फरेन्सिक रिपोर्टमा हाम्रो गल्ती देखिए ह्याकरले चोरेको पैसा तिर्छौंः नेप्सका सीइओ प्रविण क्षेत्री
गत भदौ १४ गते नेपाल इलेक्ट्रोनिक पेमेन्ट सिस्टम (नेप्स) को सिस्टम ह्याक गरी चिनियाँ ह्याकरहरुले विभिन्न बैंकको एटीएम बुथमा भिजा कार्ड प्रयोग गरेर करौडौं रुपैयाँ चोरी गरेका थिए । आधा दर्जनबढी चिनियाँ ह्याकरलाई प्रहरीले तत्कालै पक्राउ गर्न सफल भएका कारण थप क्षति हुन पाएन ।उक्त घटनापछि केही समय बैंकका एटीएमहरु नै चलेका थिएनन् । जसले ग्राहकहरुमा बैंकिङ प्रणालीमाथि नै विश्वास धर्मरायो । सिंगापूरको भेरि जोन नामक कम्पनीबाट फरेन्सिक टेस्टका लागि प्राविधिहरु आएर आवश्यक डकुमेन्ट लगेर अनुसन्धान गरिरहेका छन् । फरेन्सिक टेस्टमा के देखियो ? ३ महिनाभित्र बुझाउने भनिएको रिपोर्ट के कति तयार भयो ? कसका कमजोरी घटना भयो र चोरी भएको पैसा कस्ले तिर्छ ? यस्तै विषयमा केन्द्रित रहेर नेप्सका सीइओ प्रविण क्षेत्रीसँग क्लिकमाण्डूका लागि दिलु कार्कीले गरेको कुराकानीः
भेरी जोनले ३ महिनाभित्र फरेन्सिक रिपोर्ट बुझाउने भनेको थियो, के भइरहेको छ ?
इन्भेष्टिगेसन जारी नै छ । त्यो इभेष्टिगेसनको निर्क्यौल नआई यही नै भएको हो भन्न सकिने अवस्था छैन ।
प्रारम्भिक तथ्यहरु र थप इन्भेष्टिगेसन गर्दा देखिएका तथ्यहरुले के भन्छ त ?
सिंगापूरबाट इन्भेष्टिगेसनको फाइनल रिपोर्ट आएको भए अथवा इन्टरमिडेड रिपोर्ट आएको खण्डमा केही भन्न सकिन्थ्यो । तर आजसम्म खासै त्यस्ता रिपोर्टहरु आएका छैनन् । जबसम्म उनीहरुले इन्भेष्टिगेसनका सबै रिपोर्टहरु दिदैँनन् । तबसम्म हामीले यही भएको हो भन्न सक्दैनौँ ।
निरन्तर कुराकानी त भइरहेको होला नि फरेन्सिक टोलीसँग ?
उनीहरुले एटीएम ह्याकसँग सम्बन्धी कुराहरु मागिरहेका हुन्छन् । र, हामी त्यही अनुसार डकुमेन्ट पठाइरहेका छौ । उनीहरुले इन्फास्ट्रक्चार, सर्भर, एप्लिकेशनसँग सम्बन्धित र लगसँग सम्बन्धित कुराहरु मागिरहेका हुन्छन् । यस्ता डकुमेन्टहरु उनीहरुले लिएर गएका पनि थिए । र, अनुसन्धानको क्रममा अपुग डकुमेन्ट, डाटा, इन्फरमेसनसहरु अझै मागिरहेका छन् । यही सोमबार फरेन्सिक टोलीसँग मेरो कुराकानी भएको थियो । उहाँहरुले ३ महिनामा त अलि गाह्रो होला भन्ने कुरा भन्ने कुरा गर्नुभएको छ । मैले जसरी भएपनि ३ महिनामा रिपोर्ट चाहिन्छ भनेर भनेको छु ।
फरेन्सिक इन्भेस्टिगेटरले के कस्ता सुझाब दिए त ?
अहिलेसम्म सिस्टम चेन्ज गर्नु भनेर सुझाव आएको छैन । तर इन्भेष्टिगेसनको क्रममा सिस्टममा यहाँ समस्या भएको रहेछ भनेर केही कुरा आयो भने सिस्टम चेन्ज गर्नेतिरै पनि जानुपर्ने हुन्छ । तर सिस्टमको समस्याका कारण घटना घटेको रहेनछ भने चेन्ज हुँदैन । सिस्टम चेन्ज गर्न पनि केही न केही आधार त चाहिन्छ नि ।
नेपाल र भारतबाट ५ घन्टामा १७०० पटक कार्ड घोटेर ह्याकरले चोरे बैंकहरुको साढे ३ करोड
यस बीचमा तपाइहरुले नेप्सको सफ्टवोयर चेन्ज गर्नु भएको हो ?
नेप्सेको सफ्टवोयर चेन्ज गरेको होइन । हामीले यसको इन्फास्ट्रक्चर मात्र चेन्ज गरेका हौँ । यसमा जे जति पहिला फिजिकल हार्डवेयरका सामानहरु युज भइरहेको थियो, त्यो मात्र चेन्ज भएको छ । नयाँ हार्डवेयरका सामानहरु चेन्ज गरेर नयाँ वातावरण बनाइयो । अर्को हामीले प्रयोग गरिरहेको एप्लिकेशन सफ्टवोयरलाई पनि रि-इस्टल गरेका छौँ ।
बैंकरहरु र सर्वसाधारणले त नेप्सको सिस्टमको खराबीका कारण नै घटना घटेको हो भनिरहेका छन् नि ?
दोष भन्ने कुरा त जे लगाए पनि हुन्छ । त्यसको आधार र यो चाँही भएको रहेछ भन्ने कुरा पत्ता लगाउने भनेको इन्भेष्टिगेसनले हो, जुन जारी नै छ । त्यसको एउटा निक्र्यौल नआई त केही भन्न सकिँदैन ।
बैंकहरुको ट्रान्जेक्सनको जिम्मा लिएको बसेको नेप्स हो, नेप्सको सिस्टमबाट चोरी भएको पैसाको जिम्मेवारी त नेप्सले नलिएर कसले लिन्छ त ?
यसमा धेरै पक्षहरु संलग्न हुन्छन् । नेप्सको सिस्टम पनि त्यसको एउटा अङ्ग हो । चोरी हुने क्रममा एटिएम एउटा बैंकको प्रयोग भएको छ, भिजा नेटवर्क प्रयोग भएको छ, नेप्सको सिस्टम प्रयोग भएको छ । यो सबै कुरा अनुसन्धानको नै विषय छ ।
अनुसन्धानको क्रममा एटिएमबाट पैसा चोरी गर्नेहरुलाई पनि प्रहरीले पक्रिएर अदालती कारवाहीसम्म कुरा पुगिसकेको छ । त्यबाट पनि केही कुराहरु आउला, यहाँ प्रहरीको अनुसन्धान पनि जारी नै छ । सबै कुरा इन्भेष्टिगेसन पछि रिपोर्टमा नेप्सको नै केही गल्ती देखियो भने त त्यसको जिम्मेवारी नेप्स हुन्छ नै ।
भुक्तानी अर्डर आउँदा त्यसको अथोराइज चेक गर्ने काम नेप्सको हो । यो काममा नेप्स चुकेको छ । अब नेप्सलाई कसरी विश्वास गर्ने ?
पैसा निस्कियो । कुनै पनि सिस्टमममा हिट भएन । न नेप्सको सिस्टममा हिट भएको छ, न बैंकको सिस्टममा हिट भएको छ । बैंकबाट नेप्सको सिस्टममा आउनु पर्ने कुराहरु सिस्टममा नै नआइकन एप्रुभ भएको छ । नेप्सको सिस्टममा नआइक ह्याक भएको छ । तर यो कहाँबाट कसरी भन्ने इन्भेष्टिगेसनकै पाटो छ ।
त्यस्तो ह्याकिङ हुने असुरक्षित सिस्टम राख्नु भएको त ?
