एटीएम ह्याक प्रकरणमा राष्ट्र बैंकको अध्ययन प्रतिवेदनः बैंकको गल्ती छैन, भिसा र नेप्सको स्वीचमा आक्रमण
काठमाडौं । गत शनिबार चिनियाँ ह्याकरहरुले नेपाल इलेक्ट्रोनिक पेमेन्ट सिस्टम (नेप्स)को सिस्टम ह्याक गरी नेप्समा आवद्ध विभिन्न बैंकहरुको नक्कली एटीएम प्रयोग गरी करोडौं रुपैयाँ चोरी गरेका थिए ।
उक्त घटनाको अध्ययन गर्न राष्ट्र बैंकले भुक्तानी विभाका कार्यकारी निर्देशक बमबहादुर मिश्रको संयोजकत्वमा ५ सदस्यीय अध्ययन समिति गठन गरेको थियो ।
पाँच सदस्यीय समितिमा राष्ट्र बैंकका आईटी प्रमुख शिवप्रसाद दुवाडी, अनुज दहाल, नेप्सका अध्यक्ष प्रवीण क्षेत्री र बैंकर संघका तर्फबाट रोशन रेग्मी थिए । उक्त समितिले बुधबार राष्ट्र बैंकका गभर्नरलाई प्रतिवेदन बुझाएको छ ।
अध्ययन अनुसार भिजा इन्टरनेशनलसँग आबद्ध नेप्सका सदस्य बैंकहरुको क्लोन डेबिट र क्रेडिट कार्ड प्रयोग गरी गत शनिबार विहान ११ः०० बजेदेखि साँझ ४ः३५ सम्ममा नेपालबाट ७ वटा बैंकका विभिन्न कार्डहरु प्रयोग गरी १७ वटा बैंकका विभिन्न स्थानका ६८ वटा एटीएमबाट १ करोड ८९ लाख ४४ हजार ५ सय रुपैयाँ चोरी भएको उल्लेख छ ।
त्यसैगरी, भारतभित्रबाट ६ वटा नेपालका वाणिज्य बैंकहरुको विभिन्न कार्डहरु प्रयोग गरी भारतका विभिन्न स्थानका २४ बैंकका १३२ एटीएमबाट १ करोड ५ लाख ८७ हजार २ सय भारु गरी कुल नेपाली रुपैयाँ ३ करोड ५८ लाख ८४ हजार २० रुपैयाँ बराबरको रकम झिकिएको पाइएको अध्ययन समतिले जनाएको छ ।
यद्यपि उक्त समय भएको कारोबारहरुमध्ये केही कारोबार वास्तविक रहेको पाइएको र थप अन्य कारोबारहरुको भेरिफिकेशन गर्ने कार्य भई रहेकोले क्षति भएको रकम सो भन्दा केही कम हुन सक्ने अनुमान गरिएको छ ।
भिसा नेटवर्क वा नेप्स स्वीच वा दुई प्रणालीको बीच कहीँ कतै कसैले अनधिकृतरुपमा नियन्त्रणमा लिई उल्लेखित फ्राड्युलान्ट कारोबार हुन गएको समितिको अनुमान छ । यस सम्बन्धमा फरेन्सिक एक्सपर्टबाट प्रतिवेदन प्राप्त भएपछि मात्रै यकिन हुने बताइएको छ ।
सुझाव
यस समितिबाट अध्ययन भएको उल्लेखित घटना तथा नेपालमा कार्डको प्रयोग गरी हुने भुक्तानी प्रणालीमा देखिएको कमी कमजोरीहरुलाई मध्यनजर गरी सम्भावित जोखिम न्यूनीकरणका लागि देहाय बमोजिम सुझावहरु दिइएको छ । समितिले अल्पकाल र दीर्घकालका लागि गर्नुपर्ने कामहरु उल्लेख गर्दै १७ बुँदे सुझासहित प्रतिवेदन बुझाएको हो ।
अल्पकालीन
-हाल घटेको घटनाहरुको फरेन्सिक एक्सपर्टद्वारा सुक्ष्म अध्ययन तथा विश्लेषण गरी प्राप्त सुझावहरु कार्यान्वयन गर्नु पर्ने ।
-इजाजतपत्रप्राप्त बैंक तथा वित्तीय संस्थाहरु, पीएसपी र पीएसओलाई आ-आफ्नो सूचना प्रविधि तथा इलेक्ट्रोनिक माध्यमबाट हुने भुक्तानी प्रणालीको जोखिम मूल्यांकन गरी जोखिम न्यूनीकरणका आवश्यक उपायहरु अवलम्बन गर्न निर्देशन दिनु पर्ने ।
-कार्ड प्रणाली लगायत भिसा, मास्टर्स कार्डको हिसाब मिलान कारोबार भएको अर्को दिन (टी प्लस वान) भित्र गर्ने व्यवस्था मिलाउनु पर्ने ।
