नेपालको वित्तीय प्रणालीको फायरवाल सुरक्षा यति कमजोर छ कि कुन दिन ठूलो मालवेयर आक्रमणमा पर्ने हुन् भन्ने जोखिम बढेको छ ।
गजेन्द्र बुढाथोकी
चिनियाँ ह्याकरहरूले एकै रातमा नेपालको बैंकिङ प्रणालीमा प्रवेश गरि झन्डै साढे ३ करोड रुपैयाँ अवैध रूपमा झिकेपछि फेरि एक पटक यहाँको बैंकिङ प्रणालीको प्रविधिजन्य सुरक्षाको मुद्दा गहन रुपमा उठेको छ ।
चिनियाँ ह्याकरहरूले नक्कली भिसा कार्डको प्रयोग गरेर भिसा नेटवर्क र नेपाल इलेक्ट्रिकल पेमेन्ट सिस्टम (नेप्स)को प्रणाली ह्याक गरी नेपालबाट १ करोड ७६ लाख र भारतबाट १ करोड भारु निकालेको प्रहरीको प्रारम्भिक अनुसन्धानले देखाएको छ । चिनियाँ ह्याकरहरूले नबिल, नेपाल एसबीआई र नेपाल इन्भेस्टमेन्टलगायतका बैंकका एटीएम मेसिनबाट रकम निकालेका थिए । यसअघि एनआईसी एसिया बैंकबाट स्विफ्ट ह्याकिङ गरि ४७ करोड ५७ लाख रुपैयाँ चोरी (ह्याक गरि ट्रान्सफर) भएको घटना पुरानो हुन नपाउँदै एटीएम ह्याक हुनुले नेपालको बैंकिङ प्रणालीमा रहेको प्रविधिजन्य संवेदनशीलता उजगार भएको छ ।
भदौ १३ गते नेपाल प्रवेश गरेका र १६ गते फर्कने तयारीमा रहेका चिनियाँ ह्याकरहरूले शनिबारको दिन पारेर एकै रातमा ठूलो अनुपातमा एटीएमबाट प्रविधिजन्य लुटपाट मच्चाएको जुन डरलाग्दो विवरण बाहिर आएको छ, यसले केही संवेदनशील प्रश्नहरू पनि उब्जाएका छन् ।
पहिलो, ती ह्याकरहरूका साथबाट बरामद भएको नेपाली बैंकहरूका नक्कली एटीएम कार्ड कसरी आए? ह्याकरहरूबाट प्रभु, एनआइसी एसिया, ग्लोबल आइएमई, सनराइज, जनता र सिद्धार्थका नक्कली एटीएम कार्डहरू बरामद भएका छन् । धन्न मान्नुपर्छ, प्रभु बैंकका प्रमुख सञ्चालन अधिकृतले एटीएम प्रणालीमा अस्वभाविक गतिविधि बढ्नासाथ प्रहरीलाई बेलैमा खबर गरिदिएकाले अझ ठूलो लुटपाट हुन पाएन र चिनियाँ ह्याकरहरू नेपालबाट उम्किनुपूर्व नै प्रहरीले प्रक्राउ गर्न सफल भयो ।
जुन किसिमले चिनियाँ ह्याकरहरू नेपाल आउनासाथ रातारात सक्रिय भएर एटीएम लुटपाट मच्चाए, त्यसमा नेपालको बैंकिङ र एटीएम प्रणालीबारे नजिकबाट जानकार रहेका व्यक्तिहरूको संलग्नता नभइ यत्रो ठूलो लुटपाट सम्भव नै हुँदैन ।
नेपालबाट लुटपाट गरिएको नेपाली मुद्रा नेपाली भूभागभन्दा बाहिर चल्ने वा सटही हुने सम्भावना नै हुँदैन । एटीएमबाट लुटपाट गरिएको रकम (भारतबाट लुटिएको भनिएको १ करोड भारुसहित) यहीँ अमेरिकी डलर वा चिनियाँ युआनमा परिणत गरि लाने सम्भावना बढी भएकाले यसमा नेपाली पक्षको सहभागिता अनिवार्य रहन्छ । ह्याकरहरूको टोली नै पक्राउ परिसकेकाले यसबारे विस्तृत अनुसन्धान होला नै ।