ह्याकिङ भनेको नेपालमा मात्र होइन संसारभरि नै भइरहेको छ । ह्याकरहरु जहिले पनि हामी भन्दा २ कदम अगाडि नै हुन्छन् । ह्याकिङ हुँदै जान्छ । र, त्यसलाई प्रोटेक्सन गर्ने मेजरमेन्टहरु आउँदै जान्छन् ।
तर नेप्सप्रतिको विश्वास त गुम्यो नि । व्यवसाय गर्न बसेको संस्थाको विश्वास गुमेपछि आगामी दिनमा कसरी व्यवसाय गर्न सकिएला ?
भिजाबाट नेप्समा आउनु पर्नेमा भिजा र नेप्सको बीचमा ग्याप भएर केही भएको छ । इन्भेष्टिगेसनको रिपोर्ट आउनुपुर्वको अवस्थामा हामीले नयाँ हार्डवेयर र नयाँ सिस्टम इन्स्टल गर्दा हामीले इन्भेष्टिकेटर टिमले दिएको सुझावमा नयाँ कुराहरु थप गरेका छौँ । उनीहरुको सुझावमा गरिएको कामहरुले यस्तै खालका कामहरु रोक्न मद्दत गर्छ भनेर इन्फास्ट्रक्चरमा थप गरेका हौँ । रिपोर्ट आएपनि के गर्नुपर्ने हुन्छ हामी गछौँ ।
नेप्सले सिस्टम सुरक्षाका खर्च गर्न लोभ गरेका कारण यस्तो घटना भयो भन्ने आरप छ नि ?
हाम्रो सबै सिस्टम रिकमन्डेट नै छ । प्राइमरी सिस्टम रिकोमन्डेट गर्ने भनेको जसको सफ्टवेयर हो उसले गर्छ । नेप्सले बीपीसी भन्ने कम्पनीको सफ्टवेयर प्रयोग भएको छ । कम्पनीले जे रिकोमन्डेट गर्छ त्यही अनसारको सिस्टम हामी राख्छौँ । अर्को भिजा, मास्टरकार्ड पीसीआई सबै भएको भएर पीसीआई काउन्सिलको स्ट्याण्डर्ड मेन्टेन गर्नुपर्छ । त्यो पीसीआई काउन्सिलको स्ट्याण्डर्ड हामीले मेन्टेन गरेका छौं । पीसीआई काउन्सिलको स्ट्याण्डर्ड मेन्टेन गरेको हो कि होइन भनेर प्रत्येक बर्ष अडिट गर्नु पर्छ । त्यो अडिट पनि हामीले प्रत्येक वर्ष गरिरहेका छौँ । हामीले जुलाईको अन्त्यमा मात्र पीसीआइ अडिट गरेका थियौं । यसले इन्फाष्ट्रचर, सेक्युरिटी अप्रेशन प्रोसेसलगायत सबै हेर्छ । जुलाईमा भएको अटिटमा सबै ठीक छ भनेर रिपोर्ट आइसकेको थियो । हामीले पीन अटिट पनि वर्षको २ पटक गर्नुपर्छ । त्यो पनि हामीले गरिरहेका छौँ । सिस्टम सेक्युरीटिका लागि गर्नु पर्ने जति सबै कामहरु गरिरहेकै छौँ ।
उक्त घटनापछि फेरी कतै फेरि अक्रमण गर्ने प्रयास भएको छ कि छैन?
साधारणतया ह्याकरहरुले ह्याक गर्न खोजिनै रहेका हुन्छन् । जुन सिस्टमबाट संसार भरिबाट पैसा निस्किन्छ, त्यस्ता सिस्टममा ह्याकरहरुले धेरै ह्याक गर्न खोजिरहेका हुन्छन् । नेप्सको सिस्टम पनि विश्वव्यापी हो । हाम्रोमा डलरको कारोबार कम नै भएता पनि पैसा त संसारभरबाट नै निस्किन्छ । ह्याकरको प्राइमरी टार्गेट भनेको यस्ता खालको सिस्टम हुन्छन् । यस्ता खालका सिस्टम ह्याक गर्ने प्रयास सबै देशमा भएको सूचना भिजा, मास्टर कार्डमार्फत् हामीलाई प्राप्त भइरहेको हुन्छ ।
कर्मचारीको चलाखी र प्रहरीको ‘फास्ट एक्सन’ले चाइनिज लुटेरबाट यसरी जोगिए नेपाली बैंक
नेप्सको सिस्टमबाट कतिवटा देशबाट पैसा निकाल्न मिल्छ ?
