समन्त आचार्य
गत साता चिनियाँ ह्याकरले नयाँ प्रविधि प्रयोग गरी काठमाडौंबाट करोडौं रुपैयाँ निकालेका थिए। बिदाको दिन शनिवार पारी उनीहरूले अनधिकृत रूपमा एटीएम (अटोमेटेड टेलर मेसिन) कार्डबाट ठूलो रकम झिक्न सफल भएका थिए। प्रहरीले उनीहरूलाई दरवारमार्गबाट पक्राउ परेपछि नेपालमा बैंकिङ क्षेत्रमा देखिएका सुरक्षा प्रणालीबारे बहस शुरु भएको छ।
यसअघि यूरोपेली ह्याकरले एटीएम बुथमा स्किमर र क्यामरा प्रयोग गरी प्रयोगकर्ताको डाटा चोरी गरी पैसा निकाल्ने गरेका थिए। चिनियाँ ह्याकरले भने स्वीच प्रणालीमा गडबडी गरी रकम निकालेका थिए।
सन् १९३९ मा सिटी बैंक अफ न्यूयोर्कमा स्थापना गरिएको एटीएम बन्द गरियो। न्यूयोर्कका बासिन्दाले यसको प्रयोग गर्न मानेनन् वा जानेनन्। सर जोन सेफर्ड ब्राउनले हाल प्रचलनमा रहेको एटीएम सन् १९६५ मा बनाए। त्यसको प्रयोग नर्थ लन्डनको एक बैंकमा सन् १९६७ मा गरियो।
लन्डनमा एटीएमको सफल प्रयोग गरिएको करिब २८ वर्षपछि नेपालको हिमालयन बैंकले सन् १९९५ मा एटीएमको शुरुवात गरेको हो। हाल नेपालमा एटीएमको प्रयोग शुरु भएको पनि करिब २४ वर्ष भयो। यो अवधिमा एटीएमको प्रयोगमा समस्या देखिएका छन्। विश्वव्यापी रूपमा कार्डको बढ्दो प्रयोगले यसका चुनौती पनि त्यत्तिकै देखा परिरहेका छन्। नगद कारोवार र त्यसमा अन्तरनिहित जोखिमको न्यूनीकरणमा एटीएम कार्डको भूमिका महत्वपूर्ण छ। सूचना प्रविधिमा भएको व्यापक विकाससँगै यसको दुरुपयोग र अनधिकृत प्रयोग ठूलो चुनौतीका रूपमा देखापरेको छ।
एटीएमको कार्य प्रणाली
सबै एटीएम मसिन बैंकसँग जोडिएका हुन्छन्। बैंकले आफ्ना ग्राहकहरूको मागअनुुसार उनीहरूको खातामा आबद्ध गरी एटीएम कार्ड प्रदान गर्दछ। कार्डका साथै पिनकोड पनि बैंकले प्रदान गर्दछ। कार्ड र पिनकोडको प्रयोग गरेर एटीएम मसिनबाट पैसा निकालिन्छ।
त्यसैगरी पस मेसिनबाट भुक्तानी गरिन्छ, एटीएम र पस मसिनबाट हुने कारोवार प्राविधिक रूपमा उस्तै हुन्। मात्र फरक के भने एटीएमबाट नगद निकालिन्छ, पसबाट भने एक खाताबाट अर्को खाताम रकम पठाइन्छ र भुक्तानी गरिन्छ। त्यसैले पस मसिन डिपार्टमेन्टल स्टोर र होटलमा प्रायः प्रयोग हुन्छन्। प्राविधिक रूपमा भने विभिन्न चरणमा पार गरेपछि मात्र एटीएम वा पस मसिनबाट पैसाको कारोवार सफल हुन्छ। 
