४ फेब्रुअरी २०१६। ह्याकरको एउटा समूहले बाङ्लादेशस्थित नेसनल बैंकको अनलाइन सिस्टममा जोडिएको प्रिन्टर ह्याक गर्‍यो। उनीहरूले प्रिन्टरबाट सेन्ट्रल सिस्टमको आईपी एड्रेस भेटे, र त्यसमार्फत डिजिटल पहुँच बनाएर ‘स्विफ्ट अकाउन्ट’ बाट पैसा ट्रान्सफर गर्न थाले।

घटना बिहीबार रातिको थियो। ह्याकरले करिब एक अर्ब डलर ट्रान्सफरका लागि उति नै बेला ‘रिक्वेस्ट’ पठाए। त्यहाँ ‘जुपिटर’ शब्द जोडियो। जुपिटर भनेको आतंकवादी संस्थाको ‘फन्डिङ’ नाम हो। सबै पैसा ट्रान्सफर भएन, आठ करोड ८० लाख डलर मात्र निकालियो।

मुस्लिम देशमा शुक्रबार र शनिबार बिदा हुन्छ। दुईदिने छुट्टीपछि आइतबार नेसनल बैंकका कर्मचारी नियमित काममा फर्किए। घटना भएको तीन दिनपछि बल्ल थाहा भयो– बैंकको ‘स्विफ्ट अकाउन्ट’ ह्याक भयो! कर्मचारीले तत्काल न्युयोर्कमा सम्पर्क गर्न खोजे, तर त्यहाँ शनिबारको राति नै थियो। बिदाको दिन कार्यालयमा कर्मचारी हुने कुरै भएन।

 त्यत्रो पैसा कहाँ गयो? कसले निकाल्यो? नेसनल बैंकका कर्मचारी तनावमा परे। पछि थाहा भयो– ह्याकरले बैंकको पैसा ट्रान्सफर गरेर श्रीलंका र फिलिपिन्स पुर्‍याइसकेका रहेछन्। फिलिपिन्समा गोपनीयता कानून अत्यन्त कडा छ। कुनै पनि सूचना हचुवाको भरमा पाइँदैन।

 ह्याकरले ‘प्रोक्सी अकाउन्ट’ खोलेर उतिबेलै आरसीबीसी नामक बैंकमा रकम ट्रान्सफर गरेका रहेछन्। उक्त रकम त्यही रात बैंकबाट दुई वटा क्यासिनोमा सारे। जुवा खेल्ने क्वाइनमा साटे। अघिल्लो दिनसम्म बाङ्लादेशको बैंकमा रहेको त्यो रकम रातारात क्यासिनोको क्वाइनमा परिणत भयो।

 क्यासिनोभित्र मुद्राको सट्टा क्वाइन प्रयोग हुन्छ। जुवा खेलेर क्यासिनोबाट बाहिर निस्किँदा क्वाइनको मूल्यअनुसारको रकम फिर्ता दिने चलन छ। मुद्रालाई क्वाइन बनाएर जुवा खेलाउने र फर्किंदा ती क्वाइनलाई मुद्रामा रूपान्तरण गर्ने प्रक्रिया विश्वभरि उस्तै हो। क्यासिनोभित्र हुने यस्तो कारोबारलाई वैधानिक मानिन्छ। ह्याकरले त्यही गरे। पैसा बरामद नहुने ठाउँमा डलर पुर्‍याए।

बैंक ह्याक गर्दा निकालिएको आठ करोड ८० लाख डलरमध्ये बैंकले एक करोड ७० लाख डलर फिर्ता पायो। अरू रकम ह्याकरले कहाँ पुर्‍याए? त्यो फेला परेन।

बाङ्लादेशमा यो घटना भएको सात वर्षपछि नेपालको एनआईसी एशिया बैंकमा यही शैलीमा साइबर हमला भयो। तिहारको समयमा एनआईसी एशियामा ‘फिसिङ’ भयो। तिहार बिदाको दिन एनआईसी बैंकबाट बचतकर्ताको पैसा हरायो।

