बँकांतील सायबर सुरक्षेचा मुद्दा ऐरणीवर!!

 विवेक मराठी  18-Aug-2018

***राजीव जोशी***

सहकार क्षेत्रातील दुसऱ्या क्रमांकाची अग्रगण्य बँक असलेल्या बँकेच्या सिस्टिमवर विदेशी सायबर दरोडेखोरांनी केलेल्या हल्ल्यातून अधिकृत माहिती चोरून, बनावट कार्ड्स निर्माण करून पैसे काढले जातात ही दुर्दैवी घटना केवळ एकाच बँकेपुरती मर्यादित राहिलेली नाही, तर आपल्या संपूर्ण बँकिंग यंत्रणेला, देशाच्या अर्थव्यवस्थेलाच जणू धक्का बसलेला आहे. आजवर आपल्याकडील बँकांवर लुटारू-दरोडेखोर ह्यांनी हल्ले केल्याच्या, तिजोऱ्या फोडल्याच्या, रोख रकमा नेणाऱ्या गाडया लुटल्याच्या अनेक घटना आपल्याला ज्ञात आहेत. परंतु नवे तंत्रज्ञान आल्यानंतर चोर-दरोडेखोर ह्यांनी नवीन तंत्र आत्मसात करून आता बँकांच्या सिस्टिमवर आघात करून बँक ग्राहकांना लुटण्याचा आंतरराष्ट्रीय धंदा उघडलेला आहे.

सहकार क्षेत्रातील दोन नंबरवर असलेल्या कॉसमॉस बँकेच्या आयटी सिस्टिमवर सायबर गुन्हेगारांनी केलेल्या आघाताने एकूण बँकिंग विश्वाला जबरदस्त हादरा बसला. परिणामी बँक ग्राहकांनी पिढयानपिढया जपलेली बँकांबाबतची 'सुरक्षितता आणि विश्वासार्हता'ची अखंडित तेजस्वी प्रतिमा डागाळली गेली. बँकांमधील पैसाच जर का सुरक्षित राहणार नसेल, तर यापुढे पैसे ठेवायचे तरी कुठे? केवळ एका घटनेने आपण एखाद्या बँकेवर किंवा संपूर्ण बँकिंगवर शंका घेणे कितपत योग्य आहे? अशा सायबर गुन्ह्यांनी संपूर्ण यंत्रणेला खिंडार पडेल का? असे अनेक शंकात्मक प्रश्न आणि भीती तुम्हा-आम्हा खातेदारांच्या मनात उत्पन्न झालेली आहे. या पार्श्वभूमीवर आपल्या बँका अत्याधुनिक तंत्रज्ञान-डिजिटल बँकिंगच्या दिशेने झेपावत असताना सायबर सुरक्षेचा धोरणात्मक विचार आणि प्रत्यक्षात अंमलबजावणी कशी करताहेत आणि त्यातील त्रुटी ह्याचा आढावा घेणार आहोत. यापुढे सर्वच बँकांनी आपल्या स्थावर मालमत्तेप्रमाणेच व्हर्चुअल मालमत्तेकडे अर्थात संगणक-इंटरनेट प्रणालीकडे, म्हणजेच डिजिटल यंत्रणेच्या सुरक्षेकडे अधिक काळजीपूर्वक लक्ष दिले पाहिजे. दरम्यान बँकेवरील 'सायबर दरोडा' म्हणजे नेमके काय, त्याचे स्वरूप कसे असते आणि असे पुन्हा घडू नये म्हणून काय केले जाते, करता येईल ते पाहू या.

