नेपालका बैंकिङ सिष्टम कुनै पनि बेला ह्याक हुन सक्छन्, अधिकांश सिष्टम असुरक्षित छन् - मुकुन्द पोखरेल, प्रविधिविज्ञ

नेपालका बैंकहरुका सिष्टमहरु ह्याक भइरहेका छन् नि ? नेपालका बैंकहरुका सिष्टम असुरक्षित नै हुन् त ?
हामी हाम्रो भाषामा म्यचुरिटी लेभल भन्छौं । १ भनेको कति पनि सुरक्षित नभएको, ५ भनेको पर्फेक्ट । मैले एक दर्जनजति बैंकहरुको सिष्टम अडिट गरेको छु । कुनै बैंकको पनि सिष्टम सुरक्षित छैनन् । एक सिष्टम नै सुरक्षित छैनन्, अर्को सिष्टम सुरक्षित छैन भन्ने चिन्ता नै सरोकारवालाहरु कसैलाई छैन । समग्रमा हेर्दा नेपालका बैंकका सिष्टम ‘हाई रिस्क’मा छन् । कुनै पनि बेला कुनै पनि खालको ह्याक हुन सक्छ ।     

समस्या कानुन मै छ । नेपालको कानुन नै बलियो नभएकाले हेलचक्य्राइँ पनि भएको छ । गल्ती नै भएपनि के नै हुन्छ र भन्ने मानसिकताबाट हाम्रो आइटी क्षेत्र ग्रसित छ ।

आइटीमा त ठूलो खर्च गरेका छन् नि बैंकहरुले ? र पनि सिष्टम कसरी सुरक्षित भएनन् ?
सिष्टम, सफ्टवयेर वा हार्डवेयरमा खर्च गरिएको छ । तर ती सिष्टम राम्रो भएर मात्र हुँदैन । चलाउने मान्छे कस्तो छ भन्ने कुरा महत्वपूर्ण छ । उदाहरणका लागि, गाडी राम्रो मात्र भएर पुग्दैन नि । बाटो र ड्राइभर पनि त राम्रो चाहियो नि । सफ्टवेयर र हार्डवेयर राम्रो भएर मात्रै पुग्ने भए ठूला ठूला कम्पनीहरुका सफ्टवेयर कसरी ह्याक हुन्थे र ? नेपालमा सिष्टम राम्रो नभएको होइन । फिनाकलजस्ता राम्रा सफ्टवेर प्रयोग भएका छन् नेपाली बैंकहरुमा । तर त्यसलाई राम्रोसँग चलाउने ट्रेन्ड मेनपावर नै नेपालमा छैन । त्यो सिष्टमलाई कसले कसरी प्रयोग गरेको छ भन्ने कुरा महत्वपूर्ण छ ।

चलाउन जान्ने मान्छे नै भएनन् भन्ने हो ?
कुरा त्यतिमात्र होइन, सिष्टम चलेको छ भन्दैमा सबै कुरा ठीक छ भन्ने हुँदैन । प्राविधिक रुपमा सफ्टवेयर कसरी प्रयोग भएको छ भन्ने कुरा महत्वपूर्ण हुन्छ । ती सिष्टमलाई सही तरिकाले प्रयोग गरिएको छ कि छैन भन्ने कुरा आउँछ । अहिले नेपालमा त्यस्तो मेनपावर नै नभएको पनि हो । भएका मेनपावरलाई पनि तालिमको कमी छ । आवश्यक जानकारीको कमी छ । अपडेटड सूचनाको कमी छ, जसका कारण नेपालका सिष्टमहरु असुरक्षित छन् । यसको अर्को कारण पनि छ ।

समस्या कानुन मै छ । नेपालको कानुन नै बलियो नभएकाले हेलचक्य्राइँ पनि भएको छ । गल्ती नै भएपनि के नै हुन्छ र भन्ने मानसिकताबाट हाम्रो आइटी क्षेत्र ग्रसित छ । उदाहरणका लागि एउटा कर्जाको फाइलमा सही गरेको भनेर बैंक अफ काठमान्डूका सीइओ हिरासतमा बस्नुपर्ने रे, अनि त्यत्रो नेप्स ह्याक हुँदा त्यहाँका प्राविधिकहरुमाथि किन अनुसन्धान गरिएन त ? समस्या कानुनमै छ । कानुनबलियो नभई केही हुनेवाला छैन ।

