युनिकोड
कुनै पनि बैंकको एटीएम प्रणाली सञ्चालनमा विभिन्न लिङ्कहरु रहेका हुन्छन्। बैंकिङ सर्भरदेखि अन्य प्रणाली पनि यससँगै जोडिएका हुन्छन्। नेपाल इलेक्ट्रोनिक पेमेन्ट सिस्टम लिमिटेड (नेप्स) ले पनि कार्डबाट पैसा निकाल्न भिसा ‘सिस्टम’ जोड्ने काम गर्छ।
यो सिस्टमले स्विचको काम गर्छ। नेप्समा विकास बैंक र वाणिज्य बैंक गरी नेपालका १८ वटा बैंक आबद्ध छन्। त्योभन्दा बाहेकका अरु बैंकले आफ्नै स्विच पनि बनाएका छन्। जुन अमेरिकामा रहेको भिसा कम्पनीको कार्यालयमार्फत नै स्वीकृति लिइएको हुन्छ।
एटीएमबाट पैसा निस्कने प्रक्रिया
म आफैँ सम्बद्ध जनता बैंक नेप्समा आबद्ध भएको बैंक हो। जनता बैंकको पैसा एटीएम मेसिनबाट झिक्दा कसरी यसको सिस्टम प्रयोग हुन्छ त? जनता बैंकको कार्ड प्रयोग गरेर जनता बैंकको एटीएम बुथबाट पैसा झिक्दा कार्ड हाल्नेबित्तिकै पिन कोड माग्छ। कति पैसा झिक्ने हो, त्यो विवरण पनि माग्छ। त्यो विवरण हालेपछि त्यो सिधै जनता बैंको स्विचमार्फत नेप्समा जान्छ। नेप्सले सो विवरणको जानकारी हेर्छ। पिन ठीक भए नभएको परीक्षण गर्छ। माग भएको रकम बैंकको सीभीएस अर्थात् कोर बैंकिङ सिस्टममा पठाउँछन्। उक्त सिस्टमले खातामा खर्च लेख्छ र त्यसपछि मात्रै एटीएमबाट पैसा निस्किन्छ।
तर जनता बैंकको पैसा नेप्समा नभएको बैंक अर्थात् नबिल बैंकको बुथबाट निकाल्नुपर्यो भने एटीएम कार्ड प्रयोगकर्ताले प्रयोग गरेको पिन नम्बर र निकाल्न खोजेको रकमको विवरण सिधै अमेरिकामा रहेको भिसाको स्विचमा पठाउँछन्। भिसाले फेरि जनता बैंकको स्विच कुन हो भनेर हेर्छ। उसले नेप्स रहेको थाहा पाएपछि त्यो कुरा नेप्सलाई फरवार्ड गर्छ। त्यसपछि नेप्सले रकम र पिन नम्बर हेर्छ। यदि पिन नम्बर सही छ भने मात्रै कोर बैंकिङ सिस्टममा पठाउँछ। त्यसपछि मात्रै रकम निस्किन्छ।
कसरी भयो नेपाली बैंकको एटीएम ह्याक?
नेपालमा हालै भएको एटीएम ह्याकिङ प्रकरणमा धेरै कुराहरु आएका छन्। अहिलेको खास घटना के हो भने नेप्समा आबद्ध नभएका बैंकबाट नेप्समा भएका बैंकहरुको नक्कली कार्ड प्रयोग गरेर पैसा झिकिएको छ। माथि उल्लेख गरिएको प्रक्रियाबाट अमेरिकाको भिसा कार्यालयसम्म विवरण पुगेको छ। तर त्यो सूचना नेप्ससम्म आइपुगेको छैन। नेप्समा नआएपछि बैंकले पनि थाहा पाएको छैन। ह्याकरले भिसाको अनुमति लिने प्रणालीको विकास गरेपछि सिधै पैसा निस्किने पद्धतिको विकास गरी पैसा निकालेको छ।
ह्याकरले नेपालमा कुनै कुराको पनि ह्याक नगरी ग्लोबल तहमै अर्थात् भिसामा नै ह्याक गरी पैसा निक्लिने बनाएको हुनसक्छ। नेप्स र बैंकको स्वीकृति नचाहिने तर भिसाको मात्रै स्वीकृति भएपछि पैसा निक्लिने बनाएको हुनसक्ने देखिन्छ। यो एउटा सम्भावना हो। अर्को सम्भावना भनेको भिसाले नेपाली सिस्टमसँग विवरण माग्दा नेप्सभन्दा बाहेक अन्य प्रकारको सिस्टम ह्याकरले विकास गरेको हुनसक्छ। त्यो हुँदा भिसाले विवरण माग गर्दा यताबाट सबै ठीक छ भन्ने जवाफ दिने कुराको विकास गरेको हुनसक्ने पनि सम्भावना हो।
यस्तो छ भिसाको अनुसन्धान प्रक्रिया
यो के भएको हो भन्ने कुरा पनि गहिरो अनुसन्धान नभई थाहा हुँदैन। यो घटना भएको पाँच दिनभित्र अनुसन्धान सुरु हुनपर्छ। यसको अनुसन्धान नेप्सले गर्नुपर्ने ग्लोबल मान्यता छ। यो भिसाले बनाएको नियम हो। अनुसन्धान सुरु भएको सात दिनभित्र प्रतिवेदन दिनुपर्छ भन्ने पनि छ। तर यसको अनुसन्धान गर्नसक्ने ‘एक्सपर्ट’ (विज्ञ) नेपालमा छैनन्। एसिया प्रशान्त क्षेत्रमा अनुसन्धान गर्नसक्ने पाँच–सातवटा कम्पनी छन् भन्ने बुझिन्छ।
नेपालमा केही दिनअघि भएको ह्याकिङतर्फ नै फर्कौँ, नेपाली बैंकहरुले कसरी सूचना पाएर कसरी आफ्नो सिस्टम डाउन गरे त?