एकंदरीत आजवर झालेल्या सायबर हल्ल्यांचे नेमके स्वरूप - कोणत्याही बँकेचे असंख्य एटीएम्स हे एटीएम स्विचला जोडलेले असतात. आपण जेव्हा एखाद्या एटीएम बूथवर पैसे काढायला जातो, तेव्हा आपल्या कार्डचे आणि आपले डीटेल्स हे एटीएम स्विचच्या माध्यमातून लागलीच बँकेच्या रेकॉर्डशी पडताळून पाहिले जातात आणि ते जर ओके असतील तर त्याच क्षणी आपण जिथे पैसे काढण्यासाठी उभे असतो, त्या एटीएमला 'पैसे काढायला द्या!' किंवा 'देऊ नका!' असा स्पष्ट संदेश दिला जातो आणि त्यानुसार कृती होते. अर्थात हे सर्व 'रिअल टाइम'मध्ये, म्हणजे तत्काळ - ज्याक्षणी असेल त्याच क्षणी कार्यवाही करून निर्णय आणि कृती केली जाते. कोणताही वेळ न दवडता हे सर्व केले जाते आणि पैसे काढण्याची प्रक्रिया पूर्ण होते. व्हर्चुअल माध्यमातून ऍक्चुअल पैसे लुटण्याची ही आंतरराष्ट्रीय लुटारूंची कार्यपध्दती ही स्मगलिंग-दहशतवाद, काळा पैसा-मनी लाँडरिंग अशा आजवरच्या काही कुख्यात उद्योगांप्रमाणेच भयंकर आणि विध्वंसक आहे.

कॉसमॉस बँकबाबतची परिस्थिती

एटीएम स्विच (ATM Switch) हॅक (Hack) केला गेला, डमी स्विच (Proxy Switch) निर्माण करून त्याद्वारे रुपे व व्हिसा कार्डधारकांची माहिती पळवण्यात आली आणि क्रेडिट-डेबिट कार्डांचे क्लोनिंग करून अतिशय जलदपणे आणि शिताफीने पैसे काढले गेले. ही सर्व प्रक्रिया इतकी झटपट केली गेली आणि अवघ्या काही तासांत हजारो कार्डधारकांचे लाखो रुपये (अमेरिकन डॉलर्समध्ये, युरोमध्ये आणि अन्य विदेशी चलनातदेखील असू शकतील! कारण एकूण 28 देशांतील एटीएम्समधून हे काढण्यात आले.) तोतया - बनावट कार्डधारकांनी हे मूळ कार्डधारकांचे पैसे अनधिकृतपणे लंपास केले.

हे काम खालील दोन स्तरांवर केले गेले -

  1. अ) देशातील अनेक ठिकाणी असलेल्या एटीएम्सद्वारे - रुपे कार्ड प्रणालीशी संलग्न असलेली कार्ड वापरून

आ) अनेक देशांतील विविध स्थळी असलेल्या एटीएमच्या माध्यमातून - व्हिसा ही जगव्यापी प्रणाली वापरून.

  1. स्विफ्ट (SWIFT) आंतरराष्ट्रीय संदेश पेमेंट व्यवस्थेमार्फत.

सहकार क्षेत्रातील दुसऱ्या क्रमांकाची अग्रगण्य बँक असलेल्या बँकेच्या सिस्टिमवर विदेशी सायबर दरोडेखोरांनी केलेल्या हल्ल्यातून अधिकृत माहिती चोरून, बनावट कार्ड्स निर्माण करून पैसे काढले जातात ही दुर्दैवी घटना केवळ एकाच बँकेपुरती मर्यादित राहिलेली नाही, तर आपल्या संपूर्ण बँकिंग यंत्रणेला, देशाच्या अर्थव्यवस्थेलाच जणू धक्का बसलेला आहे. आजवर आपल्याकडील बँकांवर लुटारू-दरोडेखोर ह्यांनी हल्ले केल्याच्या, तिजोऱ्या फोडल्याच्या, रोख रकमा नेणाऱ्या गाडया लुटल्याच्या अनेक घटना आपल्याला ज्ञात आहेत. परंतु नवे तंत्रज्ञान आल्यानंतर चोर-दरोडेखोर ह्यांनी नवीन तंत्र आत्मसात करून आता बँकांच्या सिस्टिमवर आघात करून बँक ग्राहकांना लुटण्याचा आंतरराष्ट्रीय धंदा उघडलेला आहे. ह्यामुळे सर्वच देशातील बँकांना 'सायबर आक्रमणाच्या' धोक्याला सातत्याने सामोरे जावे लागत आहे.

