स्विफ्ट ह्याक : अब के गर्ने ?

साइबर सुरक्षामा पर्याप्त सावधानी अपनाइरहेको दाबी गर्दागर्दै फेरि नेपाली बैंकिङ क्षेत्र स्विफ्ट ह्याकरको सिकार बन्न पुगेको छ । 
हुन त संयोग पनि हुन सक्छ । नेपालको कुनै एउटा बैंक स्विफ्ट ह्याकको सिकार भएको समाचार बाहिर आउनुभन्दा ठीक एक हप्ताअगाडि ताइवानको ‘बैंक फर इस्टर्न इन्टरनेसनल’ को स्विफ्ट प्राणाली ह्याक गरी अनधिकृत रूपमा करिब ६ करोड डलर बराबरको रकम स्थानान्तरण गरेको आरोपमा श्रीलंकामा दुई जना पक्राउ परेको समाचार पनि सँगै आउँदै थियो ।
उक्त घटनामा एकातिर श्रीलंका सरकार प्रभावकारी रूपमा परिचालित भयो र ह्याकरलाई पक्रन सफल भयो भने अर्कातर्फ ताइवानी प्रधानमन्त्री स्वयंले घटनाप्रति गम्भीर चासो व्यक्त गर्दै सम्बन्धित नियमनकारी निकायलगायत अन्य सम्पूर्ण बैंकलाई समेत सुरक्षाका सम्पूर्ण उपायलाई अझ मजबूत बनाउन निर्देशन दिएका थिए ।
गत वर्ष पनि बङ्गलादेशको केन्द्रीय बैंकको अमेरिकास्थित न्युयोर्क फेडमा रहेको खाताबाट अनधिकृत रूपमा रकम स्थानान्तरण भएपछि स्विफ्टको फितलो सुरक्षा व्यवस्था पनि कारक रहेको आरोप लागेको थियो । स्विफ्टमाथि गम्भीर आरोप लाग्दालाग्दै पनि तत्कालीन परिस्थितिमा बंगलादेशी गभर्नरले नै आफ्नो पदबाट हट्नुपरेको थियो ।
करिब १० महिनाअघि रूसको केन्द्रीय बैंकबाट पनि यस्तै प्रकारले ठूलो परिमाणमा रकम ह्याक भएको थियो र त्यसले पनि राष्ट्रव्यापी हलचल मच्चाएको थियो ।
नेपालमा चाहिँ यत्रो ठूलो वित्तीय अपराध हुँदासमेत त्यसले अपेक्षाकृत तरंग पैदा गर्न सकेको छैन । न त यहाँ कसरी यस्तो घटना घट्यो भनेरै आम रूपमा जानकारी दिइएको छ, न त घटनामा संलग्न कुनै व्यक्तिको पहिचान नै हुन सकेको अवस्था छ । 
यदि एनआईसी एसिया बैंकभित्रैको आन्तरिक कमजोर सुरक्षा प्रणालीका कारण त्यस्तो घटना घटेको हो भने पनि त्यो कुरा छानबिन गर्ने निकायले समयमै सार्वजनिक गर्नु जरुरी छ । यसो गर्नाले त्यसबाट शिक्षा लिई अन्य वित्तीय संस्थाहरूले पनि आफ्नो संस्थागत सुशासनलगायत अन्य सुरक्षा प्रबन्धका बारेमा पनि समयमै पुनरावलोकन गर्ने अवसर पाउने थिए । होइन, सो बैंकको स्विफ्टसँगसँगै अन्य प्राविधिक तथा संस्थागत प्रणालीमा कुनै समस्या थिएन भने त त्यो झन् डरलाग्दो अवस्थाको सूचक हो । 
तर, अहिलेसम्म केही नभएजस्तो गरी जसरी सम्बद्ध सबै पक्ष मौन बसेजस्ता देखिएका छन् । यसो हुनुमा आमरूपमा मात्र होइन, देशको नीति–निर्माण तथा नियमनको उच्च तहमा रहेकाहरूमा समेत यस्ता वित्तीय प्रविधिजन्य अपराधप्रतिको गाम्भीर्य–चेतमा भएको कमी प्रमुख कारण हुन सक्छ । अझ रोगको सही पहिचान गरी उपचार गर्नुको साटो रोगलाई नै लुकाउने संस्थागत मनोविज्ञानले पनि भूमिका खेलेको हुन सक्छ । र, यो मौन संस्कृतिको मूल्य भविष्यमा सबैका लागि चर्को पर्न सक्छ ।
