ह्याकिङको हल्लाले बैंकिङ क्षेत्र हल्लिएपछि विज्ञको सुझाव- खतरामुक्त बनाउन 'पेन टेस्टिङ' गर्नुपर्छ

काठमाडौं– बुधबार दिउँसो नेपाल राष्ट्र बैंक र १६ वटा वाणिज्य बैंकहरुलाई इमेल आयो। राष्ट्र बैंकका अधिकारीहरु र वाणिज्य बैंकका कर्मचारीहरु सो इमेलका कारण तनावमा परे। कारण– राष्ट्र बैंक र वाणिज्य बैंकहरुको सिस्टम ह्याक गरिदिने धम्की इमेलमा थियो।   

बुधबार र बिहीबार राष्ट्र बैंक र नेपालका सबै वाणिज्य बैंकहरुले आफ्नो आइटी निगरानीमा राखे। तर, कसैले पनि ह्याक गर्ने प्रयास भने गरेन। 

राष्ट्र बैंकले सबै वाणिज्य बैंकहरुलाई आइटी सिस्टमबारे अपडेट दिइरहन निर्देशन दिएको थियो। त्यसैअनुसार बैंकहरुले बिहीबार दिनभरजसो राष्ट्र बैंकलाई आइटी सिस्टमको बारेमा जानकारी गराइरहे। राष्ट्र बैंकले पनि आन्तरिक निगरानी बढाएको थियो भने बैंकका ग्राहकको मनोबल गिर्न नदिन नेपालको बैंकिङ क्षेत्रको आइटी सिस्टम निक्कै चुस्त र राम्रो रहेको बताएको थियो।

राष्ट्र बैंकले भनेजस्तो ढुक्क हुने किसिमको छ त नेपालका बैंक–वित्तीय संस्थाको आइटी सिस्टम?

आइटी विज्ञ डा. राजीब सुब्बाका अनुसार नेपालको बैंकिङ क्षेत्रमा घटेका आजसम्मका घटनाहरुको अध्ययन गर्दा नेपालको बैंकिङ क्षेत्रमा सूचना प्रविधिको पाटो राम्रो र सुरक्षित नै छ। तर सुरक्षित छ भन्दैमा ह्याक हुँदैन भनेर भन्न सकिँदैन। 

‘बैंकिङ सिस्टम जतिसुकै बलियो भए पनि ह्याकरको प्रयास भने यस क्षेत्रमा भइरहन्छ। कतिपय थ्रेटहरु आइटी विज्ञलाई पनि थाहा हुँदैन। अहिलेसम्मको घटनाक्रम हेर्ने हो भने एउटाबाहेक ठूलो घटना अहिलेसम्म अनलाइनबाट ह्याक गरेर भएको देखिँदैन। त्यो पनि बैंककै कर्मचारीको गल्तीका कारण भएको देखिएको थियो,’ सुब्बाले भने।

केही वर्षअघि एनआइसी एसिया बैंकमा लक्ष्मी पूजाको दिन स्विफ्ट ह्याकिङ भएर पैसा चोरी भएको थियो। नेपाल प्रहरीले गरेको अनुसन्धानमा सो बैंकमा सबै कर्मचारीहरुले एउटै इमेल प्रयोग गर्ने गरेको र सोही कारण पनि बैंकमा ह्याक भएको निष्कर्ष निकालेको थियो। 

नेपाल राष्ट्र बैंकले प्रत्येक वर्ष बैंकहरुको आइटी अडिट गर्छ र केही कमजोरी पाइए सुधार्न निर्देशन दिन्छ। ‘तर पनि विकसित  देशहरुमा त बैंक ह्याकको प्रयासहरु भइरहेका  छन् भने हाम्रो देशमा हुँदैन, हामी सुरक्षित छौं भनेर ढुक्कले बस्न हुँदैन,’ सुब्बा भन्छन्।

नेपालका अधिकांश बैंकहरुले कोर बैंकिङ सिस्टम (सिवीएस)मा भारतीय कम्पनी इन्फोसिसले बनाएको फिनाकल सफ्टवेयर प्रयोग गरेका छन्। केही बैंकहरुले नेपाली कम्पनी मर्कन्टाइलले बनाएको पुमोरी सफ्टवेयर पनि प्रयोग गरिरहेका छन्। 

यी दुवै सफ्टवेयर निकै सुरक्षित रहेको आइटी विज्ञहरुको दावी छ। आधुनिक बैंकिङको नाममा बैंकहरुले प्रविधिलाई बढावा दिए पनि सुरक्षामा पर्याप्त ध्यान नदिँदा चुनौति थपिएको जानकारहरु बताउँछन्।

नेपाल राष्ट्र बैंकका सहप्रवक्ता नारायण पोखरेल बुधबार र बिहीबार ह्याक हुने भनेर आएको इमेल आतंक मच्चाउनका लागि मात्र पठाइएको बताउँछन्। उनले आफ्नो र राष्ट्र बैंकका प्रबक्ता देवकुमार ढकालको इमेलमा कुनै पनि शंकास्पद इमेल नआएको दाबी गर्दै राष्ट्र बैंकले बैंकहरुबाट लगातार अपडेट लिइरहेको जानकारी दिए। 

