“भुक्तानी उद्योगमा प्रयोगकर्ताको डेटा सुरक्षा गर्नु अहिलेको ठूलो चुनौती हो”

नेपालमा डिजिटल भुक्तानीको प्रयोग दिन प्रतिदिन बढिरहेको छ । नियामक नेपाल राष्ट्र बैंकको तथ्याङ्कअनुसार पछिल्लो एक वर्षको अवधिमा मात्रै यस्तो भुक्तानी झण्डै तीन गुणाले वृद्धि भएको छ । डिजिटल भुक्तानीको बढ्दो दायराले यस क्षेत्रमा हुने अपराध र जाेखिमलाई पनि बढावा दिइरहेको छ ।प्रयोगकर्ताको डेटाको प्रयोग बढिरहेको अवस्थामा यसको सुरक्षाका लागि भने नेपालमा उल्लेखनीय काम हुनसकेकाे छैन । केही प्रयासहरू भएको देखिए पनि डेटा सुरक्षाको विषयमा नेपाल गम्भीर रूपले उभिन सकेको छैन ।

यही कुरालाई उठाएर नेपालको डेटा सुरक्षाको विद्यमान अवस्था, चुनौती र आगामी दिनमा गर्नुपर्ने काम लगायतका यावत् विषयमा टेकपानाले पेमेन्ट कार्ड इन्डस्ट्री सेक्युरिटी स्ट्यान्डर्ड काउन्सिल (पीसीआई एसएससी) का क्षेत्रीय निर्देशक नितिन भट्नागरसँग गरेको कुराकानीको सम्पादित अंश यहाँ प्रस्तुत गरेका छाैंः

पीसीआई एसएससी कस्तो प्रकारको संस्था हो ? 

पीसीआई एसएससी (PCI SSC) कार्डबाट हुने भुक्तानीमा प्रयोग हुने डेटाको सुरक्षाका लागि काम गर्ने संस्था हो । डेटा सुरक्षाको बलियो आधारले तपाईँको व्यवसायलाई नै धरासायी बनाउन सक्ने गरी हुने ग्राहकको भुक्तानी डेटा चोरीलाई रोक्न सक्छ । पीसीआई डेटा सेक्युरिटी स्ट्यान्डर्ड (पीसीआई डीएसएस) सबै प्रकारको भुक्तानी कार्डमा लागू हुन्छ । यसले कुनै पनि भुक्तानी कार्ड प्रयोगकर्ताको डेटा स्टोर, प्रोसेस र ट्रान्समिटका लागि काम गर्छ । यसले यस्ता डेटा सुरक्षित राख्न र सञ्चालन गर्न आवश्यक मापदण्ड तयार गर्छ, जुन सबै कार्डमा लागू हुन्छ ।

तपाईँले प्रयोग गरेकाे हरेक कार्डमा पीसीआई डीएसएस लागू भएको हुन्छ । सुरक्षा भनेको निरन्तर प्रक्रिया हो । यसैले सरोकारवाला संस्थाहरू पीसीआई डीएसएस भी४.० (PCI DSS v4.0) लागू गरेर सम्भावित डेटा चोरीको जोखिमबाट जोगिन सक्छन् । 

 नेपालको भुक्तानी तथा फिनटेक क्षेत्रको सुधारका लागि पीसीआई एसएससीको कस्तो भूमिका रहन्छ ?

पीसीआई एसएससी एक विश्वव्यापी फोरम हो, जसले भुक्तानी उद्योगका सरोकारवालाहरूलाई एकै ठाउँमा ल्याएर अकाउन्ट डेटा सुरक्षाका लागि मापदण्डहरूको विकास, भण्डारण, प्रसारण र कार्यान्वयन गर्ने काम गर्छ ।

नेपालका लागि हाम्रो मुख्य उद्देश्य भनेको पेमेन्ट कार्ड सुरक्षाको लागि पीसीआईका सुरक्षा मापदण्डहरू अपनाउन चेतना जगाउनु र प्रोत्साहन गर्नु हो । हामीले पीसीआई मापदण्डलाई प्रवर्द्धन गर्न मात्र नभई लगातार विकास भइरहेको भुक्तानी उद्योगमा आवश्यक सुरक्षामा ध्यान केन्द्रित गर्न नेपाली भुक्तानी इकोसिस्टममा बैंकहरू, नियामकहरू, कानून प्रवर्तक र अन्य मुख्य सरोकारवालाहरूसँग मिलेर काम गरिरहेका छौं ।

नेपालको भुक्तानी उद्योगको विद्यमान अवस्थालाई कसरी हेर्नु भएको छ  ? 

