काठमाडौं । बुधबार राति एउटा अमुक बैंकका आईटी कर्मचारीहरुको ग्रुप च्याटमा राष्ट्र बैंक सहित १५ बैंकका सुरक्षा प्रणालीहरु ह्याक गर्ने भन्ने सन्देश लेखिएको एउटा म्यासेज आयो । उक्त म्यासेजमा सम्पूर्ण बैंकको सेवा ४८ घण्टाभित्र बन्द गर्न चेतावनी दिइएको थियो ।
उक्त तस्बिरमा नेपाल राष्ट्र बैंकका प्रवक्ता देवकुमार ढकाल, सहप्रवक्ता नारायणप्रसाद पोखरेल तथा नबिल बैंकका सीईओ अनिल केशरी शाहको नाममा पठाइएको इमेलको समेत स्क्रिनसट थियो । यद्यपि पछि तीनै जना अधिकारीहरुले उक्त स्क्रिनसट फर्जी भएको र आफूहरुले कुनै किसमिको इमेल नपाएको जानकारी दिए ।
तर, बिहीबार बिहान राष्ट्र बैंकका प्रवक्ता देवकुमार ढकाललाई विदेशी नम्बरबाट एउटा छोटो कल आयो । जसमा कसैले ‘युअर सिस्टम ह्याज बिन ह्याक्ड’ भनेर फोन काट्यो । बुधबार साँझदेखि यो खबरले समग्र बैंकिङ क्षेत्र र सेवाग्राही नागरिकहरुमा ठूलै हलचल पैदा गर्यो । राष्ट्र बैंकले पनि सबै बैंकहरुलाई आफ्नो प्रणाली परीक्षण गर्न निर्देशन जारी गर्यो । बैंकहरुले पनि आफैं प्रोएक्टिभ भएर सम्पूर्ण बैंकिङ प्रणालीहरुको कडाइका साथ परीक्षण गरे ।
‘हामीले सबै एक्सेस र अनावश्यक पोर्टहरुलाई ब्लक गर्यौं,’ सानिमा बैंकका विद्युतीय भुक्तानी प्रणाली प्रमुख बिक्रम श्रेष्ठले भने, ‘सुरक्षा पोर्टहरु इन्ट्याक्ट छन् की छैनन्, कमजोरी छिराउने ठाउँ छन् कि छैनन् सबै कुरा हिजो हेरिसक्यौं तर त्यस्तो केही पनि देखाएको छैन ।’
‘विहान कार्यालय खोल्ने समयभन्दा अगाडी नै सूक्ष्म रुपमा हेरियो र सबै सुरक्षित छन् भन्ने कुरा आएका छन्,’ राष्ट्र बैंकका सहायक प्रवक्ता नारायणप्रसाद पोखरेलले भने ।
विभिन्न बैंक तथा वित्तीय संस्थाहरुलाई भुक्तानी क्लियरेन्स, आईपीएस तथा आर्टिजीएस सेवा दिने नेपाल क्लियरिङ हाउसले पनि आफ्नो सिस्टममा फायरवाल राख्नुका साथै नियन्त्रण पूर्वाधार, जोखिम व्यवस्था सबै कुराहरुको प्रवन्ध मिलाएर निरीक्षण गरिरहेको सीईओ निलेशमान सिंह प्रधानले बताए ।
तर, यस प्रकारले खुला रुपमा आएको चेतावनी फर्जी पनि हुनसक्ने सरोकारवालाहरु बताउँछन् । यद्यपि सानिमाका भुक्तानी प्रणाली प्रमुख बिक्रम श्रेष्ठ भने यस्ता चेतावनीलाई सकारात्मक रुपमा लिन्छन् ।
‘यो वास्तवमा बैंकहरुलाई हरघडी सुरक्षित रहनुपर्छ भनि आएको अलर्ट हो । यसले त हामीलाई थप सिकाएको छ’ उनले भने ।
उक्त मेल आधिकारिक हो वा फर्जी हो भन्ने विषयमा अनुसन्धानका लागि राष्ट्र बैंकले हाल साइबर ब्युरोसँग पनि पत्रचार गरी परामर्श लिइरहेको ब्युरोका एसएसपी अर्थात् वरिष्ठ उपरीक्षक नविन्द अर्यालले बताए ।
