उत्तर कोरियाको लजारूस समूहले स्वीफ्ट ह्याक तथा अन्य साइबर अपराध गरी तहल्का मचाइरहेको अवस्थामा नेपालमा गत हप्ता भएको एटीएमको स्वीच ह्याकको घटनाले नेपाली वित्तक्षेत्रमा मात्र होइन, विश्वभरि नै फस्टाएको नयाँ साइबर सुरक्षा चुनौतीलाई उजागर गरेको छ ।
हुन त यो ह्याक प्रकरणले कुनै पनि बचतकर्तालाई प्रत्यक्ष रूपमा प्रभाव पारेको त छैन, तर पनि यस्ता घटनाले पार्ने मनोवैज्ञानिक सन्त्रासले बैंकिङ क्षेत्र माथिको सर्वसाधारणको विश्वासको धरातल नै कमजोर बनाउने हुँदा यसको प्रभावको गाम्भीर्य सहजै अनुमान गर्न सकिन्छ । यिनै परिप्रेक्ष्यमा यस आलेखमा साइबर सुरक्षाको जोखिम न्यूनीकरणका लागि अपनाउन सकिने केही उपायका बारेमा बुँदागत चर्चा गरिएको छ ।
निरन्तर परीक्षण
प्रविधिमा दिन प्रतिदिन नयाँनयाँ विकास भइरहने र ह्याकरहरूले पनि सोही गतिमा नयाँ ह्याकिङ पद्धति विकास गरिरहने भएकाले बैंक तथा वित्तीय संस्थाका लागि साइबर सुरक्षा जोखिम उच्च दरमा वृद्धि भइरहेको छ । त्यसैले उनीहरूले आफ्नो वित्तीय प्रविधिको सुरक्षा तथा साइबर सुरक्षाका लागि निरन्तर परीक्षण र मूल्यांकन गरिरहनु पर्ने देखिन्छ । नेपालमा अहिले कतिपय संस्थाले आवधिक रूपमा त यस्तो खाले परीक्षण गरेका छैनन् । निरन्तरको परीक्षण अहिले नै कल्पना गर्न नसकिए पनि अब यो अनिवार्य जस्तै भइसकेको छ ।
विश्वव्यापी रूपमा बढिरहेको वित्तीय अपराधका घटनालाई हेर्दा अब बैंकहरूमा आन्तरिक लेखापरीक्षण विभाग जस्तै जस्तै आन्तरिक प्रविधि परीक्षण विभागको समेत खाँचो देखिएको छ । त्यहाँ आवश्यकता अनुसार दक्ष प्राविधिकहरू राखी निरन्तर प्रविधिको सुरक्षा र जोखिम मूल्यांकन गर्नु अनिवार्य नै भइसकेको छ । अझ विश्वासिलो अन्तरराष्ट्रिय स्तरका संस्थाहरू मार्फत अथवा यस्ता संस्थामा आबद्ध विषयविज्ञहरू मार्फत आफूले प्रयोग गरिरहेको प्रविधिको आवधिक परीक्षण गर्नु थप श्रेयस्कर हुन्छ ।
नीतिवान् र सेतो टोपी लगाउने ह्याकरको व्यवस्था
विश्वका कतिपय बैंकले जस्तै क्यानाडाको टोरोन्टो डोमिनन बैंकले पनि आफ्नो बैंकभित्र ‘सेतो टोपीधारी ह्याकर’ भनिने ‘नीतिवान् ह्याकर’हरूको समूह नै बनाएर आफ्नो सुरक्षा व्यवस्थाको व्यावहारिक परीक्षण गरिरहेको छ । अब नेपाली बैंकहरूले पनि निरन्तर रूपमा निगरानी र पहरा दिन सक्ने गरी यस्ता ह्याकरहरूलाई बैंकमा भित्र्याउनेतर्फ सोच्ने बेला आएको छ । यसो गर्दा ती ह्याकर मार्फत आफ्नो प्रणालीमा रहेका कमजोरीका छिद्रहरू पहिचान गरी उपयुक्त निराकरणका उपाय अवलम्बन गर्न बैंकहरूलाई मद्दत पुग्छ ।
तर पनि संस्थाभित्र नै आबद्ध कर्मचारीहरूले अन्तरिक रूपमा ठगी गर्ने घटनाहरू पनि यथेष्ट रूपमा बाहिर आइरहेको सन्दर्भमा यस्ता ह्याकर भर्ना गर्नुपूर्व एक निश्चित मापदण्ड र नीति मार्फत उनीहरूको पूर्ण सम्परीक्षण हुनु भने जरुरी छ । त्यति मात्र होइन, भर्ना भइसकेपछि पनि उनीहरूको हरेक गतिविधिलाई नजीकबाट नियाल्न सकिएन भने फेरि तिनीहरू नै जोखिमको कारक बन्न सक्नेतर्फ पनि सम्बद्ध संस्था स्वयं सचेत हुनैपर्छ ।
असफल ह्याकिङको व्यापक प्रचारप्रसार
साइबर जोखिमका घटना अहिले नेपालमा मात्र होइन, विश्वव्यापी नै भइसकेको छ । नेपालमा एटीएम प्रणाली ह्याक भएको केही दिनपछि नै जर्मनीमा करीब २० करोड रुपैयाँ यसै गरी ह्याक भएको थियो । त्यसैले यो प्रविधिजन्य जोखिम नेपालमा मात्र रहेको होइन । यसकारण यहाँ भएका घटना र प्राविधिक कमजोरीलाई लुकाउनुपर्ने कुनै कारण छैन । आफ्नो प्रविधिमाथि ह्याकिङ भएपछि त्यसलाई भित्रभित्रै मिलाउने प्रयास गर्दा ह्याकरहरूले दण्डहीनताको अवस्था महसूस गरी अझ ह्याकिङका समस्या बढ्ने हुन सक्छ ।
