BIZMANDU
www.bizmandu.com

डिजिटल बैंकिङः साइबर सुरक्षामा सानो असावधानी घातक, प्रभात पोखरेलको लेख

२०७९ असोज ५

डिजिटल बैंकिङले वित्तीय संस्था र सेवाग्राही सबैलाई कारोबार सहज बनाएको छ। जहाँ एकातिर सहज छ, त्यहीँ अर्कातिर जोखिम पनि छन्। डिजिटल बैंकिङमा प्रणालीमा साइबर सुरक्षाको मुख्य लक्ष्य भनेको ग्राहकको पैसा र सूचनाको सुरक्षा गर्नु हो। केही समययता वित्तीय संस्थाहरूले डिजिटल रूपान्तरणलाई तीव्र बनाएको देखिन्छ।

Tata
GBIME
Nepal Life

वित्तीय संस्थाहरूले चलिरहेको डिजिटल रूपान्तरणका लागि क्लाउड कम्प्युटिङ, आर्टिफिसियल इन्टेलिजेन्स र अन्य डिजिटल सेवा र प्रविधिहरू प्रयोग गर्दै आएका छन्।

त्यसैगरी कोभिड–१९ महामारीले भर्चुअल बैंक तथा वित्तीय सेवाको विकास र वित्तीय संस्थाका लागि सूचना प्रविधि पूर्वाधारको डिजिटल रूपान्तरणलाई तीव्रता दिइएको छ। संगठनहरूको डिजिटल रूपान्तरणसँगै नयाँ उपकरणहरू, र पूर्वाधारको प्रयोग बढ्दो क्रममा छ, जसले आक्रमणको सतहलाई पनि क्रमशः फराकिलो बनाइरहेको छ।

यद्यपि साइबर सुरक्षा सम्बन्धि कार्यदिशामा आवश्यकता अनुसारको प्राथमिकता प्रदान गर्न नस्केको अवस्था छ। यसले गर्दा विश्वव्यापीरूपमा वित्तीय संस्था र तिनका ग्राहकहरूमा साइबर सुरक्षा जोखिम पहिलेको तुलनामा बढेको छ।

बैंकिङ प्रायोरिटिज सर्वे २०२२ का अनुसार ५७ प्रतिशत बैंकरहरू फिसिङको बारेमा सबैभन्दा बढी चिन्तित छन्, जसले बैंकका कर्मचारीलाई लक्षित गरी आक्रमणकारीहरूलाई आन्तरिक प्रणालीहरूमा पहुँच दिन्छ। थप रूपमा, ५१ प्रतिशत बैंकरहरू उपभोक्ताहरूलाई लक्षित फिसिङको बारेमा चिन्तित छन्। यस प्रक्रियामा, आक्रमणकारीहरूले आफूलाई बैंकको कर्मचारीको रूपमा प्रस्तुत गर्दछन उनीहरूको महत्त्वपूर्ण जानकारीहरू माग्ने गर्दछन्।

४८ प्रतिशत बैंकरहरू २०२२ मा र्यान्समवेरको सम्भावनाको बारेमा चिन्तित छन्। अघिल्लो वर्षको तुलनामा २०२१ को पहिलो ६ महिनामा र्यान्समवेर घटनाहरू १५० प्रतिशतभन्दा बढीले बढेका छन्।

मोडर्न बैंक हेस्ट ५.० का अनुसार ७४ प्रतिशत वित्तीय साइबर सुरक्षा विशेषज्ञहरूले गत वर्षमा एक वा बढी र्यान्समवेर आक्रमणहरू अनुभव गरेको र ती मध्ये ६३ प्रतिशतले फिरौती रकम तिरेको बताएका छन्। वित्तीय क्षेत्रका विज्ञका लागि सुरक्षा एक शीर्ष मुद्दा भएको छ।

यस प्रतिवेदनका अनुसार अधिकांश वित्तीय संस्थाहरूले यस वर्ष आफ्नो सुरक्षा बजेट २०-३० प्रतिशतले वृद्धि गर्ने योजना बनाएका छन् र एक्स्टेन्डेड डिटेक्सन एन्ड रेस्पोन्सलाई उनीहरूको शीर्ष सुरक्षा लगानी प्राथमिकताको रूपमा लिएका छन्। प्रतिवेदनमा हाल ५१ प्रतिशत वित्तीय संस्थाले साप्ताहिक रूपमा ‘थ्रेट हिन्ट’ गरिरहेको पाइएको छ।

अन्तर्राष्ट्रिय वित्तीय क्षेत्र जस्तै नेपाली वित्तीय क्षेत्र पनि साइबर आक्रमणको जोखिममा छ। हामीले साइबर सुरक्षामा पहिलेभन्दा धेरै लगानी गरिरहेका छौं, धेरै संस्थाहरूले साइबर सुरक्षालाई आफ्नो प्राथमिकतामा राखेका छन्। तर, सानो आकारका वित्तीय संस्थाहरूसँग पर्याप्त साइबर सुरक्षा बजेट नहुन सक्छ। तसर्थ, आधारभूत पक्षलाई सुधार गर्न ती संस्थाहरुले आफ्ना साइबर सुरक्षा आवश्यकताहरूलाई बुझेर प्राथमिकतामा राख्नु अत्यन्त महत्त्वपूर्ण छ।

