प्रविधिजन्य जोखिममा नेपालको बैंकिङ «

प्रविधिजन्य जोखिममा नेपालको बैंकिङ

नेपालको वित्तीय प्रणालीको फायरवाल सुरक्षा यति कमजोर छ कि कुन दिन ठूलो मालवेयर आक्रमणमा पर्ने हुन् भन्ने जोखिम बढेको छ

चिनियाँ ह्याकरहरूले एकै रातमा नेपालको बैंकिङ प्रणालीमा प्रवेश गरी झन्डै साढे ३ करोड रुपैयाँ अवैध रूपमा झिकेपछि फेरि एकपटक यहाँको बैंकिङ प्रणालीको प्रविधिजन्य सुरक्षाको मुद्दा गहन रूपमा उठेको छ । चिनियाँ ह्याकरहरूले नक्कली भिसा कार्डको प्रयोग गरेर भिसा नेटवर्क र नेपाल इलेक्ट्रिकल पेमेन्ट सिस्टम (नेप्स)को प्रणाली ह्याक गरी नेपालबाट १ करोड ७६ लाख र भारतबाट १ करोड भारु निकालेको प्रहरीको प्रारम्भिक अनुसन्धानले देखाएको छ । चिनियाँ ह्याकरहरूले नबिल, नेपाल एसबीआई र नेपाल इन्भेस्टमेन्टलगायतका बैंकका एटीएम मेसिनबाट रकम निकालेका थिए । यसअघि एनआईसी एसिया बैंकबाट स्विफ्ट ह्याकिङ गरी ४७ करोड ५७ लाख रुपैयाँ चोरी (ह्याक गरी ट्रान्सफर) भएको घटना पुरानो हुन नपाउँदै एटीएम ह्याक हुनुले नेपालको बैंकिङ प्रणालीमा रहेको प्रविधिजन्य संवेदनशीलता उजगार भएको छ ।
भदौ १३ गते नेपाल प्रवेश गरेका र १६ गते फर्कने तयारीमा रहेका चिनियाँ ह्याकरहरूले शनिबारको दिन पारेर एकै रातमा ठूलो अनुपातमा एटीएमबाट प्रविधिजन्य लुटपाट मच्चाएको जुन डरलाग्दो विवरण बाहिर आएको छ, यसले केही संवेदनशील प्रश्नहरू पनि उब्जाएका छन् । पहिलो, ती ह्याकरहरूका साथबाट बरामद भएको नेपाली बैंकहरूका नक्कली एटीएम कार्ड कसरी आए ? ह्याकरहरूबाट प्रभु, एनआईसी एसिया, ग्लोबल आईएमई, सनराइज, जनता र सिद्धार्थका नक्कली एटीएम कार्डहरू बरामद भएका छन् । धन्न मान्नुपर्छ, प्रभु बैंकका प्रमुख सञ्चालन अधिकृतले एटीएम प्रणालीमा अस्वाभाविक गतिविधि बढ्नासाथ प्रहरीलाई बेलैमा खबर गरिदिएकाले अझ ठूलो लुटपाट हुन पाएन र चिनियाँ ह्याकरहरू नेपालबाट उम्किनुपूर्व नै प्रहरीले प्रक्राउ गर्न सफल भयो । जुन किसिमले चिनियाँ ह्याकरहरू नेपाल आउनासाथ रातारात सक्रिय भएर एटीएम लुटपाट मच्चाए, त्यसमा नेपालको बैंकिङ र एटीएम प्रणालीबारे नजिकबाट जानकार रहेका व्यक्तिहरूको संलग्नता नभई यत्रो ठूलो लुटपाट सम्भव नै हुँदैन ।
नेपालबाट लुटपाट गरिएको नेपाली मुद्रा नेपाली भूभागभन्दा बाहिर चल्ने वा सटही हुने सम्भावना नै हुँदैन । एटीएमबाट लुटपाट गरिएको रकम (भारतबाट लुटिएको भनिएको १ करोड भारुसहित) यहीँ अमेरिकी डलर वा चिनियाँ युआनमा परिणत गरी लाने सम्भावना बढी भएकाले यसमा नेपाली पक्षको सहभागिता अनिवार्य रहन्छ । ह्याकरहरूको टोली नै पक्राउ परिसकेकाले यसबारे विस्तृत अनुसन्धान होला नै ।
