चिनियाँ ह्याकरहरुले नेपाली बैंकबाट रकम चोरेको विषयमा छानविन गर्न गठित समितिले प्रतिवेदन बुझाएको छ। यस प्रकरणमा छानविन गर्न राष्ट्र बैंकले गठन गरेको समितिले गभर्नर डा चिरन्जीवी नेपाललाई भदौ १८ गते बुधबार प्रतिवेदन बुझाएको हो।
समितिले राष्ट्र बैंक समक्ष पेश गरेको प्रतिबेदनमा अहिले एटिएम बाट झिक्न मिल्ने रकमको सिमा घटाउने, सुरक्षाको लागि विमाको व्यवस्था गर्ने, हाल बैंक वित्तीय संस्थाले प्रयोग गर्दै आएको 'पाइलटरी सफ्टवेयर' परिवर्तन गरि आधिकारी सफ्टवेयर राख्ने, म्याग्नेटिकको साट्टो अब चिप मा आधारित कार्ड जारि गर्ने लगायतका १७ सुझाबहरु उल्लेख गरिएका छन।
प्रतिवेदनमा भिजा इन्टरनेशनलसँग आबद्ध नेप्सका सदस्य बैंकहरुको नक्कली कार्ड प्रयोग गरी २०७६÷०५÷१४ गते शनिबार विहान ११ः०० बजे देखि साँझ ४ः३५ सम्ममा नेपालबाट ७ वटा बैंकका विभिन्न कार्डहरु प्रयोग गरी १७ वटा बैंकका विभिन्न स्थानका ६८ वटा एटिएम बाट रु. १,८९,४४,५००।–, भारतभित्रबाट ६ वटा नेपालका वाणिज्य बैंकहरुको विभिन्न कार्डहरु प्रयोग गरी भारतका विभिन्न स्थानका २४ बैंकका १३२ एटिएम बाट भा.रु. १,०५,८७,२००।– गरी कुल नेपाली रुपैयाँ ३,५८,८४,०२०।– बराबरको रकम झिकिएको पाइएको उल्लेख छ ।
समितिले उल्लेखित घटना तथा नेपालमा कार्डको प्रयोग गरी हुने भुक्तानी प्रणालीमा देखिएको कमी कमजोरीहरुलाई मध्यनजर गरी सम्भावित जोखिम न्यूनीकरणका लागि दिर्घकालिन र अल्पकालीन गरी कुल १७ सुझाव दिएको छ । पेश गरिएका सुझाबहरुको कार्यन्वयनका लागि राष्ट्र बैंकले तुरुन्तै सर्कुलर जारि गर्ने तयारीमा रहेको समितिका एक सदस्यले बिजपाटीलाई जानकारी दिएका छन।
राष्ट्र बैंकले बैंकका भुक्तानी प्रणाली विभागका प्रमुख एवम् राष्ट्र बैंकका कार्यकारी निर्देशक बमबहादुर मिश्रको संयोजकत्वमा छानबिन समिति बनाएको थियो । समितिमा नेपाल इलेक्ट्रोनिक पेमेन्ट सिस्टम (नेप्स) का सीईओ, बैंकर्स संघका सूचना तथा प्रविधि सम्बन्धि विज्ञ र राष्ट्र बैंककै प्रविधि हेर्ने निर्देशक समितिको प्रतिनिधि समितिको सदस्य थिए ।
हेर्नुस सुझाव :
घटनाको फोरेन्सिक विज्ञद्वारा सुक्ष्म
अध्ययन तथा विश्लेषण गरी प्राप्त सुझावहरु कार्यान्वयन गर्नु पर्ने ।
-इजाजतपत्रप्राप्त
बैंक तथा वित्तीय संस्थाहरु, ओइएसपी
र पीएसओलाई आ–आफ्नो
सूचना प्रविधि तथा इलेक्ट्रोनिक माध्यमबाट हुने भुक्तानी प्रणालीको जोखिम
मूल्यांकन गरी जोखिम न्यूनीकरणका आवश्यक उपायहरु अवलम्बन गर्न निर्देशन दिनु पर्ने
।
-कार्ड
प्रणाली लगायत भिसा, मास्टर
कार्डको हिसाब मिलान कारोबार भएको अर्को दिन टि प्लस १ भित्र गर्ने व्यवस्था मिलाउनु
पर्ने ।
