अनलाइन सेयर कारोबारमा खेलाँची
अनधिकृत व्यक्तिले खरिदबिक्री अर्डरसम्म तोडमोड गर्ने गरेको आशंका
काठमाडौं : नेपाल स्टक एक्सचेन्जले सञ्चालन गरिरहेको सेयरको अनलाइन कारोबार गर्ने प्रणाली जोखिमपूर्ण रहेको पाइएको छ। सञ्चालनमा रहेको कारोबार व्यवस्थापन प्रणाली (टीएमएस) र नेप्से अनलाइन कारोबार प्रणाली (नट्स) विभिन्न ७ कारणले जोखिममा रहेको अध्ययनको ठहर छ।
नेपाल धितोपत्र बोर्डले गरेको अध्ययन प्रतिवेदनको संक्षिप्त विवरणअनुसार नेपाल स्टक एक्सचेन्जको सूचना प्रविधिसँग सम्बन्धित स्थलगत निरीक्षण गर्दा सूचना प्रविधि सुशासनमा गम्भीर समस्या पाइएको हो। विशेषगरी अनधिकृत व्यक्तिले कारोबारको विवरण सजिलै हेरफेर गर्न सक्ने र मूल्यलाई सोहीअनुसार तोडमोड गर्न सक्ने अध्ययनको ठहर छ।
धितोपत्र बोर्डले सूचना प्रविधिविज्ञ सरोज लामिछानेको संयोजकत्वमा बोर्डका निर्देशकद्वय रेवत श्रेष्ठ र सानु खड्का तथा सहायक निर्देशकहरू यमनाथ अर्याल र रवीन्द्रदेव भट्ट रहेको अध्ययन समिति बनाएको थियो। सोही समितिले दिएको प्रतिवेदनमा विभिन्न ७ कारण अनलाइन कारोबारमा व्यापक जोखिम रहेको उल्लेख छ। यस्तै सुशासनका निमित्त ९ सुझाव पनि सुझाइएको छ।
बोर्डले सेयर बजार सञ्चालन क्षमताको मूल्यांकन गर्न, प्रयोगमा रहेका प्राविधिक पूर्वाधार, प्रणाली तथा मानव संशाधनलगायतका विषयको अध्ययन गर्न गत असोजमा अध्ययन समिति बनाएकामा समितिले मंसिर २५ गते बोर्डलाई प्रतिवेदन बुझाएको थियो। प्रतिवेदनमा नेपाल स्टक एक्सचेन्जको सूचना प्रविधिसँग सम्बन्धित स्थलगत निरीक्षणको प्रतिवेदनमा नेप्सेको सूचना प्रविधि सुशासनमा गम्भीर समस्या देखाइएको छ।
धितोपत्र बजारको विद्युतीय कारोबार प्रणाली (नट्स) को बिक्री तथा मर्मत सम्भार गर्ने कम्पनीको भूमिकामाथि प्रतिवेदनमा प्रश्न उठाइएको छ। खासगरी यो कम्पनीले नेप्सेले सञ्चालनमा ल्याएको डाटा सेन्टरका फायरवाल, डाटा बेस र एक्टिभ डाइरेक्टोरीजस्ता महत्त्वपूर्ण प्रणालीमा सहज पहुँच पाइएकामा त्यसमाथि प्रश्न उठेको हो। सो कम्पनीले प्रणालीमा कति समय पहुँच पाएको छ भन्ने अध्ययनमा खुलाइएको छैन। नेप्सेले लग व्यवस्थापन नगर्दा अनधिकृत व्यक्तिले कतिसम्म पहुँच र कतिसम्म तोडमोड गरिन्छ भन्ने थाहा हुन सक्दैन।
धितोपत्र बजारको विद्युतीय कारोबार प्रणालीलाई वाईको सोलुसन्सले तयार गरी धितोपत्र बोर्डलाई बिक्री गरेको हो। अहिले वाईकोले नै मर्मत सम्भारको सेवा पनि दिइरहेको छ। प्रतिवेदनले वाईकोका कर्मचारीद्वारा नेप्सेको प्रणालीमा गरिएको परिवर्तन थाहा हुने अवस्था नरहेको उल्लेख गरेको छ।
अनलाइन कारोबारमा ७ कमजोरी :
