जोखिममा डिजिटल बैंकिङ
काठमाडौं १४ भदौ २०७६ : चिनियाँ ह्याकरले एटीएम ह्याक गरी नेपाल र भारतबाट करिब ३ करोड ५८ लाख रुपैयाँ चोरी गरे। नबिल बैंकका सुरक्षागार्डको चलाखीले केही अपराधी समातिए। पाँच चिनियाँ नागरिक र एक चिनियाँमूलका फ्रान्सेली नागरिकलाई प्रहरीले पक्राउ गर्यो। नेपाल आएका दुई र भारतबाट पैसा निकाल्ने अरू थुप्रै व्यक्ति अनुसन्धानको घेरामा आउन सकेका छैनन्। यो घटनामा प्रभु बैंकले २ करोड ४५ लाख, ग्लोबल आईएमईले ४६ लाख, सनराइजले २५ लाख, माछापुच्छ«ेले २१ लाख, एनआईसी एसियाले १७ लाख, सिटिजन्सले ३ लाख ४५ हजार र जनताले २ लाख रुपैयाँ गुमाए। त्यसमध्ये १ करोड २६ लाख स्वदेशी र थप ५० लाख रुपैयाँजति विदेशी पैसा बरामद भएको छ।
७ असोज २०७६ : कृषि विकास बैंकको ट्रेजरीबाट ४ करोड ७३ लाख ९६ हजार रुपैयाँ विभिन्न व्यक्ति र संस्थाको खातामा रकमान्तर गरी लुट्ने प्रयास भयो। उक्त घटनामा पिटर नामका व्यक्तिले भारतमा बसेर नेपाली नागरिकलाई प्रयोग गरी ५ अर्ब लुट्ने योजना बनाएको प्रहरीले जनाएको छ। प्रहरीले अन्य अभियुक्तलाई समाते पनि पिटरसँग उनीहरूको सम्बन्धबारे अनुसन्धान अधिकृत स्पष्ट हुन सकेका छैनन्।
विगतमा पनि दर्जनौं पटक विदेशी नागरिकले नेपालका एटीएम बुथबाट पैसा चोरी गरेका थिए। उच्चस्तरीय प्रविधि प्रयोग गरी एकैपटक ठूलो परिमाणमा पैसा लुट्ने प्रवृत्ति देखिएको छ। साइबर सुरक्षाका जानकार विवेकशमशेर राणा हालैका घटनाबाट ‘काल पल्किएको’ आभास भएको बताउँछन्। ‘अब काल पल्किएको छ’, उनी भन्छन्, ‘हामी यसप्रति सचेत हुन जरुरी छ।’
साइबर सुरक्षा यो दशककै जटिल समस्या बनेको छ। अन्तर्राष्ट्रिय मुद्रा कोष (आईएमएफ)ले गत वर्ष एक प्रतिवेदनमा हरेक वर्ष विश्वभरका बैंकले १ खर्ब डलर साइबर हमलामा गुमाउने गरेको जनाएको थियो। उक्त रकम नाफाको ९ प्रतिशत हुने आईएमएफको आँकडा छ।
उत्तर कोरियाले उच्चस्तरका साइबर आक्रमणबाट २ अर्ब डलर आम्दानी गरेको समाचार अन्तर्राष्ट्रिय समाचार संस्था रोयटर्सले २१ साउनमा प्रकाशन गर्यो। संयुक्त राष्ट्रसंघको एउटा गोप्य प्रतिवेदन उद्धृत गर्दै प्रकाशित समाचारमा विध्वंशकारी हतियार बनाउन विश्वभरका बैंक र बिटक्वाइनजस्ता क्रिप्टोकरेन्सीका एक्सचेन्जमाथि हमला गरेर रकम जुटाइरहेको उल्लेख छ।
सन् २००१७ मध्यतिर विश्वभर एकै प्रकृतिको साइबर हमला भएको थियो। कम्प्युटर प्रणालीमा एकै किसिमको भाइरस पठाएर ३०० डलर फिरौती नतिर्दासम्म उक्त कम्प्युटर नखुल्ने समस्या देखियो। थुपै्र बैंक, तेल उत्पादन कम्पनी, औषधि कम्पनी, यातायात र स्वास्थ्य सेवा दिने कम्पनीदेखि साना व्यवसायीसम्म त्यसको मारमा परे। अमेरिकी राष्ट्रिय सुरक्षा निकायले माइक्रोसफ्टको प्रणालीमा कमजोरी पत्ता लगाएर आतंककारीविरुद्ध ह्याकिङ गर्न प्रयोग गर्दै आएको ‘प्रोग्राम’ विकिलिक्समार्फत चुहिएको बीबीसीले उल्लेख गरेको छ। ‘वानाक्राई’ भनिने उक्त भाइरसका कारण संसारका ९९ भन्दा बढी देशमा हमला भएको थियो।
छैन वित्तीय शिक्षा
