स्वीफ्ट ह्याक प्रकरणले पाठ सिकायोः सीइओ रिसाल
तिहार विदाको बेला ह्याकरले एनआइसी एशिया बैंकको स्वीफ्ट ह्याक गरी साढे ४६ करोड रुपैयाँ चोरी गर्ने प्रयास गर्यो । तर, बैंकले समयमै थाहा पाएका कारण ह्याकरले पठाएकोमध्ये ठूलो रकम भुक्तानी हुन पाएन । पेमेन्ट अर्डर भएकोमध्ये पनि करिब ७० प्रतिशत रकम फिर्ता भइसकेको छ । अब ६ करोड ४० लाख रुपैयाँमात्रै फिर्ता हुन बाँकी छ । स्वीफट ह्याक गरी चोरी भएको नेपालमा पहिलो घटना हो । कसरी बैंकको स्वीफ्ट ह्याक भयो ? र, यसले बैंकलाई कस्तो असर पर्यो ? भन्ने विषयमा केन्द्रित रहेर बैंकका प्रमुख कार्यकारी अधिकृत (सीइओ) लक्ष्मण रिसालसँग क्लिकमाण्डूले गरेको कुराकानीः
किन एनआइसी एशिया बैंककै स्वीफ्ट ह्याक भयो ?
ह्याकरहरुले विभिन्न बैंकहरुमा लगातार ह्याक गर्ने प्रयास गरिरहेका हुन्छन् । यसअघि पनि ह्याकरहरुले प्रयास गरिरहेका थिए । ह्याकरहरुले मालवेर पठाएर स्वीफ्ट अपरेटको इमेल र युजर नेम ह्याक गर्न सफल भए । तब पेमेन्टका लागि अर्डर दिए ।
सिस्टम बन्द गरेर बैंक सबै कर्मचारीहरु घर गइसकेपछि ह्याकर प्रवेस गरेको देखिन्छ । तिहारको विदा थियो । तर, बैंकमा काम भएकाले कर्मचारीहरु विदाको दिन पनि कार्यालय आए । एलसी म्यासेज ट्रान्सफर गर्न खोज्दा स्वीफ्ट लग इन भएन । र, हेर्दै जाने क्रममा स्वीफ्टमाफत धमाधम अर्डर गइरहेको भेटियो । त्यसपछि स्वीफ्ट सिस्टम डाउन गरेर ब्याकअप सफ्टवेर खोलेर भोलिपल्ट हेर्दाखेरी साढे ४६ करोडको चोरी प्रयास भएको पत्ता लाग्यो । यो थाहा पाउने वित्तिकै हामीले पेमेन्ट नगर्न विभिन्न बैंकहरुलाई इमलेल गर्यौं । शनिबार र आइतबार विदेशतिर विदा हुने भएकाले धेरै भुक्तानी भइसकेको रहेनछ । र, थप नोक्सन हुनबाट जोगियो । घटना थाहा पाउनेवित्तिकै एउटा टिम भुक्तानी रोक्न र फिर्ता गर्न खट्यो । २/३ दिन थाहा पाएको भए थप पैसा भुक्तानी हुने थियो ।
ह्याकरले ३१ वटा अर्डरको प्रयास गरे । तर, हाम्रो सिस्टमले नै ९ वटा अर्डर रोकेको छ । बाँकी २२ वटा पेमेन्ट अर्डर सफल भएको देखिन्छ ।
यो प्रकरणले बैंकलाई कस्तो असर पुर्यायो ?
हामीले समयमै थाहा पाएका कारण आर्थिकरुपमा भने बैंकलाई पुग्नेगरीको असर हुन पाएन । धेरै रकम रोक्न सफल भयौं । अर्डर भइसकेको पनि धेरै रकम फिर्ता भइसकेको छ । आजको दिनको कुरा गर्दा अब जम्मा ६ करोड ४० लाख रुपैयाँ मात्रै फिर्ता हुन बाँकी छ । यो रकम पनि फिर्ता हुने प्रक्रियामा छ । हामीलाई विश्वास छ यो सबै रकम फिर्ता हुन्छ । किनभने हामीलाई जहाँबाट फिर्ता हुँदैन कि भन्ने बढी डर लागेको थियो, त्यहाँबाट फिर्ता भइसकेको छ ।
हामीकहाँ आइटीमा गरिएको खर्चलाई खर्चका रुपमा हेर्ने मानसिकता पनि छ । जसकारण समयमै सजगता अपनाउन कठिन छ ।
हामीलाई टर्कीमा गएको १ करोड ७५ लाख रुपैयाँ फिर्ता हुँदैन कि भन्ने डर थियो । त्यो फिर्ता हाइसकेको छ । अब जापान, अमेरिका, बेलायतजस्ता देशमा गएको पैसा फिर्ता हुन बाँकी छ । यो सम्पत्ति सुद्धीकरणसम्बन्धी विषय भएकाले ती देशले गंभीररुपमा लिएर फिर्ता गर्छन् । किनभने ती देशहरु यस्तो विषयमा निकै धेरै संवेदनशील छन् । बैंकलाई वित्तीयरुपमा खासै नोक्सानी नभए पनि बैंकको रेपुटेशनमा भने केही असर पारेको छ ।
यो घटनाले कस्तो पाठ सिकायो ?
