एक दिनमै नेपालका सबै बैङ्क रित्ताउन सक्ने साइबर हमलाको खतरा छ : थ्रेटनिक्स

बैङ्क भन्दासाथ दुःखले कमाएको पैसा सुरक्षित राख्ने ठाउँ भन्ने आम बुझाई छ  । तर सुरक्षित भन्दै आएको बैङ्कमा नै अहिले पैसा असुरक्षित छ भन्दा धेरैलाई अनौठो लाग्न सक्छ । वास्तवमै यो सत्य हो की  बैङ्क तथा वित्तीय संस्थाको सुरक्षा जोखिम बढ्दै  जाँदा निक्षेप कर्ता आजकल गज्जबले निदाउन सकेका छैनन् । शृङ्खलाबद्ध साइबर हमलाका कारण बैङ्कमा राखेको पैसा ग्राहकले थाहै नपाई गायब हुने क्रम बढेको छ । एनआईसी एसियामाथिको स्विफ्ट आक्रमणपछि नेपालका बैङ्क तथा वित्त क्षेत्रमा दर्जन बढी  यस्ता घटना घटेका छन् । तर बैङ्कहरूले यसलाई आफ्नो प्रतिष्ठाको विषयसँग जोडेर घटना लुकाउन जति उद्धत छन् , साइबर सुरक्षा प्रणालीको सुधारमा त्यो भन्दा निक्कै कम चासो दिएको आरोप छ ।

नियामक निकाय नेपाल राष्ट्र बैङ्कले बैङ्किङ प्रणालीमा सुधारका लागी केही वुदाँ निर्देशन दिने गरेको छ । बैङ्कहरूले यसलाई कर्मकाण्डी रूपमा  वार्षिक सुरक्षा अडिट भन्दै पुरा गरेको देखाउने परिपाटी  अझै छ । फलस्वरूप नेपालका बैङ्क तथा वित्तीय क्षेत्रबाट बेलाबेलामा  पैसा ट्रान्सफर गर्ने, खाता ह्याक गर्ने, नक्कली एटिएम कार्ड र पिन बनाएर पैसा झिक्ने जस्ता घटनामा कमी हुनुको साटो निरन्तर दोहोरिँदै गएका छन् ।

अहिले पनि साइबर सुरक्षा चुनौतीको विषयमा नियामक निकाय  समेत उदासीन जस्तै देखिन्छ । तर केही युवाहरूको समूहले भने यो विषयमा गएको दुईवर्षदेखी थ्रेटनिक्सका नामबाट गहिरो खोज र अनुसन्धान थालेका छन् । जसमा नेपालका बैङ्किङ तथा वित्त क्षेत्र मात्रै होइन अन्य सरकारी तथा गैरसरकारी सङ्घसंस्थाहरू साइबर सुरक्षाको दिष्ट्रिकोणले कत्तिको जोखिममा छन् रु किन बैङ्किङ क्षेत्र  ह्याकरको निशानामा परिरहेको छ रु जस्ता विषयको खोज गरी सुधारको लागी सुझाव दिने काम समेत हुदैं आएको छ । अहिले पनि निजी क्षेत्रका केही बैङ्कहरूमा साइबर सुरक्षा कन्सल्टेन्टका रूपमा काम गदै आएको बताउने थ्रेटनिक्सका अनुसन्धानकर्ता सुयश नेपालसँग टिभी अन्नपूर्णले गरेको कुराकानी :

 

तपाइहरूले नेपालको बैङ्क तथा वित्तीय क्षेत्रको साइबर सुरक्षाको अवस्थाबारे अध्ययन गर्न थाल्नुभएको कति भयो ?

