साइबर आक्रमणबाट कति सुरक्षित छ नेपालको बैंकिङ क्षेत्र ?
काठमाडौं । २०७४ को तिहारको लक्ष्मी पुजाका दिन नेपालको बैंकिङ क्षेत्रमा एउटा अनौठो घटना भयो । एनआईसी एशिया बैंकको स्वीफ्ट ह्याक गरेर साढे ४६ करोड रुपैयाँ चोरी गर्ने प्रयास भएको थियो । बैंकको स्वीफ्ट ह्याक गरी ह्याकरले ४६ करोड ५६ लाख ५० हजार ५ सय ५ रुपैयाँ भुक्तानीका लागि विभिन्न बैंकमा ३१ वटा अर्डर पठाएको अनुसन्धानले देखाएको थियो ।
‘सोसाइटी फर बैंकिङ इन्टरबैंक फाइनेन्सियल टेलिकम्युनिकेसन’ अर्थात् ‘स्वीफ्ट’ भनेको अन्तर्राष्ट्रिय बैंकिङ कारोबारका लागि प्रयोग हुने प्रणाली हो । हरेक बैंकको अन्तर्राष्ट्रिय कारोबार गर्न फरक स्वीफ्ट कोड हुन्छ, जसको आधारमा एक बैंकबाट अर्को बैंकमा अन्तर्राष्ट्रिय बैंकिङ कारोबार राफसाफ (सेटलमेन्ट) गर्ने गर्छन् । स्वीफ्ट कोडका आधारमा बैंकिङ प्रणालीभित्र छिरेर पैसा चोरी गर्न सक्ने जोखिम हुन्छ ।
उक्त घटना नेपालमा बैंकिङ तथा वित्तीय क्षेत्रमा भएको पहिलो स्वीफ्ट ह्याकको प्रकरण थियो ।
२०७४ मा अहिलेजस्तो नेपालमा बैंकिङ तथा वित्तीय क्षेत्रहरुमा डिजिटल प्रविधिको प्रयोग तीव्र गतिमा भइसकेको अवस्था थिएन। साइबर सुरक्षाको हिसाबले हेर्ने हो भने पनि प्रणालीमै छिरेर पहिलो पटक भएको यो घटना निकै ठूलो थियो ।
नेपालमा पहिलो पटक स्वीफ्ट ह्याक गरी एनआईसी एशिया बैंकमा भएको प्रकरणपछि कृषि विकास बैंकको सिस्टम ह्याक गरि करोडौं रकम चोरी भएको थियो । २०७६ मा सरकारी लगानीको कृषि विकास बैंकको सिस्टम ह्याक गरी भारत, ताञ्जेनिया, चीन, इथियोपिया र बेलायतमा बसेर भारतीय तथा नाइजेरियन नागरिकहरुले १४ करोड ६७ लाख ९१ हजार रुपैयाँ लुटेका थिए । ४१ जनाभन्दा बढी नेपालीहरुलाई एजेन्ट बनाएर कृषि विकास बैंक र पानस रेमिटलाई माध्यम बनाएर यो घटना भएको थियो ।
पछिल्ला वर्षहरुमा भने विश्वभरमा नै बैंक तथा वित्तीय क्षेत्रहरुमा हुने साइबर आक्रमणका घटनाहरुको वृद्धि भइरहेको छ । भारतको कम्प्युटर इमरजेन्सी रेस्पोन्स टिम (सिईआरटि-इन)ले सन् २०२२ मा वर्षभरि भारतीय बैंक तथा वित्तीय संस्थाहरुमा भएको साईबर आक्रमणबारे रिपोर्ट सार्वजनिक गरेको थियो । उक्त रिपोर्टकाअनुसार भारत विश्वभरमै सबैभन्दा धेरै साईबर आक्रमण हुने जोखिममा रहेको देश भएको देखिन्छ । र, यसमा पनि सबैभन्दा धेरै वित्तीय क्षेत्रहरुमा आक्रमण भएका छन् । सन् २०२२ मा मात्रै भारतको बैंक तथा वित्तीय क्षेत्रमा १७ हजारभन्दा धेरै आक्रमणहरु भएको रिपोर्ट भएको छ ।
पछिल्ला वर्षहरुमा डिजिटल बैंकिङ तथा बैंक तथा वित्तीय क्षेत्रमा बढ्दै गएको प्रविधिको प्रयोगसँगै यसमा हुन सक्ने जोखिम पनि बढेको छ । सन् २०२० मा विश्वभरमा भएका डाटा ब्रिचमध्ये १५ प्रतिशत वित्तीय क्षेत्रमा थियो । सन् २०२१ मा यो बढेर १६ प्रतिशत पुगेको थियो ।
