बैंकको साइबर सुरक्षा नाजुक

काठमाडौँ, भदौ १६— सुरक्षाका दृष्टिले मुलुकको बैंकिङ प्रणाली नाजुक अवस्थामा रहेको विभिन्न अध्ययनहरूले देखाएका छन् । साइबर सुरक्षाबारे काम गर्ने नेपाली कम्पनी थ्रेटनिक्सको तथ्यांकअनुसार बैंक तथा वित्तीय संस्थाका कर्मचारीले प्रयोग गरिरहेका करिब ३३ सयवटा इमेल तिनको पासवर्डसहित डाउनलोड गर्न मिल्ने अवस्थामा छन् । आजको कान्तिपुर दैनिकमा खबर छ ।

कम्पनीले सन् २०१८ भरि नेपालको साइबर सुरक्षाको अवस्था समेटेर तयार पारेको प्रतिवेदनमा बैंकिङ प्रणाली बलियो बनाउनुपर्ने आवश्यकता औंल्याइएको छ । प्रतिवेदन तयार पार्ने क्रममा गरिएको अध्ययनमा डाउनलोड गर्न मिल्ने अवस्थामा ८ हजार ३७८ डट एनपी डोमेनमा दर्ता भएका इमेल विश्लेषण गरिएको थियो । अध्ययनअनुसार यी सबै इमेल पासवर्डसमेत डाउनलोड गर्न मिल्ने अवस्थाका थिए । यीमध्ये ३३ सय इमेल नेपालका विभिन्न बैंकको भएको प्रतिवेदनमा उल्लेख छ । ‘सार्वजनिक अवस्थामा रहेका बैंकका इमेल र पासवर्डको विश्लेषण गर्दा कुनै पनि बलियो देखिएनन्,’ प्रतिवेदनमा छ, ‘पासवर्डका रूपमा नाम, फोन नम्बर, ठाउँको नाम र १२३४५६ जस्ता शब्द थिए ।’ सन् २०१८ मा सार्वजनिक थ्रेटनिक्सको अर्को प्रतिवेदनअनुसार नेपालका बैंक तथा भुक्तानी सेवा प्रदायकको प्रणालीवेब एप्लिकेसन्सहरू पनि सुरक्षाकाहिसाबले निकै कमजोर छन् ।
प्रतिवेदनअनुसार २७ बैंकको वेबसाइटको सुरक्षा विश्लेषण गर्दा १३ वटामा क्लिकज्याकिङ नामक सुरक्षा कमजोरी देखिएको थियो । यो प्रयोगकर्ताले एउटा लिंकमा क्लिक गर्दा अर्कोमा क्लिक गराएर झुक्याउने तरिका हो । विश्लेषण क्रममा २७ इ–बैंकिङ एप्लिकेसनमध्ये ४ वटामा पोडल नामक सुरक्षा कमजोरी देखिएको थियो । पोडलले प्रयोगकर्ताको ब्राउजर र सर्भरबीच इन्टरनेट कनेक्सनमा तेस्रो पक्षलाई पहुँच दिन्छ । २७ बैंक र ४ भुक्तानी प्रणालीमध्ये एउटामा भने प्रयोगकर्ताको रकम चोर्न मिल्ने खालको सुरक्षा कमजोरी भेटिएको प्रतिवेदनमा उल्लेख छ । बैंकहरूको साइबर सुरक्षामा काम गरिरहेको कम्पनी भैरव टेक्नोलोजीका सहसंस्थापक विजय लिम्बू नेपाली बैंकमा हुने अधिकांश साइबर आक्रमण र चोरीका घटना बैंकको इमेलबाटै हुने गरेको अनुभव सुनाउँछन् । नेपालमा सम्भवतः सबैभन्दा ठूलो साइबर चोरी २०७४ कात्तिकमा भएको थियो । लक्ष्मीपूजाको दिनको उक्त घटनामा एनआईसी एसिया बैंकका कर्मचारीले प्रयोग गर्ने इमेल प्रयोग गरी नाम नखुलेको ह्याकरले करिब ४१ करोड रुपैयाँ विभिन्न ६ देशमा ट्रान्सफर प्रयास गरेका थिए । त्यसमध्ये १० करोड रुपैयाँ अन्यत्र गइसकेको र ३१ करोड जाने अवस्थामा पुगेपछि यसबारे जानकारी बाहिरिएको थियो । बैंककै कर्मचारीको आधिकारिक इमेल प्रयोग गरी यो चोरीको घटना भएको थियो । ‘यो घटनापछि नेपालका बैंकहरूले आफ्नो प्रणालीलाई बलियो बनाउने पाठ त सिके तर पनि त्यसपछिका अभ्यास पूर्ण भने छैनन्,’ उक्त घटनाको अनुसन्धानमासमेत संलग्न लिम्बू भन्छन् । उनका अनुसार बैंकका कर्मचारीले प्रयोग गर्ने इमेलमा मालवेयर (भाइरस) पठाएर वा फिसिङ (कुनै लिंक पठाएर पासवर्ड चोरी गर्ने तरिका) बाट बैंकिङ प्रणालीमा बढी आक्रमण भइरहेका छन् । करिब ८ महिनाअघि नेपाल राष्ट्र बैंक र बैंकर्स एसोसिएसनको इमेलमार्फत अधिकांश बैंक तथा वित्तीय संस्थामा एउटा इमेल गएको थियो, जसमा अट्याच गरिएको फाइलमा मालवेयर पठाइएको थियो । बैंकर्सहरूबीच यो विषयले चर्चा पाएको भए पनि सार्वजनिक नभएको लिम्बूले बताए । ‘उक्त घटना इमेल स्फुनिङ भनिने पासवर्ड थाहै नभए पनि कुनै इमेलबाट अर्को व्यक्तिलाई इमेल पठाउन सकिने शैली अवलम्बन गरेर भएको थियो,’ उनले भने, ‘यस्तो अवस्थामा इमेल प्रयोगकर्तालाई आफ्नो इमेलमा अरूको पहुँच पुगेको थाहा हुन्न ।’ राष्ट्र बैंकले सन् २०१२ मा तयार पारेको सूचना प्रविधिसम्बन्धी निर्देशिकाले अहिलेको साइबर चुनौती सामनाका लागि मार्गनिर्देश गर्न नसक्ने लिम्बूको ठम्याइ छ । उक्त निर्देशिकाअनुसार क वर्गको बैंकले वर्षको एक पटक साइबर सुरक्षासम्बन्धी अडिट गराउनुपर्छ । ‘अधिकांश बैंकले सुरक्षा अडिट गराए पनि त्यसमा औंल्याइएका कमजोरी समाधानका लागि काम गर्दैनन्,’ लिम्बु भन्छन्, ‘बैंक लक्षित साइबार हमलाकारीले विशिष्टीकृत मालवेयर र तरिकाहरू अपनाएको भए पनि हाम्रो सुरक्षा प्रणाली भने परम्परागत खालकै छ ।’ ‘बैंकको प्रणाली ह्याक गरी रकम चोरीको घटना आजको भोलि हुने होइन,’ लिम्बू भन्छन्, ‘यसका लागि कम्तीमा पनि एक/दुई महिनाको तयारी हुन्छ । बैंकिङ प्रणालीको निरन्तर निरीक्षण गरिरहने हो भने सम्भावित आक्रमण थाहा पाउन सकिन्छ ।’ बैंकको प्रणालीमा इन्जेक्ट गरिएका मालवेयरहरू विशिष्ट खालको हुने भएकाले सामान्य खालको एन्टिभाइरसले पनि यसलाई रोक्न वा पत्ता लगाउन नसक्ने लिम्बूको बुझाइ छ । ‘बैंकले प्रयोग गर्ने एन्टिभाइरस पनि सोहीअनुसारको विशिष्ट खालको हुनुपर्छ,’ उनी भन्छन्, ‘बैंकहरूले साइबर सुरक्षामा लगानी बढाउनुपर्छ ।’ बैंकहरूको प्रणालीमा हुने सानातिना आक्रमण प्रयास बाहिर नआउने भएकाले यसले सुरक्षा कमजोरी लुकेर रहन सघाउँछ । ‘हामीकहाँ जानकारी बाँड्ने प्रणाली पनि छैन,’ उनले भने, ‘एउटा बैंकमा आक्रमण भए अर्को बैंकलाई पनि जानकारी हुने खालको प्रणाली आवश्यक छ ।’ थ्रेटनिक्सका संस्थापक साइबर सुरक्षा विज्ञ सचिन ठकुरी नेपाली बैंकिङ प्रणालीमा रहेका कमजोरीको फाइदा उठाउँदै विदेशी नागरिक पैसा चोर्नकै लागि नेपाल आउने क्रम बढेको बताउँछन् । ‘बर्सेनि एटीएम ह्याक गरी वा एटीएम कार्ड क्लोन गरेर रकम चोरीको घटनासमेत बढदो छ,’ उनी भन्छन्, ‘बैंकको सुरक्षामा लगानी नबढाउने हो भने यो क्रम झन् बढ्छ ।’ बैंकहरूले राष्ट्र बैंकको निर्देशन पालना गरेको देखाउन मात्रै सेक्युरिटी अडिट गराउने तर कमजोरी समाधानको खासै पहल नगर्ने उनको आरोप छ । बैंकहरूले राष्ट्र बैंकको निर्देशन पालना नगर्ने अर्को उदाहरण चिपमा आधारित एटीएम कार्ड पनि हो । राष्ट्र बैंकले बैंकहरूलाई २०७२ असोजभित्र बढी सुरक्षित मानिने चिपमा आधारित एटीएम कार्ड प्रयोगमा ल्याउन निर्देशन दिएको थियो । बैंकहरूले ढिलो गरी कार्ड प्रयोगमा ल्याए पनि यस्ता कार्ड पढ्न सक्ने एटीएम मेसिन राखिसकेका छैनन् । केही बैंकका केही एटीएम मेसिनले मात्रै चिपमा आधारित कार्ड पढ्न सक्छन् । चिपमा आधारित कार्ड प्रयोमा ल्याए पनि सबै बैंकले यसलाई पढ्न सक्ने एटीएम मेसिन अद्यावधिक नगर्दा सुरक्षा कमजोरी कायम रहेकोजानकारहरू बताउँछन् । चिप प्रयोगकर्ताको तथ्यांक सुरक्षाका लागि एटीएममा राखिने एउटा उपकरण हो । यसमा कार्डवालाको हस्ताक्षरलगायत अन्य धेरै विवरण समावेश हुन्छ । यस्तो कार्डमार्फत रकम निकाल्दा मेसिनले ग्राहकको धेरै विवरण प्रमाणीकरण गर्ने भएकाले सामान्य कार्डभन्दा बढीसुरक्षित मानिन्छ ।

सम्बन्धित समाचार

Leave a Reply

टाइप गरेर स्पेस थिच्नुहोस् र नेपाली युनिकोडमा पाउनुहोस। (Press Ctrl+g to toggle between English and Nepali OR just Click on the letter). अंग्रेजीमा टाइप गर्न "अ" मा थिच्नुहोस्।

*

भर्खरै view all

काँग्रेस केन्द्रीय सदस्य जोशीद्धारा स्वास्थ्य सामाग्री प्रदान

नेपाल फकाउँदै ओली

बिपि स्मृति भवनलाई काँग्रेस युवा नेता मल्लद्धारा ब्यक्तिगत पाँच लाख ५५ हजार

गाडीले किच्दा युवाको मृत्यु

पर्वत अस्पताललाई काँग्रेस नेता जोशीद्वारा स्वास्थ्य उपकरण हस्तान्तरण




About Sarathi news
Description goes here
NEPAL OFFICE

Address 1
Kathmandu, Nepal

977-0000000000