-नेपालका बैंक तथा वित्तीय संस्थाहरुबाट जारी भएका नेपाली मुद्राका डेबिट तथा क्रेडिट कार्डहरु अब उप्रान्त अनिवार्य रुपमा एक्युरिर र इस्यूअर दुवैतर्फ चीप र पीनको माध्यमबाट मात्र कारोबार हुने व्यवस्था मिलाउने । नेपाल बाहिर यस्तो कार्ड प्रयोग हुँदा नेपालका इस्यूअरले फलब्याक ट्रान्जेक्सन स्वीकार नगर्ने व्यवस्था मिलाउनु पर्ने ।
-नेपाली बैंक तथा वित्तीय संस्थाहरुले जारी गरेका डलर कार्डस्को हकमा विदेशी टर्मिनल्समा एक्युरिर हुँदा म्याग्नेटिक स्ट्रिपको फलब्याक ट्रान्जेक्सन नहुने व्यवस्था मिलाउनु पर्ने । म्याग्नेटिक स्ट्रिपबाट घटना घटेको ।
-बैंक तथा वित्तीय संस्थाहरुबाट यसअघि जारी भएका म्याग्नेटिक स्ट्रिप कार्ड (नन चीप) कार्डहरु ३ महिनाभित्र चीप बेस्ड कार्डद्वारा विस्थापन गर्ने व्यवस्था मिलाउनु पर्ने ।
-नेपालमा सञ्चालनमा रहेका सम्पूर्ण टर्मिनल डिभाइसलाई ३ महिनाभित्र चीप र पीनलाई स्वीकार गर्न सक्ने गरी सक्षम बनाउन आवश्यक व्यवस्था मिलाउनु पर्ने ।
-बैंक तथा वित्तीय संस्था र टर्मिनल डिभाइसले 24*7 Security Operation Centre (SOC) सञ्चालन गरी सूचना प्रविधिको क्षेत्रमा उत्पन्न हुन सक्ने जोखिमहरुलाई नियमित रुपले अनुगमन गर्ने व्यवस्था मिलाउनु पर्ने ।
दीर्घकालीन
-कार्डसँग सम्बन्धित नेटवर्क र सिस्टमको सुपरिवेक्षण नियमित रुपमा गर्नु पर्ने ।
-कार्डसँग सम्बन्धित सूचना प्रणालीको वार्षिक रुपमा अडिट गर्ने व्यवस्था मिलाउनु पर्ने ।
-कार्डसँग सम्बन्धित प्रणालीको भल्नेबरलिटी एसेस्मेन्ट एण्ड पेनिट्रेशन टेस्टिङ अर्धबार्षिकरुपमा गर्ने व्यवस्था मिलाउनु पर्ने ।
-कार्डसँग सम्बन्धित प्रणालीको जोखिम मूल्यांकन त्रैमासिक रुपमा गरी सम्बन्धित बैंकको जोखिम व्यवस्थापन समितिमा छलफल गर्ने व्यवस्था मिलाउनु पर्ने ।
-एटीएम कक्षमा जडित सीसीटीभीको नियमितरुपमा केन्द्रीकृत रुपले अनुगमन गर्ने व्यवस्था मिलाउनु पर्ने । साथै, यस्तो अनुगमन शनिबार लगायत अन्य विदाको दिनमा समेत नियमित रुपले गर्ने व्यवस्था मिलाउनु पर्ने ।
-इजाजतपत्रप्राप्त वित्तीय सेवा प्रदायक संस्थाहरुले साईबर सेक्युरिटीको जोखिमबाट हुन सक्ने सम्भावित नोक्सानी न्यूनीकरण गर्न साइबर सेक्युरिटी बीमा गर्नु पर्ने व्यवस्था मिलाउनु पर्ने ।
-कार्डबाट हुने कारोबारको सीमा नियन्त्रणका लागि भिसा, मास्टरकार्ड लगायत अन्य भुक्तानी प्रणाली सञ्चालकहरुबाट सबै बैंक तथा वित्तीय संस्थाहरुले कारोबारको सीमा निर्धारण गर्ने सेवा लिनुपर्ने व्यवस्था मिलाउनु पर्ने ।
-बैंक तथा वित्तीय संस्था र पीएसओ/एसपीएसले प्रिभिलेज एसेस म्यानेजमेन्ट प्रयोग गरी सूचना प्रविधि प्रणालीको महत्वपूर्ण पूर्वाधार सुरक्षित राख्ने व्यवस्था मिलाउनु पर्ने ।
-पेमेन्ट कार्ड इन्ड्रस्टीज एण्ड डाटा सेक्युरिटी स्ट्यान्डर्ड पालना गर्ने र एटीएम स्वीच सञ्चालन गर्ने बैंकहरुले बार्षिक रुपले पीसीआई–डीएसएस अडिट गर्ने व्यवस्था मिलाउनु पर्ने ।