अर्थव्यवस्थासँग जोडिएको बैंकिङ प्रणालीमाथिको साइबर हमलामा छरपस्ट तहकिकात
महानगरीय प्रहरी काठमाडौँ परिसरले काठमाडौँका विभिन्न वाणिज्य बैंकका एटीएम बुथबाट साढे तीन करोड रुपैयाँ चोर्ने चिनियाँ समूहलाई समात्यो, १४ भदौमा । त्यसको भोलिपल्ट परिसर कक्षमा बैंकर्स एसोसिएसनका पदाधिकारीलाई सँगै राखेर प्रहरीले पत्रकार सम्मेलन गर्यो । पत्रकार सम्मेलनमा संघका अध्यक्ष ज्ञानेन्द्र ढुंगानाले एटीएम ह्याकिङलाई बैंकिङ प्रणालीमाथिको ’ठूलो साइबर हमला’ भनिदिए ।
यति ठूलो आक्रमण ठानिएको यो प्रकरणको अनुसन्धानमा भने सरकारी निकायबीच नै समन्वय अभाव देखिएको छ ।
घटनालगत्तै नेपाल इलेक्ट्रोनिक पेमेन्ट सिस्टम (नेप्स) ले डिजिटल फरेन्सिक ल्याब (डीएफएल) परीक्षणका लागि सिंगापुरबाट विज्ञ टोली झिकायो । सिंगापुरको टोलीले रिपोर्ट तयार हुन तीन महिना लाग्ने भन्दै परीक्षणका लागि डाटा लिएर गएको छ । यो परीक्षण नेपाल प्रहरीले समेत गरिरहेको छ । प्रहरीले आफ्नै ल्याबमा परीक्षण गर्दै छ ।
ल्याब परीक्षणको रिपोर्ट मुद्दाको प्रमाणका रूपमा लाग्छ । त्यसैले यसलाई सुरक्षित राख्नुपर्ने हुन्छ । अर्को तथ्य के भने अनुसन्धानको मियो नै फरेन्सिक जाँचको नतिजा हो । यसकै आधारमा ह्याकरले बैंकको कुन तहसम्म पहुँच बनाए भन्ने निक्र्योल हुन सक्छ । आपराधिक घटनामा अनुसन्धानको अग्रभागमा हुने निकाय प्रहरी हो । तर यो प्रकरणमा प्रहरीको समानान्तर रूपमा नेप्स फरेन्सिक जाँचका लागि अग्रसर भएको देखिन्छ । “यसले अनुसन्धानमै द्विविधा आउन सक्ने जोखिम रहन्छ,“ नेपाल प्रहरीका पूर्वनायब महानिरीक्षक (डीआईजी) हेमन्त मल्ल भन्छन्, “कहिलेकाहीँ त अनुसन्धान गलत दिशातिर मोडिने खतरासमेत हुन्छ ।“
नेप्सले विदेशी विज्ञ झिकाउँदा प्रहरीसँग समन्वय गर्न आवश्यक ठानेन । सामान्यतः प्रहरीले यस्ता घटनामा प्राविधिक सहयोग मागेपछि राष्ट्र बैंकले सहजीकरण गरिदिन्छ । एटीएम ह्याकिङ मुलुकको अर्थव्यवस्थासँग जोडिएकाले प्रहरीले अनुसन्धानमा राष्ट्र बैंकको सहयोग लिनु स्वाभाविक मानिन्छ । यसअघिसमेत प्रहरीले बैंकिङ कसुरका मुद्दामा राष्ट्र बैंक र बैंकर्स एसोसिएसनसँगको समन्वयमा अनुसन्धान गर्दै आएको थियो । तर यहाँ त अनुसन्धानकारी निकायलाई बाइपास गर्दै राष्ट्र बैंकले नै नेप्सलाई फरेन्सिक जाँचका लागि विदेशबाट जनशक्ति ल्याएर अनुसन्धान गर्ने अनुमति दियो । “हाम्रै आग्रहमा नेप्सले सिंगापुरबाट प्राविधिक टोली ल्याएको हो,“ राष्ट्र बैंकका प्रवक्ता लक्ष्मीप्रपन्न निरौला भन्छन् ।