आपल्या देशात आजपर्यंत बँकांबाबत अनेक सायबर गुन्हे घडलेले आहेत. फसवणुकीच्या कित्येक प्रकारांचे अनेकदा रिपोर्टिंगदेखील होत नाही. अशा दडवण्याने किंवा दडपून टाकण्याने बँकांचे आणि प्रामाणिक बँक ग्राहकांचे जास्त नुकसान होते, फायदा मात्र असे सायबर गुन्हे करणाऱ्या टोळयांचा होतो, कारण ते पकडले जात नाहीत. शिवाय सायबर चोरीचा आपला मार्ग प्रभावी आहे, हे कन्फर्म होते आणि ते अधिकाधिक प्रमाणात नवनवे प्रयोग करू लागतात. अनेक सॉफ्टवेअर इंजीनिअर्सना, अनुभवी अशा तंत्रज्ञान संशोधकांना पैशाच्या मोहाने आकृष्ट करून आपल्या जाळयात ओढले जाते आणि बुध्दीला आव्हान देण्याचे आमिष दाखवून त्यांना सिस्टीम 'ब्रेक' करण्याचे प्रोजेक्ट्स दिले जातात. (नवे दहशतवादी अशाच पध्दतीने जाळयात ओढले जातात!) आजवर प्रचलित असलेली सायबर सुरक्षा धाब्यावर बसवून गैरवापर करून अधिकृत निधी आपल्याकडे वळवण्याचे कुकर्म अशा आंतरराष्ट्रीय टोळया करीत असतात.

कार्यरत असलेल्या, सायबर क्राईम करणाऱ्या काही कुविख्यात टोळया -

  1. लाझारस - उ. कोरियातील ग्रूप
  2. 'डार्कनेट' - अनधिकृत कामासाठी फाइल्स शेअरिंग करणारे

नियमितपणे वापरण्यात आलेले तंत्र - कार्यपध्दती

  1. सिस्टिममध्ये अनधिकृतपणे शिरकाव करून, आतील अधिकृत डेटा पळवून.
  2. फिशिंग स्कॅम्स (Fishing Scams) - बनावट ई-मेल्स पाठवून.
  3. खोटया मेल्स अधिकृत असे भासवून केलेली फसवणूक
  4. मोठया रकमांच्या बनावट ट्रान्स्फर्स.
  5. लाझारस ग्रूपतर्फे - मॅन्युस्क्रिप्ट (Manuscrypt) नावाचे मालवेअर (Malware) सोडून सिस्टिम पोखरणे
  6. क्रेडिट कार्ड व डेबिट कार्ड ह्यांचे क्लोनिंग (Cloning) करून.
  7. प्रॉक्सी स्विच म्हणजेच तोतया एटीएम स्विच वापरून.
  8. स्कीमिंग मशीन्सद्वारे कार्डांचे क्लोनिंग केले जाते.
  9. मोबाइलचे आणि इंटरनेट बँकिंगचे अधिकृत पिन्स आणि पासवर्ड्स चोरून अगणित फ्रॉडस केले जातात.
  10. सिस्टिममध्ये अस्तित्वात असलेल्या सुरक्षेला भेदून संपूर्ण नियंत्रण आपल्याकडे घेणे किंवा एकाद्या अनधिकृत वेबसाइटला जोडणे.
  11. कार्बानॅक (Carbanak) टोळीने व्हायरस सोडून ऑॅफिसातील प्रत्येकाच्या टेबलवरील स्क्रीन आणि डेटा चोरला.
  12. आयओटीचे (IOTचे) माध्यम वापरून हल्ला करणे.
  13. वेबसाइटवर हल्ला आणि घुसखोरी.

