‘बैंकहरुले सस्तो प्रविधि अपनाउँदा ह्याकरलाई सजिलो, लाखौँ बचतकर्ताको पैसा जोखिममा’

 भदौ १८, २०७६ बुधबार १३:२३:१९ | अर्जुन पोख्रेल
unn.prixa.net

बैंक तथा वित्तीय संस्थाको सुरक्षा जोखिम बढ्दै गएको छ । गएको शनिबार चिनिया नागरिकले काठमाण्डौका विभिन्न एटीएम बुथबाट झण्डै २ करोड रुपैँया रकम झिकेपछि बैंक तथा वित्तीय संस्थाको सुरक्षा प्रणालीमाथि नै प्रश्न उठेको छ ।

बेलाबेलामा बैंक तथा वित्तीय संस्थाबाट पैसा ट्रान्सफर गर्ने, खाता ह्याक गर्ने, नक्कली एटीएम कार्ड र पिन बनाएर पैसा झिक्ने जस्ता घटना भैरहे पनि बैंकहरुले सुरक्षामा गम्भीर ध्यान दिएको पाईंदैन ।

प्रविधिको विकाससंँगै बैंकहरुले अनेक तरिकाबाट भुक्तानी गर्न सक्ने व्यवस्था त मिलाएका छन् । तर ती प्रविधिको चुस्त व्यवस्थापन र सुरक्षामा खासै ध्यान नदिएको विभिन्न अध्ययनहरुले पनि देखाएका छन् । 

साइबर सुरक्षाकोबारेमा अध्ययन गर्ने संस्था थ्रेटनिक्सले पनि नेपाली बैंक तथा वित्तिय संस्थाका सयौं इमेलहरु गोप्य नभएको अध्ययन सार्वजनिक गरेको थियो । नेपालमा बैंक तथा वित्तिय संस्थाको सुरक्षाका बारेमा थ्रेटनिक्सका संस्थापक तथा साइबर सुरक्षाविज्ञ सचिन ठकुरीसँग अर्जुन पोख्रेलले गरेको कुराकानी : 

तपाईंहरुले नेपालमा साइबर सुरक्षाबारे बर्सेनि अध्ययन प्रतिवेदन सार्वजनिक गर्दै आउनुभएको रहेछ, अध्ययनले नेपाली बैंक तथा वित्तीय संस्था कत्तिको जोखिममा रहेको देखाएको छ ?

हो हामीले दुई वर्षदेखि बृहत रुपमा देशका अन्य क्षेत्रमा जस्तै बैंक तथा वित्तीय क्षेत्रको साइबर सुरक्षाबारे पनि अध्ययन गर्दै आएका छौं । अहिले काठमाण्डौका केही एटीएम बुथबाट लाखौँ रकम ह्याकरले लगेको भन्ने घटनापछि हाम्रो अध्ययनको निष्कर्ष सही साबित पनि हुँदै गएको छ ।

हामीले अध्ययनको सिलसिलामा बैंकहरुले सार्वजनिक गरेका इमेलको विस्तृत परीक्षण गरेका थियौं । नेपालका बैंकहरुले प्रयोग गर्ने ३५ सयभन्दा धेरै इमेल पहिलेदेखि नै ह्याक भएको हामीले पाएका थियौं । ती इमेलहरु आफैँमा बैंकका गोप्य विवरण त थिएनन्, तर ह्याकहरुले भने ती इमेलमार्फत अरु जानकारी लिन सजिलो हुने  हाम्रो अध्ययनले देखाएको थियो । त्यसमाथि ती ३५ सय इमेलहरुको पासवर्ड साह्रै कमजोर रहेको देखिएको थियो । १, २, ३, ४ अनि ए, बी, सी, डी जस्ता कमजोर पासवर्ड रहेको पनि पाइयो ।

त्यस्तै हामीले गएको वर्ष नेपालमा अनलाइन बैंकिङको सुरक्षाबारे पनि अध्ययन गरेका थियौं । नेपालमा भएका ८ वटा बैंकले प्रयोग गर्ने अनलाइन बैंकिङसँग सम्बन्धित वेबसाइट पनि अति कमजोर रहेको पाइएको छ । त्यसमा हामीले एकदमै निम्न गुणस्तरको सुरक्षा प्रणाली रहेको पाएका थियौं । बैंकिङ प्रणालीको सुरक्षामा अपनाउने न्यूनतम मापदण्ड पनि पालना नगरेको देखियो ।

उसोभए नेपालका बैंकहरु र नेपालीका खाता जोखिममा छन् हो ?