जस्तै कुनै ‘क’ बैंकले जारी गरेको एटीएम कार्ड कुनै अर्को बैंक ‘ख’को एटीएम मसिनमा प्रयोग गरियो भने एटीएममा दिइएको निर्देशन, कार्ड र यसमा भएका सुरक्षाको जाँच गर्न उक्त मसिन आबद्ध रहेको स्वीच सिस्टममा जान्छ। त्यसपछि उक्त कार्डको नेटवर्क अर्थात् पेमेन्ट प्रोसेसर जस्तै भिसा, मास्टर कार्ड, अमेरिकन एक्सप्रेस, यूपीआई आदि प्रयोग भएको कार्डको सञ्जालमा निर्देशन पठाइन्छ र उक्त कार्ड जारी गरिएको बैंक आबद्ध रहेको स्विच सञ्जालमा पुनः निर्देशन पठाइन्छ।
यसको जाँचपछि बैंकको स्वीचले प्रयोग भएको कार्ड ‘क’को बैंकको सिस्टममा पठाउँछ र उक्त ग्राहकको खातामा माग गरिएको रकम घटाएर माग गरेको रकम भुक्तानी गर्न निर्देशन दिन्छ। तत्पश्चात् ग्राहकले माग गरेको रकम एटीएम मसिनबाट प्राप्त गर्दछन्। सामान्यतया सबै प्रकारका एटीएमको कार्य गर्ने प्राविधिक नियम यही हो।
एटीएममा चोरी हुने तरिका
प्रविधिको विकाससँगै यसको दुरुपयोग पनि बढ्दो छ। चोरहरू पनि आधुनिक प्रविधिको प्रयोगमा अभ्यस्त हुँदै गएका छन्। त्यसैले नै चोरीका तरिकामा पनि विकास भएको पाइन्छ। यही विकास क्रमका आधारमा पनि एटीएममा हुने गरेका चोरीलाई पाँच प्रकारमा विभाजन गर्न सकिन्छ।
एटीएम मसिनमा तोडफोड
यस प्रकारको लुट जुनकुनै देशमा पनि हुने गर्दछ। प्रायः प्रहरी प्रशासनको पहुँच कम भएका ठाउँमा यस प्रकारले चोरी भएको देखिन्छ। अफ्रिका र एशियाका अल्पविकसित देशहरूमा यस प्रकारका एटीएम लुट हुने गरेको पाइएको छ।
यस प्रकारको लुटको सुरक्षा गर्न, भौतिक सुरक्षा मजबुत गर्नुपर्छ। सीसीटीभीको निगरानी, सुरक्षा गार्डको व्यवस्था, प्रहरी प्रशासनको पहुँच र समन्वयले यस प्रकारका चुनौतीको न्यूनीकरण गर्न सकिन्छ।
एटीएम कार्डको सुरक्षा विवरण चोरी नक्कली कार्ड प्रयोग गर्नु
एटीएम कार्डमा भएका सुरक्षा जस्तै कार्ड नम्बर, पिन कोडका साथै म्याग्नेटिक स्ट्राइपमा भएका विरण (नाम, पान नम्बर, जन्ममिति आदि) साथै चिपमा रहेका सुरक्षा कोड पनि चोरी गरी त्यस्तै नक्कली कार्ड बनाइन्छ। यस प्रकारका सुरक्षा कोड चोरी गर्न विभिन्न उपाय अपनाइन्छ, जस्तै कार्ड स्किमरको प्रयोग। विभिन्न आकार प्रकारका कार्ड स्किमरको प्रयोग गरी कार्डमा रहेका डेटा चोरी गरिन्छ। त्यस्तो स्किमर एटीएम मसिनमा नै जडित गरेर होस् वा कार्ड प्रयोगकर्ताको नजिक मात्र लगेर पनि यस्तै प्रविधिका स्किमर मसिनले डेटा चोरी गर्न सक्छन्।