बैंकहरुले आइटीमा राम्रो लगानी गरेको दाबी गर्दै पोखरेलले भने, ‘बैंकहरुले आफ्नो आइटी विभाग चुस्तदुरुस्त बनाउनुका साथै पर्याप्त सुरक्षाका फिचरहरु राखेका छन्। साथै नेपाल राष्ट्र बैंकको आइटी विभागले पनि समय–समयमा उनीहरुको आइटीको अनुगमन गरिरहेको छ।’

नेपालका अधिकांश बैंकहरुले कोर बैंकिङ सिस्टम (सिवीएस)मा भारतीय कम्पनी इन्फोसिसले बनाएको फिनाकल सफ्टवेयर प्रयोग गरेका छन्।

हिमालयन बैंकको आइटी विभागले पनि सो इमेल स्क्याम मात्र भएकोले आत्तिन नपर्ने बताएको छ। पछिल्लो समय बंैकिङ क्षेत्रमा ह्याकिङको जोखिम कत्तिको छ भनेर भैरव टेक्नोलोजीले अनुगमन गरिरहेको छ। यसको सेवा केही बैंकहरुले लिए पनि सबैले भने लिएका छैनन्। केही समयअघि समय सकिएको क्रेडिट कार्डले सिद्धार्थ बैंकबाट रकम झिकेको कुरा बैंकको सिस्टमले जानकारी पाएर तुरुन्त पक्राउ गर्न सकिएको थियो। 

पब्लिक डोमेनको प्रयोग खतरापूर्ण

बैंकहरुले शाखा सञ्जाल र सेवा विस्तार गर्दा प्रयोग गर्ने पब्लिक डोमेनबाट ह्याकर पस्न सक्ने सम्भावना रहेको नेपाल प्रहरीको साइवर व्युरोका एक प्रहरीले दावी गरे। ‘सीबीएसमा ह्याक सम्भव नभए पनि बैंकहरुले प्रदान गर्ने मोबाइल बैंकिङ, इन्टरनेट बैकिङ, क्युआर कोड, सहकारी मार्फत हुने डिजिटल सेवालगायतले कोर बैंकिङमा पनि थप चुनौती भने देखिएको छ,’ ती प्रहरी अधिकृतले भने। 

उनका अनुसार बैंकहरुले आफ्ना सबै सूचना तथा जानकारीहरु आफ्नो डेटा सेन्टरमा राखेका हुन्छन्। यो डेटा उनीहरुले पब्लिक डोमेन (इन्टरनेट सेवाप्रदायकले प्रदान गर्ने इन्टरनेट) को माध्यम प्रयोग गरेर ल्याउनु पर्छ। यो निकै खतरापूर्ण छ।

खतरामुक्त हुन पेन टेस्टिङ

बैंकिङ सिस्टमलाई खतरामुक्त बनाउन पेन टेस्टिङ अर्थात् इथिकल ह्याकिङ गराउनुपर्ने आइटी विज्ञ डा. सुब्बा बताउँछन्। ‘नेपालमा अहिलेसम्म पनि राष्ट्र बैंक वा कुनै पनि वाणिज्य बैंकले इथिकल ह्याकिङ (व्यावसायिक ह्याकरहरु ल्याएर आफ्नो सिस्टममा वैधानिक तवरबाट नै ह्याक गर्न लगाउने काम) गराएर पेन टेस्टिङ गराएका छैनन्। तर त्यो आवश्यक छ। यदि पेन टेस्टिङ समय–समयमा गरियो भने आफ्नो कमजोरीहरुबारे बैंकहरु जानकार हुन्छन् र सुरक्षाको लागि थप उपायहरु अपनाउन सक्छन्,’ सुब्बा भन्छन्।

उनका अनुसार राष्ट्र बैंकले समय–समयमा गर्ने आइटी अडिटबाट सिस्टमहरुको समस्याको बारेमा जानकारी हुन्छ भने पेन टेस्टिङले आइटी क्षेत्रको सम्भावित जोखिमको बारेमा जानकारी मिल्छ। ‘कहिलेकाहीँ मानवीय कमजोरीका कारण पनि ह्याक हुने गरेको छ। नेपालका बैंकहरुले आफ्ना कर्मचारीलाई राम्रोसँग आइटीको बारेमा जानकारी दिएकै छैनन्।’

आइटी क्षेत्रको रियलटाइम मनिटरिङ गरिएमा पनि अचानक रकम सिफ्टेड हुँदा सिस्टमले जानकारी दिने भएकोले ह्याकिङको प्रयासबारे सम्बिन्धत बैंकलाई थाहा हुने र  ह्याकिङको प्रयास रोक्न सकिने डा.सुब्बाको सुझाव छ।