साइबर सुरक्षा विश्वभरका देशले सामना गर्ने राष्ट्रिय सुरक्षा चुनौतीमध्ये एक हो । साइबर आक्रमण र भुक्तानी पूर्वाधारमा डेटा चोरी एक विश्वव्यापी समस्या बनेको छ । नेपाल पनि यी चुनौतीहरूबाट अछुतो छैन । साइबर सुरक्षाको संवेदनशीलताको क्षेत्रमा नेपाल धेरै पछाडि छ । केही विकसित देशहरूले आईटी क्षेत्रको सुरक्षाको लागि २५ देखि ३० प्रतिशत छुट्ट्याएका छन् ।

नेपालमा भने आईटी क्षेत्रको सुरक्षाका लागि ५ देखि १० प्रतिशत मात्र बजेट छुटाएको छ । यो आफैंमा एउटा चुनौती हो । पर्याप्त बजेट नहुँदा नवीन कार्य तथा छिटो निर्णय गर्न सक्ने क्षमतालाई पछि पार्छ । त्यस्तै अर्को चुनौती भनेको नेपालमा साइबर सुरक्षामा दक्ष जनशक्तिको कमी छ । समग्रमा भन्नुपर्दा सबैभन्दा महत्त्वपूर्ण कुरा भनेको आईटी क्षेत्रप्रतिको सोचाइ परिवर्तन हुन जरुरी छ ।

सम्बन्धित संस्थाहरूले साइबर सुरक्षाको विषयमा बुझ्न र यसलाई गम्भीर रूपमा लिन जरुरी छ । यदि संस्थाहरूले साइबर सुरक्षालाई गम्भीर विषयको रुपमा लिएनन् भने साइबर अपराधीहरूले यसलाई मौकाको रुपमा लिनसक्छन् । किनभने उनीहरूको उद्देश्य नै संस्थाको डेटा चोरी गर्ने, यसबाट आम्दानी गर्ने भन्ने हुन्छ । 

तपाईँको विचारमा नेपालको भुक्तानी उद्योगमा डेटा सुरक्षाको अवस्था कस्तो छ ? 

नेपालको भुक्तानी क्षेत्रले ठूलो फड्को मारिसकेको छ । नेपालले भुक्तानी क्षेत्रमा सुरक्षाका मापदण्डहरू लागू गर्न पनि सुरु गरिसकेको हामी देख्नसक्छौं । यसलाई थप बढाउनका लागि आन्तरिक र विश्वव्यापी उद्योगबीच हुने सहकार्यले साइबर अपराधको जोखिम विरुद्ध प्रभावकारी रुपमा लड्न मद्दत गर्छ भन्ने कुरा बुझ्न जरुरी छ ।

यसको लागि नेपालका संस्थाहरू पीसीआई एसएससीको एसोसिएट सदस्य बन्न सक्छन् । साथै विश्वव्यापी सहकार्य, भुक्तानीका पूर्वाधारमा सुधार लगायतका विषयहरूमा ध्यान दिएर नेपालको भुक्तानी क्षेत्रको विकासलाई सुरक्षित बनाउन र साइबर अपराधबाट जोगिन मद्दत पुग्छ ।    

नेपालको भुक्तानी क्षेत्र र फिनटेक बजारमा डेटा सुरक्षाको अवस्थालाई सुधार गर्न कस्तो प्रकारको सुझाव दिनुहुन्छ ?  

नेपाली बजार नगदरहित हुँदैछ र यो नेपालको लागि राम्रो हो । बलियो भुक्तान सुरक्षाको लागि विश्वव्यापी सहकार्य आवश्यक हुन्छ । साथै विभिन्न सरोकारवाला संस्थाहरूले डेटा सुरक्षालाई उनीहरूको दैनिक व्यापार गतिविधिको लागि महत्त्वपूर्ण तत्वको रूपमा प्राथमिकता दिन सुरु गर्नुपर्छ। संस्थाहरूले साइबर सुरक्षामा लगानी गर्नु पनि उत्तिकै महत्त्वपूर्ण हुन्छ ।

आफ्ना कर्मचारीहरूलाई साइबर सुरक्षाको विषयमा प्रशिक्षण दिने तथा साइबर सुरक्षाको कामलाई सुधार गर्नाले संस्थालाई सहि दिशातर्फ डोर्‍याउन मद्दत पुग्छ । यसको लागि पीसीआई एसएससीको एसोसिएट सदस्य संस्था बन्न सकिन्छ । हामी एसोसिएट सदस्य संस्थाहरूलाई नि:शुल्क तालिम दिनुका साथै साइबर सुरक्षामा गर्न सकिने प्रभावकारी लगानीका विषयमा पनि प्रशिक्षण गर्ने गर्छौं । 

भुक्तानी क्षेत्रका मुख्य चुनौतीहरू के-के हुन् ? यसका लागि के गर्न सकिन्छ ?  