- धितोपत्र बजारको विद्युतीय कारोबार प्रणालीका २ प्रणालीहरू टीएमएस र नट्सको सञ्चालन तथा मर्मतसम्बन्धी कार्य एउटै कम्पनीले गरिरहेको छ। यसबाट प्रचलित नियमको परिपालना नभएको र स्वार्थको द्वन्द्व उत्पन्न भई कारोबारको विश्वसनीयतामा शंका उत्पन्न भएको छ।
- म्याचिङ इन्जिनजस्तो संवेदनशील प्रणालीमा अझै पनि कारोबारमा लोड ब्यालेन्स गर्न म्यानुअल कार्य गर्ने गरिएको छ। यसले गर्दा केको आधारमा र कुन स्क्रिप्टलाई कति रिसोर्स दिने भन्ने स्पष्ट दिग्दर्शन (म्यानुअल) छैन। यसले गर्दा व्यक्तिगत तजबिजका आधारमा रिसोर्स मिलान गर्दा पूर्वाग्रही हुन सक्ने देखिएको छ।
- नट्स सञ्चालनका लागि आवश्यक पूर्वाधार (पावर ब्याकअप, डेटा सेन्टर, एसी आदि) तथा डेटा रिकभरी साइटको पर्याप्त व्यवस्था नहुँदा समयसमयमा कारोबार प्रणाली अवरुद्ध भई लगानीकर्ता कारोबारबाट वञ्चित हुनु परेको छ।
- नेप्सेको सूचना प्रविधि सञ्चालन गर्न पर्याप्त कागजात, म्यानुअल र मानक सञ्चालन प्रक्रिया (एसओपी) उपलब्ध छैन। प्राविधिक सञ्चालनमा तेस्रो पक्षमा अत्यधिक निर्भरता रहेकाले व्यावसायिक जोखिम बढेको छ।
- नट्सको बिक्री तथा मर्मत सम्भार गर्ने कम्पनीले नेप्सेले सञ्चालनमा ल्याइएको डेटा सेन्टरका फायरवाल, डेटाबेस र एक्टिभ रिमभरीजस्ता महत्त्वपूर्ण प्रणालीमा सहज पहुँच पु¥याएको छ। यसबारे नेप्सेले कुनै पनि लग व्यवस्थापन गरेको छैन। यसकारण सो कम्पनीका कर्मचारीले नेप्सेको प्रणालीमा परिर्वतन गरे पनि कसैले थाहा पाउँदैन।
- डेटा माइग्रेसन प्रक्रियामा केही स्वविवेक प्रयोग गरिएको (डिस्क्रिपेन्सी) डेटा माइग्रेसन रिपोर्टले देखिएको छ। तर यसबारे अनुसन्धान गर्न कुनै लग उपलब्ध छैन। यसकारण के र कस्तो डेटा हटाइएको हो वा थपिएको हो कसैले पनि जानकारी पाउन सक्दैन।
- ब्रोकरहरूका लागि बनाइएको टीएमएस सञ्चालनका लागि आवश्यक सूचना प्रविधिसम्बन्धी पूर्वाधार निर्माणका लागि माग गरिएको प्रणालीको स्पेसिफिकेसन, परीक्षण गरिएको समयको युजर एसेप्टेन्स टेस्ट स्पेसिफिकेसन र हाल प्रयोग गरिएको पूर्वाधारको स्पेसिफिकेसनबीच तुलना गर्दा आवश्यकताभन्दा बढी क्षमता भएको पूर्वाधारको स्पेसिफिकेसन माग गरिएको पाइएको छ। यसकारण सूचना प्रविधि पूर्वाधार बनाउँदा अत्यधिक बढी खर्च लाग्ने देखाइएको अनुमान गरिएको छ।
सुझाव ९
- म्याचिङ इन्जिनको विस्तृत क्षमता परीक्षण गरी उक्त प्रणालीले हाल दैनिक हुने कारोबारको व्यवस्थापन गर्न सके नसकेको यकिन गर्नुका साथै भविष्यमा हुने कारोबारको पनि उचित व्यवस्थापन गर्न सक्ने नसक्ने यकिन गर्नुपर्ने।
- नेट्स र टीएमएसजस्तो प्राविधिक पक्षको विस्तृत कागजात तयार गरी ग्राहकलाई प्राविधिक कागजात र सेटअप म्यानुअल उपलब्ध गराउनुपर्ने। यस्ता कागजातहरूमा विस्तृत दिशानिर्देश, चार्टहरू, प्राविधिक टिप्पणीहरू र अन्य कुरा समावेश गर्नुपर्ने।
