वित्तीय प्रणालीमा गम्भीर हमला

  • ह्याकरहरू बैंकको गोप्य डाटामा प्रवेश गर्ने क्रम बढे पनि त्यसलाई रोक्ने संयन्त्रको अभाव

- मनबहादुर बस्नेत

तिहार बिदाको छेको पारेर एनआईसी एसिया बैंकको स्विफ्ट कोड ह्याक भयो । कुकुर तिहार र लक्ष्मी पूजा (२ र ३ कात्तिक) का दिन ह्याकरले बैंकको स्विफ्ट सिस्टममा छिरेर ठूलो रकम अपचलन गरेको सार्वजनिक भए पनि ठ्याक्कै त्यो कति हो भन्ने प्रस्ट भएको छैन । त्यसैले नेपाल राष्ट्र बैंक र एनआईसी एसियाकै आँकडा फरक–फरक छ । नियामक निकाय राष्ट्र बैंक र ह्याकरको पासोमा परेको बैंकबीचको फरक–फरक विवरणले ह्याकरले बैंकिङ प्रणालीमा ठूलै क्षति पुर्‍याइदिएको अनुमान गरिएको छ । 

राष्ट्र बैंकका प्रवक्ता नारायण पौडे लले ३१ करोड रुपियाँ रकम मात्र ह्याकरले हिट गरेकामा १६ करोड रुपियाँ भुक्तानी भएको र बाँकीको भुक्तानी भई नसक्दै राष्ट्र बैंकले रोकिदिएको बताएका छन् । तर, एनआईसी एसिया बैंकले नेपाल प्रहरीको केन्द्रीय अनुसन्धान व्युरो (सीआईबी)लाई अनुसन्धानका लागि १३ कात्तिकमा दिएको उजुरीमा भने योभन्दा ठूलो रकम अपचलन भएको उल्लेख छ ।

एनआईसीले सीआईबीमा दिएको निवेदनमा करिब ४६ करोड रुपियाँ भुक्तानी अर्डर भएको देखिन्छ । त्यसमध्ये ३३ करोड रुपियाँ गइसक्यो । त्यसमध्येको २६ करोड रूपियाँ फिर्ता आइसकेको छ भने सात करोड रुपियाँ ‘रिकभर’ भएकै छैन । तर, राष्ट्र बैंक र एनआईसी एसिया बैंकको तथ्यांकमा किन झन्डै दोब्बरले फरक पर्‍यो, अर्थपूर्ण मानिएको छ ।

ह्याकरले बंैकको स्विफ्ट कोड, जो बैंकपिच्छे फरक हुन्छ, ह्याक गरेर ‘युजर नेम’ र पासवर्ड कब्जामा पार्छ । त्यसपछि बंैकको भाषामा रकम ट्रान्सफर गर्न अनलाइन सन्देश पठाउँछ । यस्तो सन्देश आएपछि यताको बैंकले उताबाट भने अनुसारको खातामा रकम जम्मा गरिदिन्छ । र, उता रकम जम्मा भएपछि त्यसलाई त्यहाँबाट पनि कमजोर सुरक्षा प्रणाली भएका मुलुक खास गरी अफ्रिकातिर त्यो रकम ट्रान्सफर गरिन्छ । यसपटक पनि अमेरिका, बेलायत, जापान, जर्मनी, मलेसिया, सिंगापुरबाट अनलाइन सन्देश (भुक्तानी अर्डर) आएको नेपाल राष्ट्र बैंकको अनुसन्धानबाट खुलेको छ । ती देशबाट अन्यत्र ट्रान्सफर भई नसकेको रकम भने फिर्ता आइसकेको छ । तर, अन्यत्र ट्रान्सफर भइसकेको रकम भने कहाँ गयो, पत्ता लाग्न सकेको छैन । 

स्विफ्ट ह्याक गरेर नेपालबाट बाह्य मुलुकतिर पैसा चोरिएको यो पहिलो घटना भए पनि बैंकिङ प्रणालीमै अपचलन गरेको भने नयाँ होइन । यसअघि फागुन ०७१ मा सानिमा बैंकको इन्टरनेट बैंकिङ प्रणालीमा अनधिकृत रूपमा छिरेर ह्याकरहरूले खातामा भएको रकमको अंक नै तलमाथि पारिदिएका थिए । 

