काठमाडौंः सोह्रखुट्टेकी मेलिना अमात्य आजभोलि एटिमबाट पैसा निकाल्दा पहिले जस्तो विश्वस्त हुन सक्दिनन्। एटिएमबाट केही विदेशीले अनाधिकृत रुपमा पैसा निकाले भन्ने समाचार पढेपछि उनलाई आफ्नो बैंक खाताबाट पनि कसैले पैसा निकालिदिन्छ कि भन्ने चिन्ता लागेको छ।
त्यो भनेर उनले एटिएमको प्रयोग गर्नै छाडेकी भने होइनन्। भन्छिन्, ‘डराएर एटिएम नै चलाउन छोडेको होइन, तर पहिले जस्तो कन्फिडेन्ट छैन।’
तर चितवनका अमित बास्तोलालाई भने एटिएम ह्याकिङको घटनाले खासै प्रभाव पारेको छैन।
त्रिभुवन विश्वविद्यालयबाट स्नातकोत्तरको अध्ययन गरिरहेका उनी भन्छन्, ‘कसैले मेरो खाताबाट अनाधिकृत रुपमा पैसा निकाल्छ भने त्यसमा मेरो के दोष? त्यसको जिम्मेवारी त बैंकले लिइहाल्छ नि, मैले किन चिन्ता लिन पर्यो र? मेरो पैसाको सुरक्षा हुन्छ भनेर नै त मैले बैंक खातामा पैसा राखेको हो।’
छ दिन अघिको एटिएमबाट पैसा चोरिएको घटनाले आम मानिसमा नेपालका बैंकिङ प्रणाली असुरक्षित छन् कि भन्ने प्रश्न उब्जाइदिएको छ। प्रविधि बुझेकाहरुले यसलाई प्रविधिको कमजोरीका रुपमा लिएका छन्, तर बैंकहरुले प्रणालीलाई ‘अपडेटेट’ राखेर सुरक्षित बनाउन भन्ने उनीहरुको चाहना छ।
जोखिममा विश्वभरका बैंक
प्रविधिले बैंकिङ प्रणालीलाई जति सहज बनाएको छ, त्योभन्दा धेरै जोखिम थपेको छ। प्रविधिका स-साना त्रृटिहरुलाई हतियार बनाएर संसारभर नै वर्षेनि विभिन्न आपराधिक समूहहरुले बैंकमाथि आक्रमण गर्ने गरेका छन्। नेपालमा मात्रै होइन विश्वका विकसित मुलुकहरुमा पनि यसले जटिल समस्याको रुप लिएको छ।
विश्वका ठूला बैंकहरुले दैनिक हजारौँ साइबर आक्रमणको सामना गर्नुपर्ने हुन्छ। जसमा बैंकका महत्वपूर्ण जानकारी हासिल गर्न ह्याकरहरुका लागि सुरक्षा परिधिको एउटै त्रृटि काफी हुन्छ।
अमेरिकाको ट्रिजरी डिपार्टमेन्ट अन्तर्गतको फाइनान्सियल क्राइम्स इन्फोर्समेन्ट नेटवर्कले यो वर्ष मात्रै अमेरिकाका वित्तीय संस्थाहरुमा ३ हजार ४ सय ९४ साइबर आक्रमण भएको बताएको छ।
बेलायतमा पनि यस्ता घटना बढ्दै गइरहेका छन्। सन् २०१८ मा बेलायतमा १४५ वटा बैंकिङ प्रणाली छेडखानीका घटनाहरु रिपोर्ट गरिएको बेलायतको फाइनान्सियल कन्डक्ट अथोरिटी (एफसीए)ले जनाएको छ।
२०१७ मा २५ वटा मात्रै यस्ता घटना रिपोर्ट गरिएका थिए।
केही समयअघि मात्रै चिलीमा पनि हाल नेपालमा भएजस्तै एटिएम ह्याकिङको घटना भएको थियो। अघिल्लो वर्षको डिसेम्बरमा चिलीको अन्तर बैंकिङ एटिएम प्रणाली ‘रेड बैंक’को सिस्टमा ह्याकरहरुले घुसपैठ गरेको बताइएको छ।
ह्याकरहरुले उक्त नेटवर्कका एक कर्मचारीलाई लिंक्ड इन नामक सामाजिक संजालमार्फत जागिरको लागि अन्तर्वार्ता दिन आह्वान गरेका थिए। स्काइपमार्फत दिइएको झुठो अन्तर्वार्तामा ती कर्मचारीलाई सफ्टवेयर (मालवेयर भाइरस) डाउनलोड गर्न र त्यसबाट नै जागिरको लागि आवेदन दिन लगाएका थिए। सोही सफ्टवेयरको माध्यमबाट उनीहरुले रेड बैंक नेटवर्कको प्रणालीमा छेडखानी गरेको बताइएको छ।
वित्तीय संस्थामा हुने साइबर आक्रमणका कारण विश्वभर हरेक वर्ष १० खर्ब अमेरिकी डलर बराबरको नोक्सान हुने गरेको एक तथ्यांकले देखाएको छ।
नेपालका बैंकिङ प्रणाली कति सुरक्षित?