राष्ट्र बैंकद्वारा घटनालगत्तै भुक्तानी प्रणाली विभागका कार्यकारी निर्देशक वमप्रसाद मिश्रको संयोजकत्वमा गठित छानबिन समितिको सिफारिसअनुसार नेप्समार्फत फरेन्सिक विज्ञ झिकाएको निरौलाले बताए । तर समितिको प्रतिवेदनमा त्यसरी विदेशी विज्ञ ल्याउने भनिएको छैन । प्रतिवेदनको निष्कर्ष खण्डमा भिसा कार्ड र नेप्स स्विच वा दुई प्रणालीबीच अनधिकृत प्रवेश गरेर कारोबार हुन गएको अनुमान गरिएको र यससम्बन्धी तथ्य पत्तो लगाउन फरेन्सिक परीक्षणको प्रतिवेदन प्राप्त हुनुपर्ने भनिएको छ ।
प्रहरीभित्रै अन्योल
२५ भदौमा महानगरीय प्रहरी परिसर काठमाडौँले केन्द्रीय अनुसन्धान ब्युरो (सीआईबी) र मुख्यालयभित्र रहेको आइटी महाशाखाबाट आफूहरूलाई बैंकिङ र प्राविधिक सूचना प्रणालीबारे जानकार प्रहरी जनशक्ति चाहिएको पत्र पठायो, प्रधान कार्यालयमा । परिसरलाई यस्तो आवश्यकता एटीएम ह्याकिङ घटनाको ११ दिनपछि मात्र परेको हो । यसले समेत अनुसन्धान लामो समयसम्म अलमलमा परेको प्रस्ट हुन्छ । “प्राविधिक विषय भएकाले हामी एकीकृत टिम बनाएर अनुसन्धान गर्दै छौँ,“ परिसरका प्रवक्ता प्रहरी नायब उपरीक्षक (डीएसपी) होविन्द्र बोगटी भन्छन् ।
कोर बैंकिङका विषयमा अनुसन्धान गर्ने सीआईबीमा प्राविधिकसहितको टिम छ । पिलर २ ले यस्ता आर्थिक अपराधका मुद्दा अनुसन्धान गर्छ । तर यो घटनामा परिसरले जनशक्ति भएको सीआईबीलाई अनुसन्धान सुम्पिएन । “प्रहरीभित्र समेत समन्वयको खाँचो देखियो,“ पूर्वडीआईजी मल्ल भन्छन् ।
यसअघि एटीएममार्फत हुने चोरी, ह्याकिङका घटनामा सीआईबीले अनुसन्धान गथ्र्यो । विश्वस्त स्रोतका अनुसार सीआईबीलाई समेत एटीएममा देखिएको यो गडबडीबारे सूचना पुगेको थियो । तर तुरुन्त कदम नचालेको सूचना परिसर पुगेको थियो । बैंकिङ अपराधका मुद्दा अक्सर सीआईबीले अनुसन्धान गर्ने भएकाले बैंकमा देखिएको अस्वाभाविक कारोबारको सूचना उतै पुगेको थियो । सीआईबीका निर्देशक एवं डीआईजी निरज शाहीले भने सूचना प्रहरीको धेरै युनिटमा पुगेको र त्यस क्रममा सीआईबीमा पनि आएको बताए । “परिसरले चाँडो अपरेसन गर्यो,“ शाही भन्छन्, “यस्ता घटनामा पर्खेर बस्ने कुरा हुँदैन । क्षति रोक्न पनि घटनास्थलमा जसको पहुँच छिटो हुन्छ, उसले काम गर्नुपर्छ । समन्वयमै भएको हो ।“ यसपछि मुद्दा परिसरमै दर्ता भएकाले उसैले अनुसन्धानको नेतृत्व गरेको शाही बताउँछन् ।
