(2).jpg)
स्वीफ्ट (सोसाइटी फर वर्ल्डवाइड इन्टर बैंक फाइनान्सियल टेलिकम्युनिकेसन्स) लाई क्रसबोर्डर भुक्तानीका लागि सन् १९७३ मा स्थापना गरिएको थियो। स्वीफ्टले विश्वभर ११ हजारभन्दा बढी संस्थाहरूलाई वित्तीय लेनदेन र सेवा प्रदान गर्नेगरी पूर्वाधार उपलब्ध गराउँछ।
यसले वित्तीय लेनदेनको लागि कम्प्युटराइज्ड सन्देशहरू प्रसारण गर्न सुरक्षित सन्देश सेवा प्रयोग गर्दछ। थप रूपमा, स्वीफ्टले सन्देश नेटवर्क र यससँग सम्बन्धित सन्देश सेवाहरूमा पहुँच प्रदान गर्दछ। विगतमा, स्वीफ्ट नेटवर्क धेरै सुरक्षित मानिन्थ्यो। यद्यपि, यो केही परिवर्तन भएको होकि भन्ने अनुमान गर्न थालिएको छ, किनकि स्वीफ्टमा आधारित वित्तीय उद्योगमा साइबर आक्रमणहरू बढ्दो क्रममा देखिन थालेका छन्। तर यो बुझ्न आवश्यक छ कि स्वीफ्ट आफैं मात्र सुरक्षित हुन सक्दैन, यसको सुरक्षा, सदस्य संस्थाहरू कति सुरक्षित छन् भन्ने कुरामा निर्भर गर्छ।
आक्रमणकारीले परिमार्जित रणनीति र टेक्निक प्रयोग गर्दै सुरक्षा कन्ट्रोलहरूलाई सजिलैसँग बाइपास गर्न सक्छन्। जसले महत्वपूर्ण बैंकिङ प्रणालीहरू कम्प्रमाइज गर्न सक्छन्। स्वीफ्टको इतिहासमा सबैभन्दा महत्त्वपूर्ण साइबर आक्रमणहरूमध्ये एक सन् २०१६ मा बैंक अफ बंगलादेशमा भएको घटनालाई लिइन्छ। आक्रमणमा उत्तर कोरियाको संलग्नता रहेको मानिन्छ। आक्रमणकारीले ८ करोड १० लाख अमेरिकी डलर चोरी गर्न स्वीफ्ट भुक्तानीहरूमा फ्रडुलेन्ट अर्डर्स प्रयोग गरेका थिए।
उनीहरुले बैंक अफ बंगलादेशबाट पैसा चोर्न न्यूयोर्कमा रहेको फेडरल रिजर्भ बैंकमा रहेको खाता प्रयोग गरेका थिए। त्यसपछि पैसाको ट्रेसिङ रोक्न मनि लन्ड्रिङ गरेर मनिलाको बैंकहरूमा र स्थानीय क्यासिनोहरूमा पैसा स्थानान्तरण गरेका थिए। यो आक्रमणको प्रक्रिया वास्तविकरूपमा करिब एक वर्ष पहिले सुरु भएको थियो। जब बैंकका कर्मचारीहरूले जागिर खोज्ने एउटा संदिग्ध इमेल प्राप्त गरेका थिए। त्यही समयमा एकजना कर्मचारीले इमेलमा रहेको अट्याचमेन्ट डाउनलोड गरे। जसले गर्दा उनको कम्प्युटर इन्फेक्ट हुन पुग्यो।
एकपटक आक्रमणकारी नेटवर्कमा प्रवेश गरेपछि तिनीहरू बिस्तारै एक उपकरणबाट अर्कोमा जान थाले। यो क्रम तबसम्म चलिरह्यो जबसम्म उनीहरुले नेटवर्कमा आफूले खोजे जस्तो पहुँच बनाएनन्। आक्रमण सुरु भएको समयबाट उनीहरुलाई पैसा निकाल्न करिब एक वर्ष लाग्यो। यस्ता आक्रमणको प्रकृति धेरै जटिल हुने गर्दछ। यद्यपि, यिनीहरु कमजोर सुरक्षा प्रणालीप्रति लक्षित हुने गरेका हुन्छन्।
स्वीफ्ट प्रणालीमा भएका अन्य ठुला आर्थिक नोक्सानी निम्त्याएका साइबर आक्रमणहरूको विश्लेषण गर्दा, सबै आकार र सुरक्षास्तरका संगठनहरूलाई लक्षित गरिएको देखिन्छ। यद्यपि, लक्षित संस्थाहरूसँग प्राय कम परिपक्व सुरक्षा नीति र प्रक्रियाहरू भएको पाइन्छ।
हालै त्यस्ता घटनाहरूमा वृद्धि भएको देखेर स्वीफ्टले २०१६/१७ मा ग्राहक सुरक्षा कार्यक्रम (सीएसपी) प्रकाशित गर्यो। जसले स्वीफ्ट प्रयोगकर्ताहरूलाई ग्राहक सुरक्षा नियन्त्रण (कन्ट्रोल्स) फ्रेमवर्क (सीएससीएफ) लागू गर्न भनिएको छ।
यसको उद्देश्य भनेको सबै स्वीफ्ट प्रयोगकर्तालाई न्यूनतम आधारभूत सुरक्षा प्रणाली कार्यान्वयन गराउनु हो। थप रूपमा, स्वीफ्टले नयाँ आक्रमण रणनीति र प्रविधिविरुद्ध सुरक्षा कायम राख्न कन्ट्रोल्सहरु वार्षिकरूपमा अद्यावधिक गर्ने गर्छ।
