विचार

वित्तीय संस्थामा साइबर सुरक्षा

यो सूचना र प्रविधिको युग हो। यसको तीव्र विकास र बढ्दो प्रयोगले विश्व वित्तीय प्रणाली निकै लाभान्वित भएको छ। तर सँगसँगै साइबर जोेखिमले वित्तीय प्रणाली नै तहसनहस हुनेसम्मका चुनौती पनि सिर्जना हुन थालेका छन्। साइबर अपराधबाट विश्वमा वार्षिक करिब ६०० अर्ब अमेरिकी डलर वित्तीय नोक्सान हुने गरेको छ। हरेक वित्तीय संस्थाले वर्षको औसत ८५ साइबर आक्रमण झेल्ने गरेका छन्, जसमध्ये प्रत्येक तेस्रो आक्रमण सफल भएको पाइन्छ।

साइबर जोखिम, अन्य जोखिमजस्तो बिस्तारै सिर्जना हुने र क्रमिक रूपमा व्यवस्थापन गर्न सकिने तथा त्यसको असर पनि बिस्तारै देखिने खालको जोखिम होइन। यो त त्यस्तो जोखिम हो, जुन प्रायः साइबर आक्रमणकारीको खराब नियतले सिर्जना हुन्छ र साइबर आक्रमण सफल भयो भने परम्परागत रूपमा राम्ररी नियमन, सुपरिवेक्षण भइरहेका वित्तीय संस्था पनि तत्कालै बन्द हुने र  वित्तीय प्रणालीमै अवरोध र असफलता निम्त्याउँछ।

विश्वव्यापी रूपमै वित्तीय प्रणालीको साइबर सुरक्षा बलियो बनाउने विभिन्न प्रयास भइरहेको पाइन्छ र प्रगति पनि भएको देखिन्छ। तर सबै मुलुकमा साइबर सुरक्षाका लागि भएका प्रयास र प्रगति समान छैनन्। अन्तर्राष्ट्रिय रूपमा वित्तीय स्थायित्व मापदण्ड परिसूचक निर्धारण गर्ने विभिन्न प्रतिष्ठित संस्थाले विश्वव्यापी साइबर सुरक्षा मापदण्ड तय गरे पनि सबै मुलुकमा त्यो प्रभावकारी र समान रूपमा लागू हुन सकेका छैनन्। न्यून आय र कमजोर सुपरिवेक्षण क्षमता भएका मुलुकमा वित्तीय क्षेत्रको साइबर जोखिम सुपरिवेक्षण गर्न प्रभावकारी नियमन र सुपरिवेक्षण संरचना विकास गर्ने क्रममा धेरै चुनौती सामना गर्नुपरिरहेको छ।

साइबर सुरक्षामा विश्वमा कसैले पनि विशिष्टता हासिल गर्न सकेका छैनन्। त्यसैले पनि यो वर्तमान युगको सबैभन्दा ठूलो चुनौती हो।

साइबर सुरक्षा जोखिम न्यूनीकरण गर्ने पहिलो र प्रमुख दायित्व वित्तीय संस्था स्वयंको हो। तर वित्तीय संस्था र सम्पूर्ण वित्तीय प्रणालीको साइबर सुरक्षा सुदृढ बनाई वित्तीय स्थायित्व कायम गर्न सुपरिवेक्षक निकायले पनि उल्लेख्य भूमिका खेल्नुपर्ने हुन्छ। साइबर रिस्क ल्यान्डस्केप, साइबर म्यापिङ, सेक्युरिटी टेस्टिङ र साइबर हाइजिन, साइबर इन्स्योरेन्सजस्ता महत्वपूर्ण उपायको अवधारणा विश्वव्यापी रूपमा अगाडि आइरहेको छ।

साइबर रिस्क ल्यान्डस्केप भन्नाले अन्य विभिन्न राष्ट्रिय एजेन्सी र सुपरभाइजरसँग सम्बन्ध स्थापना गरी सूचना संकलन र विश्लेषण गरेर विश्वमा बढ्दै गएका साइबरसम्बन्धी नयाँ–नयाँ चुनौतीबारे बुझ्नु हो। वित्तीय क्षेत्र, जस्तै : भुक्तानी प्रणाली, विदेशी विनिमय, वित्तीय बजार पूर्वाधार र वित्तीय संस्था तथा तिनले प्रयोग गर्ने प्रविधियुक्त प्रणाली सुरक्षाका लागि साइबर म्यापिङ गर्ने कामले सुपरभाइजरलाई समेत साइबर ल्यान्डस्केप बनाउन र सुपरिवेक्षकीय योेजना/कार्यक्रम बनाउन मद्दत गर्छ। वित्तीय संस्थाले सुदृढ र उपयुक्त साइबर सुरक्षा विधि अपनाएका छन् भनेर सुनिश्चित गर्ने नियमनसम्बन्धी कडा प्रावधान पनि यस सन्दर्भमा महत्वपूर्ण ठानिन्छन्। साइबर सुरक्षा नियमनसम्बन्धी प्रावधान, अन्तर्राष्ट्रिय रूपमा स्वीकृत प्राविधिक अभ्यास र मापदण्डका आधारमा वित्तीय क्षेत्रको समेत समन्वयमा तय गर्नुपर्छ।