नेपालको बैंकिङ प्रणालीमा देखिएको यस प्रकारको चेतावनी र हमलाका घटना नयाँ होइनन् । यसअघि २०१७ को तिहारमा मा एनआईसी एसिया बैंकको नेटवर्क ह्याक भई ठूलो रकम चोरी भयो । २०१९ मा पुन मेगा बैंकको एटीएम बुथबाट ह्याकरहरुले ठूलो परिमाणमा पैसा चोरी गरेँ ।
यस्तै केही साता अघि मात्र एक सेवा निवृत्त बेलायत सैनिकले बेलायतको लोयड बैंकको मिति गुज्रिएको एटीएम डेबिट कार्ड प्रयोग गरी सिद्धार्थ बैंकको एटीएम बुथबाट करिब ४६ लाख चार दिनमा निकाले ।
जीवनभरको पसिनाको कमाई सुरक्षा प्रत्याभूतिका लागि सञ्चय गर्ने नागरिक र अर्बौं लगानी गर्ने बैंकिङ क्षेत्रका लागि हाल यो ठूलो चुनौतीको विषय बनेको छ । पछिल्लो समय देशभित्र तथा बाहिरका विभिन्न हानिकारक समूहहरुले नेपालको विभिन्न क्षेत्रहरुलाई आफ्नो निशाना बनाइरहेका छन् । डेटा संग्रह गरी बसेका कम्पनीहरुमाथि पर्ने दीर्घकालीन प्रभावको तुलनामा बैंकिङ प्रणाली तत्काल देखिने प्रभाव निकै खतरनाक र संवेदनशील हुन्छन् ।
अझ पछिल्लो समय त प्रविधिको प्रयोग र डिजिटल रुपान्तरणको बाटोमा लागेका संस्थामध्ये बैंक अग्रणी स्थानमा आइरहेका छन् । हरेक सेवा अनलाइनबाट उपलब्ध भइरहेका छन् । यसैले यस्ता सम्भावित जोखिम र समस्याहरुबाट टाढै रहन बैंकहरु स्मार्ट र प्रणालीलाई पनि बलियो बनाउँदै लगिरहेको बैंकहरु बताउँछन् ।
कति सुरक्षित छन् त हाम्रा बैंकका नेटवर्क र सिस्टम
बैंकहरुले कहिल्यै पनि हामी सामान्य मानिसहरुले प्रयोग गर्ने जस्तो इन्टरनेट प्रयोग गर्दैनन् । उनीहरुको आफ्नै इन्ट्रानेट अर्थात् आन्तरिक नेटवर्क हुन्छ । जहाँ बाहिरका मान्छेहरुले अरु नेटवर्कमा जसरी प्रवेश नै पाउन सक्दैनन् । बैंकको आफ्नो नेटवर्कभन्दा बाहिर गएर उसकै कर्मचारीले पनि नेटवर्कको एक्सेस पाउन सक्दैनन् ।
एनआईसी एसिया बैंकको ह्याक प्रकरणपछि राष्ट्र बैंकले हरेक बैंकमा आईएसओ अर्थात् आन्तरिक सुरक्षा अधिकृत राख्न अनिवार्य गरेको छ । त्यसअघि बैंकहरुसँग यस प्रकारको मावन सुरक्षा संसाधन थिएन ।
हाल हरेक बैंकसँग आईएसओ छन् । कतिपाय बैंकले त जुनियर तथा सिनियर सुरक्षा एनालिस्ट गरी तीन तहसम्मका सुरक्षा अधिकृत पनि राख्ने गरेका छन् । यसबाहेक नियमककै नीतिका कारण बैंकहरुले थर्ड पार्टी साइबर सुरक्षा कम्पनीहरुसँग पनि बाहिय अडिट गराइरहेको बताउँछन् ।