आइटी सेक्युरिटीमा लगानी बढाउँदै जानु पर्यो, टेक्नोलोजीहरु अपग्रेड गर्दै जानु पर्यो । सुरक्षाका चेतनाहरु व्यापकरुपमा फैलाउनु पर्यो । यस्ता घटनाहरु रोक्न सचेतना बढी आवश्यक देखिन्छ ।
सेक्युरेटी जसरी अपग्रेड हुँदै जान्छ, ह्याक गर्ने गिरोह पनि त्यसरी नै अपग्रेड हुुँदै गइरहेका हुन्छन् । विकसित देशहरुमा पनि विभिन्न समयमा विभिन्न किसिमका ह्याकिङ भएका खबरहरु पढ्न पाइरहका छौं । एक्सपोर्टहरुलाई समय समयमा सिस्टमको समिक्षा गर्न लगाउनु पर्छ । जसबाट सिस्टममा के कस्ता कमी कमजोरीहरु देखिइरहेका छन् । र, त्यहाँबाट अपराधीहरु छिर्न नदिन के गर्ने भनेर सल्लाह सुझाब लिएर सोही अनुसार काम गर्नुपर्छ । अहिले त हामीले त्यस्ता एक्सपोर्टहरु बैंकमा राख्न पनि सक्दैनौं । र, हाम्रोजस्तो देशमा त्यस्ता एक्सपोर्टहरुको पनि अभाव छ ।
यी कुराहरु गर्नुपर्छ भनेर पहिला पनि थाहा नभएका भने होइनन् । तर, हामीकहाँ आइटीमा गरिएको खर्चलाई खर्चका रुपमा हेर्ने मानसिकता पनि छ । जसकारण समयमै सजगता अपनाउन कठिन छ । तर, यो घटनाले एनआइसी एशियालाई मात्रै नभएर नेपालको समग्र बैंकिङ सिस्टमलाई आइटीमा लगानी बढाउनुपर्छ भन्ने पाठ सिकाएको छ ।
कर्मचारीहरुलाई आइटीसम्बन्धी ट्रेनिङ कम भएका कारणले पनि यस्ता घटनाहरु हुन्छन् हो ?
यो पनि एउटा कारणचाहीँ हो । बैंकहरुले आइटीमा राम्रै लगानी गरेका छन् । कर्मचारीहरुलाई ट्रेनिङ पनि गराएका छन् । तर, यो अझै पर्याप्त छैन । अहिले हामीले प्रत्येक स्टाफ ट्रेनिङमा १५ मिनेट आइटी सम्बन्धी सचेतनाको ट्रेनिङ दिन्छौं । वर्षमा एक/डेढ सय वटा स्टाफ ट्रेनिङ हुन्छन् । आगामी दिनमा यसले राम्रो प्रभाव पार्छ ।
बैंकले घटनाको अध्ययनका लागि भारतबाट केपीएमजीको विज्ञ टोली झिकाएको थियो, केपीएमजीले कस्तो प्रतिवेदन दियो त ?
उहाँहरुले अझै पनि अध्ययन गरिरहनु भएको छ । केपीएमजीको टोलीले डेप्थमै अध्ययन गरिरहेको छ । उहाँहरुले आइटी सेक्युरेटीका सर्ट टर्म र लङ टर्ममा गर्नुपर्ने सुधारका लागि केही सुझाबहरु दिनु भएको छ । हाम्रो सिस्टम क्लिन छ भन्ने उहाँहरुको पनि ठम्याई छ । खुसीको कुरा त के छ भने केपीएमजीको अध्ययनले यो घटनामा कर्मचारीको संलग्नता नरहेको देखाएको छ ।
पछिल्लो समय बैंकहरुका लागि आइटी ठूलो रिस्क बन्दै गएको हो ?
नेपालमा मात्रै होइन, दक्षिण एशियामै र नेपालजस्ता विश्वका धेरै देशहरुमा आइटी सेक्युरिटीमा गरिएको लगानी कम भएकै हो । जसकारण यस्ता देशमा दिनानुदिन आइटीको जोखिम बढ्दो छ ।
तपाईंले आफ्नो बैंकमा चाहीँ आइटीमा के कस्तो लगानी गर्नुभएको छ ?
हाम्रो विवेकले भ्याएसम्म त गरिरहेका छौं । विभाग नै खडा गरेका छौं । कर्मचारीहरु पनि छन् । तर, हामी आइटीका एक्सपोर्ट होइनौं । जसकारण एक्सपोर्टले देख्नेजति कुरा हामीले नदेख्नु स्वभाविक हो । हामीकहाँ आइटीका एक्सपोर्टहरु नभएकाले २/४ महिनामा विदेशबाटै भएपनि एक्सपोर्टहरु ल्याएर रिभ्यू गराउनुपर्ने देखिएको छ ।