हुन त कुनै पनि बैंकको आन्तरिक प्राविधिक सञ्जाल तोडेर मात्र स्विफ्टको सञ्जालमा प्रवेश पाउन त्यत्ति सजिलो हुँदैन । स्विफ्टको सञ्जालमाथि पहुँच पाउन निर्दिष्ट (प्रमाणित) कम्प्युटरमा निकाल्न मिल्ने पेनड्राइभजस्तो उपकरण हालेपछि आधिकारिक व्यक्तिले आफ्नो विवरण तथा गोप्य सङ्केत प्रविष्ट गरेर मात्र स्विफ्टको सञ्जालमा प्रवेश पाउँछ । सामान्य रूपमा हेर्ने हो भने बैंकका सम्बन्धित आधिकारिक कर्मचारीको सहयोगबिना यसरी पहुँच पाउनु असम्भव नै जस्तो देखिन्छ । तर, कथा यतिमै मात्र टुंगिँदैन ।
प्रविधिको विकाससँगै त्यसमा निहित जोखिमहरूलाई न्यूनीकरण गर्ने उपायहरू पनि विकास गर्दै लैजान सकिएन भने आधुनिक प्रविधि सधैं वरदान मात्र हुँदैन भन्ने कुरा स्विफ्टसँग सम्बन्धित यो घटनाले फेरि पुष्टि गरेको छ ।
स्विफ्टले दाबी गरेअनुसार स्विफ्ट प्रणाली ह्याक गर्ने साइबर अपराधीहरूले भने टाढैबाट गलत कम्प्युटर सफ्टवेयरहरू सम्बन्धित बैंकका स्विफ्ट सञ्चालन गरिने कम्प्युटरहरूमा जडान गरी त्यसको लामो अध्ययनपश्चात् मात्र यस्तो दुष्प्रयास गर्ने गरेका छन् । स्विफ्टको विश्वास छ, बैंकको सम्पूर्ण गतिविधिमाथि राम्रोसँग जानकारी भएको र स्विफ्ट तथा अन्य प्राविधिक पक्ष र अवस्थाका बारेमा पनि सूक्ष्मातिसूक्ष्म ज्ञान भएका व्यक्तिहरू यस्ता क्रियाकलापमा संलग्न देखिन्छन् । निःसन्देह त्यस्ता व्यक्ति भनेका कि त स्विफ्ट प्रणाली विकास गर्न संलग्न हुने व्यक्तिहरू नै हुन्छन्, कि त दैनिक त्यस्तो प्रणाली प्रयोग गर्ने सम्बन्धित बैंकका कर्मचारीहरू ।

अब के गर्ने त ?
यस्तो घटना भइसकेपछि सम्बद्ध पक्षहरू अल्पकालीन, मध्यकालीन र दीर्घकालीन योजनाका साथ अगाडि बढ्नुपर्छ । अल्पकालीन रूपमा तत्काल घटनाको प्रकृति अध्ययन गरी निराकरणका उपायहरू अवलम्बन गरिहाल्नुपार्छ । नियमित अल्पकालीन उपायका रूपमा स्विफ्टले बेला–बेलामा पठाउने सेक्युरिटी अपडेट जडान गर्ने तथा स्विफ्ट टर्मिनललाई अन्य सञ्जालबाट नितान्त पृथक् राख्ने कुरामा कुनै पनि प्रकारको सम्झौता गर्नु हँुदैन ।
मध्यकालीन र दीर्घकालीन उपायहरू भने भविष्यको सुरक्षाको लागि हुनुपर्छ ।
यस्ता घटनाबाट पाठ सिकेर छिट्टै सरकारी तवरमा नभए पनि नियामक निकायले सम्पूर्ण बैंक तथा वित्तीय संस्थाहरूको प्राविधिक पक्षको विस्तृत लेखापरीक्षण (कम्प्रिहेन्सिव आईटी अडिट) गराइहाल्नुपर्छ । यदि यस्तो अडिट गर्ने जनशक्ति देशमा उपलब्ध छैनन् भने विदेशबाट सम्बन्धित क्षेत्रका विशेषज्ञ बोलाएर पनि यसो गर्न ढिला गर्नु हुँदैन । त्यसपछि सो लेखा परीक्षणले औंल्याएका कमी–कमजोरीलाई जुनसुकै मूल्यमा भए पनि सुधार गर्नुपर्ने हुन्छ । अबको बैंक तथा वित्तीय क्षेत्र भनेको प्रविधि निर्देशित र प्रविधि सञ्चालित हो भन्ने कुरामा कसैको पनि दुईमत हुन सक्दैन । प्राविधिक पूर्वाधारमा गर्नुपर्ने लगानीमाथि कुनै पनि सम्झौता हुन नसक्ने कुरा सम्बन्धित निकायहरूले सुनिश्चित गराउनुपर्छ । होइन भने लाहाको घरभित्र बसी सलाईको व्यवसाय सञ्चालन गरेर सुरक्षित छु भन्ने भ्रम कसैले पनि नपाले हुन्छ ।
यसबाहेक बैंक तथा वित्तीय संस्थाहरूले आफ्ना कर्मचारीहरूप्रति उचित निगरानी पनि राख्नुपर्ने हुन्छ । वृहद कर्मचारी पहिचान र उनीहरूको नियमित गतिविधि अनुगमन गर्ने संयन्त्रको विकास गर्नु पनि आजको अवश्यकता हो ।
स्विफ्ट, एटिएम, कार्डजस्ता संवेदनशील वित्तीय सञ्चारको माध्यमलाई भरपर्दो र सुरक्षित राख्नका लागि प्राविधिक पूर्वाधारका लागि निर्धारित न्यूनतम मापदण्डहरू पूर्ण रूपमा लागू गरिएको हुनुपर्छ । त्यसका लागि निर्धारित सफ्टवेयर मात्र होइन, तोकिएको हार्डवेयरसमेत मापदण्डभित्रकै हुनुपर्छ । साथै, यस्ता उपकरणहरू इन्टरनेट, इमेललगायत अन्य कुनै पनि प्रकारका सञ्जालबाट पृथक् हुनुपर्छ । नेपाली बैंकमा केही हदसम्म यस्ता कुरामा हुने सम्झौताले तत्कालका लागि केही वित्तीय फाइदा त पुग्छ होला, तर माथि भनिएझैं त्यसका कारण भविष्यमा चुकाउनुपर्ने मूल्य भने अपरिमेय हुन सक्छ ।
नेपालमा बैंक तथा वित्तीय संस्थाले मात्र होइन, अन्य कम्पनी तथा संघसंस्थाले पनि अपेक्षित मात्रामा साइबर सुरक्षामा लगानी गरेको पाइँदैन । यसका अतिरिक्त कम्प्युटर उपकरण मात्र होइन, सफ्टवेयर तथा नेटवर्क पनि स्तरीय मात्र प्रयोग गर्ने गरी संस्थागत संस्कारको विकास गर्नु जरुरी छ । र, सबैभन्दा महŒवपूर्ण कुरा, आफ्ना कर्मचारीलाई सधैं दक्ष र अद्यावधिक बनाइराख्न आवश्यक पर्ने तालिमलगायत अन्य व्यावसायिक विकासका कार्यक्रमहरूतर्फ पनि पर्याप्त लगानी गर्नुपर्ने देखिन्छ ।
यति भइसकेपछि ‘साइबर बिमा’ गरेर बैंकहरूले आफ्नो सुरक्षा कवचलाई थप मजबुत बनाई वित्तीय जोखिमलाई व्यापक मात्रामा न्यूनीकरण गर्न सक्छन् ।
स्विफ्ट आफंैले पनि आफ्ना न्यूनतम मापदण्डहरूको परिपालना भए–नभएको निरीक्षण गरेर मापदण्ड पूरा नगर्ने सदस्य बैंकलाई आफ्नो सदस्यता नदिने भए तापनि प्रारम्भमा गरिएका सर्तहरूको निरन्तरको अनुपालना गर्नेतर्फ भने बैंकहरू त्यति संवेदनशील नभएका हुन सक्छन् । त्यसैले नेपाल राष्ट्र बैंकजस्तो नियामक निकाय तथा बैंकर्स संघजस्तो बैंकिङ क्षेत्रको छाता संगठनले साइबर सुरक्षामा वित्तीय संस्थाहरूको अनुपालनाको अवस्थाबारे नियमित अनुगमन र निगरानी राख्ने प्रणालीको विकास गरी त्यसको प्रभावकारी कार्यान्वयनको सुनिश्चितताका लागि थप प्रभावकारी अग्रसरताको खाँचो देखिन्छ ।  — प्रकाश ‘निस्पृह’