हामीले  गरेका अध्ययन र यहाँ भैरहेका घटनाले यहाँका बैंक, खाता र एटीएम असुरक्षित रहेको देखाएको छ । 

विशेषगरी बैंकहरुले के कस्तो लापर्बाही गरेको देखियो त ?

प्रक्रिया र सञ्चालनमै एकदमै धेरै लापर्बाही देखिएको छ । जस्तै नेपाल राष्ट्र बैंकको निर्देशिका अनुसार वर्षको एकपटक सुरक्षा अडिट अनिवार्य नै गर्नुपर्छ । यसमा धेरै प्रक्रिया पूरा गर्नुपर्छ, केही खर्च पनि लाग्छ । तर बैंक तथा वित्तीय संस्थाहरुले आफ्नो संस्थाको सुरक्षाको लागि भन्दा पनि राष्ट्र बैंकलाई प्रतिवेदन बुझाउन र आँखामा छारो हाल्ने तरिकाले अडिट गरेका पाइन्छ ।

अनि अडिटको क्रममा हामीले सुरक्षाको लागि कयौं सुझावहरु दिएका हुन्छौं । तर खर्च धेरै हुने डरले बैंक तथा वित्तीय संस्थाहरुले सुझाव पनि वर्षौंसम्म पालना नगरेको देखिएको छ ।

बैंकहरुले आफ्नो असुरक्षाबारे चाल नै नपाएका हुन् कि चाल पाएर पनि चुप लागेर बसेका हुन ?

उहाँहरुले थाहा नपाएको भन्ने त हुँदैन । उहाँहरुसँग हामीले सम्झौता गर्दा पनि यो यो कुरा पत्ता लगाउने भन्ने टुंगो लागेको हुन्छ । हामीले दिएको सुझाव पनि उहाँहरुले हेर्नुहुन्छ, तर पालना हुँदैन । किनभने बैंकको साइबर सुरक्षासँग सम्बन्धित सफ्टवेयर उनीहरुले तेस्रो पक्षमार्फत किन्छन् ।

यसरी किन्दा बैंकले प्रविधिमा गर्नुपर्ने सुधार र देखिएका समस्या समाधानको लागि चुकेको देखिन्छ । धेरैजसो उदाहरण हेर्दा बैंक तथा वित्तीय संस्थाको लापर्बाही नै देखिन्छ । सानो समस्या हो, के नै होला र भन्ने सोँचले गर्दा ठूला–ठूला समस्या देखिइरहेका छन् ।

बैंकहरुले सफ्टवेर  सुरक्षाका अन्य सामग्री किन्दा धेरै ध्यान नदिएको भन्नुभयो । बैंकहरुले सुरक्षा भन्दा पनि सस्तो खालको प्रविधि प्रयोग गर्दा समस्या बढेको हल्ला सुनिन्छ । हल्ला साँचो हो ?

तपाईंको प्रश्न र हल्लालाई गलत भन्न सकिन्न । सुरक्षाको क्षेत्रमा बजेट नै एकदमै कम छ । अनि राम्रो भन्दा पनि कामचलाउ र सस्तो सफ्टवेर किन्ने र प्रयोग गर्ने चलन छ  । बाहिरतिर हेर्ने हो भने बैंकिङ मात्र नभइ अरु संस्थाले पनि प्रयोग गर्ने सफ्टवेयर र एप्लिकेशनहरु पहिले नै सुरक्षा अडिट गराउनुपर्ने, कमजोरी भेटिएमा सच्चाउने र रिपोर्ट नै तयार गरेपछि बल्ल आफ्नो संस्थामा प्रयोग गर्ने नियम हुन्छ ।  तर त्यस्तो नियम नेपालको बैंकिङ क्षेत्रमा देखिएको छैन । 

एक, दुई वटा बैंकहरुले हाम्रो सुझाव अनुसार सुरक्षामा ध्यान दिएर अन्तर्राष्ट्रिय अभ्यास पालना गर्न खोजेको जस्तो देखिन्छ । तर धेरैमा भने पुरानै र सुरक्षा अडिट नभएको सफ्टवेयर र एप्लिकेशन नै चलिरहेका छन् । अहिलेको साइबर सुरक्षाको अत्यन्तै जोखिमपूर्ण अवस्थामा बैंक तथा वित्तीय संस्थाले सस्तो प्रविधि भन्दा पनि संगठनात्मक नियम बनाएर सुरक्षा प्रणालीलाई बलियो बनाउनुपर्ने देखिन्छ ।

अब एटीएमको कुरा गरौं । बाहिरैबाट योजना बनाएर आएका चिनिँया ह्याकरहरुले काठमाण्डौका केही एटीएमबाट पैसा झिकेपछि नेपालका एटीएमको सुरक्षाबारे पनि निकै धेरै बहस भैरहेको छ । हाम्रा एटीएम पनि धेरे नै असुरक्षित भैसकेका हुन ?