पूर्वडीआईजी मल्लको विचार भने फरक छ । उनका अनुसार जोसँग स्रोत(साधन र सामथ्र्य छ, उसले यस्ता घटनाको अनुसन्धान गर्ने हो । “विज्ञ टिम सीआईबीसँग छ भने उसैले लिड गर्नुपथ्र्यो,“ उनी भन्छन्, “बरु अनुसन्धान गरेर मुद्दा परिसरबाटै चलाउन सकिन्थ्यो । यो नहुँदा अनुसन्धानको भित्री कुरा छरपस्ट भएको छ । बैंकहरू आफैँले फरेन्सिक परीक्षण गराउन थाले भने समस्या हुन सक्छ ।“
राष्ट्र बैंकका प्रवक्ता निरौला प्रहरीको फरेन्सिक ल्याबको परीक्षणबाट नतिजा प्रभावकारी आउनेमा शंका लागेर नेप्सलाई विदेशी विज्ञ ल्याउने अनुमति दिएको बताउँछन् । तर यस्तो शंकाको आधार भने उनले खुलाउन सकेनन् । भन्छन्, “त्यो क्षमताको छैन क्यार ।“
परिसर प्रमुख प्रहरी वरिष्ठ उपरीक्षक (एसएसपी) उत्तमराज सुवेदी नेप्सले आफ्नो प्रणालीको खराबीबारे थाहा पाउन फरेन्सिक जाँच गराएको हुन सक्ने बताउँछन् । भन्छन्, “हामीलाई यसबारे केही थाहा छैन । राष्ट्र बैंकमार्फत रिपोर्ट आयो भने फिड्ब्याकको रूपमा लिन सक्छौँ । त्यो हाम्रा लागि प्रधान विषय हुने छैन ।“
अनावश्यक हल्ला
बैंकिङ प्रणाली मुलुकको अर्थव्यवस्थाको मुख्य अवयव हो । ढुकुटी प्रणालीसँग जोडिएको विषयमा प्रहरी र बैंकले दिएका अभिव्यक्ति भने उत्तेजक थिए । एटीएमबाट रकम चोरी भएको घटनालाई प्रहरी र बैंकरले बैंकको कोर प्रणालीमाथिको हमला भएको टिप्पणी गरिदिए । यद्यपि यो कोर बैंकिङ प्रणालीमाथिको हमला भएको पुष्टि हुन सकेको छैन । “ज्यादै खतरनाक प्रचार भयो,“ राष्ट्र बैंकका प्रवक्ता निरौला भन्छन्, “एटीएम टर्मिनलमा मालवेर (भाइरस) पठाएर ह्याकिङ गरेको मोटामोटी देखिन्छ । उनीहरूले व्यक्तिगत खातामा पहुँच पुर्याएका छैनन् ।“
०७४ कात्तिकमा एनआईसी एसिया बैंकको स्विफ्ट प्रणाली ह्याकिङ गरेको घटना मात्रै नेपालको कोर बैंकिङ प्रणालीमाथिको अहिलेसम्मकै साइबर हमला हो । त्यतिबेला एनआईसी एसिया बैंकको स्विफ्ट कोड ह्याक गरेर ३१ करोड रुपैयाँ अमेरिका, बेलायत, जापान, सिंगापुर, मलेसिया, जर्मनी पुर्याइएको थियो । यद्यपि एनआईसी बैंकले भने सीआईबीमा ४६ करोड रुपैयाँ ह्याक भएको उजुरी दिएको थियो । बैंकपिच्छे फरक हुने स्विफ्ट कोड ह्याक गरेर ह्याकिङ समूहले रकम भुक्तानीका लागि अनलाइन अर्डर दिएका थिए । तर यो घटनाको अहिलेसम्म खुलेको अन्तर्यमा भने एटीएमबाट पैसा चोरी भएको मात्र हो । “कोर सिस्टममा ह्याक गरेको होइन,“ राष्ट्र बैंक मुद्रा व्यवस्थापन विभागका कार्यकारी निर्देशकसमेत रहेका निरौला भन्छन् ।