बंगलादेशी नागरिक अकमेद विन मुसाले सानिमा बैंकको केन्द्रीय कार्यालयमा खाता खोलेर तीन सय रुपियाँ जम्मा गरेका थिए । खाता खोलेको भोलिपल्टै उनको खातामा १० हजार रुपियाँ मौज्दात देखियो । तर, कहीँबाट खातामा पैसा राखेको देखिएन । अनलाइनमार्फत खातामा गैरकानुनी रूपमा छिरेर अंक थपेर उनले आफ्नो रकम बढाएका थिए । खासमा यो ‘ट्रायल’ मात्रै थियो । घटनाको अनुसन्धान गरेका सीआईबीका प्रहरी निरीक्षक गोविन्द थापा भन्छन्, “ह्याकिङ सिस्टमले काम गर्‍यो कि गरेन भनेर सानो रकम मात्रै बढाएका थिए । काम गरेमा त्यो रकम उच्च बनाउने उनीहरूको योजना थियो ।” 

तर, बैंकको सूचना प्रविधि शाखाले यसलाई शंकास्पद कारोबार ठम्याएपछि व्युरोमा खबर पुग्यो । त्यसपछि प्रहरीको अनुसन्धानले मुसासहित अर्का बंगलादेशी नागरिक साह मोआजिमले बैंकको विद्युतीय सञ्जालमा पसेर गडबडी गरेको पुष्टि गर्‍यो । बैंकको सफ्टवेयरमै छिरेर उनीहरूले रकम तलमाथि गर्न सक्ने यो घटना भएको एक महिना पनि नबित्दै अर्को बैंकको आन्तरिक प्रणालीमा ह्याकरहरू छिरे । वैशाख ०७२ मा बिजनेस युनिभर्सल डेभलपमेन्ट बैंक (हाल सिद्धार्थ बैंकमा गाभिएको)को खातामा ह्याकरहरूले अनधिकृत पहुँच बनाएर रकमको मौज्दात बढी देखाएनन् मात्रै, भटाभट पैसा निकालियो पनि । सीआईबीले पाँच जनालाई पक्राउ गरेपछि घटनाको अर्को अध्याय खुुल्यो, बाह्य मुलुकबाट ह्याकरले यस्तो पहुँच बनाएको । 

पक्राउ परेका अमिर महर्जन, राजेश श्रेष्ठ, सरोजन श्रेष्ठ, सञ्जय पौडेल र जनक कार्कीले जर्मनीमा बस्ने जेनफिर र लर्ड क्यास्ट्रो नामक व्यक्तिको निर्देशनमा खाता खोलेको प्रहरी बयानमा खुलाएका थिए । तर, प्रहरीले काम अह्राउने मुख्य अभियुक्तलाई पक्राउ गर्न भने सकेन । जिल्ला अदालत काठमाडौँले पाँचै जना नेपालीलाई २ जेठ ०७२ मा प्रतिव्यक्ति २ लाख ६५ हजार रुपियाँ धरौटी लिनुपर्ने फैसला सुनाएको थियो । 

नेपालको बैंकिङ प्रणाली जोखिमपूर्ण रहेका यी घटनाक्रमले देखाउँछन् । अझ, एकपछि अर्को गम्भीर प्रकृतिको घटना भएको देखिन्छ । पहिले खाता खोलेर बैंकको प्रणालीमा अनधिकृत रूपमा छिरेकाले प्रहरीले खातावालको पहिचान गरेर सहजै पक्राउ गरेको थियो । अहिले त बैंकको स्विफ्ट प्रणाली नै ह्याक गरेकाले कसले अनधिकृत पहुँच बनाएर रकम चोर्‍यो भन्ने खुल्न जटिल छ । 

कमजोर साइबर सुरक्षा

नेपालका वित्तीय संस्थाहरू साइबर सेक्युरिटीका हिसाबले जोखिमपूर्ण अवस्थामा रहेको हालै मात्र सार्वजनिक एक अध्ययनले देखाएको छ । अमेरिकामा रहेको रेकर्डेड फ्युचर नामक थ्रियट इन्टेलिजेन्स कम्पनीले गत १ अप्रिलदेखि ६ जुलाईसम्मको इन्टरनेट गतिविधिको विश्लेषण गर्दा नेपाललाई समेत असुरक्षित राष्ट्रमा राखेको हो । उक्त अध्ययन रिपोर्ट अनुसार उत्तर कोरियाली ह्याकरहरूले नेपालसहित भारत, मलेसिया, न्युजिल्यान्ड, केन्या, मोजाम्बिक र इन्डोनेसियामा छद्म सूचनाहरू भारी मात्रामा पठाउन सक्रिय रहेका छन् । 

