कान्तिपुर वेबसाईट
AdvertisementAdvertisement
२३.१२°C काठमाडौं
काठमाडौंमा वायुको गुणस्तर: १६१

बैंकको साइबर सुरक्षा

सुशील कार्की

नेपाली बैंकहरूबाट चिनियाँ ह्याकरले करोडौं रुपैयाँ चम्पत पारेको समाचारले हाम्रो बैंकिङ सिस्टमको सूचना प्रविधि सम्बन्धी चुकलाई उजागर गरिदिएको छ । सूचना प्रविधि अचेल विश्वभरिकै संस्थाहरूका लागि प्राथमिकताको विषय बनेको छ र विशेषतः बैंक नै ह्याकरको निसानामा पर्ने गरेका छन् । अझ बढी चाहिँ एसिया–प्यासिफिक क्षेत्रका बैंक ।

बैंकको साइबर सुरक्षा

त्यो किनभने, सूचना प्रविधिलाई सुरक्षित राख्ने प्रविधि एकदमै खर्चिलो हुन्छ र यस क्षेत्रका अधिकांश बैंकले त्यसमा अपेक्षित लगानी गरेका छैनन् ।


सूचना प्रविधि सुरक्षित नभएको कुनै पनि संस्थाले आर्थिक नोक्सानी र लगानीकर्ता तथा ग्राहकहरूको विश्वसनीयता दुवै गुमाउनुपर्ने हुन्छ । सूचना चुहिए नियामक निकायहरूले धेरै ठूलो जरिवाना लगाउन सक्छन्, जसले गर्दा संस्था नै नामेट हुने अवस्थासम्म आउन सक्छ । यसको उदाहरणका रूपमा अमेरिकाको ग्राहक क्रेडिट रिपोर्टिङ गर्ने एजेन्सी ‘इक्युफ्याक्स’ लाई लिन सकिन्छ, जसलाई ग्राहक तथ्याङ्क सुरक्षित गर्न नसक्दा अमेरिकी सरकारले ५७५ मिलियन अमेरिकी डलर जरिवाना गरेको थियो ।


अहिले बढ्दो जोखिमको न्यूनीकरणका लागि बैंक, सरकारी तथा गैरसरकारी कार्यालय, ठूला व्यापारिक घराना लगायतले सूचना प्रविधिको कडा सुरक्षालाई सम्बोधन गर्नुपर्छ । तल उल्लिखित प्रविधि र उपाय अवलम्बन गरेर सूचना प्रविधि प्रणालीलाई सुरक्षित बनाउन सकिन्छ :


प्याचिङ साइकल : संस्थामा प्रयोग भइराखेको कुनै पनि प्रविधि ‘अपडेटेड’ हुनुपर्छ । प्रयोगमा रहेको सिस्टमको प्याच वा अपडेटका माध्यमबाट तिनलाई नियमित अपग्रेड गर्नुपर्छ । जस्तै— माइक्रोसफ्टले प्रत्येक महिनाको दोस्रो मंगलबार आफ्नो सफ्टवेयर विन्डोज अपडेट रिलिज गर्छ । माइक्रोसफ्टको विन्डोज प्रयोग गर्नेहरूले आफ्ना डेस्कटप, सर्भर, एटीएम आदिमा महिनैपिच्छे अपडेट गरेर सबै खाले जोखिम र भाइरसबाट जोगाउन सक्छन् । भीएमवेयर, थर्ड पार्टी सफ्टवेयर नेटवर्किङ तथा सूचना प्रविधि सम्बन्धी अन्य उपकरणको अपडेट पनि जरुरी हुन्छ ।


फायरवाल : फायरवालले कुनै पनि सिस्टममा आवश्यक सूचनालाई मात्र प्रवेश दिन्छ । यसका कारण नयाँ वा विश्वसनीय नलाग्ने केहीले पनि सिस्टममा छिर्न पाउँदैन । फायरवाल कम्तीमा पनि दुई लेभलको हुनु जरुरी हुन्छ । पहिलोले बाहिरबाट आएका ट्राफिकलाई सुरक्षा दिन्छ भने दोस्रोले भित्रकै अनावश्यक ट्राफिकबाट जोगाउँछ ।


एन्टिभाइरस : सिस्टममा कुनै पनि भाइरसले आक्रमण गरे त्यसविरुद्ध लड्ने माध्यम हो— एन्टिभाइरस । सिस्टममा छिरिसकेको कुनै भाइरस वा मालवेयरलाई पत्ता लगाई हटाउने काम गर्छ, यसले ।


