बैंकबाट पैसा लुट्ने ह्याकरको धम्किलाई के भन्छन् साइबर सुरक्षा विज्ञ ? प्रमोद पराजुलीकाे विचार « Artha Path
७ श्रावण २०७८, बिहीबार

बैंकबाट पैसा लुट्ने ह्याकरको धम्किलाई के भन्छन् साइबर सुरक्षा विज्ञ ? प्रमोद पराजुलीकाे विचार



राष्ट्र बैंकलाई एउटा अञ्जान ह्याकरले केन्द्रिय बैंकसहित अरु १५ बाणिज्य बैंकको प्रणाली ह्याक गर्ने धम्कि दिएपछि अहिले यस विषयले निकै चर्चा पाएको छ । तर यस्तो धम्की दिने चलन संसारभर नै छ । संसारको सबैभन्दा खतरनाक एउटा ह्याकर समूह छ, जसलाई अंग्रेजिमा ‘एनोनिमस’ भनिन्छ ।

यसको कुनै नेपाली नाम छैन । यो पृथ्वीका विभिन्न भागमा भएका ह्याकरहरूको समूह हो । कुनै सरकार वा कम्पनीले बहुसंख्यक जनताको अहित हुने काम गरेका छन् भने ती ह्याकरहरूले धम्की दिने गर्छन् । यस्ता ह्याकरले कहिले अमेरिकी सरकारलाई त कहिले इजरायललाई धम्की दिँदै आएका छन् ।

भर्खरैमात्र पृथ्वीका सबैभन्दा धनिमध्येका एक एलन मस्कलाई पनि यस्तो समूहले धम्कि दिएको थियो । टेस्ला मोटर्सका मालिक मस्कलाई क्रिप्टोकरेन्सी (डिजिटल मुद्रा)को मूल्य घटाउने र बढाउने गरेको भनेर ह्याकरहरूले धम्क्याएका थिए ।

तर अहिले एनोनिमसका पनि भिन्दाभिन्दै समूहहरू सिर्जना भएका छन् । अब त वास्तविक एनोनिमस को हो भनेर पनि पत्ता लगाउन नसकिने भएको छ । त्यसैले अहिले नेपाली बैंकहरूलाई आएको धम्कि पनि आधिकारिक रुपमा कहाँबाट आएको हो भन्ने थाहा छैन । यद्यपि, आजकाल यस्तो धम्कि आउनुलाई सामान्य नै मानिन्छ ।

मैले कहाँबाट धम्कि दिइरहेको छु र म को हो भन्ने कसैले पनि थाहा नपाउने गरी इमेल, म्यासेज वा कुनै माध्यमद्वारा धम्कि दिने चलन संसारभर विकास भएको छ । अर्को महत्वपूर्ण कुरा के हो भने, अहिले संसारमा कुनै पनि साइबर प्रणाली भनेको सिसाका घरजस्तै हुन् । यी कुनै पनि बेला कसैले पनि भत्काइदिन सक्छ ।

नेपाल क्लियरिङ हाउस, कनेक्ट आईपीएस, नेपाल इलेक्ट्रोनिक पेमेण्ट सिस्टम (नेप्स)जस्ता प्रणालीमा जोडिएका बैंकहरू ह्याकरको आक्रमणमा परेका कुरा हामीले सुन्दै आएका छौं । आफ्ना ग्राहक र आफ्नो व्यवसायको विवरण (डेटा) सुरक्षित राख्नु कम्पनीहरूकै दायित्व हो ।

यसका लागि कसैले धम्कि दिए पनि वा नदिए पनि दायित्व पुरा गर्नुपर्छ । यो घटनालाई पनि हामीले ‘धम्कि आएको होइन, (दायित्व) सम्झाइदिएको हो’ भनेर बुझ्नु उचित हुन्छ । यो घटनाबाट हामी आत्तिनु पनि हुन्न र यसलाई बेवास्ता गर्नु पनि हुन्न ।

कति सुरक्षित छन् हाम्रा भुक्तानी प्रणाली ?

हामीकहाँ अहिले पनि थुप्रै भुक्तानी प्रणालीहरू सञ्चालनमा छन् । यी सबै प्रणालीहरू डेभेलपरले आ–आफ्नो तरिकाले बनाएका हुन्छन् । यिनिहरूको बीचमा थोरैमात्र समानता हुन्छ । उदाहरणका लागि, यस्ता भुक्तानी प्रणालीले न्यूनतम सुरक्षा प्रबन्ध गरेकै हुन्छन् । ‘मैले पठाएको भुक्तानीको सन्देश तिमीले स्वीकार गर है’ भनेर अनुरोध गर्ने अर्को प्रणाली हुन्छ । त्यसलाई पनि पालना गरिएको हुन्छ ।

यो भनेको ‘मैले कविता लेखेको छु, तिमी पढ है’ भनेजस्तो मात्रै हो । मैले कविता लेख्दा पानीमा रुझेर लेखेँ की, घाममा बसेर लेखेँ की, वा रुखको छहारीमा लेखेँ भन्ने पाठकलाई थाहा हुन्न । अहिले हामीसँग भएका भुक्तानी प्रणालीहरू पनि त्यसरी नै विकास भएका छन् । यस कारण सबै प्रणालीमा आ–आफ्ना सवल र दुर्बल पक्ष पनि छन् ।