हरेक बैंकको सर्भर र स्विफ्ट गु्रपबीच भर्चुअल प्राइभेट नेटवर्क (भीपीएन) हुन्छ । सामान्यत: सुरक्षाका दृष्टिले सर्भरसँग प्रत्यक्ष जोडिएका भीपीएन कम्प्युटरमा इन्टरनेटको पहुँच दिइएको हुँदैन । एक जना आईटी विज्ञका अनुसार सर्भरसँग सोझै जोडिएका कम्प्युटरमा इन्टरनेट हुँदा ह्याकरले सहजै त्यो डाटामा पहुँच बनाउन सक्ने भएकाले उक्त कम्प्युटरमा इन्टरनेट जोडिँदैन । 

तर, एनआईसी एसिया बैंकले भने भीपीएन कम्प्युटरमै सोझै इन्टरनेटको पहुँच दिएको राष्ट्र बैंकको अनुसन्धानबाट खुलेको छ, जसले गर्दा ह्याकरले सोझै उक्त कम्प्युटरमा पहुँच बनाएर युजर नेम र पासवर्ड हात पार्‍यो । युजर नेम र पासवर्डमा ह्याकरले पहुँच कसरी बनायो भन्नेमा भने प्रहरी र राष्ट्र बैंक दुवैले अनुसन्धान गरिरहेका छन् । “बैंकको स्विफ्ट नै ह्याक हुनु भनेको धेरै गम्भीर कुरा हो,” सीआईबीका निर्देशक एवं प्रहरी नायब महानिरीक्षक (डीआईजी) पुष्कर कार्की भन्छन्, “बैंकको सेक्युरिटी भनेको गार्ड राख्नु मात्र होइन । आफ्नो वित्तीय प्रणालीको सुरक्षा कसरी गर्ने भनेर उनीहरूले अब त्यसमा समेत लगानी गर्नु अनिवार्य भइसक्यो ।” 

एउटा वाणिज्य बैंकमा काम गर्ने आईटी विभागका अधिकारी त अधिकांश बैंकका आईटी शाखा बैंकको दैनिक प्रशासनिक कार्यलाई सघाउने काममा मात्र प्रयोग भइरहेको बताउँछन् । साइबर सेक्युरिटीका लागि प्रविधिमा लगानी गर्नुपर्ने र त्यसले तत्काल देखिने स्वरूपमा कुनै आर्थिक फाइदा नदिने हुँदा बहुसंख्यक बैंक व्यवस्थापक र लगानीकर्ता यसमा लगानी गर्न इच्छुक देखिँदैनन् । यद्यपि, बैंकहरूले इन्टरनेट, मोबाइल, ई–सेवा बंैकिङजस्ता विद्युतीय सञ्जालबाट सञ्चालित हुने सेवाहरू भने बढाइरहेका छन् । “तर, यस्तो सेवालाई सुरक्षित पार्ने प्रविधिको विकास किन बैंकहरूले गर्दैनन् ?” सूचना प्रविधिमा दख्खल राख्ने विनय बोहरा बताउँछन् । 

न जनशक्ति, न संरचना

अनधिकृत रूपमा बैंकको खातामा प्रवेश गरी रकम थपघट गर्न सक्ने घटना बाहिरिएपछि चार वर्षअघि सीआईबीले नेपालको वित्तीय संस्थाहरूमाथि साइबर हमला हुनसक्ने भन्दै त्यसका लागि अनुसन्धान गर्ने जनशक्ति तयार गर्नुपर्ने प्रस्ताव गृह मन्त्रालयमा पठायो । सीआईबीले प्रहरी मुख्यालय हुँदै पठाएको प्रस्तावमा नेपाल प्रहरीको अगुवाइमा सञ्चालन हुने गरी कम्प्युटर इमरजेन्सी रेस्पोन्स टिम (सर्ट) स्थापना गर्नुपर्ने उल्लेख थियो । सर्ट, कुख्यात अपराधी खोज्न सहजीकरण गरिदिने विश्वभर नेटवर्क भएको प्रहरीको इन्टरपोलजस्तै एउटा अन्तर्राष्ट्रिय सञ्जाल हो, जसले साइबर अपराधका घटनामा अन्तर्राष्ट्रिय रूपमा सूचना आदान–प्रदान र अनुसन्धान गर्छ । यसमा आईटी, इन्टरनेटका विज्ञदेखि अपराध अनुसन्धानमा दख्खल राख्नेहरूको टिम रहेको हुन्छ । घटना हुनासाथै रेस्पोन्स गर्नुपर्ने भएकाले २४ सै घन्टा ड्युटीमा रहने प्रहरीले यसको कमान्ड गर्नुपर्ने विश्वव्यापी प्रचलन हो । भारतमा यस्तो जनशक्ति भए पनि नेपालमा भने छैन । 