जतिखेर नेपालमा स्वीफ्ट ह्याक भएर केही रकम देशबाहिर गयो, त्यसको अनुसन्धानको प्रतिवेदन र निष्कर्षका बारेमा खासै प्रसार भएन । यदि त्यतिखेर नै ह्याकरहरूलाई समातिएको र बैंकहरूको रकम फिर्ता पाएको कुरा चर्कोसँग प्रचारप्रसार भरिएको भए त्यसले हाम्रो साइबर सुरक्षाको मात्र होइन, समग्र सुरक्षा प्रणालीप्रति नै गहकिलो ढंगले विश्वासको सन्देश प्रवाह हुने थियो । यस्तो सन्देशले ह्याकरहरूलाई साइबर हमला गर्नुभन्दा पहिले दुईपटक सोच्न बाध्य पार्ने थियो ।
ई–बैंकिङ र भुक्तानी एपको सम्परीक्षण
बैंकिङ प्रणालीको अभिन्न अंग मानिएको र तुलनात्मक रूपमा भरपर्दो मानिएको एटीएममाथि त सुरक्षा जोखिम बढेको अवस्थामा अहिले प्रचलनमा रहेका कतिपय ई–कमर्श तथा भुक्तानी प्रणालीहरूको सुरक्षा संवेदनशीलता माथि पनि गम्भीर भएर तत्काल परीक्षण गराई सुरक्षित भएको प्रत्याभूति दिनु अति जरुरी छ । नियामक निकायले पनि यस्ता तेस्रो पक्ष संलग्न भुक्तानी पद्धतिलाई अनिवार्य सुरक्षा प्रमाणीकरणका लागि वाध्य पार्नु सबैका लागि कल्याणकारी हुन्छ ।
आधिकारिक र प्रमाणित सफ्टवेयरको प्रयोग
बैंक तथा वित्तीय क्षेत्र जस्तो संवेदनशील क्षेत्रमा अनिवार्य रूपमा आधिकारिक तथा प्रमाणित हार्डवेयर तथा सफ्टवेयरको प्रयोग हुनु जरुरी छ । कतिपय देशमा हालैका वर्षहरूमा स्वीफ्ट ह्याकका घटना हुनुमा यस्तै ‘पाइरेटेड’ हार्डवेयर तथा सफ्टवेयरलाई कारक मानिएको थियो ।
त्यसका अलावा बैंक तथा वित्तीय संस्था एवम् भुक्तानी सेवाप्रदायकहरूले आफूले प्रयोग गर्ने सञ्जाल लगायत सुरक्षा प्रविधिलाई ‘पीसीआई’ जस्ता भरपर्दा अन्तरराष्ट्रिय संस्थाद्वारा परीक्षण तथा प्रमाणित गराएर राख्नु पनि अनिवार्य देखिएको छ ।
साइबर जोखिमको बीमा
वास्तवमा यस्तो बीमाले सम्भावित साइबर जोखिमबाट सम्बद्ध बैंक तथा विभिन्न सञ्जाल सञ्चालकहरूलाई मात्र नभई सर्वसाधारणलाई समेत आफ्नो निक्षेपको सुरक्षा सम्बन्धमा ढुक्क बनाउँछ । तसर्थ नियामक निकायले यस्तो जोखिमको बीमालाई कुनै न कुनै रूपमा बाध्यकारी बनाउनुपर्ने देखिन्छ । यस्तो बीमाको प्रिमियम तुलनात्मक रूपमा महँगो हुने भए तापनि त्यसले बेहोर्ने जोखिम र संकटका बेला बेहोर्ने क्षतिपूर्तिलाई आधार मान्ने हो भने त्यो नगन्य नै देखिन्छ ।
निगरानी र नियन्त्रण प्रणालीका लागि सरकारी संयन्त्र
एटीएम ह्याक साइबर प्रकृतिको अपराध भए पनि त्यससँग देशका अन्य प्रणाली पनि जोडिएका हुन्छन् । अध्यागममा हुने खुकुलो सुरक्षा प्रणालीदेखि लिएर भिसा प्राप्त गर्न हुने सहजताले गर्दा पनि अहिले नेपाल विभिन्न देशका अपराधीहरूका लागि स्वर्ग नै भएको पाइएको छ । यस्ता अपराधबाट देशलाई मुक्त राख्ने पहिलो र मुख्य शर्त भनेको सर्वपक्षीय निगरानी र नियन्त्रण नै हो । साइबर जोखिमको समस्यालाई केवल बैंक तथा वित्तीय संस्थाहरूको मात्र समस्या भनेर बुझ्नु गलत हुनेछ ।
फेरि हाम्रा सरकारी निकायहरूको साइबर सुरक्षा प्रतिको संवेदनशीलताको पर्याप्तताप्रति पनि आशंका गर्नेहरू धेरै छन् । भारतीय केन्द्रीय बैंकले नेपालको एटीएम ह्याक सम्बन्धमा चासो लिए जस्तै अन्यत्र भएका यस्तै प्रकृतिका घटनाहरूबाट समेत हाम्रा सम्बद्ध सरकारी निकायहरूले पाठ सिकेर आफ्ना प्रणाली सुरक्षित बनाउनेतर्फ सचेत हुनुपर्ने देखिन्छ ।
लेखक बैङ्कर हुन् ।