कुनै पनि संस्थामा सबैभन्दा महत्त्वपूर्ण र संवेदनशील अंग भनेको त्यहाँका कर्मचारीहरु हुन्। कर्मचारीहरु साइबर सुरक्षाको जोखिमका बारे जानकार छन् भने उनीहरुले खतराका संकेतहरू भेट्टाउन सक्छन्। त्यस्तैगरी उनीहरूले उचित सुरक्षा प्रक्रियाहरू अपनाउने सम्भावना पनि बढी हुन्छ। उदाहरण्का लागी फिसिङ प्रशिक्षण गर्दा, वास्तविक केसहरू प्रयोग गरियो भने भविष्यमा हुन सक्ने फिसिङ आक्रमणहरू पहिचान गर्न सकिन्छ।

यसैगरी साइबर सुरक्षाको विषयमा ग्राहकको जागरूकता सबैभन्दा कठिन पक्ष हो। उपभोक्ताको साइबर सुरक्षाको शिक्षाले टेक्नोलोजी विस्तार गर्न ठूलो अवसर प्रदान गर्दछ। कुनै पनि संस्थाको लागि ग्राहकहरूको सुरक्षा नै सबैभन्दा महत्त्वपूर्ण कुरा हो। तसर्थ टेलिभिजन, रेडियो, सामाजिक सञ्जाल, पत्रपत्रिका र वेबसाइटमा आवश्यक ग्राहक सचेतना कार्यक्रम सञ्चालन गरिनु पर्छ। वित्तीय संस्थाहरूले आफ्ना ग्राहकहरूलाई सञ्चार गर्नुपर्ने केही सरल नियमहरु यस प्रकारका छन्:

  • अल्फा न्युमेरिक र विशेष क्यारेक्टरहरू प्रयोग गरी पर्याप्त लामो पासवर्डहरू प्रयोग गर्ने
  • सार्वजनिक वा खुला नेटवर्कहरू प्रयोग नगर्ने
  • आफ्नै डिभाइसमार्फत बैंकिङ सेवा प्रयोग गर्ने
  • व्यक्तिगत जानकारी इन्टरनेटमा शेयर नगर्ने
  • बैंक विवरण वा अन्य गोप्य डेटा फोनमा अथवा अन्य कुनै माध्यम बाट कसैलाई शेयर नगर्ने
  • अन्जान व्यक्तिमार्फत आएका ईमेलका लिंक अथवा अट्याच्मेन्ट क्लिक अथवा डाउनलोड नगर्ने
  • आफ्नाविरुद्ध कुनै ठगी वा अपराध भएको शंका भएमा बैंकलाई सम्पर्क गर्ने

साइबर सुरक्षा अडिट, भल्नेरेविलिटी असेस्मेन्ट, पेनिट्रेसन टेस्टिङ, थ्रेट हिन्ट र अन्य अफेन्सिभ सुरक्षा कार्यक्रमहरुले आईटी पूर्वाधारको जोखिम मूल्यांकन गर्न महत्त्वपूर्ण भूमिका प्रदान गर्छन्। तसर्थ कुनै वित्तीय संस्थाको सुरक्षाका लागि, नियमित रुपमा आन्तरिक र बाह्य अडिट र असेस्मेन्टहरू सञ्चालन गर्नु पर्दछ। यी कार्यक्रमहरूले साइबर सुरक्षा समस्याहरू समाधान गर्न र संगठनको समग्र सुरक्षा स्थिति सुधार गर्न मद्दत गर्दछन्।

सुरक्षित पासवर्डहरू प्रयोग गर्न सधैं उपयुक्त मनिन्छ। यद्यपि, पासवर्डले सुरक्षाको लागि एउटा मात्र पहिचान प्रदान गर्दछ। एउटा एउटा मात्र पहिचान प्रयोग गर्नु जोखिमपूर्ण हुन सक्छ। यो समस्या को एक राम्रो समाधान भनेको ‘एमएफए’ (मल्टी फयाक्ट अथेन्टिकेसन) प्रयोग गर्नु हो।

एमएफएले प्रयोगकर्ताको पहिचान पुष्टि गर्न धेरै प्रमाणहरु प्रयोग गर्ने हुनाले अनधिकृत एक्सेस रोकथाम गर्दछ। तसैले सबै एप्लिकेसन प्रयोगकर्ताले आफ्नो अकाउन्टको सुरक्षाका लागि एमएफए प्रयोग गर्न अनिवार्य गरिनुपर्छ। यसले अन्ततः वित्तीय संस्थामा फिसिङ र सामाजिक इन्जिनियरिङविरुद्ध बलियो सुरक्षा प्रणाली निर्माण गर्दछ।