जिरो डे सुरक्षा : जिरो डेको जोखिमका लागि निश्चित सुरक्षा प्रणाली बनेकै छैन । यस्तो खाले आक्रमण उही दिन रिलिज भएका मालवेयरले गर्ने गर्छन् । यसका लागि इमेल, नेटवर्क आदि सुरक्षित राखी जिरो डे सुरक्षाका प्रविधिको प्रयोग गर्नुपर्छ ।


इमेलको सुरक्षा : भाइरस, स्पेवेयर, मालवेयर आदिको मुख्य स्रोत इमेल हो । विभिन्न फिसिङ र स्पामको लिंकबाट ह्याकरहरूले सिस्टमका प्रयोगकर्तालाई निसाना बनाउन सक्छन् । त्यसैले इमेलको सुरक्षित गेटवे अत्यन्त जरुरी छ । इमेल गेटवे दिने एडप्टिभ इमेल सेक्युरिटी, अटोमेटेड रिडक्सन र सानिटाइजेसन, एन्टिस्पाम र फिसिङ, भाइरस स्क्यानिङजस्ता सुविधाले जोखिमहरूबाट बचाउन सक्छन् ।


जोखिम व्यवस्थापन : संस्थाका सूचना तथा तथ्याङ्कलाई फरक–फरक समूहमा राखेर जोखिम न्यूनीकरण र व्यवस्थापन गर्न सकिन्छ । जोखिम व्यवस्थापनमा प्रयोग हुने एलिन भल्ट युनिफाइड सेक्युरिटी म्यानेजमेन्ट, कोमोडो ह्याकर प्रुफ, ट्रिपवायर आईपी ३६० जस्ता सफ्टवेयर र उपकरणले सिस्टमलाई स्क्यानिङ गरी त्यसमा रहेका उच्च, मध्यम वा सामान्य जोखिमको सूची तयार पारिदिन्छन् ।


बन्द सफ्टवेयरको प्रयोग बन्द : कुनै पनि कम्पनीले बन्द गरिसकेका वा सहयोग नदिने सफ्टवेयर र हार्डवेयरहरूको प्रयोग गर्दा तिनमा ह्याकरहरूले सहजै आक्रमण गर्न सक्छन् । जस्तै— माइक्रोसफ्टले विन्डोज एक्सईमा सपोर्ट बन्द गरेको छ, जसको कुनै पनि प्याच वा अपडेट उपलब्ध हुँदैन । यस्ता खालका सिस्टम प्रयोग गर्न हुन्न ।


दोहोरो प्रमाणीकरण : जुनसुकै क्रिटिकल सर्भर सिस्टममा छिर्न दोहोरो प्रमाणीकरण विधि अपनाउनुपर्छ । पासवर्ड ह्याक भएको अवस्थामा पनि प्रमाणीकरणका लागि दोस्रो अप्सनले अनधिकृत पहुँचलाई रोक्छ । जस्तै— पासवर्ड राखेपछि पनि मोबाइल/इमेलमा कोड पठाएर उक्त कोड राख्न आरएसए सुरक्षा विधिको प्रयोग गर्ने ।


तथ्याङ्क वा डाटाको वर्गीकरण : कुनै पनि संस्थाका लागि तथ्याङ्क/डाटा सबैभन्दा महत्त्वपूर्ण सम्पत्ति हुन् । तथ्याङ्क ग्राहक स्वयं वा ग्राहकका तथ्याङ्क हुन सक्छन् । सर्वप्रथम त तथ्याङ्कलाई समूहगत रूपमा गोप्य, निषेधित वा सार्वजनिक गर्न मिल्ने भनी छुट्याउनु आवश्यक हुन्छ ।


जसले तथ्याङ्क संकलन गर्छ, उसले विभिन्न सफ्टवेयरका माध्यमले तिनलाई समूहगत रूपमा विभाजन गर्नुपर्छ, जस्तै— क्रेडिट कार्ड भएका नम्बरहरू, पासवर्ड भएका, आर्थिक कारोबार देखिने आदि । त्यो डाटा कसैले प्रिन्ट गर्न, इमेलद्वारा पठाउन, पेनड्राइभ लगायतमा कपी गर्न अनि एफटीपी/एचटीटीपीका माध्यमबाट इन्टरनेटमा अपलोड गर्न खोजेमा डाटा लिकेज प्रिभेन्सन सफ्टवेयरद्वारा अलर्ट आउने बनाउन सकिन्छ ।


डीएलपी प्रविधि प्रयोग गरे संस्थाका कर्मचारीबाट हुनसक्ने सूचनाको चुहावट रोक्न सकिन्छ । त्यसका लागि फोर्स प्वाइन्ट डीएलपी सोलुसन, स्यामेन्टेक डीएलपी सोलुसन, चेक प्वाइन्ट डीएलपी सोलुसन आदि प्रयोगमा ल्याउन सकिन्छ ।