यसबाहेक स्वीफ्ट प्रयोगकर्ताहरूले कन्ट्रोल फ्रेमवर्कको पालना गर्छन् भनेर प्रमाणित गर्न, कम्प्लायन्सको स्थितिलाई वार्षिकरूपमा वा दायरा परिवर्तनपछि रिपोर्ट गरिनुपर्छ। जुलाई २०२१ पछि यो प्रक्रिया स्वतन्त्र आन्तरिक वा बाह्य मूल्यांकन प्रक्रियाबाट सम्पन्न गरिनुपर्छ।
आन्तरिक मूल्यांकन: यदि संगठनसँग जोखिम व्यवस्थापन गर्न तीनवटा छुट्टै इकाइहरू छन् भने दोस्रो वा तेस्रो इकाईले स्वतन्त्ररूपमा परिणामहरूको मूल्यांकन गर्न सक्छन्। यसका लागि इकाइहरुमा साइबर सुरक्षा परिपक्वताको उचितस्तर आवश्यक हुन्छ।
बाह्य मूल्यांकन: यो सीएसपी मूल्यांकन प्रदायकहरूको स्वीफ्ट निर्देशिकामा सूचीबद्ध, साइबर सुरक्षामा राम्रो अनुभव भएको बाह्य संस्थाद्वारा गरिन्छ। परीक्षापछि एक कम्प्लायन्स रिपोर्ट पेस गरिनुपर्छ। रिपोर्टले संगठनले कन्ट्रोल्सहरुको उद्देश्यहरूसँग कम्प्लाई गरेको छ वा छैन, अथवा भविष्यमा कम्प्लाई गर्न सक्नेछ भन्ने कुरा प्रदान गर्छ। स्वतन्त्र मूल्यांकन गर्न असफल भएमा प्रमाणीकरण स्वतन्त्र कम्प्लायन्ट हुनेछ।
सीएसपीद्वारा निर्दिष्ट अनिवार्य (म्यान्डेटरी) र स्वैच्छिक(एड्भाइजरी) कन्ट्रोल्सहरू लागू गर्नाले स्थानीय स्वीफ्ट पूर्वाधारको सुरक्षामा उल्लेखनीय सुधार हुन्छ। सबै स्वीफ्ट प्रयोगकर्ताहरूको सुरक्षाका लागि आधारभूत मानक छ भनि सुनिश्चित गर्छ।
एउटा संगठनले कन्ट्रोल्सहरू कसरी सही रूपमा लागू गर्ने भनेर बुझ्नुपर्छ। नयाँ वा म्यान्डेटरी कन्ट्रोल्सहरू थपिएको अवस्थामा बाह्य सल्लाह खोज्नुपर्छ। यसले मूल्यांकन प्रक्रियालाई प्राथमिकता दिनुपर्छ। यसलाई चाँडै कार्यान्वयन गर्न थाल्नु पर्छ किनभने यो साधारण जाँच सूचीमा आधारित प्रक्रिया नहुन सक्छ।
वर्षको अन्त्यतिर स्वतन्त्र सहायक खोज्नु चुनौतीपूर्ण हुनसक्छ। संस्थाले हरेक वर्ष मूल्यांकन प्रक्रिया पूरा गर्न व्यवसायको लागि के आवश्यक छ भन्ने कुरा राम्ररी बुझ्नका लागि सबै मुख्य सरोकारवालाहरू र तेस्रो-पक्ष बिक्रेताहरूलाई समावेश गर्नु पर्छ।
सीएससीएफको उचित कार्यान्वयन स्थानीय स्वीफ्ट कार्यान्वयनको लागि न्युनतम सुरक्षा आधार-रेखा स्थापना गर्न मात्र विचार गर्नुपर्छ।
आक्रमण रोकथामको निम्ति प्रयोग गरिनु हुँदैन। यसबाहेक सीएसपी आफैंले पनि यो सुरक्षा ढाँचा परिवर्तनका लागि होइन र यसलाई सम्पूर्ण समाधानको रूपमा हेरिनु हुँदैन भनेर व्याख्या गरेको पाइन्छ। त्यसकारण यसलाई स्थानीय स्वीफ्ट प्रणालीहरूको सुरक्षाका लागि आधारभूत प्रक्रिया मात्र मान्न सकिन्छ।
स्वीफ्ट प्रणालीहरूले विश्वव्यापी वित्तीय संस्थाहरूको लागि विद्युतीय भुक्तानी सेवाहरू उपलब्ध गराएको हुनाले, तिनीहरू वित्तीय प्रेरणा भएका आक्रमणकारीहरूका लागि सधैं आकर्षक लक्ष्य हुन्छन्। जेहोस्, सीएसपीद्वारा निर्दिष्ट सुरक्षा कन्ट्रोल्सहरूको प्रयोग हुँदाहुँदै पनि, प्रणालीहरूमा भएका त्रुटिहरू साइबर अपराधीहरूद्वारा एक्स्प्लोइट हुने सम्भावना सधैं रहन्छ।
यसबाहेक, जसरी साइबर अपराधीहरूले आफूलाई थप परिष्कृत प्रविधिहरूको साथ अपग्रेड गर्दै आएका छन्। त्यसैगरी प्राविधिक साझेदार, नियामक र संगठनहरूमा पनि क्रमिक सुधार र परिमार्जन आवश्यक पर्छ।
(पोखरेल बिजसर्भ आइटीका सीइओ हुन्)