एनआईसीमा जसले ‘स्विफ्ट अकाउन्ट’ चलाउँछन्, उनीहरूले अफिसियल र पर्सनल दुवै कामका लागि एउटै इमेल प्रयोग गर्ने रहेछन्। त्यसमा ‘फिसिङ अट्याक’ भयो र ह्याकरको हातमा पासवर्ड पर्‍यो। रेकर्डमा कति पैसा गयो, थाहा भएन। केही पैसा गयो भनियो, बाँकी कुरा लुकाइयो। केही पैसा फिर्ता आयो भनियो, तर कति फर्कियो सार्वजनिक भएन। पैसा कहाँ लगियो, त्यो पनि खुलाइएन।

बाङ्लादेश र नेपालमा भएका यी साइबर हमला आर्थिक अपराधसँग जोडिएका विषय हुन्। अमेरिका र युरोपका देश पनि यी हमलाबाट आक्रान्त छन्।

डिजिटल सार्वभौमिकताको प्रश्न

माथिको घटना थाहा पाएपछि बुझ्नुभयो होला– नेपाल मात्र होइन, ह्याकरले विश्वभरि नै वित्तीय संस्थालाई निसाना बनाइरहेका छन्। देशको शासन, सत्ता, समाज र पूरै अर्थतन्त्र ठप्प पार्न साइबर आक्रमण भएका कैयौँ उदाहरण छन्।

सन् २००७ मा स्टोनियामा सबैभन्दा ठूलो साइबर आक्रमण भएको थियो। त्यहाँ साइबर आक्रमण हुँदा तीन सातासम्म देशको अर्थतन्त्र ठप्प भयो। स्टोनियामा ९९ प्रतिशत कारोबार विद्युतीय प्रणालीबाट हुन्छ। स्टोनियाले त्यस घटनालाई विद्युतीय कारोबारमा भएको आक्रमणका रूपमा मात्र लिएन, सार्वभौमिकतामा भएको आक्रमणका रूपमा लियो। समाधान खोज्न उसले उत्तरएट्लान्टिक सन्धि संगठन (नेटो)को समेत सहयोग लियो। तर, कुनै उपाय लागेन। यस घटनामा कोही पनि कारबाहीमा परेनन्।

सन् २०१४ को फेब्रुअरीमा अमेरिकाको फिल्म स्टुडियो सोनी पिक्चर्स इन्टरटेनमेन्टमा साइबर हमला भयो। ह्याकरले रिलिज नभएका फिल्मका प्रतिलिपि, भविष्यका फिल्म योजना, कर्मचारीका इमेललगायत सबै सूचना र तथ्यांकमा कब्जा जमाए। त्यस आक्रमणलाई विद्युतीय सार्वभौमिकतामा भएको आक्रमणका रूपमा मिडियाले चित्रण गरे। यसका विरुद्ध युद्ध हुनुपर्छ भन्ने आवाज सुनियो।

त्यस किसिमको साइबर अपराधले अहिले संसारलाई घेर्दै लगेको छ। साइबर आक्रमणमा नयाँ नयाँ प्रयोग भइरहेको बेला हाम्रो देशले अनुसन्धानमा कुन तहको संयन्त्र तयार पारेको छ? यो सोचनीय विषय हो।

अनुसन्धानका लागि प्राविधिक संरचना र जनशक्तिको आवश्यकता पर्छ। तर, हामीकहाँ अनुसन्धानका लागि विज्ञको अभाव छ। पछिल्लो समय नेपालमा साइबर हमलाका विभिन्न रूप देखा पर्न थालेका छन्। साइबर ठगीका घटना बढ्दै गएका छन्। देशमा वार्षिक २० हजारको हाराहारीमा साइबर अपराधका मुद्दा दर्ता हुन्छन्।

डिजिटल युगमा प्रविधिको तीव्र विकास भइरहँदा साइबर अपराधका नयाँ नयाँ रूप भित्रिएकाले अनुसन्धान गर्न प्रहरीलाई गाह्रो भइरहेको छ। हाम्रो प्रहरीसँग त्यसको बृहत् ज्ञान छैन। अनुसन्धानको मूल्यांकन गर्न त्यो तहमा काम भएको छैन।

