साइबर सुरक्षा जोखिममा नेपालको बैंकिङ क्षेत्र

काठमाडौं। नेपालमा भइरहेका साइबर अपराधका घटनाक्रमले कुनै पनि बेला ठूलो घटना हुन सक्ने गृहमन्त्रालयको एक अध्ययनले देखाएको छ । सरकारी निकायहरूको ‘वेबसाइट डिफ्यामेन्ट’ वित्तीय प्रणाली र अन्य महत्वपूर्ण प्रणालीहरूमा अनधिकृत पहुँच तथा सेवा अवरोध गर्ने लगायतका साइबर आक्रमणहरू राष्ट्रिय सुरक्षाको दृष्टिकोणले संवेदनशील बनेको अध्ययन समितिको ठहर छ ।

गृह मन्त्रालयका तत्कालीन सहसचिव डा. भीष्मकुमार भूसालको संयोजकत्वमा गठित ‘विद्यमान साइबर सुरक्षाका चुनौतीहरू एवं साइबर अपराध नियन्त्रणलाई प्रभावकारी बनाउने उपाय’ सम्बन्धी अध्ययन समितिले नेपालमा साइबर सुरक्षाको अवस्था ‘अति नै संवेदनशील’ भएको ठहर गरेको हो ।

“साइबर हमला तथा आक्रमणबाट जोगिन निश्चित अवधि तोकेर योजना बनाउन आवश्यक छ र साइबर सुरक्षालाई प्राथमिकताका साथ अगाडि बढाउन जरूरी छ, नेपालका लागि साइबर हमलाका विषयमा गम्भीर नहुने हो भने एकै पटक ठूलो जोखिमको सामना गर्नुपर्ने हुनसक्छ,” प्रतिवेदनमा भनिएको छ ।

नेपाल दूरसञ्चार प्राधिकरणका निर्देशक, नेपाल प्रहरी साइबर ब्युरो, नेपाल प्रहरीका प्रहरी वरिष्ठ उपरीक्षक, गृह मन्त्रालयको वरिष्ठ कम्प्युटर ईञ्जिनियर,सञ्चार तथा सूचना प्रविधि मन्त्रालयका उपसचिव, सूचना प्रविधि विभागका निर्देशक, राष्ट्रिय सूचना प्रविधि केन्द्रका निर्देशक, नपाली सेनाको सूचना प्रविधि निर्देशनालयका प्रमुख सेनानी सन्ध्या पाण्डे, नेपाल प्रहरी, सशस्त्र प्रहरी बल नेपाल राष्ट्रिय अनुसन्धान विभागका सूचना प्रविधि हेर्ने वरिष्ठ अधिकारीहरू सम्मिलित अध्ययन टोलीले तहगत रुपमा नेपालको साइबर सुरक्षाको अवस्थाबारे समीक्षा गरेको थियो ।

अध्ययन प्रतिवेदनमा सरकारी र सरकार स्वामित्वकै सार्वजनिक निकायहरूमा चोरीको (पाइरेटेड) सफ्टवेयर व्यापक रूपमा प्रयोग भइरहेको भन्दै त्यसलाई ‘अति साइबर सुरक्षा संवेदनशील’ विषयका रूपमा राखिएको छ ।
“अधिकांश निकायहरूले पाइरेटेड विन्डोज् र अफिस प्याकेज प्रयोग गरिरहेको हुँदा पछिल्लो विन्डो प्याचको ‘क्र्याक भर्सन अद्यावधिक हुन नसकी ह्याकरको निशानामा सजिलै पर्ने गरेको” प्रतिवेदनमा उल्लेख छ ।

सरकारी निकायहरूमात्र नभइ अधिकांश बैंक तथा वित्तीय संस्था र अन्य सार्वजनिक निकायमा ‘सस्तो पर्ने’ लोभमा पाइरेटेड विन्डोज् र अफिस प्याक प्रयोग गर्ने गरिएको देखिन्छ । सार्वजनिक खरिद प्रक्रियामा टेन्डर आह्वान गर्दा नै कम मूल्यमा बोलपत्र बुझाउने ‘बिक्रेता’लाई छानिन्छ । कतिपय बोलपत्र सूचनामा कम्प्युटरको स्पेसिफिकेसन तोकिँदा नै सुरुमै ‘एसेम्बल कम्प्युटर’को जस्तो प्रणाली भएको बनाइन्छ, जसमा सक्कली सफ्टवेयरबारे उल्लेख नै हुँदैन ।

२०७८ पुस २० गते गठन गरेको समितिले २०७८ फागुनमा बुझाएको प्रतिवेदनमा बैंक तथा वित्तीय संस्थामाथि भएको आक्रमणबारे उल्लेख गरेको छ । संस्थामाथि भएको यस्ता आक्रमण देशभित्र र अन्तरदेशीय दुवै प्रकृतिका हुने गरेको प्रतिवेदनमा छ ।

प्रतिवेदनमा ‘बैंकिङ तथा वित्तीय संस्थाहरू सम्बन्धी’बारे उल्लेख गर्दै ‘विदेशी मुलुकका अपराधीहरू नेपालमै आई एटीमबाट फर्जी कार्ड बनाई तथा पिन ह्याक गरी रकम निकाल्ने तथा रकम स्थानान्तरण गर्ने/बैंकिङ सिस्टम/सर्भरहरूमा अनधिकृत पहुँच राखी नेपाल बाहिर रकम स्थानान्तरण गर्ने’ गरेको उल्लेख छ ।