यद्यपि, अहिले देशका सचेत बैंकिङ ग्राहकहरूमा आफ्नो निक्षेप सुरक्षाबारे प्रश्न उठ्न थालिसकेको छ । नेपाल राष्ट्र बैंक, बैंकरहरूको सेन्डिगेट, बैंकर्स एसोसियसन र एटीएम प्रणाली व्यवस्थापक नेप्सले कुनै पनि निक्षेपकर्ताको पैसा हिनामिना नभएको, निक्षेप सुरक्षित रहेको भनेर आश्वस्त तुल्याउने प्रयास त गरेका छन्, तर त्यतिमात्र पर्याप्त भने छैन ।
बैंकिङ क्षेत्रलाई सुरुबाट नै प्रविधिमा आश्रित सेवा मानिन्छ । प्रारम्भिक दिनहरूमा टेलेक्समा आधारित सूचना प्रणालीमा आधारित बैंकिङ प्रणालीले इन्टरनेट सेवाको विकास भएदेखि नै त्यसको पूर्ण उपयोग गर्दै आएका छन् । नेपालका प्रमुख वाणिज्य बैंकहरूले इन्टरनेटमा आधारित बैंकिङ (इबैंकिङ)को सेवा विस्तार गरिसकेका छन् भने आफ्नै अन्तरबैंक कारोबार, एटीएमलगायतका सेवामा सूचना तथा सञ्चार प्रविधिमै व्यापक निर्भरता छ ।
केही बैंकहरूले आफ्नै भिस्याट राखेर आन्तरिक सूचना प्रणाली कायम गरेका भए पनि अधिकांश बैंकहरूले सार्वजनिक लिज लाइन उपयोग गरि ‘लोकल एरिया नेटवर्क’ (ल्यान)सेवामार्फत अन्तर शाखा कारोबार गर्दै आएका छन् । कतिसम्म संवेदनशील अवस्था छ भने लागत धेरै पर्छ भनेर एकल इन्टरनेट सेवा प्रदायक (आईएसपी)मा निर्भर हुँदा कुनै समय केही गरि तिनमा समस्या आउँदा दिनभरि नै कारोबार स्थगनको अवस्थामा रहनुपर्ने अवस्था कायम छ । जुन कुरा सुबिसु केबल नेटवर्कमा भएको भयावह आगलागीका बेला प्रमाणित नै भयो ।
नेपाल राष्ट्र बैंकको विवरणअनुसार गत आर्थिक वर्ष २०७५/७६ को अन्त्यसम्ममा देशभरि खुलेका कुल २ करोड ७८ लाख ६६ हजारमध्ये ३१.६२ प्रतिशत बचत खाता, ४५.५१ प्रतिशत मुद्दती खाता, १२.४४ प्रतिशत कल डिपोजिट र ९.२९ प्रतिशत चल्ती खाता छ । यसबाहेक अहिले मोबाइल बैंकिङका ग्राहक ८३ लाख ४७ हजार १४७, इन्टरनेट बैंकिङका ग्राहक ९ लाख १७ हजार छन् । बैंकहरूद्वारा जारी एटीएम कार्ड अर्थात् डेबिट कार्ड लिनेहरूको संख्या ६७ लाख ८ हजार ५२१, क्रेडिट कार्ड लिनेहरूको संख्या १ लाख २३ हजार १४६ र प्रिपेड कार्ड लिनेहरूको संख्या ६७ हजार छ । यी सबै विवरणलाई औसत मानेर बचत खातालाई नै सही अर्थमा ग्राहक मान्दा करिब ९० लाख बैंकिङ ग्राहकमा अहिले अन्योल छाएको छ ।
एटीएम ह्याकिङ प्रकरणभन्दा अगाडि पनि नक्कली एटीएम कार्ड बनाएर पैसा झिक्न लागेको अवस्था गत वर्ष तीन जना भारतीयलाई ठमेलबाट पक्राउ गरेको थियो भने त्यसपूर्व टर्की, बुल्गेरिया, रोमानियालगायतका मुलुकका व्यक्तिहरूले नेपालका विभिन्न स्थानमा यस्तो नक्कली कार्डबाट पिनकोड ह्याक गरेर पैसा झिकेका प्रकरणहरू पनि सार्वजनिक भइसकेका छन् ।
यस कारण छ जोखिम