हो नेपालका एटीएम पनि उत्तिकै असुरक्षित जस्तो लाग्छ । बैंक तथा वित्तीय समूहको सूचना प्रविधी क्षेत्र हेर्ने इञ्जिनियरहरुको हाम्रो एउटा समूहले बेलाबेला लौ एटीएम ह्याक भयो रे भन्ने हल्ला पनि गर्थ्याैँ र कहाँ के भएछ भनेर समस्या पत्ता लगाउने कोशिस हुन्थ्यो । गएको शनिबार पनि हाम्रो एउटा बैठक भएको बेला काठमाण्डौका एटीएम ह्याक भएको समाचार आयो । समाचार सत्य रहेछ र हामीले कसरी यस्तो भयो भनेर पत्ता लगाउने कोशिस गर्‍याैँ ।

नेपालमा यसअघि एटीएम ह्याक हुने एउटा तरिका थियो । ह्याकरहरुले कुनै तरिका लगाएर यहाँका खातावालको एटीएमको विवरण संकलन गर्थे र विदेशमा भएका अरु कार्डमा नेपालका एटीएम धनीको विवरण राख्थे । यसलाई क्लोन भनिन्छ । यसरी नक्कली कार्डमा सक्कली विवरण राखेर नेपालका एटीएमबाट पैसा झिकेको रेकर्ड छ ।

यसपटक एटीएम कार्ड क्लोन गरेर पैसा झिकिएको हो कि अन्य ह्याक हो भन्ने खुलेको छैन । तर प्रारम्भिक रुपमा हेर्दा यो क्लोन नभई एक कदम अघि बढेर प्रोसेसिङ सिस्टम नै ह्याक गरेको देखिन्छ ।

प्रोसेसिङ सिस्टम भनेको के हो ?

तपाईंले एटीएम मेसिनमा कार्ड राखिसकेपछि त्यसले भिसा, मास्टरकार्ड, एससिटी लगायतका कम्पनीलाई सोध्छ, त्यसपछि कार्ड प्रोसेस कम्पनीलाई सोध्छ र त्यो कम्पनीले ओके भनेपछि यहाँका बैंकले स्वीकृति दिन्छन् ।  अनि मात्र पैसा आउँछ । तर यसपटक भने कार्ड प्रोसेसिङ कम्पनी नेप्सकै सिस्टम ह्याक गरेको भन्नेसम्मका कुरा आएका छन् । प्रोसेसिङ कम्पनी नै ह्याक गरेर पैसा झिक्नु भनेको सानो ह्याकिङ होइन ।

यदि पहिले जस्तो कार्ड क्लोन नगरी प्रोसेसिङ कम्पनी र सिस्टम नै ह्याक गरेर पैसा निकालिएको हो भने त यो निकै ठूलो समस्या हो ।

मेरो विचारमा पनि चिनियाँहरुले बाहिरैबाट बैंक र कार्ड कम्पनीको डाटा लिएर नेपाल आए र नेटवर्कलाई नै  विफल बनाएर  पैसा झिकेको जस्तो देखिन्छ । तर आधिकारिक कुरा भने अझै आएको छैन । हामीले भन्दा पनि यो कुरा आधिकारिक रुपमा प्रहरी र राष्ट्र बैंकले नै भन्लान् ।

हुन त संसारभरीकै उदाहरण हेर्दा पनि प्रविधिभन्दा अघि ह्याकर पुगिसकेका हुन्छन् । ह्याकरले घटना घटाइसकेपछि त्यसकै आधारमा नयाँ प्रविधिको विकास भएको पाइन्छ । नेपालमा राम्रो प्रविधि हुँदाहुँदै पनि एटीएम ह्याक भैरहेका छ कि नेपालको कमजोर प्रणालीको फाइदा उठाएका हुन् ?