हामीले गएका दुई वर्ष देखी नेपालको बैङ्क तथा वित्तीय क्षेत्रको साइबर सुरक्षाको अवस्थाबारे अध्ययन तथा अनुसन्धान गर्दै आएका छौ । लगातार दुई वर्ष यसको विषयमा गहन अध्ययन अनुसन्धान र विश्लेषण गरी यसको प्रतिवेदन समेत सन २०१७ र सन २०१८ भनेर हामीले सार्वजनिक गरिसकेका छौँ । यसबाहेक बैङ्क तथा वित्तीय क्षेत्रको साइबर सुरक्षाको अवस्था कस्तो छ रु के कस्ता विषयमा खास समस्या हुन सक्छ यसको समेत अध्ययन गरेर हामीले सम्बन्धित बैङ्क तथा वित्तीय संस्थालाई सुझाव पनि दिने गरेका छौँ ।

गएका दुईवर्षदेखी गरेको तपाईँहरूको  अध्ययनले नेपाली बैङ्क तथा वित्तीय संस्था कत्तिको जोखिममा रहेको देखाएको छ ?

माथि पनि भने हामीले बैङ्क तथा वित्तीय क्षेत्रबाहेक अन्य सरकारी तथा गैरसरकारी संस्थाहरूको साइबर सुरक्षाको अवस्थाबारे पनि अध्ययन गरेका छौँ । अन्य सरकारी तथा गैरसरकारी संस्थाको तुलनामा बैङ्क तथा वित्तीय क्षेत्रमा साइबर सुरक्षा कमजोर छैन । तर नेपालका बैङ्क तथा वित्तीय क्षेत्रलाई अन्तर्राष्ट्रियकरण तुलना गर्ने हो भने  दयनीय छ भन्दा फरक नपर्ला । जुन कुरा हामीले हाम्रो अध्ययन प्रतिवेदनमा स्पष्टसँग उल्लेख गरेका छौ । तपाई थ्रेटनिक्सले २०१७ र २०१८मा सार्वजनिक गरेको प्रतिवेदनमा यसको अवस्था र सम्भावित चुनौतीबारे स्पष्ट हुनुहुन्छ ।

तपाईँले भनेजस्तै निक्कै जोखिमपूर्ण छ भन्ने आधार के हो ?

हामीले हरेक बैङ्क तथा वित्तीय क्षेत्रको प्राविधिक रूपमा नै अध्ययन गर्ने गरेका छौ । हरेक समस्याका कारण र यसका आधारहरूबारे स्पष्ट उल्लेख गरेका छौँ । जुन आम पब्लिकले समेत अनुमान गर्न सक्छन् त्यो भन्दा गहिराइमा पुगेर यसको स्क्यान गर्ने र त्यसलाई परीक्षण गरेर मात्रै निष्कर्षमा पुग्ने गरेका छौ । जसका लागी म सहित यही क्षेत्रमा लामो समय काम गरेका अनुभवी ८ जनाको टिम अहिले थ्रेटनिक्समा सक्रिय छ ।

के आधारमा बैङ्क तथा वित्तीय क्षेत्रको साइबर सुरक्षा अवस्थाको  विश्लेषण गर्नुभयो ?

हामीले अध्ययनको सिलसिलामा बैङ्कहरूले सार्वजनिक गरेका इमेलको विस्तृत परीक्षण गरेका थियौँ । नेपालका बैङ्कहरूले प्रयोग गर्ने ३५ सयभन्दा धेरै इमेल पहिलेदेखि नै ह्याक भएको हामीले पाएका थियौँ । ती इमेलहरू आफैँमा बैङ्कका गोप्य विवरण त थिएनन्, तर ह्याकहरूले भने ती इमेलमार्फत अरू जानकारी लिन सजिलो हुने  हाम्रो अध्ययनले देखाएको थियो । त्यसमाथि ती ३५ सय इमेलहरूको पासवर्ड साह्रै कमजोर रहेको देखिएको थियो । १, २, ३, ४ अनि ए, बी, सी, डी जस्ता कमजोर पासवर्ड रहेको पनि पाइयो । त्यस्तै हामीले गएको वर्ष नेपालमा अनलाइन बैङ्किङको सुरक्षाबारे पनि अध्ययन गरेका थियौँ । नेपालमा भएका ८ वटा बैङ्कले प्रयोग गर्ने अनलाइन बैङ्किङसँग सम्बन्धित वेबसाइट पनि अति कमजोर रहेको पाइएको छ । त्यसमा हामीले एकदमै निम्न गुणस्तरको सुरक्षा प्रणाली रहेको पाएका थियौँ । बैङ्किङ प्रणालीको सुरक्षामा अपनाउने न्यूनतम मापदण्ड पनि पालना नगरेको देखियो । हामीले  गरेका अध्ययन र यहाँ भइरहेका घटनाले यहाँका बैङ्क, खाता र एटिएम असुरक्षित रहेको देखाएको छ । अहिले काठमाडौँका केही एटिएम बुथबाट लाखौँ रकम ह्याकरले लगेको भन्ने घटनापछि हामीले गरेको अध्ययन र दिएका सुझावहरू सही साबित भइसकेको छ।