प्रतिवेदनमा भनिएको छ, “विगतमा नेपालमा भए गरेका साइबर अपराधका घटनाक्रमले कुनै पनि बेला ठूलो घटना हुनसक्ने तर्फ संकेत गरेको छ,…नेपालको सन्दर्भमा हेर्दा हाल सरकारी निकाय, सुरक्षा निकाय र बैंकिङ तथा आर्थिक क्षेत्रमा जोखिम बढ्दै गएको छ ।”अध्ययनमा केही बैंक तथा वित्तीय संस्थाले जोखिमका सम्भावित क्षेत्रबारे क्षेत्र पहिचान गरिएको छ ।

बैक तथा वित्तीय संस्थामा निम्न क्षेत्रमा जोखिम हुन सक्ने आकलन गरिएको छ ।

१. सफ्टवेयर प्रणाली र नेटवर्कको विनाशबाट हुने हानी तथा व्यवसायको अवरोध,

२. डेटा ब्रिच (डेटा प्रणालीमा अवैध प्रवेश गरी हमला गर्नु वा खलल उत्पन्न गर्नु)बाट उत्पन्न संस्थाको सञ्चित डाटा र तेस्रो पक्षको दायित्वको सूचनामा हुने क्षति ।

३. मालवेयर वा अन्य त्यस्तै संक्रमणकारी कोडका कारण रिकभरीका लागि लाग्ने खर्च,

४. साइबरजन्य–घटनाबाट कारोबार अवरोधका कारण हुने नोक्सानी (बीमांकित सञ्जालमा भौतिक अवरोधका कारण शुद्ध नाफामा हुने नोक्सानी समेत),

५. सेवा प्रवाह गर्न नसक्दा हुने नोक्सानी,

६. सूचना चोरीका कारण हुने नोक्सानी (ग्राहकको डाटा÷रेकर्डको नियन्त्रण नै गुम्ने,)

७. बौद्धिक सम्पत्तिमाथि हमला÷अतिक्रमणबाट हुने क्षति,

८. साइबर लुटपाट र साइबर जासुसीबाट हुने क्षति,

९ साइबर–आतङ्ककारी क्रियाकलापका कारण हुने क्षति,

१०. विद्युतीय सञ्चार माध्यम वा डेटा सामाग्रीमा हानी नोक्सानी,

११. नेटवर्क सुरक्षा प्रणालीमा अवैध प्रवेश गरि क्षति पु¥याइदा हुने नोक्सानी,

१२. निजी गोपनीयता भंग गरेर हुने नोक्सानी÷डेटा दायित्वबाट हुने नोक्सानी

१३. व्यक्तिगत जानकारी गुम्ने,

१४. संस्थाको सूचना गुम्ने,

१५. आउटसोर्सिङ सेवाबाट हुने घाटा,

१६. घटनाको बाहिरिने प्रतिप्रभाव (स्पिलओभर)बाट उत्पन्न हुने प्रतिष्ठाको क्षति,

१७. संस्था मर्मत तथा व्यक्तिको प्रतिष्ठाको बहाली लागि लाग्ने खर्चहरू

१८. व्यावसायिक निरन्तरता÷आपूर्ति श्रृङ्खला अवरोधका कारण हुने नोक्सानी ।

१९. डेटा चोरीको लागि संकट व्यवस्थापन र प्रतिक्रियाको लागि गरिने खर्च (प्रशासनिक खर्चको लागत अर्थात फोरेन्सीक जाँच, दण्ड, नियामक र सरकारी जरिवाना सहित)

२०. कम्प्युटर प्रणालीको मर्मत, प्रतिस्थापन र अद्यावधिक गर्नका लागि लाग्ने खर्च,

२१. बैंकले पहिचान गरी उल्लेख गरेको घटना भएको मितिले ३ वर्ष भत्र बैंकमा उत्पन्न हुने कुनै पनि प्रकारको दायित्व ।

२२. डिजिटल ठगी गर्ने लिखत विरुद्धको भुक्तानीका कारण हुने नोक्सानी,

२३. प्रमाणीकरण ठगीका कारण हुने नोक्सानी,

२४. डिजिटल सिग्नेचर ठगीका कारण हुने नोक्सबानी,

२५. विद्युतीय भुक्तानी तथा अनुबन्धात्मक पेनाल्टीका कारण हुने नोक्सानी

२६. कानुनी प्रतिरक्षा, मिलापत्र, क्षति र न्यायको लागि लाग्ने खर्च,

२७. ह्याकिङका कारण हुने नोक्सानी

२८. कुनै कर्मचारी वा कुनै अधिकारीको परिचय को उल्लंघन गरी कुनै पनि व्यक्तिको उपकरणमार्फत कुनै पनि प्रकारकोे साईबर हमलाका कारण बैंक/वित्तीय संस्थालाई नोक्सानी

(टक्सार म्यागजिनमा २०७८ चैत र २०७९ जेठमा प्रकाशित समाचार विश्लेषणको सम्पादित अंश)