पिनकोड चोरी सामान्यतया प्रयोगकर्ताले गरेको प्रयोग नियालेर वा क्यामरामा रेकर्ड अनधिकृत रूपमा गरेर वा नक्कली की–प्याड राखी त्यसमा टाइप गरेको रेकर्ड गरेर गरिन्छ। कार्ड प्रिन्ट गर्ने संस्था, पिन जेनरेट गर्ने संंस्थाबाट पनि यस प्रकारमा सुरक्षा प्रणालीको नियन्त्रणबाट पनि डेटा चोरी हुने सम्भावना रहन्छ। त्यसैले कार्ड राख्दा, पिनकोड र कार्ड सँगै एकै व्यक्तिलाई जिम्मा दिनु पनि जोखिम हुन्छ। जे होस् यी संवेदनशील डेटाका आधारमा नक्कली कार्ड बनाइन्छ र यसको अनधिकृत प्रयोग गरिन्छ।
यस प्रकारका कार्डको डाटाको सुरक्षा ग्राहक आफैंले पनि गर्नुपर्छ। जस्तै कार्डको प्रयोग गर्दा होस् वा कार्ड राख्दा होस् आफ्नो कार्डको संवेदनशील डेटाको सुरक्षा गर्नु आवश्यक छ। बैंकले पनि आफ्ना मसिनहरूमा स्किमर, नक्कली की–प्याड वा जासुसी क्यामरा भए नभएको नियमित निरीक्षण गर्नुपर्छ। साथै कार्ड र पिन प्रिन्ट गर्दा पनि सुरक्षा संवेदनशीलताको ख्याल गर्नुपर्छ। सुरक्षा संवेदनशीलतालाई नियमन गर्न जारी गरिएका नियम कानुनको पालन, अनुगमन र निरीक्षण गर्नाने यस प्रकारका जोखिम न्यूनीकरण गर्न सकिन्छ।
एटीएम मसिन ह्याक गर्नु
एटीएम मसिनमा रहेको प्रणाली नियन्त्रणमा लिई यसको प्रणालीलाई आफूले भनेअनुसार चलाउनुलाई एटीएम ह्याक वा एटीएम ज्याकपटिङ भन्ने गरिन्छ। एटीएमलाई आफ्नो नियन्त्रणमा लिएर क्यासिनोको ज्याकपट मसिनमा जस्तै सबै पैसा निकाल्ने भएकाले यसखाले ह्याकलाई एटीएम ज्याकपटिङ भनिन्छ। 
यसरी एटीएमलाई नियन्त्रणमा लिन एटीएमको सञ्जालमा आफ्ना अनधिकृत सफ्टवेर अर्थात् मालवेर राखी त्यसको सहायताले एटीएममा भए जति रकम नियन्त्रणमा लिइन्छ। यो आधुनिक र परिष्कृत प्रकारको चोरी हो। यसमा कुशल प्राविधिक क्षमताको आवश्यकता पर्दछ।
एटीएम मसिनमा अनधिकृत पहुँच हुनबाट नियन्त्रण गर्नुपर्छ। आवश्यक पोर्टहरूमात्र प्रयोग गर्नु, आधिकारिक व्यक्तिहरूलाई मात्र एटीएमको पहुँच दिनु, एटीएम सञ्जालमा सुरक्षा संयन्त्र राख्नु र सञ्जाल सुरक्षित गर्नु पर्छ। ज्याकपटिङ, भाइरस, मालवेरलाई रोक्ने सुरक्षाप्रणालीहरू प्रयोग गरेर यस प्रकारका जोेखिम न्यूनीकरण गर्न सकिन्छ।
एटीएम आबद्ध स्वीच ह्याक गर्नु
एटीएम आबद्ध रहेको स्वीच सिस्टममा अनधिकृत पहुँच पुर्याई नियन्त्रणमा लिने र स्वीचलाई आफूले भनेअनुसार काम गर्न लगाइ गरिने ह्याकलाई स्वीच ह्याक भनिन्छ। यो अत्यन्त जटिल तथा कुशलता भएका प्राविधिक व्यक्ति या समूहद्वारा गरिन्छ। यस प्रकारको ह्याकमा धेरै एटीएमहरू प्रभावित हुन्छन्। त्यसैले पनि यसमा ठूलो जोखिम अन्तरनिहित हुन्छ।
