नेपालमा पछिल्लो समय बैंक तथा वित्तीय संस्थाको साइबर सुरक्षाका विषयमा थुप्रै प्रश्न उठ्ने गरेका छन् । एनआइसी एसिया बैंकको स्विफ्ट प्रणाली ह्याक गरेर रकम स्थानान्तरण भएको तथ्य बाहिर आएपछि यस विषयमा अझ धेरै चासो बढेको छ । नेपालको बैंकिङ क्षेत्रमा यस्ता साइबर हमला वेला–वेला हुने गरेको साइबार सुरक्षाविज्ञ राजनराज पन्त बताउँछन् । आइटी सर्ट नेपालका अध्यक्षसमेत रहेका पन्तले नेपालको बैंकिङ क्षेत्रमा विद्यमान साइबर सुरक्षाको सवाल यसरी औँल्याए :
राजनराज पन्त, अध्यक्ष, आइटी सर्ट
बैंकमा साइबर हमला
सूचना प्रविधि वा जुनसुकै क्षेत्र पनि पूर्ण रूपमा जोखिमरहित हुन्छ भन्ने छैन । केही–केही जोखिम रहेकै हुन्छ । हरेक क्षेत्रमा चुनौती र जोखिम दुवै हुन्छ । कतिपय देखिन्छन्, कतिपय एक्कासि आइपर्छन् । यस्ता चुनौतीप्रति सचेत हुनु र सम्भावित जोखिम रोक्ने प्रयास गर्नु जुनसुकै क्षेत्रका संघसंस्था तथा कम्पनीको मुख्य दायित्व हुन आउँछ । पछिल्लो समय नेपालका बैैंक तथा वित्तीय संस्थामा पनि साइबर हमला बढिरहेको छ । यसका धेरै रूप छन् । बैंक तथा वित्तीय क्षेत्र आधुनिक बन्दै जाँदा जति त्यसले सहजता ल्याएको छ, त्यति नै जोखिम र चुनौती पनि बढाएको छ । सिस्टम ह्याक, एटिएमबाट फर्ड, मोबाइल तथा इन्टरनेटबाट पैसा स्थानान्तरण तथा चोरीलगायत थुप्रै साइबर हमला भइरहेको छ । यस्ता साइबर हमलाप्रति बैंक तथा वित्तीय संस्था र नियामक निकाय नेपाल राष्ट्र बैंक सचेत हुनुपर्छ ।
कसरी हुन्छ साइबर हमला ?
हाम्रा बैंक तथा वित्तीय संस्थाले आफ्नो साइबर सुरक्षामा आवश्यकताअनुसार ध्यान दिन सकेका छैनन् । धेरै कमी–कमजोरी छन् । अनि यस्ता कमी–कमजोरी पहिल्याएर साइबर हमला हुन्छ । ह्याकरको काम नै ‘लुप होल’ खोज्नु हो । सबैभन्दा महत्वपूर्ण कुरा भनेको बैंक तथा वित्तीय संस्थाले आफ्नो सूचना प्रविधिको अडिट राम्रोसँग गर्दैनन् । राष्ट्र बैंकले आइटी अडिटलाई बाध्यकारी बनाएको छ । तर, त्यसको कार्यान्वयन फितलो छ । कतिपय अवस्थामा कर्मचारीकै मिलोमतो पनि देखिन्छ । त्यसो त राष्ट्र बैंकले पनि नियमित निरीक्षण र अनुगमन गर्दैन । कुनै पनि बैंक तथा वित्तीय संस्थासँग स्वतन्त्र अडिटर पनि हुँदैनन् । सुरक्षाका सबै संयन्त्रको उचित प्रयोग भएका छैनन् । साइबर सुरक्षाका ममलामा सचेतना पनि कमजोर छ । यसले गर्दा बैंक तथा वित्तीय संस्था र अन्य निकायमा समेत साइबर हमला भइरहेका छन् ।