अनलाइन डिजिटल स्किमिङ, सोसल इन्जिनियरिङ, र र्‍यान्समवेयर तीन प्रकारका साइबर आक्रमणहरू हुन्, जुन भुक्तानी क्षेत्रका मुख्य चुनौतीहरूको रुपमा विद्यमान छ । अनलाइन डिजिटल स्किमिङ, ईमेल ठेगाना, पासवर्ड र क्रेडिट कार्ड नम्बरहरू जस्ता अनलाइन भुक्तानी फारमहरूबाट व्यक्तिगत डेटा चोरी गर्न प्रयोग गरिन्छ । यी आक्रमणहरू रोक्न कम्पनीहरूले उपयुक्त डेटा सुरक्षा मापदण्डहरू अपनाउनुपर्छ र कर्मचारीहरूलाई  यस्ता विषयमा जानकारी दिनुपर्छ ।

संस्थाले कर्मचारी प्रशिक्षणमा पनि लगानी गर्नुपर्छ, जुन कम्पनीको संस्कारको रुपमा नै विकास हुनुपर्छ । कम्पनीका सबै सफ्टवेयर, हार्डवेयर, र अन्य डिभाइसहरू अपडेट गर्नाले पनि साइबर आक्रमणको शिकार हुने जोखिमलाई कम गर्न सकिन्छ ।

त्यस्तै सोसल अथवा सामाजिक इन्जिनियरिङ भनेको त्यस्तो प्रक्रिया हो, जसअन्तर्गत साइबर अपराधीले कुनै प्रणाली वा डेटामा पहुँच प्राप्त गर्नको लागि मानिसको विश्वास जितेर आक्रमण गरिन्छ । साेसल इन्जिनियरिङ अट्याकमा अपराधीले प्रयोगकर्तालाई दिग्भ्रमित पारेर आफ्नो व्यक्तिगत जानकारी शेयर गर्न बाध्य बनाउँछन । यो प्राय: ईमेल मार्फत भएको देख्न सकिन्छ । यसको पाँच ओटा प्रकार छन्: बेटिङ, स्केयरवेयर, प्रिटेक्स्टिङ, फिशिङ र स्पेयर फिशिङ ।

यी आक्रमणहरूको शिकार हुने जोखिमलाई कम गर्न, व्यक्तिहरूले अज्ञात वा शङ्कास्पद स्रोतहरूबाट आएका ईमेल र अट्याचमेन्टलाई बेवास्ता गर्नुपर्छ । अथवा त्यस्ता लिंकहरू खोल्नु हुँदैन । साथै मल्टिफ्याक्टर अथेन्टिकेसन (एमएफए) पनि प्रयोग गर्न सकिन्छ ।

अन्तमा, र्‍यानसमवेयर भनेको त्यस्तो प्रक्रिया हो, जहाँ साइबर अपराधीहरूले प्रयोगकर्तालाई आफ्नो कम्प्युटर लक गरेर वा तिनीहरूको फाइलहरू इन्क्रिप्ट गरेर फिरौती नतिर्दासम्म उनीहरूको जानकारी पहुँच गर्नबाट रोक्छन् । यसका लागि आफ्नो प्रणालीमा बलियो पासवर्डहरू राख्नु जरुरी हुन्छ ।

साथै महत्वपूर्ण जानकारी ब्याकअप गर्ने गर्नाले पनि र्‍यानसमवेयर आक्रमणको जोखिम कम गर्न मद्दत गर्नसक्छ। साथै प्रयोगकर्ताहरूले पनि आफ्नो प्रणालीहरू अपडेटेड राख्नुपर्छ र अज्ञात स्रोतहरूबाट कुनै पनि डाउनलोड वा इन्स्टल गर्ने काम गर्नु हुँदैन ।

पछिल्लो अध्यावधिक: साउन १, २०८० १४:३

टिप्पणीहरू