बैंकिङ प्रणालीका कमी कमजोरीहरु पत्ता लगाउन विश्वभरका आपराधिक समूहहरु निकै सक्रिय छन्। बैंकिङ प्रणाली जति नै अपडेटेड (नयाँ) भए पनि ह्याकरहरुले त्रृटि पत्ता लगाउने नयाँ बाटोहरु खोजिरहेका हुन्छन्, र धेरै जसो अवस्थामा उनीहरु सफल पनि हुन्छन्।
नेपालमा बैंकहरुका लागि सुरक्षा चुनौतीहरु रहेको र त्यस्ता चुनौतीहरु न्युनीकरणका कामहरु भइरहेको नेपाल राष्ट्र बैंकका प्रवक्ता लक्ष्मी प्रपन्न निरौलाले बताए।
‘विश्वको कुनै पनि ठाउँमा प्रविधि फ्ललेस (त्रुटिरहित) छैन’ प्रवक्ता निरौलाले भने, ‘जोखिमको एउटा प्वाल टाल्यो, आपराधिक मानसिकता भएका मानिसहरुले अर्को प्वाल खोजिसकेका हुन्छन्। बैंकमा साइबार हमलाका घटना संसारभर भएका छन्। यो एउटा अपराध हो।’
जनताको तहमा भने बैंकहरु सुरक्षित रहेको बताउँदै उनले सबैलाई निर्धक्क भएर कारोबार गर्न आग्रह गरे।
उनले भने, ‘हामीले कमी कमजोरीलाई सुधार्दै लगेका छौँ। अब फेरि पुरानै कारणले यो घटना दोहोरिन्न। हामीले जाखिम न्युनीकरण गर्न सुरक्षाको दायरा बढाइरहेका छौँ। सबैले ढुक्क भएर कारोबार गर्दा हुन्छ।’
प्रणाली ह्याक कसरी भयो?
एटिएमको काम हेर्दा सरल देखिए पनि यसले धेरै जटिल र विभिन्न चरणमा आफ्नो काम गरिरहेको हुन्छ। कार्ड प्रयोगकर्ताले एटिएम मेसिनमा कार्ड छिराएर पिन र रकमको विवरण राखेपछि पैसा निस्कने भएपनि एटिएमले त्यो अवधिमा अरु धेरै काम गरिसकेको हुन्छ। यसमा चारवटा फरक-फरक पक्षबीच संचार भइरहेको हुन्छ।
कार्डलाई मेसिनमा छिराइएपछि मेसिनले कार्डमा रहेको म्याग्नेटिक स्ट्रीप (कार्डको पछाडि रहेको कालो माटो धर्को) वा चिपमा भएको जानकारीको मदतले कार्ड प्रयोगकर्ताको बारेमा थाहा पाउँछ। अब एटिएम मेसिनले सो जानकारी रुजु गर्न कार्ड जारी गर्ने नेटवर्क (भिसा, मास्टर, एससीटी आदि) को सर्भर वा कम्प्युटरसँग सम्पर्क गर्छ। नेटवर्कले प्रयोगकर्ताको जानकारी रुजु त गर्छ तर प्रयोगकर्ताको खातामा पर्याप्त ब्यालेन्स छ छैन थाहा पाउन बैंकको सर्भरसँग सम्पर्क गर्नुपर्ने हुन्छ। बैंकको सर्भरले खातामा पर्याप्त रकम रहेको प्रमाणित गरेपछि मात्रै मेसिनले पैसा दिन्छ। यो सबै कार्य एक सेकेण्डभन्दा पनि कम समयमा हुन्छ।
नेपालमा अन्तर बैंकिङ भुक्तानी व्यवस्थापन गर्न नेपाल इलेक्ट्रोनिक पेमेन्ट सिस्टम (नेप्स)ले काम गर्छ। अर्थात् कार्ड नेटवर्क र बैंकको बीचमा हुने संचारलाई नेप्सले व्यवस्थापन गर्छ। नेप्सकै कारणले एउटा बैंकको कार्ड अर्को बैंकको मेसिनमा छिराएर पनि भुक्तानी पाउने सुविधा उपलब्ध भएको हो।