प्रकाशित : भाद्र ३०, २०७६
यति ठूलो आक्रमण ठानिएको यो प्रकरणको अनुसन्धानमा भने सरकारी निकायबीच नै समन्वय अभाव देखिएको छ ।
घटनालगत्तै नेपाल इलेक्ट्रोनिक पेमेन्ट सिस्टम (नेप्स) ले डिजिटल फरेन्सिक ल्याब (डीएफएल) परीक्षणका लागि सिंगापुरबाट विज्ञ टोली झिकायो । सिंगापुरको टोलीले रिपोर्ट तयार हुन तीन महिना लाग्ने भन्दै परीक्षणका लागि डाटा लिएर गएको छ । यो परीक्षण नेपाल प्रहरीले समेत गरिरहेको छ । प्रहरीले आफ्नै ल्याबमा परीक्षण गर्दै छ ।
ल्याब परीक्षणको रिपोर्ट मुद्दाको प्रमाणका रूपमा लाग्छ । त्यसैले यसलाई सुरक्षित राख्नुपर्ने हुन्छ । अर्को तथ्य के भने अनुसन्धानको मियो नै फरेन्सिक जाँचको नतिजा हो । यसकै आधारमा ह्याकरले बैंकको कुन तहसम्म पहुँच बनाए भन्ने निक्र्योल हुन सक्छ । आपराधिक घटनामा अनुसन्धानको अग्रभागमा हुने निकाय प्रहरी हो । तर यो प्रकरणमा प्रहरीको समानान्तर रूपमा नेप्स फरेन्सिक जाँचका लागि अग्रसर भएको देखिन्छ । “यसले अनुसन्धानमै द्विविधा आउन सक्ने जोखिम रहन्छ,“ नेपाल प्रहरीका पूर्वनायब महानिरीक्षक (डीआईजी) हेमन्त मल्ल भन्छन्, “कहिलेकाहीँ त अनुसन्धान गलत दिशातिर मोडिने खतरासमेत हुन्छ ।“
नेप्सले विदेशी विज्ञ झिकाउँदा प्रहरीसँग समन्वय गर्न आवश्यक ठानेन । सामान्यतः प्रहरीले यस्ता घटनामा प्राविधिक सहयोग मागेपछि राष्ट्र बैंकले सहजीकरण गरिदिन्छ । एटीएम ह्याकिङ मुलुकको अर्थव्यवस्थासँग जोडिएकाले प्रहरीले अनुसन्धानमा राष्ट्र बैंकको सहयोग लिनु स्वाभाविक मानिन्छ । यसअघिसमेत प्रहरीले बैंकिङ कसुरका मुद्दामा राष्ट्र बैंक र बैंकर्स एसोसिएसनसँगको समन्वयमा अनुसन्धान गर्दै आएको थियो । तर यहाँ त अनुसन्धानकारी निकायलाई बाइपास गर्दै राष्ट्र बैंकले नै नेप्सलाई फरेन्सिक जाँचका लागि विदेशबाट जनशक्ति ल्याएर अनुसन्धान गर्ने अनुमति दियो । “हाम्रै आग्रहमा नेप्सले सिंगापुरबाट प्राविधिक टोली ल्याएको हो,“ राष्ट्र बैंकका प्रवक्ता लक्ष्मीप्रपन्न निरौला भन्छन् ।