एउटै बैंकको बुथबाट धेरै पैसा घुइँघुइँ निकालेको चाल पाएपछि भिसाले आधिकारिक जानकारी लिन खोज्यो। त्यो सूचना नेप्सलाई पठायो। भिसाले अमेरिकाबाट नेप्सलाई फोन नै गरेको छ। त्यस्तै नेप्सभन्दा बाहेक आफ्नै भिसा सिस्टम बनाएका नबिल बैंक, एसबीआई बैंकलाई पनि खबर गरेको छ। त्यसपछि नेप्सले यो जानकारी आफूसँग आबद्ध अन्य बैंकलाई पनि गर्यो। त्यसपछि मलाई अर्थात् जनता बैंकलाई पनि घटना थाहा भएको हो। यो जानकारी पाएपछि बैंकहरुले आफ्नो सिस्टम यसरी डाउन गरेका हुन्।
अब बुझ्नुपर्ने कुरा के हो भने अमेरिकामा रहेको भिसाले नेपाली बैंकको सिस्टम तथा नेप्सलाई खबर गर्नुचाहिँ एकैपटक धेरै रकम झिकिएको छ भनेर नै हो। राम्रोसँग बुझ, नक्कली हो कि सक्कली हो, पैसा असुहाउँदो रुपमा भिकिएको छ भनेपछि नेपाली बैंकहरुले सिस्टम डाउन गरेका हुन्।
एटीएम सुरक्षामा बैंकको लगानी र अनुगमन
नेपालको बैंकिङ प्रणालीमा विदेशमा जस्तो धेरै प्रणाली छैन। नेपालले भर्खर भर्खर अनलाइन बैंकिङ सिस्टम चलाउन थालेका छन्। कुनै लोन एप्रुभ (कर्जा प्रमाणित) गर्नुपर्यो भने बैंकले धेरै कुराहरु हेर्छन्। मान्छेको सबै पृष्ठभूमि हेरेपछि मात्रै उसलाई कर्जा दिइन्छ तर भारतमा त्यस्तो छैन।
भारतीय बैंकहरुले मिडियामा गरेको विज्ञापनको कुरा गर्ने हो भने कति सेकेण्डमा कर्जा दिने भन्ने प्रतिस्पर्धा नै चलेको देखिन्छ। कर्जा अनलाइनबाट दिइन्छ। त्यो पनि केही सेकेण्डमै। त्यसमा सेक्युरिटीको सिस्टम कस्तो चाहिएला? तर हामी अहिले त्यो प्रणालीमा छैनौँ।
भारतमाजस्तो सेक्युरिटी जोखिम हामीलाई छैन। नेपालमा त्यो सिस्टम पनि छैन। नेपालमा राष्ट्रिय परिचयपत्र बनाउने कुरा छ। तर प्रयोगमा कहिले आउँछ, त्यो ठेगान छैन। राष्ट्रिय परिचयपत्रको आधारमा कर्जा अर्थात् बैंकले दिने सेवा दिने हो भने हामीले पनि टेक्नोलोजीमा लगानी गर्नुपर्ने देखिन्छ।
‘मोनिटरिङ’ आवश्यक
प्रविधिको क्षेत्रमा नेपाली बैंकको अहिलेको लगानी पूर्ण छ भन्ने त होइन, नराम्रो चाहिँ छैन। प्रविधि भनेको सधैँ अपडेट गर्दै जाने हो। नयाँ–नयाँ प्रविधि आइरहन्छ। त्यसलाई आफ्नो आवश्यकता हेरेर ग्रहण पनि गर्नुपर्छ। म आइटी विज्ञ त होइन तर, मैले पाएको जानकारी अनुसार भन्ने हो भने नेपालमा प्रयोग भएका केही सफ्टवेयरहरु नक्कली पनि छन्। सक्कली माइक्रोसफ्टको प्रविधि लिनका लागि बढी खर्च लाग्ने भएकाले नक्कली पनि किनेर प्रयोग गरिरहेका छन्। नेपाली बैंकहरुमा पनि त्यस्तो छ भन्ने छ। तर जनता बैंकले भने पछि समस्या नआओस् भनेर महंगो भएपनि आधिकारिक सफ्टवेयर नै प्रयोग गरिरहेका छौँ। तर नेपालको समस्या लगानीमा नै हो भन्नेचाहिँ होइन। महत्वपूर्ण कुराचाहिँ ‘मोनिटरिङ’ हो।