विश्वव्यापीरुपमा नै वित्तीय क्षेत्रमा साइबर आक्रमण र त्यसबाट हुने क्षतिका घटनाहरु वृद्धि भइरहेको अवस्थामा नेपालमा भने बैंक तथा वित्तीय क्षेत्रमा भएका साइबर आक्रमण तथा त्यसबाट भएको क्षतिका घटनाहरु भने न्युन रहेको देखिएको छ । नेपालका बैंक तथा वित्तीय संस्थाहरुमा आर्थिक क्षति नभई साईबर आक्रमणको प्रयास भएका घटनाहरु कति छन् भन्ने बारेमा भने यकिन छैन ।
बैंकको सर्भर तथा विभिन्न प्रणालीहरुमा हुने आक्रमण र त्यसबाट भएका क्षतिका घटनाहरुबाहेक एटिएममार्फत् हुने चोरीहरु भने नेपालमा केही संख्यामा भएका छन् । नेपाल प्रहरीकाअनुसार नेपालमा आर्थिक वर्ष २०७५/७६ देखि गत आर्थिक वर्ष २०७९/८० सम्मको तथ्यांक हेर्ने हो भने जम्मा ४ वटा यस्ता अपराधका घटना भएका छन् । यी चार घटनामा कुल आर्थिक क्षति भने १ करोड ८८ लाख ५८ हजार १५५ रुपैयाँको भएको छ । यीमध्ये सबैभन्दा ठूलो घटना आव २०७६/७७ मा काठमाडौंको नबिल बैंकको एटिएम बुथमा भएको थियो । चिनियाँ नागरिकहरुले नेतृत्व गरेर भएको यो अपराधमा मुख्यतः प्रभु बैंकको एटिएमसहित अन्य विभिन्न बैंकको एटिएमबाट १ करोड ७८ लाख ६१ हजार १५५ रुपैयाँ निकालिएको थियो । प्रहरी यो घटनामा संलग्न रहेको अरोपमा ५ चिनियाँसहित १ नेपाली र १ जना फ्रेन्चलाई पक्राउ गरेर बैंकिङ कसुरको मुद्दा चलाएको थियो । यो घटनामा एटिएम ह्याक भएको प्रहरीले जनाएको छ ।
त्यस्तै, एटिएम ह्याक भएकै घटना रौतहटमा गत आर्थिक वर्ष २०७९/८० मा भएको थियो । रौतहटस्थित माछापुच्छ्रे बैंक लिमिटेडको एडिएम ह्याक गरेर ९ लाख रुपैयाँ चोरी भएको प्रहरीले जनाएको छ । यो घटनामा संलग्न रहेका ९ जनालाई पनि पक्राउ गरेर प्रहरीले मुद्दा चलाएको छ ।
त्यस्तै, बैंकका खाताबहाकको खाता ह्याक गरि हुने ठगी वा चोरीको विषय हेर्ने हो भने चारमध्ये दुई घटना हालसम्म नेपालमा भएको प्रहरीको तथ्यांकले जनाउँछ । यी दुबै घटनाहरु राष्ट्रिय वाणिज्य बैंकमा रहेका खातामा भएका हुन् भने क्रमशः डोल्पा र हुम्लामा भएका हुन् । यीमध्ये डोल्पामा भएको घटनामा ३७ हजार रकम चोरी भएको थियो । २ जनालाई पक्राउ गरेपछि यो घटनामा संलग्नहरुविरुद्ध भने मुद्दा नचलेको प्रहरीको तथ्यांकले देखाउँछ ।
खाता बहाकको एकाउन्टमा अनाधिकृत प्रवेश गरेर रकम चोरी भएको घटना पनि रहेको छ । प्रहरीकाअनुसार राष्ट्रिय वाणिज्य बैंकमा रहेको खाता बहाकको एकाउन्टमा अनाधिकृत प्रवेश गरेर हुम्लामा ६० हजार रुपैयाँ चोरी भएको थियो । तर, यसमा संलग्नहरुलाई भने हालसम्म प्रहरीले पक्राउ गर्न सकेको छैन ।
एटिएम बुथ तथा कार्डको प्रयोग, खाताबहाकको खातामा अनाधिकृतरुपमा हुने प्रवेशलगायतका ठगी तथा चोरीहरुबाहेक बैंक तथा वित्तीय क्षेत्रमा साइबर आक्रमणको माध्यमबाट ह्याक भएर हुने घटनाहरु भने नेपालमा न्युन छन् ।
कतिपय साइबर आक्रमणका घटना र त्यसबाट आर्थिक क्षति भने नेपाली बैक तथा वित्तीय क्षेत्रमा भएका छन् ।
