बैंकको साइबर सुरक्षा नाजुक
भाद्र १६,
२०७६विजय तिमल्सिना
काठमाडौँ — सुरक्षाका दृष्टिले मुलुकको बैंकिङ
प्रणाली नाजुक अवस्थामा रहेको विभिन्न अध्ययनहरूले देखाएका छन् । साइबर सुरक्षाबारे काम गर्ने नेपाली कम्पनी थ्रेटनिक्सको तथ्यांकअनुसार बैंक तथा वित्तीय संस्थाका कर्मचारीले प्रयोग गरिरहेका करिब ३३ सयवटा इमेल तिनको पासवर्डसहित डाउनलोड गर्न मिल्ने अवस्थामा छन् ।
कम्पनीले सन् २०१८ भरि नेपालको साइबर सुरक्षाको अवस्था समेटेर तयार पारेको प्रतिवेदनमा बैंकिङ प्रणाली बलियो बनाउनुपर्ने आवश्यकता औंल्याइएको छ ।
प्रतिवेदन तयार पार्ने क्रममा गरिएको अध्ययनमा डाउनलोड गर्न मिल्ने अवस्थामा ८ हजार ३७८ डट एनपी डोमेनमा दर्ता भएका इमेल विश्लेषण गरिएको थियो । अध्ययनअनुसार यी सबै इमेल पासवर्डसमेत डाउनलोड गर्न मिल्ने अवस्थाका थिए । यीमध्ये ३३ सय इमेल नेपालका विभिन्न बैंकको भएको प्रतिवेदनमा उल्लेख छ ।
‘सार्वजनिक अवस्थामा रहेका बैंकका इमेल र पासवर्डको विश्लेषण गर्दा कुनै पनि बलियो देखिएनन्,’ प्रतिवेदनमा छ, ‘पासवर्डका रूपमा नाम, फोन नम्बर, ठाउँको नाम र १२३४५६ जस्ता शब्द थिए ।’ सन् २०१८ मा सार्वजनिक थ्रेटनिक्सको अर्को प्रतिवेदनअनुसार नेपालका बैंक तथा भुक्तानी सेवा प्रदायकको प्रणालीवेब एप्लिकेसन्सहरू पनि सुरक्षाकाहिसाबले निकै कमजोर छन् ।
प्रतिवेदनअनुसार २७ बैंकको वेबसाइटको सुरक्षा विश्लेषण गर्दा १३ वटामा क्लिकज्याकिङ नामक सुरक्षा कमजोरी देखिएको थियो । यो प्रयोगकर्ताले एउटा लिंकमा क्लिक गर्दा अर्कोमा क्लिक गराएर झुक्याउने तरिका हो ।
विश्लेषण क्रममा २७ इ–बैंकिङ एप्लिकेसनमध्ये ४ वटामा पोडल नामक सुरक्षा कमजोरी देखिएको थियो । पोडलले प्रयोगकर्ताको ब्राउजर र सर्भरबीच इन्टरनेट कनेक्सनमा तेस्रो पक्षलाई पहुँच दिन्छ । २७ बैंक र ४ भुक्तानी प्रणालीमध्ये एउटामा भने प्रयोगकर्ताको रकम चोर्न मिल्ने खालको सुरक्षा कमजोरी भेटिएको प्रतिवेदनमा उल्लेख छ ।
बैंकहरूको साइबर सुरक्षामा काम गरिरहेको कम्पनी भैरव टेक्नोलोजीका सहसंस्थापक विजय लिम्बू नेपाली बैंकमा हुने अधिकांश साइबर आक्रमण र चोरीका घटना बैंकको इमेलबाटै हुने गरेको अनुभव सुनाउँछन् । नेपालमा सम्भवतः सबैभन्दा ठूलो साइबर चोरी २०७४ कात्तिकमा भएको थियो । लक्ष्मीपूजाको दिनको उक्त घटनामा एनआईसी एसिया बैंकका कर्मचारीले प्रयोग गर्ने इमेल प्रयोग गरी नाम नखुलेको ह्याकरले करिब ४१ करोड रुपैयाँ विभिन्न ६ देशमा ट्रान्सफर प्रयास गरेका थिए ।
त्यसमध्ये १० करोड
रुपैयाँ अन्यत्र गइसकेको र ३१ करोड जाने अवस्थामा पुगेपछि यसबारे जानकारी
बाहिरिएको थियो । बैंककै कर्मचारीको आधिकारिक इमेल प्रयोग गरी यो चोरीको घटना भएको थियो । ‘यो घटनापछि नेपालका बैंकहरूले आफ्नो प्रणालीलाई बलियो बनाउने पाठ त सिके तर पनि त्यसपछिका अभ्यास पूर्ण भने छैनन्,’ उक्त घटनाको अनुसन्धानमासमेत संलग्न लिम्बू
भन्छन् ।
उनका अनुसार बैंकका कर्मचारीले प्रयोग गर्ने इमेलमा मालवेयर (भाइरस) पठाएर वा फिसिङ (कुनै लिंक पठाएर पासवर्ड चोरी गर्ने तरिका) बाट बैंकिङ प्रणालीमा बढी आक्रमण भइरहेका छन् ।