हरेक एटीएम बुथमा २४ सै घन्टा सुरक्षागार्ड राख्नुपर्ने, एक दिनमा ६० हजार रुपैयाँभन्दा बढी निकाल्न नपाइने व्यवस्था राष्ट्र बैंकले गरेको छ। यस्तै, बैंकहरूले सूचना–प्रविधि अडिट समयमै गर्नुपर्ने र सफ्टवेयर प्रणाली स्तरोन्नति गर्नुपर्ने, पूर्वसूचना दिन सक्ने खालका प्रणाली राख्नुपर्ने, भुक्तानी सेवा दिने संस्थाले वैकल्पिक सर्भर राख्नुपर्नेजस्ता व्यवस्था गरिएको छ। तर, प्रयोगकर्तालाई डिजिटल बैंकिङमा कसरी अभ्यस्त बनाउने भन्नेमा केन्द्रीय बैंकले ध्यान दिएको छैन। निक्षेपकर्ताको ३२ खर्बभन्दा बढी पैसा बोकेका बैंक तथा वित्तीय संस्था पनि यसप्रति सचेत बनेका छैनन्।
बैंकहरूले नाफाको एक प्रतिशत रकम वित्तीय सचेतनामा खर्च गर्नुपर्ने व्यवस्था छ। यस्तो रकम नियमित विज्ञापन र केही प्रवद्र्धनात्मक गतिविधिमा खर्चिंदै आएको छ। ग्राहकलाई वित्तीय प्रविधि उपयोगबारे भने सिकाउन नसकेको राष्ट्र बैंकका अधिकारी स्वीकार गर्छन्। ‘ग्राहकलाई बैंकको सेवा कसरी लिने भनेर बैंकहरूले पनि सिकाउनुपर्छ’, राष्ट्र बैंकको भुक्तानी प्रणाली विभागका कार्यकारी निर्देशक बमबहादुर मि श्र भन्छन्। भारतमा रिजर्भ बैंकले कार्ड, मोबाइल बैंकिङ, इन्टरनेट बैंकिङ, पीओएस मेसिनको प्रयोगजस्ता विषय सर्वसाधारणलाई सिकाउन प्रवद्र्धनात्मक कार्यमा ठूलो रकम खर्च गर्छ।
वार्षिक ३० अर्ब हाराहारीमा नाफा कमाउने राष्ट्र बैंकले आधुनिक डिजिटल प्रणालीमा सुरक्षित कारोबार कसरी गर्ने भनेर सिकाएको छैन। कार्यकारी निर्देशक बमका अनुसार राष्ट्र बैंकले त्यस्ता काम थाल्ने योजना बनाइरहेको छ। ‘भारत र अरू मुलुकमा पनि यस्ता कुरा सिकाइन्छ’, उनी भन्छन्, ‘अब हामी पनि त्यो काम गर्छौं।’ रकम भुक्तानीको डिजिटल प्रयोगमा अभ्यस्त नभएका नेपालीलाई भुक्तानी प्रणालीबारे जानकारी दिने योजना बनाउँदै गरेको उनी सुनाउँछन्।
त्यसो त गभर्नर डा. चिरञ्जीवी नेपालले नाफामा मात्रै ध्यान नदिएर साइबर सुरक्षामा लगानी बढाउन बैंकहरूलाई आग्रह गरेका छन्। बैंकहरूले आफैं लगानी नबढाए कानुनी व्यवस्थाबाटै बाध्य पार्न आफू तयार रहेको उनी बताउँछन्। उनको ध्यान प्रयोगकर्तालाई विद्युतीय भुक्तानीको सुरक्षित विधि सिकाउनेभन्दा प्रविधि खरिदमै बढी केन्द्रित छ। प्रहरी अधिकारी भने प्रयोगकर्ताको कमजोरीको फाइदा उठाएर ह्याकरले चोरी गर्न सजिलो भएको बताउँछन्।
स्मार्ट च्वाइस टेक्नोलोजीका वरिष्ठ प्रबन्धक दीपेश मास्के पनि प्रविधि पछ्याउँदै जाँदा जोखिम बढ्ने बताउँछन्। बैंकका कर्मचारी र ग्राहक दुवै खाले प्रयोगकर्तालाई सुरक्षित प्रविधि प्रयोगको ज्ञान बाँड्नुपर्ने उनी बताउँछन्। यो संस्थाले एससीटी सञ्जालका रूपमा विभिन्न बैंकलाई कार्ड सुविधा दिँदै आएको छ।
एक वर्षअघि भारतको कसमस बैंकबाट एटीएममार्फत ९ करोडभन्दा बढी चोरी भएको घटना सम्झँदै उनी भन्छन्, ‘नेपालमा अझै ३–४ लाखको संख्यामा म्याग्नेटिक स्ट्राइप (एमएस) कार्ड छन्। त्यसलाई तत्काल चिप कार्डले प्रतिस्थापन गर्न जरुरी छ।’
असावधानीका असर