सतप्रतिशत सुरक्षा प्रत्याभूति नभए पनि निषेधाज्ञा पछि सुरक्षा मापदण्डहरु बैंकले पूरा गरिरहेको श्रेष्ठ बताउँछन् । अहिले बैंकहरुले साइबर सुरक्षालाई प्राथमिकता दिई बजेट बढाएर नयाँ उपकरणहरु खरिद गर्न थालेको साइबर सुरक्षा सेवा प्रदायक कम्पनी सिनिकल टेक्नोलोजीका संस्थापक नरेश लाम्गादे बताउँछन्, ‘अहिले त बैंकहरु निकै स्मार्ट बन्न थालेका छन्,’ लाम्गादे भन्छन्, ‘हब्स सर्भर, इन्ट्रनेट, भीपीएनको प्रयोग, एसआइईएम अथात् सेक्युरिटी म्यानेजमेन्ट तथा इभेन्ट म्यानेजमेन्ट सिस्टम, फायरवाल तथा आईडीएस अर्थात् इन्ट्रुजन डिटेक्सन सिस्टम, आदि प्रणालीहरु सुरक्षाका लागि खरिद गरी प्रयोग गरिरहेका छन् ।’
फायरवालले बैंकको नेटवर्क भित्र आउने र बाहिर जाने सबै किसिमका ट्राफिकहरुमाथि निरीक्षण गर्छ । यदि कुनै शंकास्पद र अनाधिकृत ट्राफिक प्रवेश गर्न चाहेको खण्डमा यसले पहिचान गरी त्यसलाई रोक्ने काम गर्दछ ।
यसबाहेक आईडीएस अर्थात् इन्ट्रुजन डिटेक्सन सिस्टमले नेटवर्कमा कोही छिर्न खोज्दैछन् भने ती गतिविधिहरुलाई पहिचान गरी सुरक्षा अधिकारीहरुलाई खबर दिने काम गर्दछ । यस्तै एसआइईएम अलिक अत्याधुनिक प्रविधि हो ।
नाम नखुलाउने शर्तमा एक बैंकका सुरक्षा अधिकारी भन्छन्, ‘सामान्यतय बैंक ह्याक गर्न चाहाने ह्याकरहरुले कहिल्यै पनि एकैपटक सिस्टममा प्रवेश गरी ह्याक गर्दैनन् । आफ्नो गतिविधि ट्रयाक नहोस् भनेर दैनिक एकदमै कम गतिविधि गर्छन् । तर, एसआइईएम मसिन लर्निङ सफ्टवेयर तथा हार्डवेयरको शक्तिशाली समायोजन हो । ह्याकरले जति नै सूक्ष्म गतिविधि गरेपनि यसले ती सबै कुराहरुको रेकर्ड राख्छ । जस्तो सर्भर एक्सेस गर्न खोजेको, पेज नेभिगेसन गरेको, वेबसाइट हेरेको । यसरी सबै कुराको लग बनाईसकेपछि हामी आन्तरिकरुपमा त्यसको समिक्षा गरी निक्र्यौल गर्छौं ।’
तर, कहिलेँकाही बैंककै आन्तरिक सिस्टममा पनि ‘जरो डे भल्नरेबिलिटी’ अर्थात् कसैले पत्ता नलगाएको विश्वव्यापी र खतरनाक कमि कमजोरी हुन सक्छन् जसलाई बेलैमा पहिचान गर्न नसकेको अवस्थामा यसले निकै बिकराल रुप लिनसक्छन् । यस्ता कमजोरीको प्रयोग गरी बैंकको नेटवर्कमा एक्सेस लिन सुरक्षा प्रणालीहरु पनि खासै प्रभावकारी हुन्नन् । तर यो विरलो घटना हो ।
फिसिङ तथा रेकनिसेन्सको खतरा
सञ्चारमाध्यम तथा सामाजिक सञ्जालहरुमा बैंकको सुरक्षा प्रणाली जसरी ध्वस्त भएको बताइन्छ त्यसमा थोरै पनि सत्य नभएको सरोकारवालाहरु बताउँछन् । ‘बैंकले आफ्नो आन्तरिक नेटवर्क जति बलियो बनाए पनि ह्याक हुने विभिन्न तरिका हुन्छन्,’ ‘बैंकका न्यून तहका कर्मचारी रिसेप्सनिष्ट, ट्रेलरहरु जसलाई साइबर सुरक्षाको कुनै ज्ञान नै हुँदैन, उनीहरु पनि बैंकको आन्तरिक इन्ट्रानेट नेटवर्कभित्रै हुन्छन्,’ साइबर सुरक्षा अधिकारी लाम्गादे अगाडि भन्छन्,‘आजभोली ह्याकरहरुले सर्वाधिक प्रयोग गर्ने फिसिङ तथा सोसल इन्जिनियरिङ ह्याक हुन्छ ।