तपाइहरूको बुझाइमा साइबर सुरक्षाका सवालमा बैङ्कहरूले के कस्तो लापरबाही  गरेको देखियो त ?

ठ्याक्कै यही भन्दा पनि साइबर सुरक्षाको विषयमा ओभरलमा हेर्दा बैङ्कका सामान्य कर्मचारी देखी आइटी प्रोफेसनलहरूलाई साइबर सुरक्षाको विषयलाई फोकस गर्नुपर्छ भन्ने सोचाईको अभाव देखियो । यसबाहेक बैङ्किङ प्रक्रिया र सञ्चालनमै एकदमै धेरै कमजोरी देखिएको छ । तपाईँलाई थाहा छ होला  साइबर सुरक्षाका सवालमा नेपाल राष्ट्र बैङ्कले पनि खास निर्देशिका बनाएर सर्कुलर गरेको छ । जुन  वर्षको एक पटक हरेक बैक तथा वित्तीय संस्थाले सुरक्षा अडिट अनिवार्य नै गर्नुपर्छ । यो आफैमा पर्याप्त त हुँदै होइन । तर पनि ती मापदण्ड पुरा गर्न पनि धेरै प्रक्रिया पूरा गर्नुपर्छ, केही खर्च पनि लाग्छ । तर बैङ्क तथा वित्तीय संस्थाहरूले आफ्नो संस्थाको सुरक्षाको लागि भन्दा पनि राष्ट्र बैङ्कलाई प्रतिवेदन बुझाउन र आँखामा छारो हाल्ने तरिकाले अडिट गरेका पाइन्छ । तपाईँले हेर्नुभयो भने अझै पनि धेरै वित्तीय संस्थाहरूको सुरक्षा अडिट कर्मकाण्डी खालको छ ।

यसको अर्थ आम निक्षेपकर्ताले बैङ्कमा पैसा राखेका छौ, सुरक्षित छ भनेर ढुक्कले बस्ने अवस्था छैन हो ?

यो बैङ्क र निक्षेपको विषय अलिक संवेदनशील विषय भएकाले यस्तो भनिहाल्नु मलाई उपयुक्त लाग्दैन । हुन त  बैङ्कहरूले यसलाई सके जति सुरक्षित बनाउने हिसाबले अघि बढ्नुभएको छ । यद्यपि यसमा धेरै कमीकमजोरी छन् । सोही कमजोरीलाई आधार बनाएर साइबर आक्रमण गर्नेहरू सक्रिय हुने भएकाले यो विषयमा बैङ्क व्यवस्थापन थप गम्भीर हुनै पर्ने अवस्था अहिले छ । जुन समस्या अहिले छन् यसका लागी खास डिफेन्सिभ लेयर बनाएर अघि बढ्नुपर्छ ।

तपाइहरूले यसो भनिरहँदा बैङ्कहरू साइबर सुरक्षामा आफ्नो संस्थाको चुनौतीबारे बेखबर हुन ?