यी हुन् सुरक्षा जाँच्ने विधी

कुनै पनि भुक्तानी प्रणाली सुरक्षित छ भन्नका लागि केही मापदण्डहरू पुरा गर्नुपर्ने हुन्छ । यसमा सबैभन्दा पहिलो हो, ‘पीसीआई–डीएसएस’ । ‘पेमेण्ट कार्ड इण्डस्ट्रि डेटा सेक्युरिटि स्ट्याण्डर्ड’ भनिने यस्तो अन्तरराष्ट्रिय मापदण्ड चाहीँ सबै भुक्तानी सेवा प्रदायकले पुरा गरेको हुनुपर्छ । तर यसमा पनि हाम्राजस्ता बैंकहरूलाई नयाँ सुविधा चाँडोभन्दा चाँडो ग्राहकसामु पुर्याउन हतारो हुन्छ । तर यो मापदण्डको पूर्ण परिक्षण गर्न एकदेखि डेढ वर्षको समय लाग्छ ।

त्यसकारण कुनै बैंकले भुक्तानी प्रणाली बनाए भने त्यसको परिक्षण पनि हुँदै गर्ने र प्रयोग पनि हुँदै जाने अवस्था छ । यस्तो बेलामा पनि कतिपय सुरक्षा खतरा हुनसक्छ । अर्कोकुरा ‘पीसीआई–डीएसएस’ले पनि सुरक्षाको सम्पूर्ण प्रत्याभूति दिन्छ भन्ने हुँदैन । जसरी, संसारको सबैभन्दा उत्कृष्ट डाक्टरकहाँ गएर जँचाउँदा विरामीको शरीरका सबै रोग पत्ता लगाउन सक्दैन । त्यसकारण कुनै पनि प्रणाली, त्यसको सञ्चालक र प्रयोगकर्ता सबै सधैं सचेत रहनुपर्ने हुन्छ ।

‘पीसीआई–डीएसएस’पछि दोस्रो उपाय चाहीँ ‘भल्नरेबिलिटी एसेसमेण्ट एण्ड पेनेट्रेशन टेस्टिङ (भीएपीटी)’ भन्ने विधी हुन्छ । त्यसले चाहीँ हाम्रा प्रणालीहरूमा कहाँकहाँ कमजोरी छ भनेर सफ्टवयरबाटै विश्लेषण गर्छ । यसले पनि अधिकतर देखिने जोखिम र कमजोरीहरूमात्रै पत्ता लगाउन सक्छ । कुनै विशिष्ट र नयाँ खालका जोखिम छन् भने त्यसले पनि पत्ता लगाउन सक्दैन ।

अर्को तरिका चाहीँ आफूले बनाएको प्रणालीलाई आफैंले परिक्षण गरिराख्ने हो । यसका लागि ‘स्याण्डबक्सिङ’ भन्ने तरिका अपनाएर परिक्षण गरिन्छ । यसका लागि हामीले बनाएको भुक्तानी प्रणालीजस्तै अर्को सर्भर बनाउनु पर्छ । स्याण्डबक्स भनेको नै उस्तै अर्को सर्भर बनाएर परिक्षण गर्ने हो । यसका लागि दोब्बर खर्च लाग्छ । त्यही कारण नेपालमा यसको अभ्यास खासै फस्टाएको छैन ।

नेपालमा प्रयोग भएका अधिकांश भुक्तानी प्रणालीहरू नेपालमै बनेका छन् । नेपालकै डेभेलपरले बनाएका कारण उनीहरूले कत्तिको सुरक्षा प्रबन्ध जोहो गरिदिएका छन् भन्ने हेक्का राख्नुपर्छ । डेभेलपरले जथाभावि कोड पो राखेको छ की ? कसैको काेड नम्बर वा इमेलमा पठाउने नम्बरहरू पो राखेको छ की ? त्यसका लागि ‘कोड रिभ्यू’ भन्ने अर्को कन्सेप्ट हुन्छ । कोड पो कमजोर छ की, वा कोडका कारण पो जोखिम भएको छ की भनेर हेर्न यस्ता उपाय अवलम्बन गर्न सकिन्छ ।

यस्ता विधी र तौरतरिका साइबर सुरक्षामा प्रयोग भइरहेका छन् । नेपालमा पनि यसको प्रयोग नै नभएको होइन । तर पनि हामी सधैं सजग रहनै पर्छ । घरमा ताल्चा लगाएर हिँड्दैमा चोर पस्दैन भन्ने छैन । ज्यादै धेरै पक्का गरी बन्द गरिएको घरमा पनि चोरले बम हानेर छिर्न सक्छन् । यसर्थ, ठूलो प्रणालीका लागि ठूलै चोर आउँछन्, साना प्रणालीका लागि सानै चोर आउँछन् । हामीले जतिसुकै बलियो प्रणाली बनाएका छौं भने पनि ढुक्क भएर बस्न मिल्दैन ।

ह्याकर र कम्पनीहरूको बीचामा ‘चोर पुलिस’को खेल पनि हुन्छ । एक स्तरमा सुरक्षा व्यवस्था गर्यो, ह्याकरहरूले त्यसलाई तोडिदिन्छन् । अर्को तहमा सुरक्षा बनायो, त्यसलाई पनि तोडिदिन्छन् । यसमा पूर्णतः विस्वस्त भएर बस्न सम्भव छैन । पेण्टागन (अमेरिकी रक्षा मन्त्रालय)को प्रणाली पनि ह्याक भएको उदाहरण छ ।

हाम्रा कतिपय विवरणहरू यसअघि नै कयौं ह्याकरले चोरिसकेको पनि हुन सक्छन् । त्यसबारे हामीलाई अहिलेसम्म कुनै जानकारी नै छैन । त्यसकारण चोरले इमेल पठाएर आउँछ भन्ने कुरा महत्वपूर्ण होइन । हामी कति सचेत छौं र सुरक्षा प्रणालीमा कति कटिबद्ध छौं भन्ने महत्वपूर्ण हो । हामीले सधैं सुरक्षित रहने प्रयास गरिरहनु पर्छ ।

Tags :

प्रतिक्रिया दिनुहोस्