अंग्रेजीमा एउटा भनाइ छ, ‘यदि तेरो प्रणाली ह्याक भएको छैन भने, तेरो पालो मात्रै नआएको हो ।’  मतलब यो समस्या विश्वब्यापी नै छ । सन् २०१८ र यसै वर्षको सुरुमा पनि अमेरिकाका कयौं बैंक तथा एटीएमबाट ह्याकिङको सहायताले पैसा चोरी भएको थियो ।

नेपालमा एटीएम र अरु बैंकिङ प्रणालीको कुरा गर्दा निकै ढिलो मात्रै सुरु भएको हो । त्यही भएर यहाँ ह्याकिङ भयो भने हल्ला धेरै हुन्छ । तर बाहिर यस्तो समस्या पहिलेदेखि नै आएको हो । उनीहरुले राम्रो प्रविधि विकास गर्दै लगेर सुरक्षित बनाइरहेका छन् ।  विश्वभरीकै उदाहरण हेर्दा ह्याकिङलाई पूर्ण रुपमा रोक्न सकिन्न । तर सक्दो र उपलब्ध आधुनिक र सुरक्षित प्रविधिको प्रयोग गरेर जोखिम कम गर्न सकिन्छ ।

प्रयोगकर्ताको पनि लापर्बाही हो भन्छन् बैंकहरु, प्रयोगकर्ताको लापर्बाही छ ?

यहाँ बैंक तथा वित्तीय संस्था उम्कनको लागि प्रयोगकर्तालाई दोष दिइरहेको पाइन्छ । तर खासै ग्राहकहरुको लापर्बाही जस्तो मलाइ लाग्दैन । तर कार्ड प्रयोगका तरिका, यसका सहजता र जोखिमबारे भने प्रयोगकर्तालाई पूर्व जानकारी दिनैपर्छ ।

एटीएम बुथबाट पैसा झिकेपछि रिसिप्ट जथाभाबी फालेर हिँड्दा पनि त्यसबाट धेरै जानकारी चुहिएको हुन्छ भन्ने हल्ला पनि छ । के यो साँचो हो ?

रिसिप्टबाट जानकारी लिएर ह्याकरले ह्याक गर्न सक्छन् भन्ने हल्लामा धेरै सत्यता छैन । रिसिप्टमा तपाईंले कति पैसा झिक्नुभयो र  कति बाँकी छ भन्ने मात्रै जानकारी हुन्छ । 

तर एटीएम मेसिनभित्र छिरेकै भरमा ह्याकरले धेरै जानकारी लिन सक्ने भनेर र सूचना प्रविधि विज्ञहरुले नै भन्छन नि त ?

यो कुरामा भने सत्यता छ । ह्याकरहरुले एटीएम  मेसिनमै निकै सानो क्यामेरा  जडान गर्छ । अनि हाम्रो कार्ड राख्ने ठाउँमा सानो डिभाइस राख्छन् । जब तपाइँले कार्ड छिराउनुहुन्छ, तपाईंको कार्डको सबै जानकारी त्यो डिभाइसले रेकर्ड गर्छ । अनि त्यसै आधारमा उनीहरुले अरु कार्ड बनाएर पैसा झिक्न सक्छन् । 

अर्को कुरा, अहिले धेरै बैंकले चिप्ससहितका कार्ड प्रयोगमा ल्याएका छन् । तर ती कार्ड प्रयोग हुने मेसिन भने पुरानै प्रणालीमा आधारित रहकाले पनि एटीएम ह्याकिङको जोखिम बढेको हो ?

हो, पहिलेको कार्डमा म्याग्नेटिक रिडिङ सिस्टम हुन्छ । त्यस्ता कार्ड क्लोन गर्न सजिलो हुन्छ । कालो मसीले ढाकेको क्षेत्र कोर्नेबित्तिकै कार्डको पिन नम्बर पत्ता लगाउन सकिन्थ्यो । तर चिप्सवाला कार्डमा चिप्सभित्रै पिन नम्बर हुने भएकाले त्यसलाई क्लोन गर्न गाह्रो हुन्छ । त्यसैले नेपालमा पनि चिप्सवाला कार्ड ल्याएको पाइन्छ । तर धेरै एटीएम मेसिन भने अहिले पनि म्याग्नेटिक कार्डकै लागि बनेका छन् । खास चिप्स कार्ड सपोर्ट गर्नको लागि बनेका आधुनिक मेसिन थोरै छन् ।

अब अनलाइन बैंकिङ र मोबाइल बैंकिङको कुरा गरौं । एकै क्लिकको भरमा भुक्तानी गर्न पाइने भइयो भनेर धेरैजना खुशी भएको देख्छौं । हाम्रा अनलाइन बैंकिङ र मोबाइल बैंकिङ प्रणाली कत्तिको सुरक्षित छन् त ?