एटीएम स्वीच रहेको संस्थाको सुरक्षा प्रणाली मजबुत हुनपर्छ। राष्ट्रिय तथा अन्तर्राष्ट्रिय नियामक निकायले जारी गरेका नियम पूर्णतः पालना गर्नुपर्छ। आफ्नो सुरक्षा संयन्त्रको आवधिक अनुगमन गर्ने र कुनै कमजोरी पाइएमा त्यसको समयमै निराकरण गर्ने, सिस्टम अडिट गर्ने र त्यसले औंल्याएका सुरक्षा जोखिमको समाधान तुरुन्त गर्ने, नयाँ नयाँ जोखिमको अनुसन्धान गर्ने र आफ्नो सिस्टम मजबुत गर्ने, अन्य मुलुकमा भए गरेका जोखिमको अध्ययन गरी त्यसको सम्भाव्यता आँकलन गरी समयमै आफ्नो सिस्टमको क्षमता अभिवृद्धि गर्नुले यस प्रकारको जोखिम न्यूनीकरण गर्न सहयोग पुग्छ। 
पेमेन्ट प्रोसेसर ह्याक गर्नु
एटीएम आबद्ध पेमेन्ट प्रोसेसरको प्रणालीमा अनधिकृत पहुँच पुर्याई नियन्त्रणमा लिने र स्वीच तथा एटीएममा आफूले भनेअनुसार काम गर्न निर्देशन दिई गरिने ह्याकलाई पेमेन्ट प्रोसेसर ह्याक भनिन्छ। यो अत्यन्त जटिल तथा कुशलता भएका प्राविधिक व्यक्ति वा समूहद्वारा गरिन्छ। यस प्रकारको ह्याकमा धेरै देशका एटीएम सञ्जाल नै प्रभावित हुन्छन्। त्यसैले पनि यसमा अत्यन्त ठूलो जोखिम रहन्छ।
पेमेन्ट प्रोसेसर संस्थाको सुरक्षा प्रणाली मजबुत हुनुपर्छ। राष्ट्रिय तथा अन्तर्राष्ट्रिय नियामक निकायले जारी गरेका नियम पूर्णतः पालन गर्नुपर्छ। आफ्नो सुरक्षा संयन्त्रको आवधिक अनुगमन गर्ने र कुनै कमजोरी भएमा त्यसको समयमै निराकरण गर्ने, सिस्टम अडिट गर्ने र त्यसले औंल्याएका सुरक्षा जोखिमको समाधान तुरुन्त गर्ने, नयाँ जोखिमको अनुसन्धान गर्ने र आफ्नो सिस्टम मजबुत गर्ने, नयाँ प्रविधिको विकास गर्ने र त्यसको प्रयोग तुरुन्त गर्नाले यस प्रकारका जोखिम कम गर्न सकिन्छ।
एटीएम र यस प्रविधिको विकास भएसँगै नयाँ नयाँ जोखिम देखिँदै गएका छन्। जोखिम न्यूनीकरण गर्न कुनै एक निकायमात्र पर्याप्त नहुन सक्छ। माथि व्याख्या गरिए जस्तै एटीएम सञ्चालक, बैंक, स्वीच सञ्चालक संस्थाहरू, पेमेन्ट प्रोसेसर निकायहरूका साथै कार्ड बनाउने संस्था, पिन प्रिन्ट गर्ने निकाय, कार्ड प्रयोग गर्ने व्यक्ति सबैको आ–आफ्नो भूमिका महत्वपूर्ण रहन्छ।
त्यसैले हाल भएको एटीएम ह्याक प्रकरणमा पनि कुनै एक निकायलाई दोष दिनुभन्दा सबै सम्बन्धित निकायले आ–आफ्नो सुरक्षा प्रणाली मजबुत बनाउने र एक अर्कालाई सहयोग गरेर यस प्रकारका संगठित अपराधको सामना गर्नु आजको आवश्यकता हो।
(आचार्य एक दशकदेखि बैंकमा सूचना प्रविधि र प्रविधि सुरक्षाअन्तर्गत कार्यरत छन्।)
प्रतिक्रिया दिनुहोस !