पूर्वडीआईजी हेमन्त मल्लका अनुसार नेपालमा १२ वैशाख ०७२ को भूकम्पलगत्तै सीआईबीले अमेरिकास्थित सर्टको कार्यालयसँग सहयोग मागेको थियो, जहाँबाट नेपालमा ह्याकरहरूको सक्रियता बढेको सूचना सीआईबीले पायो । “महामारी, विपत्ति, संकटका बेला राज्यका मेसिनरीहरू कमजोर हुने भएकाले त्यस्तो बेला ह्याकरहरूले आक्रमण गर्ने भय बढी हुन्छ,” मल्ल भन्छन्, “त्यसैले हामीले अनुरोध गरेर सहकार्य गरेका थियौँ । त्यसले राम्रो सहयोग पुगेको थियो ।” उनका अनुसार नेपालमा सर्टको टिम हुने भए साइबर अपराधसम्बन्धी सूचनाहरू पाइराख्ने र त्यसले घटना हुनुअगावै सजग बनाउन तथा घटनालगत्तै अनुसन्धान गर्न सहयोग पुग्छ । 

अर्कोतिर राष्ट्र बैंकले समेत बैंकहरूको साइबर सुरक्षाका लागि प्रस्ट मापदण्ड बनाएको छैन । सेक्युरिटी गाइडलाइन्सकै भरमा चलिरहेको छ । यसमा सेक्युरिटीका लागि अवलम्बन गर्नुपर्ने कुराहरू उल्लेख भए पनि त्यसको मापदण्ड भने तोकिएको छैन । “सिस्टम सुरक्षित राख्न गर्नुपर्ने कामहरू राखिएको छ,” राष्ट्र बैंकका प्रवक्ता नारायण पौडेल भन्छन्, “त्यसैका आधारमा हामीले नियमन गर्ने हो ।” 

अर्कोतिर सेक्युरिटी अडिटलाई समेत राष्ट्र बैंकले कडाइका साथ लागू नगरेको राष्ट्र बैंककै एक अधिकारी बताउँछन् । सेक्युरिटी अडिटले साइबर सुरक्षाको समीक्षा गरेर सबल र निर्बल पक्ष निक्र्योल गरिदिन्छ । त्यही अनुसार बैंकहरू प्रविधिमा अपडेट हुन सक्छन् । “तर, पछिल्लो प्रविधि जडान गर्न हाम्रा वित्तीय संस्थाहरूले आर्थिक रूपमा सक्छन् वा सक्दैनन्, त्यो राष्ट्र बैंकलाई भन्दा सम्बन्धित बैंकलाई थाहा हुन्छ । त्यसैले नियमनकारी निकायले यही सफ्टवेयर वा प्रविधि प्रयोग गर भन्न सक्दैन । तर, सुरक्षाको हैसियत कस्तो छ भनेर नियमनचाहिँ गर्नुपर्छ,” बैंकका पूर्वगभर्नर दीपेन्द्रबहादुर क्षत्री भन्छन् । 

वित्तीय प्रणालीमा हमला गरेर ह्याकरहरूले देशको आर्थिक व्यवस्थालाई कमजोर बनाएपछि सिंगो राज्य संयन्त्र नै कमजोर बन्न पुग्छ । एक वर्षअघि बंगलादेशको केन्द्रीय बैंकको स्विफ्ट ह्याक भएर १ सय १ मिलियन अमेरिकी डलर चोरी भएपछि त्यहाँका गभर्नर अतिअर रहमानले राजीनामा नै दिनुपर्‍यो । यो चोरीबाट त्यहाँको अर्थतन्त्रमै गम्भीर धक्का लाग्यो । तर, पूर्वडीआईजी मल्ल भन्छन्, “यति गम्भीर कुरामा नेपालमा भने बहस नै भएको छैन ।” 

प्रकाशित: कार्तिक २१, २०७४