यस्तो संवेदनशील विषयमा आफैँ चनाखो हुनुपर्ने बैङ्क व्यवस्थापनलाई हामीले तथ्यसहित सुझाव दिँदा  बेखबर भन्ने त हुँदैन । विडम्बना  हामीले दिएको सुझाव उहाँहरूले हेर्नुहुन्छ, तर पालना हुँदैन । प्रविधिमा गर्नुपर्ने सुधार र  प्रविधिले निम्ताउने चुनौतीका विषयमा पूर्व तयारीमा बैङ्क व्यवस्थापन चुकेको देखिन्छ । पछिल्लो समय भएका  धेरैजसो उदाहरण हेर्दा बैङ्क तथा वित्तीय संस्थाको लापरबाही भन्ने स्पष्ट देखिन्छ । पहिलो त अहिलेसम्म सानो समस्या हो, के नै होला र भन्ने सोचले गर्दा ठुला–ठुला समस्या देखिइरहेका छन् । दोस्रो बैङ्किङ क्षेत्रमा किर्ते कागजात, ठगी देखी लिएर साइबर आक्रमणका घटनालाई समाधान खोज्नुको साटो निक्षेप कर्ता बिच्कने डरले गुपचुपमै राखिन्छ । जसले साइबर आक्रमणमा सक्रिय गिरोहलाई बल पुगेको छ ।

बैङ्क तथा वित्तीय क्षेत्रमा साइबर हमलाको सम्भावना सबैभन्दा बढी कुन प्रक्रियामा हुन्छ ?

हामीले गएका तीन ठुला आक्रमणलाई हेर्ने हो भन्ने तीन फरक प्रक्रियामा आक्रमण भएको छ । यस आधारमा खास एउटा सिस्टममा आक्रमण हुन्छ भन्ने हुँदैन । तर यो कम्पोनेन्टमा यस्तो खालको आक्रमण हुन सक्छ र यसको डिफेन्स यस्तो हुन सक्छ भन्ने हामीले सजेस्ट गर्न सक्छौँ । अहिले डिफेन्सिभ मिजरहरु डिभाईका रूपमा  सोच्ने चलन छ ।  डिभाइसले सिस्टम ह्याक बनाउनबाट जोगाउँछ भन्ने छ यो सरासर गलत हो ।  किनकि सिस्टमले ह्याकरलाई डिफेन्स  गर्ने होइन ह्युमन ब्रेनले हो । तर बैङ्कले अहिले पनि  ब्रेनले होइन डिभाइसले काम गर्छ भन्ने सोचेका छन् यही नै अहिलेको जोखिमको कारण हो । हाम्रो विश्लेषण के हो भने सिस्टम होइन साइबर सेक्युरिटीका लागी ह्यूमन  सोर्सफोर्स महत्त्वपूर्ण हो  ।

यसको अर्थ साइबर सेक्युरिटीमा दक्षता भएका नेपालीहरूकै कारण नेपालमा साइबर हमलाको जोखिम बढ्दै छ भन्ने तपाइको भनाई हो ?

ठ्याक्कै त्यो नभनौँ तर पनि अहिले नेपालको ठुलो युवा जनशक्ति साइबर सुरक्षाका जानकार छन् । जसको दक्षतालाई नेपालमा प्रयोग गर्न सकिएको छैन । उनीहरूले अन्तर्राष्ट्रिय ह्याकर समूहलाई सूचना बेचेर गुजारा चलाउने गरेको अवस्था अहिले विद्यमान छ । उनीहरूले नेपालका बैङ्क तथा वित्तीय क्षेत्र मात्रै नभएर अन्य सरकारी कार्यालयका सुरक्षा संवेदनशील मानिने विषयमा लुपहोल खोज्ने र यसको जानकारी विदेशमा सङ्गठित रूपमा यस्तो कार्यमा सक्रिय गिरोहलाई दिने गरी एजेन्टको समेत काम गरिरहेका छन् । उनीहरूको क्षमता यसरी दुरुपयोग भइरहेको अवस्थामा यसको सदुपयोग गर्ने तर्फ राज्यले सोच्नुपर्छ । तपाइहरूले सुन्नुभएपनि होला बैङ्कमा भएका पछिल्ला तीन वटै हमलामा अन्तर्राष्ट्रिय ह्याकरलाई नेपालबाटै यस्तो कार्यमा सक्रिय गिरोह मार्फत सूचना र सहयोग भएका थिए भन्ने प्रमाणित समेत भइसकेको छ ।  यो अझै बढी एटिएम मेसिनमार्फत हुने ठगीमा प्रयोग भइरहेको छ ।

एटिएम मेसिनमार्फत हुने ह्याक भनेको कस्तो हो ?  नेपालमा यो कसरी हुन्छ ?