हामीसँग २ प्रकारका कार्ड छन् । एउटा कार्डले इन्डिया, भुटान र नेपालमा मात्र निकाल्न मिल्छ । अर्को डलर कार्डले संसारभरका सबै देशहरबाट पैसा निकाल्न मिल्छ । डलर कार्डको भने लिमिटेसन हुन्छ । साधारणतया डलर कार्ड भनेको यात्राको लागि दिइन्छ । अहिले १ पटकमा १५ सय डलर मात्र झिक्न मिल्छ । वर्षमा पहिले ५ हजार थियो अहिले १ वर्षभरीमा ३ हजार डलर झिक्न मिल्छ । भिजाले प्रयेक बैंकको पैसा भिक्ने लिमिट राखेको हुन्छ । हामी कहाँ अहिले १७ वटा बैंक आवद्ध छन्, जसमा १ वटा बैंक प्रिन्सिपल बैंक हुन्छ । अहिले नेप्सको प्रिन्सिपल बैंक भनेको सनराइज बैंक हो । सनराइज बैंकले आफु अन्तरगतका बैंकहरुमा दिनको ६ लाख डलरको लिमिट राखेको छ । ह्याकिङको घटना हुनु भन्दा पहिला १३ लाख डलर थियो । अहिले घटाइएको हो ।
बैंकहरुको चोरी भएको पैसा नेप्सले कहिले तिर्छ ?
त्यसका लागि इन्भेष्टिगेसन र अदालती कारबाहीहरु भइरहेको छ । सबैबाट अत्यमा एउटा निक्र्यौ आउँछ । त्यसपछि थाहा हुन्छ चोरी भएको पैसाको जिम्वेवारी कसले लिने भनेर ।
तपाइलाई उक्त घटनाको जानकारी कहिले भयो,कस्ले इन्फर्म गर्यो ?
शुरुमा मलाई १ बजेतिर भिजाबाट १ वटा बैंकबाट अलि बढी नै पैसा भिकिएको देखिएको छ, नेप्सको स्टिममा हेर्नु भनेर फोन आएको थियो । हामीले त्यो चेक गर्दा शनिबारको दिन जे जति कारोबार हुनु पर्ने हो त्यति नै कारोबार भएका देखियो । त्यही खबर मैले भिजालाई गरेँ । तर पैसा पनि हाम्रो नेटवर्कमा रहेको बैंकबाट भिकिएको थिएन । अर्काको नेटवर्कमा रहेको र नबिल बैंकको एटिएमबाट निकालिएको थियो । त्यसकारण शंका आफ्नो सिस्टममा रहेका बैंकमा गएन । तर पनि हामीले नेप्समा चेकिङ गर्न थालिसकेका थियौं । शुरुमा १ वटा बैंकमा मात्र शंका थियो । त्यसपछि भिजा र नबिलबाट पैसा निकालेको सूचना आएपछि शनिबार ४ बजेतिर नेप्सको सिस्टममा कतैबाट वाइपास भरहेको छ कि भनेर शंका लागेर भिजालाई सबै बन्द गर्न लगाएका थियौं ।
घटनाको अनुसन्धानचाहीँ कहिले शुरु गर्नुभयो नि ?
भिजाबाट पैसा निकाल्न केही समयका लागि बन्द गरेपछि, भिजाले तिमीहरुको इन्भेष्टिगेसन शुरु गर्नुपर्छ भन्यो । इन्भेष्टिगेसन क्रम त्यसपछि शुरु भएको हो । त्यसपछि जुन बैंकको एटिएम कार्ड हो त्यही बैंक एटीएममा मात्र चलाउन मिल्ने गर्यौं । पैसा निकाल्ने मान्छेहरु शनिबार नै समातिए । त्यसका प्रभु बैंक र नविल बैंकको सक्रियता थियो । नेप्सेको मान्छे पनि त्यहाँ पुगेका थिए ।
तपाईंहरुले त्यतिबेला नै पुलिसमा जाहेरी नै दिनु भएन नि, किन ?