आन्तरिक प्रणाली र कर्मचारीहरू साइबर सुरक्षा आक्रमणको लागि तयार भए पनि, तेस्रो पक्ष बिक्रेताले साइबर सुरक्षा मापदण्डहरू नराखेको अवस्थामा संस्थाको साइबर सुरक्षा सजिलै कम्प्रमाइज हुन सक्छ। सबै तेस्रो पक्ष बिक्रेताहरूको उपयुक्त साइबर सुरक्षाका निम्ति निरन्तर अनुगमनमा हुनुपर्छ, विशेषगरी यदी ती बाह्य प्रदायकहरूले संस्थाको संवेदनशील डेटा वा प्रणालीहरूमा पहुँच राख्छन् भने।

वित्तीय संस्थाहरूमा डिजिटल रूपान्तरणका लागि प्रतिस्पर्धा बढ्दै जाँदा सम्मानित र व्यवस्थित साइबर सुरक्षा सेवा प्रदायकसँग सहकार्य गर्नु अझै अपरिहार्य हुन जान्छ। एक राम्रो साइबर सुरक्षा प्रदायकले प्रविधि कार्यान्वयनमा मात्रै जोड नदिएर साइबर सुरक्षा सुशासन, जोखिम व्यवस्थापन, नीति कार्यान्वयन र उचित सल्लाहकार सेवा पनि प्रदान गर्दछ। ताकी संस्थाको आईटी रणनीतिले व्यापार लक्ष्यहरू सहज बनाउन सहयोग गरोस्।

संस्थाको आवश्यकताअनुसार साइबर सुरक्षा सम्ब्न्धी उचित उपकरण र प्रविधिहरूको प्रयोग गरिनु पर्छ। आजको आवश्यकताअनुसार सिम (सेकयुरिटी इन्फर्मेसन एन्ड इभेन्ट म्यानेज्मेन्ट), सोर (सेक्युरिटी ओर्केस्ट्रेसन, अटोमेसन एन्ड रेस्पोन्स), इडीआर (एन्डपोइन्ट डिटेक्सन एन्ड रेस्पोन्स) जस्ता उपकरणहरू प्रयोग गर्न सकिन्छ। यो क्रममा प्रविधि बिक्रेतासँग आबद्ध हुनुपूर्व आन्तरिक वा बाह्य विशेषज्ञसँग परामर्श लिन उचित हुन्छ, जसले संस्थाको आवश्यकताहरू पहिचान गर्न निष्पक्ष राय प्रदान गर्न सक्ने छ्न्।

कुनै पनि संस्थाले अफेन्सिभ साइबर सुरक्षा जतिकै डिफेन्सिभ साइबर सुरक्षा कार्यक्रमलाई पनि उतिकै प्राथमिकता दिनुपर्ने हुन्छ। इन्सिडेन्ट रेस्पोन्स योजना र कार्यान्वयन डिफेन्सिभ साइबर सुरक्षा संयन्त्रको लागि धेरै महत्त्वपूर्ण अंग हो। साइबर आक्रमण रोकथाम संस्थाको पहिलो प्राथमिकता भए पनि, आक्रमण व्यवस्थापन अझ महत्त्वपूर्ण हुन्छ।

किनभने यसले संस्थालाई क्षति रोक्न र सकेसम्म चाँडो आफ्ना गतिविधिहरु सञ्चालन गर्न मद्दत गर्दछ। संस्थाले आफ्नो आवश्यकताअनुसारको प्रविधि खरिद र उचित प्रयोग गर्ने सके सिम, सोर, इडीआर जस्ता उपकरणहरूले यस प्रक्रियामा उल्लेखनीय सुधार गर्न सक्छन्।

डिजिटल रूपान्तरण भएसँगै साइबर सुरक्षाका आवश्यकताहरू पनि परिमार्जित हुने गर्दछन्। कुनै पनि देशको अर्थतन्त्र वित्तीय संस्थाहरूमा निर्भर हुने भएकाले यो क्षेत्रमा साइबर सुरक्षाको आवश्यकता अझै महत्वपूर्ण हुन जान्छ। यसलाई सम्बोधन गर्न वित्तीय संस्थाहरूले आफ्नो साइबर सुरक्षाको रणनीतिलाई परिष्कृत बनाउदै लगेको देखिन्छ। यद्यपि समग्र वित्तीय उद्योगको बढ्दो साइबर सुरक्षा आवश्यकतालाई सम्बोधन गर्न वित्तीय संस्थाहरूले संगठितरुपमा रणनीति निर्माण गर्ने र यसको उचित कार्यान्वयनमा पनि जोड दिनुपर्ने देखिन्छ।

(पोखरेल बिजसर्भ आइटीका सीइओ हुन्)