घटनाको प्रारम्भिक अध्ययनबाट भिसा नेटवर्क र नेपाल इलेक्ट्रोनिक पेमेन्ट सिस्टम (नेप्स) को संचारलाई छेडखानी गरेर एटिएममार्फत पैसा निकालेको देखिएको राष्ट्र बैंकका प्रवक्ता निरौलाले बताए।
उनले भने, ‘भिसा नेटवर्कले पठाएको जानकारी प्रमाणीकरण गर्ने अनुरोधलाई नेप्ससम्म पुग्न नदिई बीचमा नै कृतिम सफ्टवेयरमार्फत पैसा निकाल्ने अनुमति दिइएको हो।’
घटनाको विस्तृत अनुसन्धान नभइसकेकाले यसमा कुन पक्षबाट कमजोरी भयो भन्नेबारे यकिनका साथ बताउन नसकिने उनले बताए।
तर राष्ट्र बैंकका एक उच्च पदस्त कर्मचारीले भने नेप्सको सिस्टममा भएको कमजोरीका कारण ह्याक भएको बताए।
यस्ता बैंकिङ ‘फ्रड’मा क्षति कसको?
सबैजसो बैंकिङ ‘फ्रड’मा हुने क्षति बैंकले नै बेहोर्नुपर्ने राष्ट्र बैंक प्रवक्ता निरौलाले जानकारी दिए। यस्तो अवस्थामा खातावालाको अकाउन्टबाट पैसा नकाटिने उनले बताए।
उनले भने, ‘खातावालाले आफैँ अकाउन्टबाट पैसा नझिकी अन्य कारणले भने खाताबाट पैसा घट्यो भने त्यसको जिम्मेवारी खातावालाले बेहोर्न पर्दैन, उसको क्षति हुनु हुँदैन। नत्र त बैंकमा सुरक्षाको लागि पैसा जम्मा गर्नुको के अर्थ।’
हालको बैंकिङ 'फ्रड'मा कुनै बैंकका खातावालाहरुको अकाउन्टबाट पैसा नघटेको एनआईसी एसिया बैंकका एक कर्मचारीले बताए। चिनियाँहरुले कुनै खातावालाको अकाउन्टबाट निकालेको नभइ एटिएमको मात्रै पैसा चोरी गरेको उनले बताए।
उनले भने, ‘उक्त घटनामा उनीहरुले गरेको कार्यले ग्राहकको खाता छोएको छैन। उनीहरुले त एटिएमको पैसा मात्रै निकालेका हुन।’
सुरक्षित हुन राष्ट्र बैंकको कदम
घटनाको बारेमा छानविन गर्न समिति गठन गरिएको थियो। सो समितिले बिहीबार प्रतिवेदन सार्वजनिक गर्दै जोखिम न्युनीकरण गर्न अल्पकालीन र दीर्घकालीन सुझाव दिएको छ।
समितिले हाल घटेको घटनाको फरेन्सिक विज्ञद्वारा सुक्ष्म अध्ययन तथा विश्लेषण गरी प्राप्त सुझावहरु कार्यान्वयन गर्ने, इजाजतपत्र प्राप्त बैंक तथा वित्तीय संस्थाहरुलाई आ–आफ्नो सूचना प्रविधि तथा इलेक्ट्रोनिक माध्यमबाट हुने भुक्तानी प्रणालीको जोखिम मूल्यांकन गरी जोखिम न्यूनीकरणका आवश्यक उपायहरु अवलम्बन गर्न निर्देशन दिने र सबै एटिएमलाई ३ महिनाभित्र चिप सिस्टममा लैजाने सुझाव दिएको छ।
त्यस्तै, एटिएम बुथमा राखिएका सिसी क्यामेराको नियमित अनुगमनको व्यवस्था मिलाउन पनि समितिले सुझाव दिएको छ। यस्तो अनुगमन शनिबारसहित अन्य सार्वजनिक बिदाको दिनमा समेत नियमित रुपले गर्ने व्यवस्था मिलाउनुपर्ने सुझाव समितिले आफ्नो प्रतिवेदनमा दिएको छ।