कुनै कर्मचारीलाई उसको म्यासेज बक्समा कुनै लोभ लाग्दो सन्देश पठाएर उसले त्यसलाई क्लिक गरी डाउनलोड मात्र गरेको खण्डमा पनि त्यसबाट सिङ्गो इन्ट्रानेट सिस्टममै मेलियिस कुरा डाउनलोड भई टाढा बसेका ह्याकरहरुको नियन्त्रणमा नेटवर्क आउँछ ।’ यसबारे बेलैमा सबैलाई सुसूचित गर्नुपर्छ ।
ह्याकिङमा वास्तवमा एउटा मनोविज्ञानको पाटो पनि हुन्छ । यसैले उनीहरुले सधै मानिसहरुलाई रुची लाग्ने कुराहरुको प्रयोग गरी जालमा पार्ने काम गर्दछन् ।
यसबाहेक ह्याकरहरु कहिलेकाँही आवश्यक सूचना तथा कमि कमजोरी जुटाउन बैंकसम्म भौतिक भ्रमण पनि गर्ने गर्छन् जसलाई साइबर सुरक्षाको क्षेत्रमा रेकनिसेन्स भनिन्छ । यस्तो बेला उनीहरुले संरचना तथा कर्मचारीहरु पहिचान गरी महत्पूर्ण जानकारीहरु पनि हासिल गर्न सक्ने खतरा रहेको ती गोप्य स्रोतले बताए ।
बैंकका सेवाग्राहीकै हेल्चक्राईका कारण पनि कहिलेकाँही पैसा अनाधिकृतरुपमा चोरी तथा अकाउन्ट ह्याक हुने गरेका छन् । अहिले सबैको हातमा मोबाइल बैंकको सुविधा छ । तर यसमा दर्ता हुने मोबाइल नम्बरको महत्व धेरैलाई थाहा हुँदैन । मोबाइल नम्बर अन्य कसैको हात परेको वा मोबाइल बैकिङ एप अन्य कोही खराब व्यक्तिको हात परेको अवस्थामा उसले नम्बरकै प्रयोग गरी लगइन क्रेडेन्शिल डिटेल जेनेरेट गरी आफ्नै जसरी प्रयोग गर्न सक्छन् ।
यस्ता मावनीय त्रूटिबाट हुने चोरीको मामिलामा बैंकको सुरक्षा प्रणालीको खासै ठूलो सम्बन्ध हुँदैन । तर कहिलेँकाही मोबाइल बैकिङमा अनाधिकृत पहुँच पुर्याई पैसा चोरी गर्दा त्यसको सिमा कट्दा समेत बैंकले कुनै प्रतिक्रिया नदिएका दृष्टान्तहरु छन् । यस्तो बेला उजूरी गर्दा बैंकले तदारुकताका साथ एक्सन नलिने कमिकमजोरी पनि देख्दै आइएको छ । यसैले बैंकले आफ्ना प्रयोगकर्ताहरुलाई निरन्तर केवाईसी अपडेट गर्न पनि आह्वान गर्दछ ।
बढ्दो इन्टरओपारिबिलिटीको खतरा
केही साताअघि भएको सिदार्थ बैंकको घटनामा काठमाडौं प्रहरी परिसर टेकुको प्रारम्भिक अनुसन्धानले घटनामा नेप्सको गल्ती देखिएको बताएको थियो । विभिन्न बैंकहरुलाई विद्युतीय भुक्तानीका लागि स्विच प्रदान गर्दै आईरहेको नेप्सले अनाधिकृत एटीएमले बुथमा मागेको पैसाको अर्डरलाई लोएडमा नपठाई सिदार्थ बैंकतिर पठाएको भन्ने पनि अनुमानहरु गरिएका छन् ।
यद्यपि हालसम्म ठोस प्रतिवेदन आईसकेको छैन । तर, अनाधिकृत कार्डमा त्यो पनि सिमाभन्दा बाहिर गएर पैसा दिने सिदार्थ बैंकको सुरक्षा प्रणालीप्रति पनि प्रहरी आशंकाको दृष्टिले हेर्छन् ।
यसअघि मेगा बैंकको घटनामा पनि नेप्सको गल्ती देखिए पछि धेरै बैंकहरुले नेप्सको सेवा परित्याग गरी एनआईबीएल बैंकको स्विच सेवा लिएको थियो भने नबिल जस्ता बैंकहरुको हाल आफ्नै सेवा छन् ।
