आइतबार बिहानै एउटा खबर फैलियो। त्यो नेपाली बैंकमा चिनियाँ ह्याकरको आक्रमणबारे थियो। दरबारमार्गबाट एटीएमबाट पैसा निकाल्दै गर्दा रंगेहात चिनियाँ नागरिक पक्राउ परेपछि यो विषयले अझ महत्व पायो। सर्वसाधारणले प्रयोग गर्ने एटीएम सिस्टम सबै बैंकले डाउन गरेपछि त्यो विषयको चर्चा अझ चुलियो। अहिलेसम्म जे जति सूचना आएका छन् त्यसलाई विश्लेषण गर्दा नेपाली बैंकिङ सिस्टममाथि भएको यो विशिष्ठ र योजनाबद्ध आक्रमण हो। यसलाई साइबर सुरक्षाको भाषामा एड्भान्स प्रसिटेन्ट थ्रेट एक्ट (एपिटी) भनिन्छ। पैसा झिक्न उनीहरुले विदाको दिन शनिबारलाई छानेका छन्। त्योभन्दा अगाडि योजना बनाएका छन्, त्यसैले यो संगठित आक्रमण पनि हो।
प्रारम्भिक तथ्यांकहरुको विश्लेषण गर्दा यसको थालनी इमेल फिसिङ वा वालवेयरसँग आएको इमेलबाट सुरु भएको हो भन्न सकिन्छ। यस्तोमा संस्था वा व्यक्तिलाई लक्षित गरी इमेल पठाइन्छ। त्यो इमेल क्लिक गरेपछि ह्याकरले सम्बन्धित व्यक्तिको कम्प्युटर ह्याक गर्छ। नेटवर्क, सर्भरमा अनाधिकृत रुपमा प्रवेश गरी डेटा वा रकम चोर्छ।
यसरी चोरेको पैसा झिक्न कुनै माध्यम आवश्यक पर्छ। यो पटक नेपाली बैंकहरुमा आक्रमण गर्नेहरुले त्यस्तो माध्यमको रुपमा एटीएमलाई उपयोग गरेको देखिन्छ। उनीहरुले त्यसरी सिस्टममा प्रवेश गरी चोरेको भौतिक रकम एटीएमबाट निकालेका हुन्। र त्यही क्रममा पक्राउ परेका पनि हुन्। जो पैसा निकाल्न भौतिक रुपमा उपस्थित भए उनीहरु नै ह्याकर हुन भन्ने होइन। उनीहरु ह्याकर हुन पनि सक्छन्, नहुन पनि सक्छन्। ह्याकर समूहले अरु मानिसलाई भरियाको रुपमा पठाएको पनि हुनसक्छ। यो एक किसिमको टेक्नोलोजी म्युल हुनसक्छ।
साइबर सुरक्षा अन्य किसिमको सुरक्षाजस्तै नै हो। घरमा एक सय तोला सुन छ भने हामी सबैभन्दा पहिलो बलियो गेट हाल्छौं, बाहिर बलियो पर्खाल लगाउँछौं। आवश्यकताअनुसार पाले राख्छौं नभए घरमा खबरदारी गर्न कुकुर पनि पाल्छौं। त्यसपछि घरका झ्याल ढोकामा बलियो ग्रील राख्छौं। ढोकामा ताला लगाउँछौं। त्यसभित्रको दराजमा समेत बलियो ताला लगाउँछौं। दराजभित्र पनि सेफमा मात्र सुन राख्छौं। डिजिटल सम्पत्ति वा सूचना प्रविधिको हकमा पनि ठ्याक्कै यस्तै नै हो। आफ्ना महत्वपूर्ण वस्तुको सुरक्षा यसैगरी विभिन्न तहमा तालाचाबी अर्थात् पासवर्ड राखेर गर्नुपर्ने हुन्छ।
नेपाली बैंकहरूको सुरक्षा प्याजजस्तो छ?