नेपालको बैंकिङ प्रणालीले प्रयोग गर्दै आएको परम्परागत प्रविधि र कर्मचारीहरूलाई प्रविधि प्रयोगमा स्तरोन्नति गर्नका गर्न नसकेका कारण यहाँ प्रविधिजन्य जोखिम बढेको केही समयअघि नेसनल बैंकिङ ट्रेनिङ इन्स्टिच्युट (एनबीटीआई) र फिन्लेटेकको संयुक्त अध्ययनले देखाएको थियो । फिन्लेटेकले मूलतः सम्पत्ति शुद्धीकरणसँग सम्बन्धित रहेर अध्ययन गरेको भए पनि त्यसले प्रविधिको उपयोगमा कमजोर अवस्था देखाउँछ ।
सूचना प्रविधिको उपयोगका कुरा गर्दा अधिकांश बैंकहरूका उच्च व्यवस्थापकहरू आफ्नो बैंकमा सूचना प्रविधि सुरक्षा राष्ट्र बैंकले तोकेको मापदण्डभित्रै रहेको दाबी गर्ने गर्छन् । सतही रूपमा हेर्ने हो भने उनीहरूको दाबीलाई नकार्न सकिने अवस्था पनि छैन । प्रायः वाणिज्य बैंकले आफ्नो मुख्यालयमा सूचना प्रविधि शाखा राखेका छन् । तर, वास्तविकतामा तिनको सूचना प्रविधि व्यवस्थापन प्रणाली निकै कमजोर छ ।
बैंकिङ प्रणालीकै सूचना प्रविधि क्षेत्रमा जानकारहरूका अनुसार अधिकांश बैंकहरूका नगद कारोबार गर्ने र त्यसको रेकर्ड राख्नेदेखि प्रायः सबै कम्प्युटर (पीसी)हरू र एटीएम मेसिनका अपरेटिङ सिस्टम पूरै चोरीका विन्डोज सफ्टवेयरमा आधारित भने कोर बैंकिङ सफ्टवेयरचाहिँ पाइरेटेड ओराकल प्रणालीमा चलाइँदै आइएको छ । एसेम्बल गरेका र सफ्टवेयर अपडेट नगरिएका थोत्रा कम्प्युटरमा भरमा चलाइरहिएका बैंकिङ कारोबार कति सुरक्षित होला? यस्तै, हार्डवेयर डिभाइसहरूमा अधिकांश बिक्रेता वा व्यापारीले राखेकै ‘एडमिन पासवर्ड’मा चलाइरहेको भेटिन्छ ।
सुरु इन्टल गर्दा लाग्ने केही हजार र वार्षिक नवीकरणमा तिर्नुपर्ने २–४ हजारका लोभमा बैंकहरूले पाइरेटेड सफ्टवेयरयुक्त कम्प्युटर प्रणाली चलाएर जुन जोखिम मोलिरहेका छन्, त्यसले स्विफ्टदेखि नेप्स प्रणालीसम्मको ह्याकिङसम्मलाई आउ भनेर रातो कार्पेट बिच्छ्याइरहेको अनुभूति हुन्छ ।
अर्को जोखिम हो, कमजोर फायरवाल प्रणाली । विश्वव्यापी रूपमै पछिल्लो समयमा ‘र्यान्सम वेयर’ को आक्रमण यति डरालाग्दो ढंगले बढेर गएको छ कि विश्वभरिकै प्रमुख सूचना प्रविधि सुरक्षा प्रणालीमाथि नै गम्भीर खतरा उत्पन्न भएको छ । यी प्रविधिका महाडाकुहरूले हलुका र कमजोर किसिमका सूचना प्रविधि सुरक्षा भित्तो (फायरवाल) भएका संस्थाहरू पहिल्याएर त्यसमा मालवेयर आक्रमण गरेर सबै फायल र डाटाहरूमा नियन्त्रण लिन्छन्, जसलाई फिर्ता पाउन बिटक्वाइनजस्ता अभौतिक मुद्रामा करोडौं डलरको फिरौती रकम माग गर्ने गर्छन् ।
नेपालका केही साना संस्थाहरू यस्तो र्यान्समवेयर आक्रमणको सिकार भइसकेका छन् । एक वाणिज्य बैंकको सूचना प्रविधिमा कार्यरत अधिकारीले डर मान्दै हालै पंक्तिकारसँगको अनौपचारिक संवादमा भने– ‘राम्रो खालको फायरवाल राखौं भन्यो, उच्च व्यवस्थापन पैसाको राशि सुन्दैमा हुँदैन, अलि सस्तोमस्तो खाले राखौं न भनेर पन्छिन् । कुन दिन नेपालका बैंक ठूलै र्यान्समवेयर आक्रमणमा पर्छन् भन्न सकिन्न ।’