यसरी डिजिटाइजेसन तिब्ररुपमा अगाडी बढिरहँदा समग्र विद्युतीय वित्तीय प्रणालीमा धेरै पार्टीहरुको संलग्न छन् । भिजा जस्ता अन्तर्राष्ट्र्रिय कम्पनीदेखि, एनसीएचएल, मोबाइल वालेट कम्पनी, पीएसपी, वालेट, बैंक आदी । यी सबै संस्थाहरुबीच एउटा अन्तरआबद्धता प्रणाली विकास भएको हुन्छ । एउटा मर्चेन्ट नेटवर्कमा मात्र खराबी आई दिए यसले समग्र च्यानललाई नै प्रभावित पार्न सक्छ ।
‘प्लेयरहरु बढ्दै जाँदा वित्तिय प्रणाली थप सहज र सुलभ भइरहेको छ । साथै खतरा पनि बढ्दो छ, तर सबै सरोकारवालाहरुले सुरक्षामा लगानी पारस्परिकरुपमा बढाउनुपर्छ । तबमात्र यो सिस्टम सुरक्षित हुन्छ ।’ नेपाल क्लियरिङ हाउसका एनसीएचएलका सीईओ प्रधान बताउँछन् ।
वालेट कम्पनीमा पनि छन् समस्या
वालेटमा कम्पनीहरुमा पनि समस्या रहेको साइबर सुरक्षा अधिकारीहरु बताउँछन् । सबैभन्दा धेरै दखिने समस्या भनेको वालेट लोड हुँदा गरिने टेम्परिङ हो । बैंकबाट मान्छेले सय रुपैयाँ लोड गर्छ तर बीच बाटोमो डेटा ट्राफिकलाई मोडिफाइ गरी हजार रुपैयाँ बनाइ दिइरहेको हुन्छ ।
यस्तै ई-कमर्स साइटहरुमा पनि सामान खरिद गर्दा हजार रुपैयाँको सामानलाई टेम्परिङ गरी एक रुपैयाँमा सामान खरिद गरिरहेका हुन्छन् । यसबाहेक कति वालेटहरुमा त अझै अर्कोको कारोवार विवरण देख्न सकिने कमजोरी पनि रहिआएको बताइन्छ । धेरै त हैन केहीँ नयाँमा हाल यी समस्या व्याप्त रहेको ती गोप्य स्रोतले बताए ।
लगानी र सफ्टवेयर
बैंकहरुले पछिल्लो समय नेटवर्क सिस्टमलाई बलियो बनाउन काम गरिरहे पनि लगानी भने तुलनात्मकरुपमा अझै कम नै रहेको जानकारहरु बताउँछन् । बैंकको आन्तरिक सुरक्षा प्रणाली हेर्ने एकदमै सिमित मानव संसाधन हुन्छन् जबकी यसलाई २४ गुणा ७ घण्टै सुरक्षा निरीक्षणको आवश्यक पर्दछ । केही सुधार भईरहने पनि ढुक्क रहन सक्ने अवस्थामा नभएको उनीहरु बताउँछन् ।
यसबाहेक बैंकले प्रयोग गर्ने विभिन्न कोर नेटवर्क तथा प्रयोजनमा काम लाग्ने सफ्टवेयरहरु निर्माण गर्दा डेभलपरहरुले अझै पनि आफ्नो निजी दृष्टिकोणले मात्र काम गर्छन् । विदेशी कम्पनीमा जस्तो प्रोडक्ट र त्यसको सुरक्षामा तादम्यता हुदैँनन् ।
‘उनीहरु खाली प्राइभेट नेटवर्कभित्र मात्र काम गर्ने हो भनेर खासै वास्ता गर्दैनन् । तर बैंका सफ्टवेयर तथा सिस्टमले कहिलेकाँही प्राइभेट बाहेक पब्लिक नेटवर्क तथा सर्भरसँग पनि सम्बन्ध स्थापित गर्नुपर्ने हुन्छ ।’ उनले भने । बैंकहरुले आफ्नो पब्लिक एक्सेसको वेबसाइटलाई सधै आन्तरिक नेटवर्क तथा सर्भरबाट अलग्गाएर निर्माण गर्न साइबर अधिकारीहरु सुझाव दिन्छन् ।
