बॅंकांनो... सावधान!

अतुल कहाते
शुक्रवार, 24 ऑगस्ट 2018

वेध
कॉसमॉस बँकेवरील सायबर हल्ल्यामुळे बँकांची ऑनलाइन सुरक्षितता हा मुद्दा ऐरणीवर आला आहे. बँकांवर होणारे हे सायबर हल्ले नेमके कसे होतात, हॅकर्सकडून काय तंत्रज्ञान वापरले जाते, हे हल्ले कसे टाळता येतील याविषयी...

बँकांचे व्यवहार ऑनलाइन झाल्यापासून सातत्यानं हे व्यवहार सुरक्षित आहेत का आणि खातेदारांचे नुकसान होऊ शकतं का याविषयी बोललं जातं. अशा प्रकारची नुकसानाची अनेक उदाहरणं अनुभवायला मिळाल्यामुळे विलक्षण घबराट पसरते. अक्षरशः काही तासांमध्ये कोट्यवधी रुपयांचे अवैध व्यवहार होऊ शकतात. पैसे चक्क गायब होऊ शकतात. अलीकडेच घडलेल्या ‘कॉसमॉस बॅंके’च्या उदाहरणामुळे हा प्रश्न एकदम ऐरणीवर आला आहे. साहजिकच मुळात बॅंकांवर अशा प्रकारचे हल्ले कसे घडू शकतात आणि या संदर्भात आपण काय काळजी घेणं गरजेचं आहे याचा विचार सगळ्या अंगांनी व्हायला हवा. 

बॅंकांच्या तंत्रज्ञानविषयक आधुनिकीकरणामुळे खातेदारांनी गरज असल्याशिवाय शक्‍यतो बॅंकेच्या इमारतीत पायच ठेवू नये अशा प्रकारच्या सुविधांची आखणी करण्यात आली. पैसे काढायचे तर एटीएम किंवा डेबिट कार्ड वापरायचे, पैसे दुसऱ्याच्या खात्यात भरायचे तर आधी चेक आणि आता थेट एका खात्यांमधून दुसऱ्या खात्यामध्ये घरबसल्या पैसे भरायचे, बिलंही आपल्या स्मार्टफोनमधूनच भरायची, अगदी कर्जसुद्धा इंटरनेटवरूनच घ्यायची किंवा फेडायची अशा असंख्य सुविधा आता उपलब्ध आहेत. आपल्या बॅंक खात्याचे जवळपास सगळे व्यवहार बसल्या जागेवरून न उठताच करणं शक्‍य झालं आहे. साहजिकच अशा प्रकारच्या सुविधा पुरवताना बॅंकांना आपल्या खातेदारांच्या तसंच एकूण व्यवस्थेच्या सुरक्षिततेविषयी खूप काळजी घेणं आवश्‍यक होऊन बसलं. या सुरक्षेचे मुख्य दोन भाग पडतात. पहिला भाग खातेदाराच्या बाजूच्या सुरक्षिततेचा आहे; तर दुसरा भाग बॅंकांच्या स्वतःच्या माहितीच्या सुरक्षिततेचा आहे. याखेरीज अर्थातच खातेदारांनी सगळे व्यवहार ऑनलाइन करत असताना घेण्यासंबंधीच्या काळजीच्या प्रशिक्षणाचा मुद्दाही यात महत्त्वाचा आहे. अलीकडच्या काळात बॅंकांच्या माहितीच्या सुरक्षिततेच्या संदर्भातला जास्त भर खातेदारांच्या बाजूवर दिला गेल्याचं दिसतं. म्हणजेच एटीएम किंवा डेबिट/क्रेडिट कार्ड वापरताना काय काळजी घ्यायची याविषयी अनेकदा लिहिलं जातं. तसंच आपला पिन जपणे, आपल्या मोबाईलवर येणारा ‘वन टाइम पासवर्ड’ (ओटीपी) गुप्त राखणं इत्यादी गोष्टींचा त्यात समावेश होतो. ग्राहकांनी इंटरनेट किंवा स्मार्टफोन यांच्याद्वारे वापरण्यासाठीचं सॉफ्टवेअर सुरक्षित ठेवण्यावरही बॅंकांचा भर असतो. शिवाय ग्राहकांनी आपले संगणक किंवा आपले स्मार्टफोन व्हायरसमुक्त ठेवणं, भामट्याने पाठवलेल्या भलत्याच लिंकवर क्‍लिक न करणं अशा प्रकारच्या सूचनाही वारंवार दिल्या जातात. साहजिकच ग्राहकांच्या बाजूच्या सुरक्षिततेचा बऱ्यापैकी गांभीर्यानं विचार केला जात असल्याचं आता आढळून येतं. अर्थातच हा सगळा प्रकार अत्यंत नवा असल्यामुळे आणि अनेक लोकांना तंत्रज्ञानामधल्या अगदी मूलभूत गोष्टीसुद्धा माहीत नसल्यामुळे सुरक्षिततेविषयीची साक्षरता वाढवण्याचे प्रयत्न करूनही त्यात मर्यादित प्रमाणातच यश येतं. म्हणूनच जवळपास दररोज आपल्याला बॅंकांच्या खातेदारांना भामट्यांनी निरनिराळ्या मार्गांनी फसवल्याच्या बातम्या वाचायला मिळतात.महत्त्वाची गोष्ट म्हणजे यात तंत्रज्ञानाचा दोष नसतो. खातेदारांनी बेजबाबदारपणे किंवा अज्ञानापोटी केलेल्या चुका या फसवणुकीला कारणीभूत ठरतात. जर सगळ्या गोष्टींची व्यवस्थित माहिती घेतली आणि आपले व्यवहार करताना खबरदारी बाळगली तर माहितीच्या सुरक्षिततेच्या संदर्भात ग्राहकांना थेट फटका बसण्याची शक्‍यता कमी असते. दुर्दैवानं अनेक खातेदार याकडे दुर्लक्ष करतात आणि याचा जोरदार फटका त्यांना सोसावा लागतो. बॅंकांच्या खातेदारांना गंडा घालण्याचा प्रयत्न भामटे सातत्यानं करत असतात. आधी उल्लेख केल्याप्रमाणे त्यात त्यांना बऱ्यापैकी यश मिळतंही; पण अशा प्रकारच्या फसवणुकीमध्ये होणारं ग्राहकांचे नुकसान एकूण व्यवस्थेच्या मानानं कमी असतं. म्हणजेच खातेदारांना काही लाख रुपयांचं नुकसान सोसावं लागतं आणि त्यांच्या दृष्टीनं तो जोरदार झटकाच असतो; पण एकूण बॅंकिंग अर्थकारणाच्या दृष्टीनं ही रक्कम तशी किरकोळ असते. साहजिकच काही भामट्यांना अशा प्रकारचे हल्ले करून काही लाख रुपये कमावण्यापेक्षा एकदम भलामोठा दरोडाच घालण्याचा मोह होतो. 