त्यो शनिबारको घटना थियो । आइतबार हाम्रो बोर्ड मिटिङ बसेको थियो । पुलिसमा जाहेरी दिनुपर्ने विषयमा पनि छलफल भएको थियो । बैंकहरुले नै जाहेरी दिइसकेको भएर नेप्सले जाहेरी दिनु पर्छ कि पर्दैन भनेर पनि छलफल भएको थियो । हामीले जहाँ-जहाँ खबर गर्नु पर्ने र सोधपुछ गर्नुपर्ने हो त्यहाँ गरेका थियौं । ती निकायबाट बैंकले जाहेरी दिइसकेको छ त्यही जाहेरीले काम गर्छ भन्ने कुरा आयो ।
आइतबार एउटा कमिटि बनाएर छानबिन गर्ने भनेर राष्ट्र बैंकका गभर्नरले भन्नुभयो । त्यसमा राष्ट्र बैंकको भुक्तानी प्रणली विभागका कार्यकारी निर्देशक बमबहादुर सर र राष्ट्र बैंकका अरु ३ वटा विभागका प्रतिनिधि अनि नेप्सबाट म थियौं । ३ दिन म नेप्समा पनि नआइकन राष्ट्र बैंकमा गएर दिनरात नभनी काम गरियो । त्यो बीचमा मलाई महानगरी प्रहरी परिसर प्रमुख होबिन्द्र बोगटीले एक पटक यहाँ आउनुस् भनेर फोन गर्नुभएको थियो । मैले हुन्छ आउछु भने ।
तर बमबहादुर सरले प्रविणजी यहीँ हुनुन्छ आजलाई हामी यतै ब्यस्त छौ भन्नु भयो । त्यसको भोलिपल्ट पनि बोगटीजीले मलाई फोन गर्नु भएको थियो । तर म राष्ट्र बैंकको रिपोर्ट सकिएकाले अर्को दिनमात्र प्रहरीकहाँ जान पाएँ । त्यहाँ गएर मैले हामीले पनि केही गर्नु पर्छ भनेर सोधेको थिएँ । उहाँहरुले पैसाको रिकन्सिलेसन गर्ने कुरामा मद्दत गर्नुपर्छ भन्नुभयो ।
बोगटी सरसँग ह्याकिङको विषयमा नेप्सले जाहेरी दिने कि जानकारी दिने भन्दा उहाँले नै जानकारी दिनुस् भनेपछि हामीले १ हप्तापछि सार्वजनिक सूचना जारी गरेका थियौं । तर, त्यसको एक महिनापछि नेप्सले प्रहरीकहाँ जाहेरी दियो ।
खासमा कति रकम चोरी भएको हो ?
पहिला ह्याक हुने बित्तिकै ३ करोड ५४ लाख रुपैयाँ जति भनिएको थियो । बैंकहरुले त्यसबीचमा जेन्यून ग्राहकले निकालेको पैसा पनि ह्याकरले चोरी गरेको भन्ने शंका गरेर उक्र विवरण दिएका रहेछन् । तर पछि बैंकहरुले ग्राहकलाई फोन गरेर सोधेपछि प्रहरीकहाँ दिएको विवरणमा धेरै रकम घटेको छ । ग्राहकको पैसा केही भएको छैन । बैंकको पैसामात्र चोरी भएको रहेछ ।
इन्डियाबाट भिकिएको रकममा भने केही मेसिनहरु एओडी नन् कम्पाइट भएका मेसिनहरुबाट झिकिएको पाइएको छ । त्यस्ता मेसिनहरुबाट झिकिएका पैसालाई चार्जब्याक गर्न पाइन्छ । यसको मतलब त्यो पैसा फ्रड हो, हामी तिर्दैनौँ भन्न पाइन्छ । त्यसको आधारमा पनि चोरी भएको पैसाको परिमाण घटेको हो ।
पुष्प दुलाल