- नेप्सेले टीएमएस सञ्चालन गर्न चाहिने फाइलहरू, टीएमएस तथा एडअन, अपडेट र फायरवालमा पर्याप्त पहुँचको अनुमति आफ्नो इजाजत प्राप्त संस्थालाई उपलब्ध गराउनुपर्ने र सोको प्राविधिक कागजात र इन्स्टलेसन फाइलहरू, कुनै पनि इजाजतप्राप्त संस्थाले टीएमएस प्रणालीलाई सहजरूपमा स्थापना तथा सञ्चालन गर्नसक्ने गरी विकास गर्नुपर्ने।
- सूचना प्रविधि रणनीतिक समिति र सूचना प्रविधि कार्यान्वयन समिति बनाइनु पर्नेछ। यी समितिको भूमिका र जिम्मेवारीहरू स्पष्ट रूपमा परिभाषित भएको हुनुपर्छ। सूचना प्रविधि रणनीतिक समितिले भविष्यको सूचना प्रविधि रणनीतिक योजना विकास गर्न सक्षम हुनुपर्छ र सूचना प्रविधि कार्यान्वयन समन्वयन समितिले योजना कार्यान्वयन गरिनुपर्दछ। यी दुई समितिहरू एकअर्काबाट अलग हुनुपर्छ।
- साइबर सुरक्षासम्बन्धी घटनालाई पहिचान तथा विश्लेषण गरी प्रभावकारी रूपमा व्यवस्थापन गर्न घटना व्यवस्थापन प्रक्रियाको विकास गरिनुपर्छ।
- भीपीएनबाट नट्समा पहुँच राख्ने प्रणाली भेन्डर कम्पनीले नेप्सेको जानकारीबिना कुनै पनि समय नेप्सेको नेटवर्कमा प्रवेश गर्न सक्ने देखिएको हुनाले नेप्सेले उचित स्वीकृति दिएपछि मात्र सो कम्पनीको पहुँच हुनुपर्ने र स्वीकृत प्राप्त कार्य सम्पन्न गरेपछि तत्काल पहुँच बन्द गर्नुपर्छ।
- बीसीपी/डीआरपी कार्यविधि बनाई तत्काल पूर्णरूपमा लागू गर्नुपर्छ। व्यावसायिक आवश्यकतामा आधारित आरटीओर आरपीओको अनिवार्यरूपमा परिचालना हुनुपर्छ। यस सम्बन्धमा नेप्सेले कम्तीमा पनि आईओएससीओको मापदण्डअनुसारको आरटीओ (बढीमा २ घण्टा) हुने गरी आरटीओ र आरपीओलाई घटाउनुपर्ने।
- सिस्टम लगहरूका लागि लग व्यवस्थापन सफ्टवेयर लागू गरी साइबर खतराहरू निरन्तर रूपमा निगरानी गर्न २४÷७ सुरक्षा सञ्चालन केन्द्र लागू गर्ने र लग भण्डारण तथा व्यवस्थापन नेपाल धितोपत्र बोर्ड र नेपाल सरकारको निर्देशनअनुसार हुनुपर्ने। सबै वेब, एप्लिकेसन र डेटाबेस सर्भरहरूको अडिट लग सुरक्षित गर्न र निरन्तर अनुगमन तथा समीक्षा गर्न आवश्यक छ। कम्तीमा आईपी ठेगाना, इन÷आउट समय, प्रयोगकर्ता विवरण, गरिएको गतिविधि, लगइन् असफल प्रयासहरू राख्नुपर्ने र प्रणालीमा निर्दिष्ट अवधिको लागि भण्डारण गर्नुपर्ने जसले कुनै पनि प्रकारको फरेन्सिक अडिट गर्दा सहयोग मिल्नेछ।
- नेप्सेको नेट्स र नेटवर्कमा विभिन्न समयमा हुने प्रणालीगत परिवर्तनलाई व्यवस्थापन र नियन्त्रण गर्न चेन्ज म्यानेजमेन्ट प्रक्रियाको अभलिेख राख्नुपर्छ। परिवर्तनको प्रभावकारिता मूल्यांकन गर्न र नेटवर्क तथा प्रणाली सञ्चालनमा सम्भावित अवरोध कम गर्न परिवर्तन नियन्त्रण प्रक्रिया लागू गर्नुपर्ने।