यद्यपि, अहिले देशका सचेत बैंकिङ ग्राहकहरूमा आफ्नो निक्षेप सुरक्षाबारे प्रश्न उठ्न थालिसकेको छ । नेपाल राष्ट्र बैंक, बैंकरहरूको सेन्डिगेट, बैंकर्स एसोसिएसन र एटीएम प्रणाली व्यवस्थापक नेप्सले कुनै पनि निक्षेपकर्ताको पैसा हिनामिना नभएको, निक्षेप सुरक्षित रहेको भनेर आश्वस्त तुल्याउने प्रयास त गरेका छन्, तर त्यतिमात्र पर्याप्त भने छैन ।
बैंकिङ क्षेत्रलाई सुरुबाट नै प्रविधिमा आश्रित सेवा मानिन्छ । प्रारम्भिक दिनहरूमा टेलेक्समा आधारित सूचना प्रणालीमा आधारित बैंकिङ प्रणालीले इन्टरनेट सेवाको विकास भएदेखि नै त्यसको पूर्ण उपयोग गर्दै आएका छन् । नेपालका प्रमुख वाणिज्य बैंकहरूले इन्टरनेटमा आधारित बैंकिङ (इबैंकिङ)को सेवा विस्तार गरिसकेका छन् भने आफ्नै अन्तरबैंक कारोबार, एटीएमलगायतका सेवामा सूचना तथा सञ्चार प्रविधिमै व्यापक निर्भरता छ । केही बैंकहरूले आफ्नै भिस्याट राखेर आन्तरिक सूचना प्रणाली कायम गरेका भए पनि अधिकांश बैंकले सार्वजनिक लिज लाइन उपयोग गरी ‘लोकल एरिया नेटवर्क’ (ल्यान)सेवामार्फत अन्तर शाखा कारोबार गर्दै आएका छन् । कतिसम्म संवेदनशील अवस्था छ भने लागत धेरै पर्छ भनेर एकल इन्टरनेट सेवा प्रदायक (आईएसपी)मा निर्भर हुँदा कुनै समय केही गरी तिनमा समस्या आउँदा दिनभरि नै कारोबार स्थगनको अवस्थामा रहनुपर्ने अवस्था कायम छ । जुन कुरा सुबिसु केबल नेटवर्कमा भएको भयावह आगलागीका बेला प्रमाणित नै भयो ।
नेपाल राष्ट्र बैंकको विवरणअनुसार गत आर्थिक वर्ष २०७५-७६ को अन्त्यसम्ममा देशभरि खुलेका कुल २ करोड ७८ लाख ६६ हजारमध्ये ३१.६२ प्रतिशत बचत खाता, ४५.५१ प्रतिशत मुद्दती खाता, १२.४४ प्रतिशत कल डिपोजिट र ९.२९ प्रतिशत चल्ती खाता छ । यसबाहेक अहिले मोबाइल बैंकिङका ग्राहक ८३ लाख ४७ हजार १ सय ४७, इन्टरनेट बैंकिङका ग्राहक ९ लाख १७ हजार छन् । बैंकहरूद्वारा जारी एटीएम कार्ड अर्थात् डेबिट कार्ड लिनेहरूको संख्या ६७ लाख ८ हजार ५ सय २१, क्रेडिट कार्ड लिनेहरूको संख्या १ लाख २३ हजार १ सय ४६ र प्रिपेड कार्ड लिनेहरूको संख्या ६७ हजार छ । यी सबै विवरणलाई औसत मानेर बचत खातालाई नै सही अर्थमा ग्राहक मान्दा करिब ९० लाख बैंकिङ ग्राहकमा अहिले अन्योल छाएको छ ।
एटीएम ह्याकिङ प्रकरणभन्दा अगाडि पनि नक्कली एटीएम कार्ड बनाएर पैसा झिक्न लागेको अवस्था गत वर्ष तीन जना भारतीयलाई ठमेलबाट पक्राउ गरेको थियो भने त्यसपूर्व टर्की, बुल्गेरिया, रोमानियालगायतका मुलुकका व्यक्तिहरूले नेपालका विभिन्न स्थानमा यस्तो नक्कली कार्डबाट पिनकोड ह्याक गरेर पैसा झिकेका प्रकरणहरू पनि सार्वजनिक भइसकेका छन् ।