बैंकहरुका लागि सबैभन्दा ठूलो विषय पैसा र डेटा नै हो। त्यसलाई कसरी सुरक्षित बनाउने भन्नेमा उनीहरुको चासो र चिन्ता हुनु पर्दछ। साइबर सुरक्षाका दृष्टिले ७ तहको सिद्धान्त लागू हुन्छन्। बैंकहरु यसमा चनाखो रहन जरुरी हुन्छ। सामान्यतः नचिनेको वा अनावश्यक रुपमा आउने इमेलहरुलाई खोल्नु हुँदैन। यस्ता इमेलहरु कसरी पहिचान गर्ने भनेर कर्मचारीलाई प्रशिक्षित गर्नुपर्छ। आफूले चलाउने इमेलको सुरक्षित गेट वे हुनुपर्छ। कसैले पठाएको कुनै इमेलमा शंका लाग्यो भने कम्पनीको सूचना प्रविधि विभाग वा साइबर सेक्युरिटी कर्मचारीलाई जानकारी गराउनु पर्छ। यतिले मात्र सुरक्षित भइन्छ भन्ने चाहिँ होइन। यो प्राथमिक कुरा मात्रै हो।
साइबर सुरक्षामा नेटवर्क सुरक्षाको विषय आउँछ, सर्भरको सुरक्षाको विषय आउँछ। काम गर्ने ठाउँको सुरक्षाको विषय आउँछ। प्रत्येक विभागको काम अनुसारको डिजाइनसहितको नेटर्वक हुनुपर्दछ। आफ्नो नेटवर्कमाथि २४ घन्टै निगरानी र विश्लेषण गर्ने टीम बनाएको हुनुपर्छ। त्यस्तो टीमले अमेरिका, चीन वा अन्य शंकास्पद प्रणालीसँग सम्पर्क गरिरहेको छ कि छैन अध्ययन गर्छ। सामान्यतः कार्यालय समयभन्दा फरक समयमा कम्प्युटरहरुमा लगइन भइरहेको छ कि? वा अन्य असाधारण क्रियाकलाप देखिएको छ कि साइबर सुरक्षाका घटना हरबखत विश्लेषण हुनुपर्छ।
बैंक भन्ना ती संस्थाहरु पैसासँग सम्बन्धित हुन् भन्ने नै हो। त्यसैले यिनको सम्वेदनशीलता अझ बढी हुन्छ। साइबर सुरक्षा सम्वेदनशीलता पनि बैंकहरुको हकमा उच्च रहन्छ। त्यसैले नेपालका बैंकहरुले साइबर सुरक्षा सञ्चालनसम्बन्धी नीति तथा कार्यविधि बनाउनु पर्ने आवश्यकता छ। कार्यालयमा व्यक्तिगत प्रयोजनका इमेल चलाउने वा नचलाउने वा अन्य कुराहरु कसरी सञ्चालन गर्ने भन्ने विषयमा नीतिगत स्पष्टता हुन जरुरी छ। साइबर सेक्युरिटीको अडिट अर्को महत्वपूर्ण कुरा हो।
यस किसिमका आक्रमण बढिरहेको स्थितिमा अब बैंकहरुले रेड टिम सुरक्षा मूल्यांकन गराउन समेत जरुरी देखिन्छ। यसले बैंकका नेटवर्क र सर्भरमा बाह्य रुपमा हुने आक्रमणजस्तै गरी आक्रमण गरेरै सुरक्षा जाँच गर्छ। त्यसबाट बैंकमा रहेको पैसा र डेटा सुरक्षित रहन सक्छ कि सक्दैन भन्ने स्पष्ट चित्र देखिन्छ। साइबर सुरक्षा एउटा प्याजजस्तै पत्रैपत्रको बनाउनु पर्दछ। त्यसले बैंकहरुको सिस्टमलाई सुरक्षित बनाउन सहयोग गर्छ। चिनियाँहरुबाट भएको भनिएको यो आक्रमण नेपाली बैंकहरुले सामना गरेको ठूलामध्येको एउटा आक्रमण नै हो। यसले नेपाली बैंकहरुमाथि सुरक्षा चुनौती ठूलै छ भनेर प्रस्ट्याएको छ। अहिले नै सचेत भइहाले भविष्यमा हुनसक्ने साइबर आक्रमणबाट बैंकहरुलाइ जोगाउन सकिँदैन भन्ने होइन। बैंकहरुले राम्रा ठूला भवन संरचना तयार पारेजस्तै साइबर सुरक्षाको पूर्वाधारसहितको संरचना बसाउन जरुरी छ। सुरक्षामा लगानी अबको माग हो।
(साइबर सुरक्षाविद् लिम्बू भैरव टेक्नोलोजीका सहसंस्थापक हुन्)
ट्विटर: @bijaysenihang
प्रतिक्रिया