वित्तीय संस्थाले के–कस्ता साइबर जोखिम मूल्यांकन अभ्यास लागू गरेका छन् ? त्यसको सुपरिवेक्षण, सम्बन्धित निकायले प्रभावकारी रूपमा गर्नुपर्छ। जोखिममा आधारित सुपरिवेक्षण प्रभावकारी रूपमा लागू गर्न सम्बन्धित निकायले वित्तीय संस्थाका सम्पूर्ण सूचना तथा प्रविधि प्रणाली, सुरक्षा विधि, गोपनीयता, विश्वसनीयता, साइबर सुरक्षा व्यवस्थापनको परिपक्वता आदिबारे राम्रोसँग बुझेको हुनुपर्छ। स्थलगत तथा गैरस्थल दुवै विधि र प्रक्रियाबाट साइबर सुरक्षा जोखिमको मूल्यांकन गर्नुपर्छ। त्यस्तै तेस्रो पक्ष सेवा प्रदायक भए तिनमा निहित जोखिम पनि उपयुक्त तरिकाले व्यवस्थापन गर्नुपर्छ। साथै सञ्चालक समिति र व्यवस्थापनको उच्च तहले पनि साइबर सुरक्षासम्बन्धी कामको जिम्मेवारी लिनुपर्छ।

साइबर आक्रमण जोखिम सामना गर्न सम्बन्धित वित्तीय संस्थाले निरन्तर साइबर सुरक्षासम्बन्धी अभ्यास गर्दै उच्च सतर्कता अपनाउनुपर्छ। संस्थामा साइबर सुरक्षा सुदृढ र निरन्तर विकास भइरहेको छ भन्ने सुनिश्चित गर्न सम्भावित साइबर आक्रमण  कल्पना गरी काल्पनिकै सुरक्षा अभ्यास (सिमुलेसन) गर्नुपर्छ। त्यसैगरी सुपरिवेक्षकहरूले पनि कथंकदाचित् वित्तीय प्रणालीमा साइबर आक्रमण भइहाल्यो भने कसरी प्रतिकार गर्ने र व्यावसायिक निरन्तरता कायम गर्ने भन्ने सवालमा प्रभावकारी संकट व्यवस्थापन योजनासहित वित्तीय प्रणालीको उपयुक्त सुपरिवेक्षण गर्नुपर्छ।

साइबर सुरक्षालाई विश्वभरि नै जटिल कार्य मानिन्छ। ज्यादै विकसित भनिएका वित्तीय प्रणाली पनि साइबर आक्रमणबाट सुरक्षित छैनन्। तसर्थ प्रत्येक नियामक, सुपरिवेक्षक निकायले वित्तीय प्रणालीको साइबर सुरक्षा जोखिम सुपरिवेक्षण गर्ने उपयुक्त संरचना चाँडोभन्दा चाँडो स्थापना गर्न जरुरी छ। साइबर सुरक्षामा कसैले पनि विशिष्टता हासिल गर्न सकेका छैनन्। त्यसैले पनि यो वर्तमान युगको सबैभन्दा ठूलो चुनौती हो। वित्तीय संस्थाहरूले कम्तीमा आधारभूत रूपमा सूचना संकलन तथा आदानप्रदान प्रणाली विकास तथा प्राथमिक साइबर सुरक्षा अभ्यास गरेर आधारभूत साइबर स्वास्थ्य कायम गर्नु नै साइबर जोखिम न्यूनीकरणको कोसेढुंगा मान्न सकिन्छ।

सुदृढ साइबर सुरक्षा व्यवस्था भन्नाले सम्भावित साइबर जोखिम पहिचान गर्ने, वित्तीय क्षेत्र र साइबर जोखिमको नक्सा बनाउने (साइबर म्यापिङ), साइबर जोखिमको विवेकशील मूल्यांकन गर्ने, वित्तीय क्षेत्रमा साइबर नियमन, सुपरिवेक्षकीय सूचना, सञ्चार र प्रतिवेदन प्रणाली विकास गरेर घटनाको तुरुन्तै ‘रेस्पोन्स’ गर्ने र सुधारका उपाय पत्ता लगाउने तथा सुपरिवेक्षक संस्थाको संकटकालीन तयारीसहितको समग्र व्यवस्थालाई बुझाउँछ।

