिङ सिस्टम पनि प्रयोग भएको हुन सक्छ।’
वित्तीय कारोबार गर्ने बैंक जस्तो संवेदनशील संस्थामा ‘क्रयाक्ड विन्डोज अपरेटिङ सिस्टम’ प्रयोग हुनु भनेको ‘आऊ मलाई साइबर आक्रमण गर’ भन्नु जस्तै रहेको तर्क जानकारहरुको छ।
‘यहाँ समावेश गरिएका जे जस्ता ल्याप्सिसहरु छन्, यी चानचुन प्रकृतिका होइनन्। सरासर बैंकले आफ्नो साइबर सुरक्षाप्रति लापरबाही गरेको देखिन्छ,’ साइबर कानुनका ज्ञाता अधिवक्ता बाबुराम अर्याल भन्छन्, ‘यो प्रकृतिको मुद्दा साइबर कानुनबाट पनि अघि बढ्नुपर्थ्यो। तर बैंकिङ कसुरमा मात्र अघि बढाइएको रहेछ।’
राष्ट्र बैंकका डेपुटी गभर्नर चिन्तामणि सिवाकोटी पनि बैंकहरुले क्रयाक्ड विन्डोज प्रयोग गर्नु नहुने बताउँछन्। 'बैंक जस्तो संवेदनशील संस्थामा पाइरेटेड अपरेटिङ सिस्टम घातक हुन्छ,' उनले भने, 'बैंकिङ सुरक्षा सम्बन्धी राष्ट्र बैंकको आइटी गाइडलाइन छ। सबैले यो फलो गर्नुपर्छ। तर धेरै बैंकले यो फलो गरेको पाइँदैन।'
एनआइसी एसिया बैंक ह्याकिङको अनुसन्धान जुन तौरतरिकाबाट हुनुपर्ने थियो त्यो हुन सकेको देखिएन। अदादतमा रहेको मुद्दाको अभियोगपत्रको निष्कर्षमा नै कर्मचारी तथा व्यवस्थापनको निष्ठामा प्रश्न गरिएको छ। भनिएको छ, 'यो घटनाले नेपालको समग्र बैंकिङ क्षेत्रको साइबर सेक्युरिटी र बैंकिङ कर्मचारीको निष्ठामा समेत प्रश्न खडा गरेको छ।’
त्यसो भए स्वाभाविक रुपमा प्रश्न उठ्छ, बैंकको व्यवस्थापन र कर्मचारीलाई अनुसन्धानको दायरामा किन ल्याइएन?
नेपाललाइभमा प्रकाशित सामग्रीबारे कुनै गुनासो,
सूचना तथा सुझाव भए हामीलाई nepallivenews@gmail.com मा
पठाउनु होला।