आर्थिक क्षतिका यी घटनाहरुबाहेक बेलाबेलामा बैंकहरुको इमेलमार्फत आउने धम्की तथा सर्भर ह्याक भएका हल्लाहरु पनि नेपालमा चल्ने गर्छन्। तर, तथ्यांकमा हेर्ने हो भने नेपालको वित्तीय क्षेत्र तथा बैंकहरुमा हुने साइबर आक्रमण र आर्थिक क्षति भएका घटनाहरु ठूलो संख्यामा छैनन् ।
पछिल्ला वर्षहरुका यी प्रतिनिधि घटनाहरुलाई हेर्ने हो भने नेपालमा बैंक तथा वित्तिय क्षेत्र साइबर आक्रमणको पक्षबाट सुरक्षित भएको देखिन्छ । कम्प्युटर एसोसिएसन अफ नेपाल (क्यान)का पूर्वअध्यक्ष विनोद ढकाल नेपालको आईटी क्षेत्रको सबैभन्दा धेरै प्रयोग बैंकले नै गर्ने भएकाले तुलनात्मकरुपमा यो क्षेत्र बढी सुरक्षित भएको बताउँछन् ।
‘अहिलेसम्म सबैभन्दा बलियो भनेकै यही क्षेत्र छ,’ ढकाल भन्छन्, ‘बैंकिङ क्षेत्रले नै आईटीको प्रयोग गरेको छ सुरु देखि नै । जसले गर्दा सुरक्षाका कुराहरुलाई कुनै पनि रुपमा कम्प्रमाईज गरिएको छैन । राष्ट्र बैंकले पनि यसमा काम गरेको छ । यसले गर्दा पनि नेपालको बैंक तथा वित्तीय क्षेत्र साइबर आक्रमणमा सुरक्षित नै छ जस्तो लाग्छ मलाई । सुरक्षित भएकै कारण नेपालमा धेरै आक्रमणहरु नआएको हो।’
नेपाल राष्ट्र बैंकको भुक्तानीको प्रणाली विभागका सूचना प्रविधि निर्देशक इञ्जिनियर कृष्णराम धुन्जु नेपालको बैंक तथा वित्तीय क्षेत्र साईबर आक्रमणको क्षेत्रमा बढी सुरक्षित भएको बताउँछन् । नेपालको बैंक तथा वित्तीय प्रणालीमा कारोबारको सीमादेखि साइबर सुरक्षा र त्यसमा हुनसक्ने आक्रमणको पूर्वमूल्याकंन गर्दै बनाईएका नीति तथा व्यवस्थाका कारण पनि बढी सुरक्षित रहेको उनी बताउँछन् ।
‘आक्रमण गर्नेले आक्रमण गर्दा कुनै न कुनै लक्ष्य हुन्छ’, उनी भन्छन्, ‘पहिले पहिले नामकै लागि मात्र पनि यस्तो आक्रमण हुन्थ्यो। अहिले त्यो छैन । आर्थिक चोरी हेरिन्छ । भारत र नेपालको हेर्ने हो भने नेपालमा आर्थिकरुपमा क्षति पुर्याउने अवस्था पनि सानो छ । नेपालमा हरेक कारोबारमा सीमा छ, कति पटक कारोबार गर्न मिल्छ भन्ने छ । यसले गर्दा नेपालमा ठूलो आर्थिक क्षति हुने साइबर आक्रमण भएको छैन ।’
बैंकिङ प्रणालीमाथि आक्रमण भएर भएका आर्थिक क्षतिका घटनाबाहेक कतिपय अवस्थामा नेपालमा व्यक्तिगत बैंक खाताबाट पनि रकम चोरी हुनेजस्ता घटनाहरु भएका छन् । तर, यस्तोमा भने डिजिटल बैंकिङ सम्बन्धित वित्तीय साक्षरताको कमिजस्ता कारणहरु देखिन्छन् । प्रयोगकर्ताको बैंक खातामा अनाधिकृति प्रवेश गर्न ओटिपी फोन गरेर माग्नेजस्ता बाटोबाट यस्ता घटनाहरु भएका छन् ।
नेपालमा भएका घटनाहरु हेर्दा कतिपय अवस्थामा जनचेतना नभएर तथा व्यक्तिलाई जानकारी नभएर पनि हुने गरेको क्यानका पूर्वअध्यक्ष तथा आईटीविज्ञ ढकाल बताउँछन् ।
उनी भन्छन्, ‘कतिपय अवस्थामा फोनमा आएको ओटिपी अरुले मागेर पैसा झिक्ने घटनाहरु पनि भएका छन् । यी कुराहरु साइबर आक्रमणको कुरा नभएर जनचेतनाका पक्षहरुबाट भएका घटनाहरु हुन् । हामी प्रविधिको हिसाबले साइबर सुरक्षाको हिसाबमा बलियो नै छौं, जनचेतनाको अभावले कतिपय घटनाहरु भएका छन् ।’