राष्ट्र बैंकले २०७३ माघमै २०७४ असारभित्र ग्राहकलाई चिपमा आधारित कार्ड वितरण गरिसक्न भनेको थियो। सबै एटीएम मेसिनसमेत २०७४ पुसभित्र चिप कार्ड ग्रहण गर्ने र कारोबार गर्ने गरी स्तरोन्नति गर्न उसले निर्देशन दिएको थियो। उपत्यकाबाहिरका थुप्रै एटीएम बुथमा अझै चिप कार्ड चल्दैनन्। केही बैंकले चिप प्रविधिमा कार्ड जारी गरेका छैनन्। बैंकहरूको यस्तो ‘मिचाहा प्रवृत्ति’ले पनि जोखिम बढेको राष्ट्र बैंकका अधिकारी बताउँछन्। कार्यकारी निर्देशक मि श्र पनि बैंकहरूले ग्राहक र बैंकको सम्पत्ति रक्षा गर्न आवश्यक प्रबन्ध आफैं गर्नुपर्नेमा त्यसो नभएको बताउँछन्। ‘हरेक कुरा राष्ट्र बैंकले भनिदिनुपर्ने, भनेको पनि पालना नगर्ने समस्या छ’, उनी भन्छन्, ‘बच्चालाई हात धोऊ, खाना खाऊ, ब्रस गर भनेजस्तै हरेक कुरा भनिरहनुपर्ने अवस्था हाम्रो मुख्य चुनौती हो।’
एटीएम मेसिनमा सीसी क्यामेरा राखिए पनि त्यसको अनुगमन प्रभावकारी हुन नसकेको र केन्द्रीय अनुगमन प्रणाली नभएको सूचना–प्रविधिका जानकार बताउँछन्। विश्लेषक नारायण कोइरालाका अनुसार केही वर्षअघिसम्म सहरी क्षेत्रकै एटीएम मेसिनमा तस्बिर पहिचानै गर्न नसक्ने क्यामेरा राखिएको थियो। सहरोन्मुख इलाकामा क्यामेराको हालत त्यस्तै रहेको र कतिपय त चल्दै–नचल्ने जानकार बताउँछन्। यस्तो अवस्थामा ह्याकरले गुप्त क्यामेरा राखेर सजिलै अर्काको पासवर्ड चोर्न सक्ने र कार्ड क्लोन गर्न (नक्कली निकाल्न) सक्ने मास्के बताउँछन्।
ठगीको पूर्वसूचना दिने प्रणाली अभाव, पुराना प्रविधिप्रतिको निर्भरताजस्ता कुराले पनि नेपाली वित्तीय प्रणालीलाई जोखिमको घेराबाट बाहिर ल्याउन नसकेको विज्ञको ठम्याइ छ। पर्याप्त सुरक्षा प्रबन्ध नगरीकनै सेवाप्रवाह गर्ने गरिएकाले चोरीको जोखिम अझ बढेको उनीहरूको भनाइ छ। कतिसम्म भने १७ वटा बैंकको निक्षेपकर्ताको पैसा भुक्तानी गर्न सक्ने अख्तियारी बोकेको नेपाल इलेक्ट्रोनिक पेइमेन्ट सिस्टक (नेप्स)ले पनि ‘सेकेन्डरी सर्भर’ नै नराखी काम गरिरहेको राष्ट्र बैंकका अधिकारीको भनाइ छ।
सूचना–प्रविधि अडिट हुँदा राष्ट्र बैंकका अधिकारीले पनि त्यसलाई बेवास्ता गरेको जानकार बताउँछन्। यस्तो वैकल्पिक सर्भर नहुँदा फरेन्सिक अनुसन्धानले पनि ह्याकिङको यथेष्ठ जानकारी हासिल गर्न नसक्ने विज्ञ बताउँछन्। ‘लगइनका विवरण वैकल्पिक सर्भरमा भण्डारण हुने भएकाले कहाँबाट कसरी ह्याक भयो भन्ने थाहा पाइन्थ्यो’, एक बैंकर भन्छन्, ‘तर, त्यस्तो प्रणाली नभएकाले समस्या भयो।’
त्यसो त बैंकहरूले नेप्सको सर्भर ह्याक भएपछि पनि आआफ्नो एटीएम नियमित राख्दा ह्याकरलाई बैंकका थप विवरण र ग्राहकको खातासम्म पहुँच पाउन सजिलो भएको हुन सक्ने आशंका बैंकरको छ। ‘ह्याक भएपछि हामीले त्यो स्विच बन्द गर्नुपथ्र्यो तर चालू राख्यौं’, ती बैंकर भन्छन्, ‘यसले गर्दा कति विवरण कपी गर्न ह्याकर सफल भए भन्ने पनि हामीलाई थाहा नहुने भयो।’ वैकल्पिक सर्भर भए त्यस्ता जानकारी पछि पनि पाइन सक्थ्यो। तर त्यसो नभएर राष्ट्र बैंकले हालै मात्र नेप्सलाई वैकल्पिक सफ्टवेयर राख्न निर्देशन दिएको छ।