डाटा इन्क्रिप्सन : विभिन्न समूहमा छुट्याइएका सूचना/तथ्याङ्कलाई सुरक्षित तवरले सर्भरमा इन्क्रिप्ट गरेर राख्न जरुरी हुन्छ, ताकि त्यसलाई इन्क्रिप्ट गरेको व्यक्तिले मात्र प्रयोग गर्न सकोस् । इन्क्रिप्ट व्यक्तिगत वा सामूहिक आधारमा पनि गर्न सकिन्छ । जस्तै— सूचना प्रविधिसम्बद्ध कर्मचारीहरूले मात्र चलाउन सकिने गरी ग्रुप की बनाएर इन्क्रिप्ट गर्दा ती फाइल ती कर्मचारीबाहेक अरूले खोल्न वा प्रयोग गर्न सक्दैनन् ।


फिम र सिम : फिम (फाइल इन्टिग्रेटी मोनिटरिङ) ले फाइल सिस्टममा भएका सबै परिवर्तनलाई लग वा रेकर्ड गरेर राख्छ । यसका माध्यमबाट कोर अपरेटिङ सिस्टम फाइल, प्रोग्राम कम्पोनेन्ट, सिस्टम कन्फिग्रेसन आदिलाई सुरक्षित बनाउन सकिन्छ । सम्बन्धित कर्मचारीबाट हुन सक्ने दुरुपयोग रोक्न पनि यसले मद्दत गर्छ ।


त्यसैगरी सिम (सुरक्षा जानकारी र कार्य व्यवस्थापन) का माध्यमले अडिटिङ वा लगर प्रयोगकर्ताहरूको रेकर्डको अनुसन्धान गर्न सकिन्छ । जस्तै— कुनै कर्मचारीले बैंकिङ सिस्टमको सर्भरमा गएर अनधिकृत रूपमा केही परिवर्तन गरेको रहेछ भने सिमले त्यसको लग र भिडियोसमेत खिचेर राख्छ । नेटरिक्स मोनिटरिङ सिस्टम यसमा सहायक हुनसक्छ ।


अनधिकृत प्रवेश (पेनट्रेसन टेस्टिङ) को जाँच : सूचना प्रणालीमा अनधिकृत प्रवेशको जाँच मासिक, त्रैमासिक, अर्धवार्षिक वा वार्षिक रूपमा गर्नुपर्छ । ठूला कम्पनीका लागि त यो झन् आवश्यक छ । यस्तो गर्नु भनेको नियन्त्रित अवस्थामा सिस्टम ह्याक हुने सम्भावना कस्तो छ भनी जाँच गराउनु पनि हो । पेनट्रेसन टेस्टिङबाट जोखिम देखिए ह्याकको सम्भावना धेरै हुन्छ ।


डीडीओएस (डिस्ट्रिब्युटेड डेनियल अफ सर्भिस) : डीडीओएसमा आक्रमण गरेर ह्याकरहरूले मल्टिपल कम्प्रोमाइज्ड सिस्टमको प्रयोगबाट सूचना प्रणालीमा अत्यधिक अनुरोध पठाएर सिस्टमलाई डाउन गर्न सक्छन् । यस्तो आक्रमणबाट बच्न क्राउडफ्लावर प्रिभेन्सन सोलुसन, एफ फाइभ नेटवर्क्स, ब्ल्याक लोटसजस्ता डीडीओएस सुरक्षा प्रविधिको प्रयोग गर्नुपर्छ ।


विशेषाधिकार व्यवस्थापन : आफ्नै कर्मचारीबाट हुनसक्ने (आन्तरिक) र अन्य प्रयोगकर्ताबाट हुनसक्ने (बाह्य) जोखिमबाट बच्न सूचना प्रणालीको प्रयोग सम्बन्धमा विशेष नियम बनाउनुपर्छ । जस्तै— सूचना प्रणालीका कर्मचारीहरूको काम र कर्तव्यका आधारमा प्रणालीमाथि निश्चित प्रवेशको अधिकार दिन सकिन्छ ।


कुन डाटाबेसमा कुन कर्मचारीले कस्तो काम गर्ने हो, सोही बमोजिम प्रवेश दिने, नेटवर्किङ डिभाइसहरूमा कामका आधारमा निश्चित पढ्ने मात्रै, पढ्ने/लेख्ने, परिवर्तन पनि गर्ने अधिकार दिने, उच्च सुरक्षात्मक काम (जस्तै— डाटाबेसमा परिवर्तन, नेटवर्क परिवर्तन, क्रिटिकल सर्भरहरूको प्रयोग आदि) मा समयमा आधारित टोकन प्रणाली लागू गरी ट्र्याक गर्ने गर्नुपर्छ ।


