काठमाडौं, १९ भदौ । केही दिनअघि भएको एटीएम ह्याकिङको विषयमा गठित छानबिन समितिले राष्ट्र बैंकलाई प्रारम्भिक प्रतिवेदन पेश गरेको छ ।
राष्ट्र बैंकले एटीएम ह्याकिङ प्रकरणपछि उक्त घटनाको अध्ययन कार्यकारी निर्देशक बमबहादुर मिश्रको संयोजकत्वमा ५ सदस्यीय अध्ययन समिति गठन गरेको थियो ।
समितिमा राष्ट्र बैंकका आईटी प्रमुख शिवप्रसाद दुवाडी, अनुज दहाल, नेप्सका अध्यक्ष प्रवीण क्षेत्री र बैंकर संघका तर्फबाट रोशन रेग्मी थिए ।
समितिको प्रारम्भिक प्रतिवेदन अनुसार भिसा इन्टरनेशनलसँग आबद्ध नेप्सका सदस्य बैंकहरुको क्लोन डेबिट कार्ड प्रयोग गरी ह्याकिङ भएको देखिएको हो ।
शनिबार बिहान ११ बजेदेखि साँझ ४ः३५ बजेसम्ममा नेपालबाट ७ वटा बैंकका विभिन्न कार्डहरु प्रयोग गरी १७ वटा बैंकका विभिन्न स्थानका ६८ वटा एटीएमबाट एक करोड ८९ लाख ४४ हजार ५ सय रुपैयाँ निकालिएको प्रतिवेदनमा उल्लेख छ ।
त्यस्तै प्रतिवेदन अनुसार भारतबाट नेपालका ६ वटा वाणिज्य बैंकहरुको विभिन्न कार्डहरु प्रयोग गरी भारतका विभिन्न स्थानका २४ बैंकका १३२ एटीएमबाट भारु एक करोड ५ लाख ८७ हजार (नेपाली रुपैयाँ एक करोड ६९ लाख) गरी कुल नेपाली रुपैयाँ तीन करोड ५८ लाख ८४ हजार बराबरको रकम भिकिएको छ ।
ती मध्ये केही कारोवार वास्तविक भएकाले भेरिफिकेशन कार्य चलिरेकाले ह्याकिङबाट भएको क्षति उक्त रकम भन्दा केही कम भएको अनुमान प्रतिवेदनले गरेको छ र
भिसा नेटवर्क वा नेप्स स्विच वा दुई प्रणालीको बीचमा कहि कतै कसैले अनधिकृत रुपमा नियन्त्रणमा लिई पैसा निकालेको अनुमान गरीएको छ । साथै यस विषयमा फरेन्सिक विज्ञबाट प्रतिवेदन प्राप्त गर्नुपर्ने पनि प्रतिवेदनले औंल्याएको छ ।
के के छन् त सुझाव ?
नेपालमा कार्डको प्रयोग गरी हुने भुक्तानी प्रणालीमा देखिएको कमी कमजोरीहरुलाई मध्यनजर गरी सम्भावित जोखिम न्यूनीकरणका लागि समितिले अल्पकाल र दीर्घकालका लागि गर्नुपर्ने कामहरु उल्लेख गर्दै १७ बुँदे सुझाव सहित प्रतिवेदन बुझाएको छ ।
अल्पकालिन
-हाल घटेको घटनाहरुको फरेन्सिक एक्सपर्टद्वारा सुक्ष्म अध्ययन तथा विश्लेषण गरी प्राप्त सुझावहरु कार्यान्वयन गर्नु पर्ने ।
-इजाजतपत्रप्राप्त बैंक तथा वित्तीय संस्थाहरु, पीएसपी र पीएसओलाई आ-आफ्नो सूचना प्रविधि तथा इलेक्ट्रोनिक माध्यमबाट हुने भुक्तानी प्रणालीको जोखिम मूल्यांकन गरी जोखिम न्यूनीकरणका आवश्यक उपायहरु अवलम्बन गर्न निर्देशन दिनु पर्ने ।
-कार्ड प्रणाली लगायत भिसा, मास्टर्स कार्डको हिसाब मिलान कारोबार भएको अर्को दिन (टी प्लस वान) भित्र गर्ने व्यवस्था मिलाउनु पर्ने ।