स्तरीय अडिटको आवश्यकता
राष्ट्र बैंकले आइटीको अडिटलाई बाध्यकारी बनाएपछि बैंक तथा वित्तीय संस्थाले वार्षिक रूपमा आफ्नो आइटीको अडिट गर्छन् । तर, अडिट फितलो हुन्छ । अडिट गर्नेको पनि क्षमतामा प्रश्न उठ्छ । २–३ लाख रुपैयाँमा अडिट गर्नेहरू पनि छन् भने अडिटकै लागि ५० लाख लिने पनि छन् । यसर्थ, स्थापित कम्पनीबाट स्तरीय अडिट गराउनुपर्छ । आइटी अडिट गराउने भन्नाले भाइरस भए–नभएको वा सर्भर ठीक भए–नभएको मात्रै अडिट गराउने होइन । सर्भर, नेटवर्क, डिभाइस, काम गर्ने कर्मचारी, सफ्टवेयर, त्यसका सञ्चालक सबै ठीक छन्–छैनन् हेर्नुपर्छ । चेक लिस्ट बनाएर अडिट गराउनुपर्छ । अडिट पनि वर्षमा एकपटक मात्रै हुन्छ, जुन गलत हो । कम्तीमा तीन महिनामा एकपटक सूचना प्रविधिको अडिट पनि गराउनैपर्छ । यसले तीन महिनासम्मलाई ढुक्क बनाउँछ ।
कर्मचारीप्रति सचेत
साइबर सुरक्षाका विषयमा बैंक तथा वित्तीय संस्थामा कार्यरत कर्मचारी पनि धेरै जोडिने गरेका छन् । एटिएम, मोबाइल तथा इन्टरनेटलगायत माध्यमबाट हुने चोरीमा कतिपय अवस्थामा कर्मचारीकै संलग्नता पनि देखिने गरेको छ । यसो भन्दैमा सबै कर्मचारीलाई दोष लगाएको होइन । खासगरी बैंक तथा वित्तीय संस्थाको आइटी विभागमा काम गर्ने र केही जिम्मेवार तहका कर्मचारीप्रति सचेत हुनुपर्छ । उनीहरूलाई तालिम दिनु त छँदै छ, वेला–वेला निगरानीमा पनि राख्नुपर्छ । कहाँ जान्छ ? कोसँग संगत गर्छ ? कस्तो छ जीवनस्तर ? यस्था विषयमा ध्यान दिनुपर्छ । बैंक तथा वित्तीय संस्थाबाट जागिर छाडिसकेपछि पनि उनीहरूलाई निश्चित समयसम्म निगरानीमा राख्नुपर्छ । सूचना प्रविधिलाई मात्रै चुस्त र सुरक्षित बनाएर हुँदैन, कर्मचारी र सरोकारवालाको नियतलाई पनि ध्यानमा राख्नुपर्छ ।
साइबर सुरक्षामा लगानी बढाऔँ
साइबर सुरक्षाका लागि नेपालमा बैंक तथा वित्तीय संस्थाले मात्रै होइन, अन्य कम्पनी तथा संघसंस्थाले पनि आवश्यक मात्रामा लगानी गरेको देखिँदैन । साइबर सुरक्षा वास्तवमै महत्वपूर्ण र चुनौतीपूर्ण छ । यसप्रति सचेत हुनैपर्छ, त्यसैले यसमा लगानीका लागि हिचकिचाउनुहुँदैन । राम्रो लगानी गरेर स्तरीय अडिट गराउनुपर्छ । आइटीमा कर्मचारी धेरै राख्नुपर्छ । स्वतन्त्र आइटीविज्ञ पनि राख्नुपर्छ । डिभाइस, सफ्टवेयर तथा नेटवर्क पनि स्तरीय प्रयोग गर्नुपर्छ । यस्ता काममा खर्च गर्न कन्जुस्याइँ गर्नुहुँदैन । आफ्ना कर्मचारीलाई तालिमको व्यवस्था गर्नुपर्छ ।