क्रेडिट कार्ड स्किमर भन्ने एउटा डिभाइसलाई ह्याकरले मेसिनमा जहाँ कार्ड राख्ने ठाउँ हुन्छ त्यो ठाउँमा फिक्स गरेर राखेका हुन्छन् । जसले ग्राहकले आफ्नो कार्ड एटिएम मेसिनमा छिराउँदा उक्त कार्डको कपी बनाउने काम गर्छ  । सँगै मेसिनको छेऊमा क्यामेरासमेत जडान हुन्छ । सोही क्यामेराले कार्डको पिन र कार्ड नम्बर जस्ता विवरणलाई फोटो वा भिडियो को रूपमा रेकर्ड गर्न सक्छ । जसको सहाराले उनीहरूले डुप्लिकेट कार्ड तयार पार्ने र सोही कार्डबाट ग्राहकको पैसा निकाल्ने गर्न सक्छन् । हुन त यो विधिबारे अहिले बैङ्कहरू पनि पूर्ण जानकार छन् । तपाईँलाई सायद सम्झना हुनुपर्छ केही वर्ष अघि नबिल बैङ्कबाट यही विधिमार्फत ह्याकरले पैसा निकालेका थिए ।

साइबर सुरक्षाको सवालमा तपाइहरूले गहन अध्ययन अनुसन्धान गरेर प्रतिवेदन सार्वजनिक गर्नुभयो तर बैङ्कहरूले तपाइहरूको सुझावलाई बेवास्ता गरेका हुन ?

हामीले गरेको अनुसन्धानले उहाँहरूलाई सुझावका रूपमा यी समस्या छन् है भनेर किटान गरेर दिएका थियौँ । यसले उहाँहरूलाई झकझकाएको छ । केहीले त हाम्रो सुझावलाई निक्कै सिरियस लिएर सुधारका उपायहरू समेत खोजिसक्नुभयो । तर हामीले यो जति प्रभावकारी होस् भन्ने अपेक्षा गरेका थियौँ त्यति नभएकै हो । यदि  हाम्रो अपेक्षाअनुसार हाम्रा सुझावलाई बैकहरुमात्रै होइन यसको नियामक निकाय नेपाल राष्ट्र बैङ्कले सिरियस्ली लिएको भए बैङ्किङ फ्रडका घटना निरन्तर सायद नदोहोरिन सक्थे ।

तपाइको विचारमा नेपालका कुन बैङ्कको साइबर सुरक्षा बढी कमजोर छ जस्तो लाग्छ  ?

यो निक्कै संवेदनशील विषय हो यसरी पब्लिकली डिस्कोलज गर्दा यसको प्रत्यक्ष असर बैङ्कका निक्षेपकर्ताहरुमा पर्छ । हामीले कतिपय अनौपचारिक कुराकानीमा यस्तो कुरा बोल्छौ तर  नियामक निकाय नेपाल राष्ट्र बैङ्कले धेरै पटक तपाइहरूले यो भनिदिँदा हामीलाई  बैङ्क जोगाउनै मुस्किल हुन्छ प्लिज नबोल्दिनु होस भनेर अनुरोध गरेको अवस्था समेत छ । यसर्थ कुन बैङ्कको सुरक्षा चुस्त र कुन बैङ्कको कमजोर छ भन्ने कुरा अहिले यसरी क्यामेरामा बोल्ने वा सार्वजनिक रूपमा बोल्दै हिँड्न  मिल्दैन । फेरि पनि भन्छु साइबर सुरक्षाको विषय बैङ्कको सिस्टममा हुँदै होइन यसमा काम गर्ने जनशक्तिको दक्षतामा जोडिएको विषय हो । यो विषयमा नेपालका बैङ्कहरू निक्कै कमजोर छन् यसर्थ सबल बनाउनका लागी सबै बैङ्कले थप मेहनत गर्नुपर्ने छ ।

फेसबुकबाट प्रतिक्रिया
सम्बन्धित समाचार