एचआईपीएस (होस्ट बेस इन्ट्रुसन प्रिभेन्सन सिस्टम) : एचआईपीएसले सिस्टमको डाटाबेसको अवस्था, सफ्टवेयरहरूको रेकर्ड र फाइलमा भएका परिवर्तनको विश्लेषण गरी कुनै समस्या आए पत्ता लगाउन सहयोग गर्छ ।


एमडीएम (मोबाइल डिभाइस व्यवस्थापन) र भीपीएन (भर्चुअल प्राइभेट नेटवर्क) : एमडीएमको सहायताले कम्पनीबाट उपलब्ध गराइएका मोबाइल डिभाइस र ल्यापटपहरूलाई सुरक्षित गराउन सकिन्छ । जस्तै— उच्च तहका कर्मचारीले मोबाइलबाट इमेल प्रयोग गरेका छन् भने एमडीएमले त्यसलाई सुरक्षित बनाउँछ ।


मोबाइल चोरी हुनबाट जोगाउन त्यसमा रिमोट वाइप गर्ने जस्ता पोलिसी प्रयोग गर्न सकिन्छ । भीपीएनको प्रयोगबाट सूचना प्रणालीका र अन्य कर्मचारीलाई टाढैबाट नियमन गर्न र नेटवर्कमा प्रवेश दिई काम लगाउन सकिन्छ । यसले गर्दा थर्ड पार्टी भल्नरेबल सफ्टवेयरहरू प्रयोग गरिरहनुपर्दैन ।


वाफ (वेभ एप्लिकेसन फायरवाल) : वाफको प्रयोगले बाह्य रूपमा प्रयोग हुने वा भएका सफ्टवेयरहरू सुरक्षित रहन सक्छन् । जस्तै— बैंकले इबैंकिङ सफ्टवेयर वाफका माध्यमबाट प्रयोग गर्दा विभिन्न पोलिसीहरू बनाएर सुरक्षित बनाउन सकिन्छ । जस्तै— आफ्ना प्रयोगकर्ता नभएको देशमा प्रयोग निषेध गर्ने, उच्च जोखिमयुक्त देशबाट प्रयोगमा निषेध गर्ने, कमजोर सिफरहरूलाई बन्द गर्ने ।


युआरएल फिल्टरिङ : भाइरस, मालवेयर आदि कम्पनीको नेटवर्कमा प्रवेश हुने प्रमुख माध्यम इन्टरनेट हो । कर्मचारीको इन्टरनेट प्रयोगमा युआरएल फिल्टरिङको माध्यमबाट यसको नियन्त्रण गर्न सकिन्छ । जस्तै— अनधिकृत वेबसाइटलाई ब्लक गर्ने, एक्सनेन्सन र वेबसाइटको प्रकारका आधारमा फाइल डाउनलोड बन्द गर्ने आदि ।


कर्मचारीलाई ज्ञान : कम्पनीविशेषका कर्मचारीहरूलाई सूचना प्रणालीमा हुनसक्ने जोखिम र त्यसले पार्ने समस्याबारे बेलैमा जानकारी दिनुपर्छ । जोखिम हुनसक्ने माध्यम र कारणबारे तालिममार्फत पहिल्यै अवगत गराई उच्च सतर्कता अपनाउन लगाउनुपर्छ ।

अन्त्यमा, संसारमा अति अभेद्य मानिएका सुरक्षा प्रणाली पनि ह्याकरहरूको सिकार बनेका थुप्रै उदाहरण छन् ।


तर माथि उल्लिखित प्रविधिको प्रयोग गरेर सूचना प्रणालीलाई धेरै हदसम्म सुरक्षित बनाउन सकिन्छ । यस्तो प्रविधि खर्चिलो हुन्छ, तर कम्पनी वा संस्थाको तथ्याङ्क र सूचनाको महत्त्वका हिसाबले लगानी जति भए पनि कमै हुन्छ । भविष्यमा हुनसक्ने ठूलो आर्थिक क्षतिबाट बच्न सूचना प्रणालीको सुरक्षामा लगानी गर्नु फाइदाजनक नै साबित हुन्छ ।


दस वर्ष बैंकिङ सेक्टरमा सूचना प्रविधि सम्बन्धी काम गरेका लेखक अरब बैंक अस्ट्रेलियामा कार्यरत छन् ।

प्रकाशित : भाद्र २०, २०७६ ०८:४९
प्रतिक्रिया
पठाउनुहोस्
जनताको राय

बैंकमा लगानीयोग्य रकम थुप्रिएर साढे ६ खर्ब नाघेको छ। बैंकहरूले ब्याजदर घटाउँदासमेत कर्जा प्रवाह बढ्न नसक्नुको कारण के हो?