मोनिटरिङ पहिलो कुरा सीसीटीभीबाट हुनुपर्छ। कस्तो सीसीटीभी छ, कति प्रयोग गरिरहेका छौँ, त्यसले लिएको ‘भिजुअल’ चौबीसै घण्टा हामीले केन्द्रमा बसेर हेरिरहेका छौँ कि छैनौँ त? यो एकदमै महत्वपूर्ण कुरा हो। कुनै घटना भइसकेपछि थाहा पाउनु र हुँदाहुँदै थाहा पाउनुमा ठूलो अन्तर हुन्छ।
अर्को कुरा भिसाले पनि धेरै मापदण्ड बनाएको छ। एटीएम कार्ड प्रयोगकर्ताले प्रयोग कसरी गरिरहेको छ। पिन पटक–पटक गलत गरिरहेको छ भने असामान्य मान्नुपर्ने हुनसक्छ। त्यस्तो भयो भने कार्ड प्रयोगकर्ता आधिकारिक हो कि होइन, त्यो नम्बरको कार्ड कसको हो। उसलाई फोन गर्नुपर्ने हुन्छ। त्यो नेपाली बैंकले गरेका छन् कि छैनन्, त्यो महत्वपूर्ण कुरा हो।
एउटै मान्छेले हरेक दिन अधिकतम रकम निकालिरहेको छ भने पनि कार्ड प्रयोगकर्तालाई फोन गरेर बुझ्नुपर्ने हुन्छ। कार्ड प्रयोगकर्ता आधिकारिक व्यक्ति हो कि होइन शंका लागेमा बैंकहरुले तुरुन्तै जानकारी लिनुपर्छ। प्रविधिमा धेरै पैसा खर्च गर्ने तर मोनिटरिङचाहिँ छैन भने त्यो खर्च कति सान्दर्भिक हुन्छ त? यी प्रश्नहरु साँच्चै गम्भीर छन्।
म यहाँ आफ्नै उदाहरण प्रस्तुत गर्छु–
मैले एकपटक एउटा फिल्म डाउनलोड गर्न खोजेको थिएँ। त्यसमा डेबिट कार्डको डिटेल मागियो। मैले एसबीआई बैंकको कार्डको डिटेल पनि राखेँ। तर त्यो प्रोसेस पूरा भएन र पैसा पनि काटेन। तर मलाई भारतमा रहेको एसबीआई बैंकको कार्यालयबाट फोन आयो। बैंकले तपाईंले कार्ड प्रयोग गर्नुभएको हो भनेर सोधेपछि म डराएँ। मैले पैसा काटिए नकाटिएको बारेमा सोधेँ। बैंकले नकाटिएको जानकारी गरायो। त्यसपछि बैंकले मेरो आधिकारिकतबारे थप सोध्यो।
आफ्नो नाम बताउँदा समेत बैंकले मसँग २–३ वटा प्रश्न गरेर उत्तर दिन आग्रह गर्यो। बैंकले मेरो कार्डको पहिला भएको ट्रान्ज्याक्सनको बारेमा सोध्यो। मैले सही कुरा बताएपछि मात्रै उसले तपाईं आधिकारिक मान्छे नै हुनुहुँदो रहेछ भनेर छोड्यो।
मैले यो उदाहरण किन प्रस्तुत गर्न खोजेको हो भने मोनिटरिङ सम्बन्धित बैंकहरुले गर्नैपर्छ, नेपालमा यस्तो छ कि छैन त? छैन भने अबदेखि हुनुपर्छ भन्ने सुझाव मेरो हो। किनकि ‘मोनिटरिङ इज मोर इन्पोर्टेन्ट’।
(जनता बैंकका सीईओ क्षेत्रीसँग नेपालमा भर्खरै भएको एटीएम ह्याक प्रकरण र बैंकको सुरक्षा व्यवस्थाबारे गरिएको कुराकानीमा आधारित)
प्रतिक्रिया