आजवर घडलेले सायबर गुन्हे

आजवर घडलेल्या सायबर गुन्ह्यांची आकडेवारी लक्षणीय असली, तरी अशा प्रकारचे बरेच गुन्हे अनेक कारणांनी दडपले जातात. अशा गुन्हेगारांवर खटले दाखल होत नाहीत, त्यांना शिक्षा मिळत नाही. परिणामी ते पुन्हा नवीन गुन्हे करण्यास मोकळे राहतात. एका ठिकाणी केलेला सायबर गुन्हेगारीचा प्रयोग सराईतपणे अन्य ठिकाणी राबवला जातो. तक्रार केली आणि शोध केला गेला, तर अशा सायबर लुटारूंना कायद्याच्या जाळयात ओढता येते. संघटित गुन्हेगार सापडले न गेल्याने त्यांची कार्यकक्षा विस्तारते, नवे नवे सहभागी होत राहतात. सायबर लूट हा अलीकडे सर्वात कमाईचा व्यवसाय मानला गेला आहे. फक्त 2008मध्ये आजपर्यंत सायबर गुन्हे कमाई लाखो अब्ज डॉलर्सपेक्षा अधिक आहे. 'नफ्याचे घबाड देणारे जाळे' म्हणून ह्याकडे पाहिले जाते. अलीकडे त्यांनी धोरण बदललेले आहे. थेट ग्राहकांवर हल्ला करण्याऐवजी ग्राहकांचा डेटा - आर्थिक माहिती  मिळवणे व त्याचा गैरवापर करणे, तसेच पेमेंट साधने ताब्यात घेणे असे प्रकार सुरू केले आहेत. वेगवेगळया भौगोलिक भागातील छोटया बँकांकडे मोहरा वळवून यश संपादन करीत आहेत. (मोठया बँकांमध्ये सायबर सुरक्षेबाबत अधिक काळजी घेतली जात असावी किंवा त्यांची सिस्टिम तितकी सहजपणे भेदणे शक्य नसावे.)

रिझर्व्ह बँकेची अपेक्षा

या ज्वलंत विषयावर देशाच्या मध्यवर्ती बँकेने वेळोवेळी तपशीलवार सूचना आणि आदेश दिलेले आहेत. 'सायबर दुर्घटना व्यवस्थापन'बाबत काय करावे आणि करू नये, याची मार्गदर्शक तत्त्वे दिलेली आहेत. गेली अनेक वर्षे याबाबत पाठपुरावा, मार्गदर्शन केले जाते आहे. त्यानुसार सायबर सुरक्षा केंद्रे उभी केली पाहिजेत, ज्याद्वारे अहोरात्र जागरूकता जपली पाहिजे. सावधगिरीने कुठे काही भलतेसलते घडत असेल ते रोखता आले पाहिजे, व्यवस्थापन, मध्यवर्ती बँक, पोलीस-कायदा अशा पातळीवर त्याची दखल घेतली गेली पाहिजे.

तत्सम सायबर गुन्ह्यातील गेलेले पैसे शोधणे आणि मिळवणे, असे छोटे किंवा मोठे गुन्हे न लपवता बाहेर आले पाहिजेत, त्यांची कार्यप्रणाली शोधून कोण म्होरके आहेत त्यांना जेरबंद केले पाहिजे. तरच ही गुन्हेगारी आटोक्यात येऊ शकेल. पोलीस-यंत्रणा-सायबर गुन्हेविषयक पथक, सायबर कायदे आणि गुन्हेगारांना शिताफीने त्यात अडकवून शिक्षा झाली पाहिजे आणि त्याचबरोबरीने सर्व खातेदार-बँका ह्यांचे गेलेले पैसे त्यांच्याकडून पूर्णत: हस्तगत झाले पाहिजेत. ही प्रक्रिया किचकट, वेळखाऊ असली तरी (निव्वळ दिरंगाई, ब्लेमगेम न करता!) आपण सर्वांनी चिकाटीने पूर्ण सहकार्य दिले, तरच अशा लोकल किंवा ग्लोबल सायबर टोळयांना कायमचे नेस्तनाबूत करता येईल.

शेवटी महत्त्वाचे काय?