यस कारण छ जोखिम
नेपालको बैंकिङ प्रणालीले प्रयोग गर्दै आएको परम्परागत प्रविधि र कर्मचारीहरूलाई प्रविधि प्रयोगमा स्तरोन्नति गर्नका गर्न नसकेका कारण यहाँ प्रविधिजन्य जोखिम बढेको केही समयअघि नेसनल बैंकिङ ट्रेनिङ इन्स्टिच्युट (एनबीटीआई) र फिन्लेटेकको संयुक्त अध्ययनले देखाएको थियो । फिन्लेटेकले मूलतः सम्पत्ति शुद्धीकरणसँग सम्बन्धित रहेर अध्ययन गरेको भए पनि त्यसले प्रविधिको उपयोगमा कमजोर अवस्था देखाउँछ ।
सूचना–प्रविधिको उपयोगका कुरा गर्दा अधिकांश बैंकहरूका उच्च व्यवस्थापकहरू आफ्नो बैंकमा सूचना प्रविधि सुरक्षा राष्ट्र बैंकले तोकेको मापदण्डभित्रै रहेको दाबी गर्ने गर्छन् । सतही रूपमा हेर्ने हो भने उनीहरूको दाबीलाई नकार्न सकिने अवस्था पनि छैन । प्रायः वाणिज्य बैंकले आफ्नो मुख्यालयमा सूचना प्रविधि शाखा राखेका छन् । तर, वास्तविकतामा तिनको सूचना प्रविधि व्यवस्थापन प्रणाली निकै कमजोर छ ।
बैंकिङ प्रणालीकै सूचना प्रविधि क्षेत्रमा जानकारहरूका अनुसार अधिकांश बैंकका नगद कारोबार गर्ने र त्यसको रेकर्ड राख्नेदेखि प्रायः सबै कम्प्युटर (पीसी)हरू र एटीएम मेसिनका अपरेटिङ सिस्टम पूरै चोरीका विन्डोज सफ्टवेयरमा आधारित भने कोर बैंकिङ सफ्टवेयरचाहिँ पाइरेटेड ओराकल प्रणालीमा चलाइँदै आइएको छ । एसेम्बल गरेका र सफ्टवेयर अपडेट नगरिएका थोत्रा कम्प्युटरमा भरमा चलाइरहिएका बैंकिङ कारोबार कति सुरक्षित होला ? यस्तै, हार्डवेयर डिभाइसहरूमा अधिकांश बिक्रेता वा व्यापारीले राखेकै ‘एडमिन पासवर्ड’मा चलाइरहेको भेटिन्छ । सुरु इन्टल गर्दा लाग्ने केही हजार र वार्षिक नवीकरणमा तिर्नुपर्ने २–४ हजारका लोभमा बैंकहरूले पाइरेटेड सफ्टवेयरयुक्त कम्प्युटर प्रणाली चलाएर जुन जोखिम मोलिरहेका छन्, त्यसले स्विफ्टदेखि नेप्स प्रणालीसम्मको ह्याकिङसम्मलाई आउ भनेर रातो कार्पेट बिच्छ्याइरहेको अनुभूति हुन्छ ।
अर्को जोखिम हो, कमजोर फायरवाल प्रणाली । विश्वव्यापी रूपमै पछिल्लो समयमा ‘¥यान्सम वेयर’ को आक्रमण यति डरालाग्दो ढंगले बढेर गएको छ कि विश्वभरिकै प्रमुख सूचना प्रविधि सुरक्षा प्रणालीमाथि नै गम्भीर खतरा उत्पन्न भएको छ । यी प्रविधिका महाडाकुहरूले हलुका र कमजोर किसिमका सूचना प्रविधि सुरक्षा भित्तो (फायरवाल) भएका संस्थाहरू पहिल्याएर त्यसमा मालवेयर आक्रमण गरेर सबै फायल र डाटाहरूमा नियन्त्रण लिन्छन्, जसलाई फिर्ता पाउन बिटक्वाइनजस्ता अभौतिक मुद्रामा करोडौं डलरको फिरौती रकम माग गर्ने गर्छन् । नेपालका केही साना संस्थाहरू यस्तो ¥यान्समवेयर आक्रमणको सिकार भइसकेका छन् । एक वाणिज्य बैंकको सूचना प्रविधिमा कार्यरत अधिकारीले डर मान्दै हालै पंक्तिकारसँगको अनौपचारिक संवादमा भने– ‘राम्रो खालको फायरवाल राखौं भन्यो, उच्च व्यवस्थापन पैसाको राशि सुन्दैमा हुँदैन, अलि सस्तोमस्तो खाले राखौं न भनेर पन्छिन् । कुन दिन नेपालका बैंक ठूलै ¥यान्समवेयर आक्रमणमा पर्छन् भन्न सकिन्न ।’
अर्को संवेदनशील विषय भनेको मोबाइल बैंकिङका सफ्टवेयर र त्यसका लागि आवश्यक एप्लिकेसन निर्माणका लागि अहिले एउटैमात्र भेन्डर, प्रधानमन्त्रीका सूचना प्रविधि विज्ञको कम्पनीमा आश्रित रहनुपरेको अवस्था छ । उक्त कम्पनीको डाटा गोपनियताको अवस्था के छ ? उसले उपयोग गरिरहेको सर्भर कहाँ छ ? धेरैवटा बैंकले एकै भेन्डरबाट एप्लिकेसन बनाउँदा त्यसमा गोपनीयता चुहिने खतरा बढी रहन्छ । यस कुरालाई बैंकरहरूले आँखा चिम्लिएका छन् ।
यस्तै प्रविधिजन्य जोखिम बढेपछि संयुक्त राष्ट्रसंघीय इन्टरनेसन टेलिकम्युनिकेसन युनियन (आईटीयू)ले नेपाल, बंगलादेश, अफगानिस्तान, भुटान र माल्दिभ्स)मा कम्प्युटर इन्सिडेन्ट रेस्पोन्स टिम (सीआईआरटी) गठन गर्न सुझाव दिएको थियो । नेपालमा हाल सूचना प्रविधि विभागका महानिर्देकको नेतृत्वमा यस्तो टिम गठन भइसकेको छ, जसमा राष्ट्र बैंकका प्रतिनिधि पनि सदस्य रहने प्रावधान छ । तर, विडम्बना एटीएम ह्याकिङजस्तो प्रविधिजन्य यत्रो संवेदशील घटना हुँदा पनि नेपालको राष्ट्रिय रेस्पोन्स टिम भने पूरै निष्क्रिय बसेको छ । अहिलेको प्रकरण त केवल ब्युँझ है, अझ धेरै संवेदनशील अवस्था छ भनेर ब्युँझाउने घण्टीमात्रै हो । यसबाट चेतेर प्रविधिजन्य सुरक्षा बलियो बनाउनका लागि नेपाल राष्ट्र बैंकले सूचना–प्रविधिका क्षेत्रमा क्रियाशील राष्ट्रिय जनशक्तिहरूसमेतको परिचालन गर्नका लागि विशेष कार्ययोजना बनाउनका लागि बैंकहरूलाई निर्देशन दिने बेला भइसकेको छ । बैंकहरूको सेन्डिकेट बैंकर एसोसियनले ब्याजदरमा एकाधिकार कायम गर्नमात्र आफ्नो क्रियाशीलता देखाउने होइन, सूचना प्रविधिजन्य बढ्दो जोखिमलाई न्यूनीकरणका लागिसमेत तत्कालै साझा रणनीति बनाउनु आवश्यक छ ।
बिडम्बनाको कुरा के छ भने जबजब नेपालको वित्तीय प्रणालीमा साइबर सुरक्षाको प्रश्नचिह्न उठ्छ, त्यतिबेला विदेशबाट विज्ञ झिकाउनुपर्ने अवस्था छ । एनआईसी एसियाको सिफ्ट ह्याकिङ प्रकरणमा बैंक व्यवस्थापनले केपीएमजी इन्डियालाई डिजिटल इभेस्टिगेसनको जिम्मेवारी दिएको थियो । के नेपालमा साइबर सुरक्षा विज्ञ नभएका हुन् वा तिनलाई नपत्याइएको हो भन्ने विषय पनि गहन रुपमा उठेको छ ।

प्रतिक्रिया दिनुहोस्