राष्ट्र बैंकद्वारा घटनालगत्तै भुक्तानी प्रणाली विभागका कार्यकारी निर्देशक वमप्रसाद मिश्रको संयोजकत्वमा गठित छानबिन समितिको सिफारिसअनुसार नेप्समार्फत फरेन्सिक विज्ञ झिकाएको निरौलाले बताए । तर समितिको प्रतिवेदनमा त्यसरी विदेशी विज्ञ ल्याउने भनिएको छैन । प्रतिवेदनको निष्कर्ष खण्डमा भिसा कार्ड र नेप्स स्विच वा दुई प्रणालीबीच अनधिकृत प्रवेश गरेर कारोबार हुन गएको अनुमान गरिएको र यससम्बन्धी तथ्य पत्तो लगाउन फरेन्सिक परीक्षणको प्रतिवेदन प्राप्त हुनुपर्ने भनिएको छ ।
प्रहरीभित्रै अन्योल
२५ भदौमा महानगरीय प्रहरी परिसर काठमाडौँले केन्द्रीय अनुसन्धान ब्युरो (सीआईबी) र मुख्यालयभित्र रहेको आइटी महाशाखाबाट आफूहरूलाई बैंकिङ र प्राविधिक सूचना प्रणालीबारे जानकार प्रहरी जनशक्ति चाहिएको पत्र पठायो, प्रधान कार्यालयमा । परिसरलाई यस्तो आवश्यकता एटीएम ह्याकिङ घटनाको ११ दिनपछि मात्र परेको हो । यसले समेत अनुसन्धान लामो समयसम्म अलमलमा परेको प्रस्ट हुन्छ । “प्राविधिक विषय भएकाले हामी एकीकृत टिम बनाएर अनुसन्धान गर्दै छौँ,“ परिसरका प्रवक्ता प्रहरी नायब उपरीक्षक (डीएसपी) होविन्द्र बोगटी भन्छन् ।
कोर बैंकिङका विषयमा अनुसन्धान गर्ने सीआईबीमा प्राविधिकसहितको टिम छ । पिलर २ ले यस्ता आर्थिक अपराधका मुद्दा अनुसन्धान गर्छ । तर यो घटनामा परिसरले जनशक्ति भएको सीआईबीलाई अनुसन्धान सुम्पिएन । “प्रहरीभित्र समेत समन्वयको खाँचो देखियो,“ पूर्वडीआईजी मल्ल भन्छन् ।
यसअघि एटीएममार्फत हुने चोरी, ह्याकिङका घटनामा सीआईबीले अनुसन्धान गथ्र्यो । विश्वस्त स्रोतका अनुसार सीआईबीलाई समेत एटीएममा देखिएको यो गडबडीबारे सूचना पुगेको थियो । तर तुरुन्त कदम नचालेको सूचना परिसर पुगेको थियो । बैंकिङ अपराधका मुद्दा अक्सर सीआईबीले अनुसन्धान गर्ने भएकाले बैंकमा देखिएको अस्वाभाविक कारोबारको सूचना उतै पुगेको थियो । सीआईबीका निर्देशक एवं डीआईजी निरज शाहीले भने सूचना प्रहरीको धेरै युनिटमा पुगेको र त्यस क्रममा सीआईबीमा पनि आएको बताए । “परिसरले चाँडो अपरेसन गर्यो,“ शाही भन्छन्, “यस्ता घटनामा पर्खेर बस्ने कुरा हुँदैन । क्षति रोक्न पनि घटनास्थलमा जसको पहुँच छिटो हुन्छ, उसले काम गर्नुपर्छ । समन्वयमै भएको हो ।“ यसपछि मुद्दा परिसरमै दर्ता भएकाले उसैले अनुसन्धानको नेतृत्व गरेको शाही बताउँछन् ।