करिब ८ महिनाअघि नेपाल राष्ट्र बैंक र बैंकर्स एसोसिएसनको इमेलमार्फत अधिकांश बैंक तथा वित्तीय संस्थामा एउटा इमेल गएको थियो, जसमा अट्याच गरिएको फाइलमा मालवेयर पठाइएको थियो । बैंकर्सहरूबीच यो विषयले चर्चा पाएको भए पनि सार्वजनिक नभएको लिम्बूले बताए । ‘उक्त घटना इमेल स्फुनिङ भनिने पासवर्ड थाहै नभए पनि कुनै इमेलबाट अर्को व्यक्तिलाई इमेल पठाउन सकिने शैली अवलम्बन गरेर भएको थियो,’ उनले भने, ‘यस्तो अवस्थामा इमेल प्रयोगकर्तालाई आफ्नो इमेलमा अरूको पहुँच पुगेको थाहा हुन्न ।’
राष्ट्र बैंकले सन् २०१२ मा तयार पारेको सूचना प्रविधिसम्बन्धी निर्देशिकाले अहिलेको साइबर चुनौती सामनाका लागि मार्गनिर्देश गर्न नसक्ने लिम्बूको ठम्याइ छ । उक्त निर्देशिकाअनुसार क वर्गको बैंकले वर्षको एक पटक साइबर सुरक्षासम्बन्धी अडिट गराउनुपर्छ । ‘अधिकांश बैंकले सुरक्षा अडिट गराए पनि त्यसमा औंल्याइएका कमजोरी समाधानका लागि काम गर्दैनन्,’ लिम्बु भन्छन्, ‘बैंक लक्षित साइबार हमलाकारीले विशिष्टीकृत मालवेयर र तरिकाहरू अपनाएको भए पनि हाम्रो सुरक्षा प्रणाली भने परम्परागत खालकै छ ।’
‘बैंकको प्रणाली ह्याक गरी रकम चोरीको घटना आजको भोलि हुने होइन,’ लिम्बू भन्छन्, ‘यसका लागि कम्तीमा पनि एक/दुई महिनाको तयारी हुन्छ । बैंकिङ प्रणालीको निरन्तर निरीक्षण गरिरहने हो भने सम्भावित आक्रमण थाहा पाउन सकिन्छ ।’ बैंकको प्रणालीमा इन्जेक्ट गरिएका मालवेयरहरू विशिष्ट खालको हुने भएकाले सामान्य खालको एन्टिभाइरसले पनि यसलाई रोक्न वा पत्ता लगाउन नसक्ने लिम्बूको बुझाइ छ । ‘बैंकले प्रयोग गर्ने एन्टिभाइरस पनि सोहीअनुसारको विशिष्ट खालको हुनुपर्छ,’ उनी भन्छन्, ‘बैंकहरूले साइबर सुरक्षामा लगानी बढाउनुपर्छ ।’
बैंकहरूको प्रणालीमा हुने सानातिना आक्रमण प्रयास बाहिर नआउने भएकाले यसले सुरक्षा कमजोरी लुकेर रहन सघाउँछ । ‘हामीकहाँ जानकारी बाँड्ने प्रणाली पनि छैन,’ उनले भने, ‘एउटा बैंकमा आक्रमण भए अर्को बैंकलाई पनि जानकारी हुने खालको प्रणाली आवश्यक छ ।’
थ्रेटनिक्सका संस्थापक साइबर सुरक्षा विज्ञ सचिन ठकुरी नेपाली बैंकिङ प्रणालीमा रहेका कमजोरीको फाइदा उठाउँदै विदेशी नागरिक पैसा चोर्नकै लागि नेपाल आउने क्रम बढेको बताउँछन् । ‘बर्सेनि एटीएम ह्याक गरी वा एटीएम कार्ड क्लोन गरेर रकम चोरीको घटनासमेत बढदो छ,’ उनी भन्छन्, ‘बैंकको सुरक्षामा लगानी नबढाउने हो भने यो क्रम झन् बढ्छ ।’
बैंकहरूले राष्ट्र बैंकको निर्देशन पालना गरेको देखाउन मात्रै सेक्युरिटी अडिट गराउने तर कमजोरी समाधानको खासै पहल नगर्ने उनको आरोप छ । बैंकहरूले राष्ट्र बैंकको निर्देशन पालना नगर्ने अर्को उदाहरण चिपमा आधारित एटीएम कार्ड पनि हो ।
राष्ट्र बैंकले बैंकहरूलाई २०७२ असोजभित्र बढी सुरक्षित मानिने चिपमा आधारित एटीएम कार्ड प्रयोगमा ल्याउन निर्देशन दिएको थियो । बैंकहरूले ढिलो गरी कार्ड प्रयोगमा ल्याए पनि यस्ता कार्ड पढ्न सक्ने एटीएम मेसिन राखिसकेका छैनन् । केही बैंकका केही एटीएम मेसिनले मात्रै चिपमा आधारित कार्ड पढ्न सक्छन् ।
चिपमा आधारित कार्ड प्रयोमा ल्याए पनि सबै बैंकले यसलाई पढ्न सक्ने एटीएम मेसिन अद्यावधिक नगर्दा सुरक्षा कमजोरी कायम रहेकोजानकारहरू बताउँछन् ।
चिप प्रयोगकर्ताको
तथ्यांक सुरक्षाका लागि एटीएममा राखिने एउटा उपकरण हो । यसमा कार्डवालाको हस्ताक्षरलगायत अन्य धेरै विवरण समावेश हुन्छ । यस्तो कार्डमार्फत रकम निकाल्दा मेसिनले ग्राहकको धेरै विवरण प्रमाणीकरण गर्ने भएकाले सामान्य कार्डभन्दा बढीसुरक्षित मानिन्छ ।
प्रकाशित : भाद्र १६, २०७६ ०७:१०
No comments:
Post a Comment