राष्ट्र बैंकको भूमिका
राष्ट्र बैंक नियामक निकाय हो । यसले नीति निर्माण गरेर कार्यान्वयन गराउँछ । बैंक तथा वित्तीय संस्थामा साइबर सुरक्षा कायम गराउन पनि राष्ट्र बैंकले नीति बनाएको छ । अडिट गर्नुपर्ने व्यवस्था गरेको छ । तर, त्यसको कार्यान्वयन फितलो छ । राष्ट्र बैंकले साइबर सुरक्षाका मामलामा पनि नियमति अनुगमन र निरीक्षण गराउनुपर्छ । साइबार सुरक्षाप्रति बैंक तथा वित्तीय संस्थाको ध्यान बढी केन्द्रित गराउनुपर्छ । परम्परागत र साधारण अडिट गर्ने प्रक्रिया रोकेर गुणस्तरीय अडिट गराउनुपर्छ । राष्ट्र बैंकले पनि एउटा विज्ञको समूह बनाउनुपर्छ । साइबर सुरक्षाप्रति आफू पनि सचेत भएर बैंक तथा वित्तीय संस्थालाई उच्च सतर्कता अपनाउन लगाउनुपर्छ ।
घटनाबाट पाठ सिक्ने
साइबर हमला पटक–पटक भइरहेका छन् । नेपालमा मात्रै होइन, विश्वमै यस्ता घटना भइरहेका हुन्छन् । यस्ता घटनाबाट सरोकारवालाले पाठ सिक्नुपर्छ । हाम्रोमा कुनै घटना भयो, त्यसको समाधान गर्यो अनि चुप लागेर बस्ने प्रवृत्ति छ । तर, त्यस घटनाबाट पाठ सिक्दै सम्भावित अर्को घटना रोक्न वा जोखिम न्यूनीकरणमा हाम्रो ध्यान कम गइरहेको छ । अहिले एनआइसी बैंकमा जसरी हमला भयो, त्यसरी नै अन्य बैंकमा पनि हुन सक्छ । यसप्रति एनआइसी मात्रै होइन, अन्य बैंक तथा वित्तीय संस्था पनि सचेत हुनुपर्छ । नेपाल र नेपालबाहिर भएका साइबर हमला र साइबर सुरक्षा विषयलाई नेपालका बैंक तथा वित्तीय संस्था र अन्य कम्पनीले पनि ‘लेसन–लर्न’का रूपमा लिनुपर्छ ।
ज्ञान र अनुभव साटासाट
मुलुकमा थुप्रै वाणिज्य बैंक, विकास बैंक र फाइनान्स कम्पनी सञ्चालनमा छन् । ती बैंक तथा वित्तीय संस्थाका आ–आफ्नै साइबर सुरक्षा नीति हुन्छन् । त्यस्तै, प्रविधि हेर्ने कर्मचारीको ज्ञान र अनुभव पनि फरक–फरक हुन्छन् । यसर्थ, यहाँका बैंक तथा वित्तीय संस्थाले साइबर सुरक्षाका मामलामा हातेमालो गर्नुपर्छ । एक–अर्काको ज्ञान र अनुभवलाई साटासाट गर्नुपर्छ । अहिले एनआइसीमा कसरी हमला भएको रहेछ ? कसरी समस्याको समाधान गरियो ? कमजोरी के थियो ? अब समस्या नओस् भनेर एनआइसीले के ग¥यो ? यस्ता अनुभव एनआइसीले अन्य बैंकसँग साटासाट गर्नुपर्छ । अन्य बैंकले पनि सिक्नुपर्छ । नयाँ पत्रिका दैनिकमा प्रकाशित यो लेख वित्तीय क्षेत्रका लागि महत्वपूर्ण सन्देश हुने भएकाले साभार गरिएको हो । (सम्पादक)