बैंक वा वित्तीय क्षेत्रलाई नै प्रभावित गर्ने किसिमका घटनाहरु भने नेपालमा न्युन छन्। धुन्जु भन्छन्, ‘नेपालमा यस्तो ठगी गरेर फाइदा पाउने च्यानल पनि छैन । डिजिटल पेमेन्टको कुरामा नेपालमा सहजै ठगेर पैसा लैजान मिल्ने अवस्था छैन । वालेट र डिजिटल बैंकिङ भर्खर चलेका हुन् । वालेटमा पनि दैनिक कारोबार हुने लिमिटेसन छ। बैंकको डिजिटल एपमा पनि यस्तो लिमिट छ । यस्तोमा आक्रमण गरेर क्षति पुर्याएमा पनि त्यो पैसा लैजाने माध्यम फरक हुन्छ ।’
बैंक तथा वित्तीय संस्थाहरुमा भएका यस्ता कारोबारका सीमा तथा कति पटक कारोबार हुने भन्ने जस्ता नीतिगत व्यवस्थाले पनि आर्थिकरुपमा ठूलो क्षति पुग्ने किसिमका साइबर आक्रमण हुन नसकेको उनी बताउँछन् । यस्तोमा ह्याकरले व्यक्तिगत खातामा आक्रमण गरेर फाइदा लिने अवस्था ज्यादै कम हुन जान्छ । धुन्जुका अनुसार आक्रमण भएमा पनि क्षति न्युनिकरण गर्ने कुरामा पनि नेपालमा काम भइरहेको छ ।
राष्ट्र बैंकले पछिल्लो पटक साइबर रेजिलेन्स गाइडलाइन्स जारी गरेको थियो । विद्युतीय कारोबारमा आएको व्यापकताकाबीच बृद्धि हुँदै गएका साइबर जोखिमको पहिचान, विश्लेषण र व्यवस्थापनलाई प्रभावकारी बनाउन यो मार्गदर्शक जारी गरेको थियो।
उक्त मार्गदर्शनमा पनि वित्तीय क्षेत्रमा हुन सक्ने साइबर आक्रमणबाट क्षति न्युनिकरण गर्नेदेखि सेवा अवरुद्ध हुन नदिन विभिन्न व्यवस्थाहरु गरिएका छन् । बैंकहरुमा आईटीसम्बन्धी कर्मचारी राख्नेदेखि साईबर आक्रमण भएको खण्डमा २ घण्टामा नै अत्यावश्यक सेवा सुरु गर्नुपर्ने जस्ता व्यवस्था उक्त मार्गदर्शकले गरेको छ ।
‘साइबर सुरक्षा भनेको आइटीको कुरामात्रै नभएर प्रशासनदेखि सुशासनको कुराहरु सबै जोडिन्छन्,’ धुन्जु भन्छन्, ‘यसलाई नै ध्यानमा राखेर गाइडलाइन पनि बनेको छ । हामी वित्तीय क्षेत्रमा हुने आक्रमणमा सुरक्षित कसरी हुने विषयमा विशेष ध्यान पुर्याएर गरिरहेका छौं । हामी वित्तीय क्षेत्रमा हुन सक्ने सम्भावित आक्रमण र त्यसको क्षतिबारे पुर्नमूल्यांकन गरेर काम गरिरहेका छौं । यसले पनि हाम्रोमा यस्ता घटनाहरु कम छन् ।’
क्यानका पूर्वअध्यक्ष तथा आइटी विज्ञ ढकाल नेपाल तुलनात्मकरुपमा सानो अर्थतन्त्र भएका कारण पनि आक्रमण गर्नेहरुको ध्यान यतातर्फ नआएको हुन सक्ने पनि बताउँछन् । तर, सँगै बैंक तथा वित्तिय क्षेत्रले भने साइबर सुरक्षाको विषयमा अपनाएका प्रविधिहरु पनि सुरक्षित भएको उनी जिकिर गर्छन् ।
उनी भन्छन्, ‘यो सानो देश हो भन्ने हिसाबले पनि आक्रमण कम भएको भन्न सकिन्छ । तर, बैंकहरुको हकमा हामी बलियो र सुरक्षित छौं । हामीले पनि सोही क्षेत्रमा काम गरिरहेका छौं । पेमेन्ट गेटवेदेखि वालेट र पेमेन्ट सिस्टमको कुरामा हामीले छोटो समयमा राम्रो काम गरेका छौं । यसले पनि हाम्रो बैंक तथा वित्तीय क्षेत्रको साइबर सुरक्षाको अवस्था राम्रो छ भन्न सकिन्छ ।’