उत्तम सेवा आणि तितकीच उत्तम सायबर सुरक्षा

असे काही घडल्यावर 'बँकेत पैसे ठेवणे धोक्याचे', 'डिजिटल बँकिंग करू नये' असा सल्ला देणे म्हणजे प्रगतीचे चक्र उलट मागे फिरवण्यासारखेच आहे. त्यापेक्षा आपल्याकडील सिस्टिम किती प्रभावी असावी आणि त्याहीपेक्षा सायबर सुरक्षेसाठी रिझर्व्ह बँक, आंतरराष्ट्रीय स्तरावर राबवल्या जाणाऱ्या सिस्टिम, प्रतिबंधक उपाय कोणतीही तडजोड न करता कसोशीने व काटेकोरपणे अंमलात आणणे याला प्राधान्य दिले पाहिजे.

आज एकूणच बँक ग्राहकांच्या सेवा आणि सुविधेबाबत अपेक्षा खूप वाढलेल्या आहेत. जे जे अत्याधुनिक आहे, इतर बँका देत आहेत, ते ते आपल्याला मिळाले पाहिजे या मानसिकतेतून अपेक्षा असतात. त्या रास्तच आहेत, त्यासाठी बँक नवीन तंत्रज्ञानयुक्त साधने-सेवा घेतात. मात्र त्यांचे संरक्षण करण्यासाठी किंवा प्रतिबंधक उपाय योजताना बजेट अडचण किंवा त्रुटी राहिल्या, त्याकडे दुर्लक्ष केले गेले, तर भयंकर गोंधळ होऊ शकतो. बँकेतील किंवा कॉर्पोरेटमधील सर्वोच्च स्थानी असलेले संचालक मंडळ अशा बाबतीत खूप सजग - सायबर अवेअर असले पाहिजे. सायबर सुरक्षेबाबत तडजोड न करता ती अखंडितपणे राबवली गेली पाहिजे. सायबर गुन्ह्यांबाबत विमा उतरवला पाहिजे. रिझर्व्ह बँकेने सुचवलेल्या तरतुदी अंमलात आणून नियमितपणे येणारी माहिती आदेश वाचून आपल्या कर्मचारिवर्गाला आणि ग्राहकांना प्रशिक्षित केले पाहिजे. आपल्या आयटीची किंवा सर्वोत्तम सायबर सुरक्षा देणाऱ्या आयटी फर्मची मदत घेतली पाहिजे. केवळ सोपस्कार म्हणून कागदी अहवाल न देता डोळसपणे कर्तव्य केले पाहिजे. जगात अशा प्रकराचे गुन्हे-हल्ले होत आहेत, त्यांचा सातत्याने अभ्यास करून आपली सिस्टिम अभेद्य करण्याकडे लक्ष पुरवले पाहिजे. कोणतीही हेळसांड दुर्लक्षित होऊ नये आणि एखादा छोटा क्लू किंवा धोक्याचा इशारा दुर्लक्षित राहता कामा नये. तरच मालमत्ता आणि विश्वासार्हता जपली जाईल.

सर्वोत्तम सेवेसाठी जसे 24#7चे ब्रीद अंगीकारले जाते, तशी सजगता बँकांनी आपल्या ग्राहकांच्या आणि स्वतःच्या सायबर सुरक्षेसाठी 24#7 इतकीच जागरूकता आणि तत्परता दाखवली पाहिजे, कारण दिवसेंदिवस असे 'व्हर्चुअल क्राइम्स' वाढत जाणार, तितकीच आपली प्रतिबंधक उपाययोजना आणि संरक्षण व्यवस्था मजबूत असली पाहिजे. एका बँकेवरील हल्ला म्हणजे संपूर्ण बँकिंगला कलंकित करण्याचा डाव असतो, तो आपण हाणून पाडला पाहिजे आणि अशा प्रकारच्या आंतरराष्ट्रीय कुप्रवृत्तीला कायद्याच्या जाळयात पकडले पाहिजे.

लेखक बँकिंग आणि अर्थ-अभ्यासक आहेत.

9322241313