साइबर आक्रमण र अपराधका करिब १० प्रतिशत मुद्दा मात्र जानकारीमा आउने गरेका छन्। कानुनले यस्ता घटनाको जानकारी दिन अनिवार्य गरेको छैन। त्यसैले धेरैजसो कम्पनी वा संस्थाले ह्याक भएको जानकारी लुकाउने गरेका छन्। राहदानी विभागको पछिल्लो घटनाले त्यही बताउँछ। विभागको सर्भर ह्याक भएको वा नभएको भन्ने विषयमा ठूलो बहस भयो। तर यति ठूलो विषयमा गोलमटोल जानकारी दिने र वास्तविकता लुकाउने काम भयो। प्रहरीतर्फ प्रश्न सोझिएपछि बल्ल साइबर ब्युरोका प्रवक्ता बोले, “हामीलाई कुनै जानकारी छैन।”

यस घटनाले के बताउँछ भने, साइबर आक्रमणको रिपोर्ट नगर्दा पनि हुने रहेछ। विषय गम्भीर छ। कुनै पनि संस्थाको तथ्यांक उनीहरूको मात्र होइन, नागरिकको पनि सम्पत्ति हो। त्यसलाई सुरक्षित राख्नु राज्यको दायित्वभित्र पर्छ।

ह्याक भएको तथ्य गुपचुप

ह्याकरहरूले पुराना सिस्टमलाई सजिलै ‘ब्रेक’ गर्ने गरेको अनुसन्धानले बताउँछ। अहिलेको डिजिटल युगमा प्रविधिको तीव्र विकास भइरहँदा साइबर अपराधका नयाँ नयाँ रूप भित्रिएकाले अनुसन्धान गर्न प्रहरीलाई गाह्रो भइरहेको छ। हाम्रो प्रहरीसँग त्यसको बृहत् ज्ञान छैन। अनुसन्धानको मूल्यांकन गर्न त्यो तहमा काम भएको छैन।

सरकारी संयन्त्रबाट नभए पनि केही निजी कम्पनीले नेपालमा साइबर सुरक्षामा राम्रो काम गरिरहेका छन्। उनीहरूले नेपाल मात्र होइन, अमेरिका, बेलायत, अस्ट्रेलियाका संस्थालाई पनि साइबर सुरक्षाको सेवा दिइरहेका छन्। कतिपयसँग ‘सेक्युरिटी अपरेसन सेन्टर’ नै छ। चौबीसै घण्टा दक्ष प्राविधिक बसेर सेवा प्रदान गर्छन्। सबै ग्राहकलाई ‘मनिटरिङ’ गरिरहेका हुन्छन्। कसैले ह्याक गर्न वा ‘सिस्टम’ मा अनधिकृत प्रवेश गर्न खोज्यो भने उनीहरूको ‘सिस्टम’ मा लाइभ देखिन्छ, ‘नोटिफिकेसन अलार्म’ बज्छ। यो तहमा काम गर्ने एक दर्जनको हाराहारीमा होलान्। तीमध्ये एक-दुई वटा व्यवस्थित र निकै ठूला कम्पनी पनि छन्।

अपराध अनुसन्धानको आधारभूत सिद्धान्त हुन्छ– भौतिक रूपमा जहाँ रगत देखिन्छ, त्यहाँ मानिस बढी सचेत हुन्छन्। तर विद्युतीय अपराधको हकमा सही सूचना बाहिर आउँदैन, लुकाउन खोजिन्छ। पैसा सुरक्षित राख्ने जिम्मेवारी पाएकाहरूको भूमिका प्रभावकारी बन्न नसक्दा यस्ता घटनालाई लुकाउन खोजिन्छ। साइबर हमलाको पछिल्लो उदाहरण हो, सिटिजन्स बैंकको दरबारमार्गस्थित शाखामा सफ्टवेयर ह्याक गरी एफवान सफ्टको खाताबाट ह्याकरले साढे तीन करोड रुपैयाँ चोरी गरेको विषय। यस घटनामा पनि माथि उल्लेख भएको कुरा दोहोरिन्छ। कुन बिन्दुबाट प्रविधिमा पहुँच बनाएको हो? त्यहाँ के कमजोरी थियो? ह्याकरले कसरी पहुँच बनाए? बैंक खाताबाट निकालिएको पैसा ट्रान्सफर हुँदैहुँदै अन्तिममा कहाँ पुग्यो? यी विषय गहिरोसँग अनुसन्धान भए एफवान सफ्टको पैसा ह्याक भएको विषय थप उजागर हुन सक्छ।