खासमा एटीएम र बैंकका अन्य प्रणाली भन्दा पनि अनलाइन र मोबाइल बैंकिङ झन् धेरै जोखिममा रहेको छ । एटीएम त एउटा निश्चित ठाउँमा हुन्छ, सीसी क्यामेरा हुन्छ । बैंकको पनि सुरक्षा व्यवस्था हुन्छ, तर हाम्रो अनलाइन र मोबाइल बैंकिङ त हरेकको मोबाइलमा हुन्छ ।

अनि सार्वजनिक इन्टरनेटको माध्यमबाट पनि हामीले कारोबार गरिरहेका हुन्छौं । त्यसैले कसैले चाह्यो भने हाम्रो डाटा सजिलै लिन सक्छ ।  सुरक्षाका केही उपाय त अपनाइएको छ, तर जुन तहको सुरक्षा हुनुपर्थ्यो, त्यो भएको छैन ।

एक क्लिकको भरमा भुक्तानी हुन्छ, बैंक र पैसा तिर्ने अरु कार्यालयसम्म धाउनै पर्दैन भनेर प्रयोगकर्तालाई आकर्षित गर्ने काम भयो । प्रयोगकर्तालाई सचेत बनाउने काम पनि त भएन नि हैन ?

एकदमै हो । तपाईंले यो एप्लिकेशन यसरी चलाउनुपर्छ, ढंग पुगेन भने तपाईंको पैसा चोरी हुन सक्छ, तपाइँको कारण बैंक तथा वित्तीय संस्थालाई पनि असर पर्छ भनेर जानकारी दिने गरिएको छैन ।

अनि बैंकिङ प्रणाली र एटीएम ह्याक हुँदा गुमेको उपभोक्ताको पैसा बैंकले नै बेहोर्छ । तर मोबाइल बैंकिङ र अनलाइन बैंकिङका धेरै कम्पनीले भने यसरी ह्याकिङमार्फत गुमेको पैसा फिर्ता नगर्ने नियम बनाएका छन् । यो अर्को जोखिम हो । 

अन्तिममा, हाम्रा बैंक तथा वित्तीय संस्थाले हाम्रो तीनपुस्ते विवरण, इमेल, फोन र लोकेशनसम्म मागेर राखेका छन् । हाम्रो व्यक्तिगत विवरण अरु कसैले दुरुपयोग गरिरहेको हुन सक्ने खतरा कत्तिको छ  ?

हाम्रो व्यक्तिगत विवरण हाम्रा बैंक तथा वित्तिय संस्थाले सुरक्षित राखेका छैनन् । धेरै ठाउँमा सजिलै नै खातावालाको तीन पुस्ते भेटन् सकिन्छ । हाम्रा नागरिकताका फोटोकपी त धेरै ठाउँमा जथाभाबी राखिएको हुन्छ । 

केही समयअघि एकजनाले बैंकमा कसैको नागरिकताको फोटोकपी भेटाएछन्, त्यहाँ फोन नम्बर पनि रहेछ । उनले त्यै फोटोकपी र फोन नम्बरको आधारमा टेलिकममा गएर सिमकार्ड निकालेछन र अपराध गरेछन् । तर प्रहरीले बैंकमा खाता भएको निर्दोष व्यक्तिलाई समातेछ । त्यो बैंककै लापर्बाहीले भएको घटना थियो ।

हाम्रो सबै विवरण बैंकमा हुन्छ, बैंकले त्यसलाई गोप्य र सुरक्षित राख्न नसक्दा हाम्रो घर परिवारसम्म पनि पुगेर ह्याकर अथवा चोरहरुले अरु नोक्सानी गर्न सक्ने डर उत्तिकै छ ।

अन्तिम अपडेट: कात्तिक २४, २०७६

अर्जुन पोख्रेल

उज्यालोमा कार्यरत अर्जुन पोख्रेल आर्थिक विषयमा कलम चलाउनु हुन्छ।  

तपाईको प्रतिक्रिया