नेपालको वित्तीय प्रणालीको फायरवाल सुरक्षा यति कमजोर छ कि कुन दिन ठूलो मालवेयर आक्रमणमा पर्ने हुन् भन्ने जोखिम बढेको छ । हालैका फरक फरक घटनाक्रमहरूले पनि यस कुरालाई क्रमसः पुष्टि गर्दै लगेको छ ।
अर्को संवेदनशील विषय भनेको मोबाइल बैंकिङका सफ्टवेयर र त्यसका लागि आवश्यक एप्लिकेसन निर्माणका लागि अहिले एउटैमात्र भेन्डर, प्रधानमन्त्रीका सूचना प्रविधि विज्ञको कम्पनीमा आश्रित रहनु परेको अवस्था छ । उक्त कम्पनीको डाटा गोपनियताको अवस्था के छ? उसले उपयोग गरिरहेको सर्भर कहाँ छ? धेरै वटा बैंकले एकै भेन्डरबाट एप्लिकेसन बनाउँदा त्यसमा गोपनियता चुहिने खतरा बढी रहन्छ । यस कुरालाई बैंकरहरूले आँखा चिम्लिएका छन् ।
यस्तै प्रविधिजन्य जोखिम बढेपछि संयुक्त राष्ट्र संघीय इन्टरनेसन टेलिकम्युनिकेसन युनियन (आईटीयू)ले नेपाल, बंगलादेश, अफगानिस्तान, भुटान र माल्दिभ्स)मा कम्प्युटर इन्सिडेन्ट रेस्पोन्स टिम (सीआईआरटी) गठन गर्न सुझाव दिएको थियो । नेपालमा हाल सूचना प्रविधि विभागका महानिर्देकको नेतृत्वमा यस्तो टिम गठन भइसकेको छ, जसमा राष्ट्र बैंकका प्रतिनिधि पनि सदस्य रहने प्रावधान छ । तर, विडम्बना एटीएम ह्याकिङजस्तो प्रविधिजन्य यत्रो संवेदशील घटना हुँदा पनि नेपालको राष्ट्रिय रेस्पोन्स टिम भने पूरै निष्क्रिय बसेको छ ।
अहिलेको प्रकरण त केबल ब्युँझ है, अझ धेरै संवेदनशील अवस्था छ भनेर ब्युँझाउँने घण्टीमात्रै हो । यसबाट चेतेर प्रविधिजन्य सुरक्षा बलियो बनाउनका लागि नेपाल राष्ट्र बैंकले सूचना प्रविधिका क्षेत्रमा क्रियाशील राष्ट्रिय जनशक्तिहरूसमेतको परिचालन गर्नका लागि विशेष कार्ययोजना बनाउनका लागि बैंकहरूलाई निर्देशन दिने बेला भइसकेको छ । बैंकहरूको सेन्डिकेट बैंकर एसोसियनले ब्याजदरमा एकाधिकार कायम गर्नमात्र आफ्नो क्रियाशीलता देखाउने होइन, सूचना प्रविधिजन्य बढ्दो जोखिमलाई न्यूनीकरणका लागि समेत तत्कालै साझा रणनीति बनाउनु आवश्यक छ ।
बिडम्बनाको कुरा के छ भने जबजब नेपालको वित्तीय प्रणालीमा साइबर सुरक्षाको प्रश्नचिह्न उठ्छ, त्यतिबेला विदेशबाट विज्ञ झिकाउनु पर्ने अवस्था छ । एनआईसी एसियाको सिफ्ट ह्याकिङ प्रकरणमा बैंक व्यवस्थापनले केपीएमजी इन्डियालाई डिजिटल इभेस्टिगेसनको जिम्मेवारी दिएको थियो । के नेपालमा साइबर सुरक्षा विज्ञ नभएका हुन् वा तिनलाई नपत्याइएको हो भन्ने विषय पनि गहन रुपमा उठेको छ ।
कारोबार दैनिक १६ भाद्र २०७६