पूर्वडीआईजी मल्लको विचार भने फरक छ । उनका अनुसार जोसँग स्रोत(साधन र सामथ्र्य छ, उसले यस्ता घटनाको अनुसन्धान गर्ने हो । “विज्ञ टिम सीआईबीसँग छ भने उसैले लिड गर्नुपथ्र्यो,“ उनी भन्छन्, “बरु अनुसन्धान गरेर मुद्दा परिसरबाटै चलाउन सकिन्थ्यो । यो नहुँदा अनुसन्धानको भित्री कुरा छरपस्ट भएको छ । बैंकहरू आफैँले फरेन्सिक परीक्षण गराउन थाले भने समस्या हुन सक्छ ।“
राष्ट्र बैंकका प्रवक्ता निरौला प्रहरीको फरेन्सिक ल्याबको परीक्षणबाट नतिजा प्रभावकारी आउनेमा शंका लागेर नेप्सलाई विदेशी विज्ञ ल्याउने अनुमति दिएको बताउँछन् । तर यस्तो शंकाको आधार भने उनले खुलाउन सकेनन् । भन्छन्, “त्यो क्षमताको छैन क्यार ।“
परिसर प्रमुख प्रहरी वरिष्ठ उपरीक्षक (एसएसपी) उत्तमराज सुवेदी नेप्सले आफ्नो प्रणालीको खराबीबारे थाहा पाउन फरेन्सिक जाँच गराएको हुन सक्ने बताउँछन् । भन्छन्, “हामीलाई यसबारे केही थाहा छैन । राष्ट्र बैंकमार्फत रिपोर्ट आयो भने फिड्ब्याकको रूपमा लिन सक्छौँ । त्यो हाम्रा लागि प्रधान विषय हुने छैन ।“
अनावश्यक हल्ला
बैंकिङ प्रणाली मुलुकको अर्थव्यवस्थाको मुख्य अवयव हो । ढुकुटी प्रणालीसँग जोडिएको विषयमा प्रहरी र बैंकले दिएका अभिव्यक्ति भने उत्तेजक थिए । एटीएमबाट रकम चोरी भएको घटनालाई प्रहरी र बैंकरले बैंकको कोर प्रणालीमाथिको हमला भएको टिप्पणी गरिदिए । यद्यपि यो कोर बैंकिङ प्रणालीमाथिको हमला भएको पुष्टि हुन सकेको छैन । “ज्यादै खतरनाक प्रचार भयो,“ राष्ट्र बैंकका प्रवक्ता निरौला भन्छन्, “एटीएम टर्मिनलमा मालवेर (भाइरस) पठाएर ह्याकिङ गरेको मोटामोटी देखिन्छ । उनीहरूले व्यक्तिगत खातामा पहुँच पुर्याएका छैनन् ।“
०७४ कात्तिकमा एनआईसी एसिया बैंकको स्विफ्ट प्रणाली ह्याकिङ गरेको घटना मात्रै नेपालको कोर बैंकिङ प्रणालीमाथिको अहिलेसम्मकै साइबर हमला हो । त्यतिबेला एनआईसी एसिया बैंकको स्विफ्ट कोड ह्याक गरेर ३१ करोड रुपैयाँ अमेरिका, बेलायत, जापान, सिंगापुर, मलेसिया, जर्मनी पुर्याइएको थियो । यद्यपि एनआईसी बैंकले भने सीआईबीमा ४६ करोड रुपैयाँ ह्याक भएको उजुरी दिएको थियो । बैंकपिच्छे फरक हुने स्विफ्ट कोड ह्याक गरेर ह्याकिङ समूहले रकम भुक्तानीका लागि अनलाइन अर्डर दिएका थिए । तर यो घटनाको अहिलेसम्म खुलेको अन्तर्यमा भने एटीएमबाट पैसा चोरी भएको मात्र हो । “कोर सिस्टममा ह्याक गरेको होइन,“ राष्ट्र बैंक मुद्रा व्यवस्थापन विभागका कार्यकारी निर्देशकसमेत रहेका निरौला भन्छन् ।
प्रकाशित : भाद्र ३०, २०७६
No comments:
Post a Comment