-नेपालका
बैंक तथा वित्तीय संस्थाहरुबाट जारी भएका नेपाली मुद्राका डेबिट तथा क्रेडिट
कार्डहरु अब उप्रान्त अनिवार्य रुपमा चिप र पिनको माध्यमबाट मात्र कारोबार हुने व्यवस्था
मिलाउने । नेपाल बाहिर यस्तो कार्ड प्रयोग हुँदा नेपालका वितरकले फलव्यक कारोबार
स्वीकार नगर्ने व्यवस्था मिलाउनु पर्ने ।
-नेपाली
बैंक तथा वित्तीय संस्थाहरुले जारी गरेका डलर कार्डको हकमा
म्याग्नेटिक स्ट्रिपको फलब्याक कारोबार नहुने ब्यबस्था गर्ने ।
-बैंक तथा वित्तीय संस्थाहरुले जारी
गरेका चिप नभएका कार्डहरुलाई ३ महिना भित्र चिप कार्डले विस्थापन गर्नु पर्ने ।
–नेपालमा सञ्चालनमा
रहेका सम्पूर्ण पीओएस र एटिएमलाई ३ महिनाभित्र चिप र पीएनलाई स्वीकार गर्न सक्ने
गरी सक्षम बनाउन आवश्यक व्यवस्था मिलाउनु पर्ने ।
-बैंक तथा वित्तीय संस्था र पीएसओ तथा
पीएसपी ले २४ सौ घण्टा सेक्युरिटी अपरेशन सेन्टर सञ्चालन
गरी सूचना प्रविधिको क्षेत्रमा उत्पन्न हुन सक्ने जोखिमहरुलाई नियमित रुपले अनुगमन
गर्ने व्यवस्था मिलाउनु पर्ने ।
– कार्डसँग सम्बन्धित सूचना
प्रणालीको वार्षिक रुपमा अडिट गर्ने व्यवस्था मिलाउनु पर्ने ।
– कार्डसँग सम्बन्धित प्रणालीको Vulnerability Assessment and Penetration Testing (VAPT) अर्धबार्षिक रुपमा गर्ने व्यवस्था मिलाउनु पर्ने
।
–कार्डसँग सम्बन्धित प्रणालीको जोखिम मूल्यांकन त्रैमासिक रुपमा गरी सम्बन्धित बैंकको जोखिम व्यवस्थापन समितिमा छलफल गर्ने व्यवस्था मिलाउनु पर्ने ।
– एटिएम कक्षमा जडित सिसिटिभीको नियमित रुपमा केन्द्रीकृत रुपले अनुगमन गर्ने व्यवस्था मिलाउनु पर्ने । साथै, यस्तो अनुगमन शनिबार लगायत अन्य विदाको दिनमा समेत नियमित रुपले गर्ने व्यवस्था मिलाउनु पर्ने ।
– इजाजतपत्रप्राप्त वित्तीय सेवा
प्रदायक संस्थाहरुले साईबर सेक्युरिटीको जोखिमबाट हुन सक्ने सम्भावित नोक्सानी
न्यूनीकरण गर्न साइबर सेक्युरिटी बीमा गर्नु पर्ने व्यवस्था मिलाउनु पर्ने ।
– कार्डबाट हुने कारोबारको सीमा
नियन्त्रणका लागि भिसा, मास्टरकार्ड
लगायत अन्य भुक्तानी प्रणाली सञ्चालक पिएसओ हरुबाट सबै बैंक तथा वित्तीय
संस्थाहरुले कारोबारको सीमा निर्धारण गर्ने सेवा लिनुपर्ने व्यवस्था मिलाउनु पर्ने
।
–बैंक तथा वित्तीय संस्था र पीएसओ
र पीएसपीले Privilege Access Management (PAM) प्रयोग गरी सूचना प्रविधि प्रणालीको महत्वपूर्ण
पूर्वाधार सुरक्षित राख्ने व्यवस्था मिलाउनु पर्ने ।
– Payment Card Industry and Data Security Standards (PCI-DSS) पालना गर्ने र एटिएम स्विच सञ्चालन गर्ने बैंकहरुले बार्षिक रुपले PCI-DSS Audit गर्ने व्यवस्था मिलाउनु पर्ने ।