विश्वले बढ्दो सूचना–प्रविधिमा आधारित वित्तीय प्रणाली सुरक्षित बनाई वित्तीय स्थायित्व प्रवद्र्धन गर्न साइबर सुरक्षा जोखिम न्यूनीकरण क्षेत्रमा अझ धेरै काम गर्न बाँकी छ। नेपालजस्ता विकासशील मुलुकले त झन् यस विषयमा अझ बढी चनाखो हुन र सुरक्षाका प्रयास गर्न अपरिहार्य छ।

सामान्यतः सबै वित्तीय संस्थाका संरचना, कार्य प्रकृति, प्रक्रिया र विधि एकैनासका हुन्छन्। तसर्थ साइबर आक्रमणकारीले एउटा वित्तीय संस्थाका लागि बनाएको आक्रमण योजनाले सबै वित्तीय संस्थामा काम गर्ने सम्भावना बढी हुन्छ।

मुख्य रूपमा सूचनाको व्यक्तिगत गोपनीयता, वित्तीय पूर्वाधारको अवस्था आदि विषयमा समन्वय आवश्यक छ। अहिले विश्वव्यापी रूपमा ‘क्रसबोर्डर’ सूचना समन्वयकमा पनि जोड दिइएको छ। जुन सीमित मात्र विकास भएको छ। यस सन्दर्भमा अन्तर्राष्ट्रिय मुद्रा कोषले सञ्चालन गरेको साइबर सर्भे २०१९ ले विभिन्न कुरा पत्ता लगाएको छ, जुन यस्ता छन् :
सुशासन पक्षलाई विचार गर्दा धेरै वित्तीय संस्थामा साइबर सुरक्षा संरचना अभाव छ। वित्तीय संस्थाहरूले केही हदसम्म साइबर सुरक्षा ढाँचा त अवलम्बन गरेका छन्, तर त्यसका लागि निर्वाह गर्नुपर्ने भूमिका, उत्तरदायित्व तथा अधिकार बाँडफाँट वैज्ञानिक र सुव्यवस्थित किसिमले हुन सकेका छैनन्। सुरक्षा पक्षलाई दृष्टिगत गर्दा अधिकतर वित्तीय संस्थामा साइबर सुरक्षामा कुशलता र प्रभावकारिता अभिवृद्धि गर्न उच्च साइबर जोखिम क्षेत्रमा कार्यरत कर्मचारीलाई निरन्तर र उपयुक्त  प्रशिक्षणको सर्वथा अभाव देखिन्छ।

धेरैजसो वित्तीय संस्थामा सूचना प्रविधि सेवा तेस्रो पक्षबाट प्रदान गरिएको हुन्छ, तर त्यसउपर कुनै बाह्य लेखापरीक्षण गर्ने व्यवस्था छैन। साइबर जोखिम पत्ता लगाउने संयन्त्रका सम्बन्धमा ५० प्रतिशत वित्तीय संस्थाले ‘नर्मल ट्राफिक अपरेसन्स’ पुनरवलोकनै गर्दैनन् भने ५० प्रतिशतले नेटवर्कमा सिर्जित बाधा  र अमिल्दा कुराको अत्यन्त कम मात्रै विश्लेषण गर्छन्। कतिपयले त्यत्ति पनि गर्दैनन्। साइबर सुरक्षा जोखिम न्यूनीकरणका लागि गरिएका प्रयास र प्रतिक्रियाका सम्बन्धमा सर्भेले के पत्ता लगायो भने धेरै वित्तीय संस्थासँग सम्भावित साइबर आक्रमण सामना गर्ने उपयुक्त योजनै छैनन्। 

अतः सर्भेले देखाएका उपर्युक्त नतिजाका आधारमा पनि के भन्न सकिन्छ भने विश्वले बढ्दो सूचना–प्रविधिमा आधारित वित्तीय प्रणाली सुरक्षित बनाई वित्तीय स्थायित्व प्रवद्र्धन गर्न साइबर सुरक्षा जोखिम न्यूनीकरण क्षेत्रमा अझ धेरै काम गर्न बाँकी छ। नेपालजस्ता विकासशील मुलुकले त झन् यस विषयमा अझ बढी चनाखो हुन र सुरक्षाका प्रयास गर्न अपरिहार्य छ।
कार्यकारी निर्देशक, नेपाल राष्ट्र बैंक

प्रकाशित: ८ माघ २०७६ ०४:१४ बुधबार

वित्तीय_संस्था साइबर_सुरक्षा