समस्या कानुनबाहेक के–के मा छन् ?
नेपालको कल्चरमै पनि समस्या छ । बैंकहरु कर्पोरेट कल्चरमा भन्दा व्यापारिक कल्चरमा चले । व्यापारीहरुलाई खर्च कम गरेर कसरी नाफा कमाउने भन्ने धुनमात्र छ । नेपालको बैंकहरुमा आइटी हेडहरु त काम चलाउमात्र छन् । न कारबाही हुन्छ, न क्वालिफाइड मेनपावर छ । थुप्रै बैंकहरुका डाटाहरु चोरिएका छन्, तर कसैलाई पनि कारबाही भएको छैन । ठूला ठूला आइटी फ्रडमा पनि आइटी अफिसरहरुलाई कारबाही भएको छैन ।

केही समय अगाडि एक बैंकको स्वीफ्ट ह्याक भयो । आइटी हेडलाई के कारबाही भयो त? नेप्समा यति ठूलो घटना घट्यो । खोइ? को जिम्मेवार भयो त ? कसलाई पक्राउ गरियो त ? के सजाय दिइयो त ? यहाँ त मैले त यति गरेकै हो, तलकाले बिगारे भन्ने चलन चल्यो । जिम्मेवारी अरुलाई दिने, दोष अरुलाई दिनेमात्र काम भयो । परे पनि तलका मान्छेहरु पर्छन् भन्ने प¥यो धेरैलाई, जसकारण उपल्लो तहका कर्मचारी सधैं व्यापारीले मात्र चलाए । जहाँ नाफाको कुरा मात्र चल्यो । मुख्य कुरा कानुन कमजोर भएपछि यस्तो समस्या आयो ।

आइटी हेडहरुमा पनि चाहिने जति क्वालिटी भएन हो ?
कसरी होस् त ? आइटी क्षेत्रमा निकै राम्रो काम गर्नेहरु नेपाल नै बस्न चाहँदैनन् । उनीहरुलाई नेपालमा भन्दा बाहिर धेरै राम्रो छ । नेपालमा पेमेन्ट पनि राम्रो छैन । यहाँ त नेपाल छोड्न नमिल्ने, परिवारमा समस्या भएकाहरु र विदेशमा अवसर नपाइरहेकाहरुमात्र बसेका छन् । उनीहरुलाई तालिम छैन । चाहिने अपडेटेड सूचना छैन । कसरी हो आफू बच्नुपर्छ भन्नेमात्र चिन्ता छ सबैलाई । फेरि सबै जना त्यस्तै छन् भन्ने पनि होइन । केही राम्रा मान्छेहरु पनि छन् । तर अधिकांशमा समस्या छ । ट्रेनिङ नै छैन ।

तर कर्मचारीलाई ट्रेनिङ भनेर ठूलो रकम खर्च भएको छ त ?
खर्च गरिएको छ । तर त्यो खर्च ठीक ठाउँमा गरिएको छैन । कतै गएर एउटा ट्रेनिङजस्तो ग¥यो अनि खायो पियो । त्यसैमा ठूलो रकम खर्च भएको छ । आजसम्म कुन बैंकको कुन आइटी अफिसरलाई कुन विदेशी ठूलो तालिममा पठाइयो त ? कुन विदेशी आइटी सेक्युरिटी कम्पनीमा नेपालका बैंकका आइटी हेडलाई पठाइयो त ?  सिष्टम कमजोर छ । कन्जुमरलाई वास्ता नै छैन ।

नियामकले तालिम देऊ भनेको कुरालाई गलत रुपमा प्रयोग गरिएको छ । काम गर्ने कर्मचारीहरुलाई जति तालिम दिनुपर्ने थियो, तालिम नै दिन सकिएन, दिइएन । त्यही भएर जोखिमहरु बढ्दै गर्दा हामीसँग त्यो जोखिमसँग सामना गर्न सक्ने मेनपावर नै भएन ।

दुईठूला ह्याकिङ घटना बाहिर आए, यसलाई कसरी हेर्नुभएको छ ?
यी त बाहिर आएका केस हुन् । यी थाहा पाएका केस हुन् । थाहा नपाएका केस त कति छन् कति । प्रहरीले थाहा नपाएर डाटाहरु चोरी भएका वा सिष्टम ह्याक भएका केसहरु कति छन् कति । यो केसमा नेपालका सिष्टम जोगिए । तर सधैं यसरी जोगिन सक्ने सम्भावना हुँदैन । आइटीमा काम गर्ने कर्मचारीहरुलाई ट्रेन्ड बनाउनुको विकल्प छैन ।

प्रस्तुतकर्ता - सुरज प्याकुरेल, अर्थ सरोकार