-नेपालका बैंक तथा वित्तीय संस्थाहरुबाट जारी भएका नेपाली मुद्राका डेबिट तथा क्रेडिट कार्डहरु अब उप्रान्त अनिवार्य रुपमा एक्युरिर र इस्यूअर दुवैतर्फ चीप र पीनको माध्यमबाट मात्र कारोबार हुने व्यवस्था मिलाउने । नेपाल बाहिर यस्तो कार्ड प्रयोग हुँदा नेपालका इस्यूअरले फलब्याक ट्रान्जेक्सन स्वीकार नगर्ने व्यवस्था मिलाउनु पर्ने ।
-नेपाली बैंक तथा वित्तीय संस्थाहरुले जारी गरेका डलर कार्डस्को हकमा विदेशी टर्मिनल्समा एक्युरिर हुँदा म्याग्नेटिक स्ट्रिपको फलब्याक ट्रान्जेक्सन नहुने व्यवस्था मिलाउनु पर्ने । म्याग्नेटिक स्ट्रिपबाट घटना घटेको ।
-बैंक तथा वित्तीय संस्थाहरुबाट यसअघि जारी भएका म्याग्नेटिक स्ट्रिप कार्ड ९नन चीप० कार्डहरु ३ महिनाभित्र चीप बेस्ड कार्डद्वारा विस्थापन गर्ने व्यवस्था मिलाउनु पर्ने ।
-नेपालमा सञ्चालनमा रहेका सम्पूर्ण टर्मिनल डिभाइसलाई ३ महिनाभित्र चीप र पीनलाई स्वीकार गर्न सक्ने गरी सक्षम बनाउन आवश्यक व्यवस्था मिलाउनु पर्ने ।
-बैंक तथा वित्तीय संस्था र टर्मिनल डिभाइसले सातै दिन चाैबिसै घन्टा सेक्युरिटी अपरेशन सेन्टर सञ्चालन गरी सूचना प्रविधिको क्षेत्रमा उत्पन्न हुन सक्ने जोखिमहरुलाई नियमित रुपले अनुगमन गर्ने व्यवस्था मिलाउनु पर्ने ।
दीर्घकालीन
-कार्डसँग सम्बन्धित नेटवर्क र सिस्टमको सुपरिवेक्षण नियमित रुपमा गर्नु पर्ने ।
-कार्डसँग सम्बन्धित सूचना प्रणालीको वार्षिक रुपमा अडिट गर्ने व्यवस्था मिलाउनु पर्ने ।
-कार्डसँग सम्बन्धित प्रणालीको भल्नेबरलिटी एसेस्मेन्ट एण्ड पेनिट्रेशन टेस्टिङ अर्ध बार्षिकरुपमा गर्ने व्यवस्था मिलाउनु पर्ने ।
-कार्डसँग सम्बन्धित प्रणालीको जोखिम मूल्यांकन त्रैमासिक रुपमा गरी सम्बन्धित बैंकको जोखिम व्यवस्थापन समितिमा छलफल गर्ने व्यवस्था मिलाउनु पर्ने ।
-एटीएम कक्षमा जडित सीसीटीभीको नियमितरुपमा केन्द्रीकृत रुपले अनुगमन गर्ने व्यवस्था मिलाउनु पर्ने । साथै, यस्तो अनुगमन शनिबार लगायत अन्य विदाको दिनमा समेत नियमित रुपले गर्ने व्यवस्था मिलाउनु पर्ने ।
-इजाजतपत्रप्राप्त वित्तीय सेवा प्रदायक संस्थाहरुले साईबर सेक्युरिटीको जोखिमबाट हुन सक्ने सम्भावित नोक्सानी न्यूनीकरण गर्न साइबर सेक्युरिटी बीमा गर्नु पर्ने व्यवस्था मिलाउनु पर्ने ।
-कार्डबाट हुने कारोबारको सीमा नियन्त्रणका लागि भिसा, मास्टरकार्ड लगायत अन्य भुक्तानी प्रणाली सञ्चालकहरुबाट सबै बैंक तथा वित्तीय संस्थाहरुले कारोबारको सीमा निर्धारण गर्ने सेवा लिनुपर्ने व्यवस्था मिलाउनु पर्ने ।
-बैंक तथा वित्तीय संस्था र पीएसओ र एसपीएसले प्रिभिलेज एसेस म्यानेजमेन्ट प्रयोग गरी सूचना प्रविधि प्रणालीको महत्वपूर्ण पूर्वाधार सुरक्षित राख्ने व्यवस्था मिलाउनु पर्ने ।
-पेमेन्ट कार्ड इन्ड्रस्टीज एण्ड डाटा सेक्युरिटी स्ट्यान्डर्ड पालना गर्ने र एटीएम स्वीच सञ्चालन गर्ने बैंकहरुले बार्षिक रुपले पीसीआई–डीएसएस अडिट गर्ने व्यवस्था मिलाउनु पर्ने ।