पश्चिमा राष्ट्रले परम्परागत शैलीबाटै साइबर अनुसन्धान गरिरहेका हुन्छन्। त्यसपछि मात्र डिजिटलतर्फ मोडिन्छन्। विद्युतीय अनुसन्धान गर्नेलाई शारीरिक अनुसन्धानको पनि ज्ञान हुन जरुरी छ।

साइबर ब्युरोको तथ्यांक अनुसार गत आर्थिक वर्ष २०८१/८२ मा डिजिटल माध्यममार्फत एक अर्ब ७९ लाख ७४ हजार चार सय ३५ रुपैयाँ हिनामिना भएको छ। डिजिटल माध्यममार्फत हुने आर्थिक हिनामिनाको अनुसन्धान नेपाल प्रहरीको केन्द्रीय अनुसन्धान ब्युरो (सीआईबी)ले गर्दै आएको छ। सीआईबी र साइबर ब्युरोको तथ्यांक एकै ठाउँमा राख्ने हो भने घटनाको संख्या अझ धेरै हुनसक्छ।

डिजिटल अपराधको अनुसन्धानमा अमेरिका र युरोपेली देश अघि छन्। केही हदसम्म एसियाली देशले पनि सीप विकास गरेका छन्। डिजिटल अनुसन्धानको आधारभूत सिद्धान्त पनि परम्परागत अनुसन्धानको आधारबाट सुरु हुने हो।

पश्चिमा राष्ट्रले परम्परागत शैलीबाटै साइबर अनुसन्धान गरिरहेका हुन्छन्। त्यसपछि मात्र डिजिटलतर्फ मोडिन्छन्। विद्युतीय अनुसन्धान गर्नेलाई शारीरिक अनुसन्धानको पनि ज्ञान हुन जरुरी छ। जस्तो कि– प्रहरीले जसरी अपराध भएको ठाउँमा घेरा हाल्ने काम गर्छ, त्यसरी नै सर्भर ह्याक भयो भने सबैभन्दा पहिले ‘पेरिमिटर’ लाई सुरक्षित गर्नुपर्छ। त्यहाँ भएका कुनै पनि वस्तु वा ‘हार्ड ड्राइभ’ लाई कसैले नछोओस् भनेर अनुसन्धानकर्ता चनाखो हुनु जरुरी छ। अपराधको अनुसन्धान गर्ने प्रहरीको परम्परागत दृष्टिकोण त्यहाँ लागू हुन्छ। त्यसपछि डिजिटल फरेन्सिकतर्फ अनुसन्धान बढ्छ। हामीकहाँ ‘साइबर फरेन्सिक’ त छन्, तर उनीहरूलाई ‘फिजिकल फरेन्सिक’ को कम जानकारी छ। यसमा सुधार गरिहाल्नुपर्छ।

प्रहरी र नेपाल विज्ञान तथा प्रविधि प्रज्ञा-प्रतिष्ठान (नास्ट)सँग विधि विज्ञान प्रयोगशाला छ। तर त्यससम्बन्धी तालिम यथोचित रूपमा भएको छैन। डिजिटल सुरक्षाको नाममा सामान्य कुरा मात्र सिकाइन्छ। डिजिटल सुरक्षामा काम गर्न निश्चित मापदण्ड र प्रक्रिया चाहिन्छ। त्यो पाटो हामीकहाँ व्यवस्थित छैन। प्रक्रिया अपनाइएको पनि देखिँदैन। ‘नलेज म्यानेजमेन्ट’ लाई सूचीकृत गर्ने चलन पनि छैन। अनुसन्धानमा यो निकै उपयोगी मानिन्छ। भविष्यमा गर्न सकिने अनुसन्धानका लागि विगतको तथ्य केलाउन आवश्यक पर्ने हुन्छ। यसले विगतको कुरा वर्तमानमा जोड्ने काम गर्छ। अपराधको एउटा शैली उजागर गर्न सक्छ। तर विडम्बना हामीकहाँ ‘नलेज म्यानेजमेन्ट’ लाई बोझ मानिन्छ।

-नेपाल प्रहरीका पूर्वडीआईजी एवम् साइबर सुरक्षाविज्ञ सुब्बाले लामो समय नेपाल प्रहरीको साइबर सेल प्रमुख भएर काम गरेका थिए।