कॉसमॉस बॅंकेवरचा हल्ला हे याच प्रकारचं उदाहरण आहे. ग्राहकांच्या बाजूवर हल्ला न करता हल्लेखोर काही वेळा बॅंकांच्या बाजूला हल्ला करतात. म्हणजेच बॅंकांचे कामकाज चालवणारे सॉफ्टवेअर, बॅंकांचा एकमेकांशी व्यवहार पूर्ण व्हावा यासाठीचे सॉफ्टवेअर असं असंख्य प्रकारचे सॉफ्टवेअर बॅंकांकडे असतात. खातेदारांची माहिती, त्यांच्या खात्यांच्या व्यवहारांचे संपूर्ण तपशील वगैरे गोष्टी ज्या सॉफ्टवेअरमध्ये असतात त्याला ‘कोअर बॅंकिंग सॉफ्टवेअर (सीबीएस)’ असं म्हणतात. हा बॅंकांकडच्या माहितीचा सगळ्यात महत्त्वाचा भाग असतो. या गाभ्याला कुणी हल्लेखोराने यशस्वीरीत्या हात लावला तर बॅंकेला महाभयानक फटका बसू शकतो. कारण ग्राहकांची सगळी माहिती आणि त्यांच्या व्यवहारांचे सगळे तपशील यामुळे उघड होऊ शकतात. तसंच भामटा ग्राहकांच्या नावाखाली वाटेल ते व्यवहार करू शकतो. साहजिकच हे सीबीएस सॉफ्टवेअर जपण्यावर सगळ्याच बॅंका खूप भर देतात. यासाठी सीबीएस सॉफ्टवेअर मुळात तंत्रकुशल अशा सॉफ्टवेअर कंपन्यांकडून लिहून घेतलं जातं. शिवाय बाहेरून या सॉफ्टवेअरवर हल्ले होऊ नयेत यासाठी या सॉफ्टवेअरभोवती ‘फायरवॉल’ नावाची आभासी भिंत उभी केली जाते. ही फायरवॉल म्हणजेसुद्धा एक प्रकारचं सॉफ्टवेअरच असतं. या ‘फायरवॉलचं’ काम बाहेरून सीबीएसवर हल्ले होत आहेत का हे सातत्यानं तपासणे आणि हे हल्ले रोखणे अशा प्रकारचं असतं. हे सीबीएस सॉफ्टवेअर ग्राहकांचे सगळेच व्यवहार हाताळत नसतं. उदाहरणार्थ समजा एखाद्या खातेदाराने त्याच्या खात्यामधले पैसे एखाद्या एटीएम यंत्रातून काढले तर हा व्यवहार कसा होतो? यासाठी त्या एटीएमच्या यंत्रात बसवलेले सॉफ्टवेअर खातेदाराचा खाते क्रमांक, त्यानं टाइप केलेला पिन वगैरे माहिती आधी टिपतं. ही माहिती हे सॉफ्टवेअर व्हिसा, मास्टरकार्ड, रूपे वगैरे कंपनीकडे पाठवून देतं. कुठल्या कंपनीचं कार्ड खातेदाराकडे असेल त्यानुसार यापैकी कुणाकडे ही माहिती जाईल; हे ठरतं. आता व्हिसा, मास्टरकार्ड किंवा रूपे यांच्याकडचं सॉफ्टवेअर ही माहिती खातेदाराच्या बॅंकेकडे पाठवून देतं. 

बॅंकेकडच्या या सॉफ्टवेअरला ‘स्वीच’ असं म्हणतात. या स्वीचच काम आपल्याकडे आलेली माहिती घेणं आणि ती बॅंकेच्या सीबीएसकडून तपासून घेणं हे असतं. उदाहरणार्थ खातेदाराचा खाते क्रमांक, त्याचा पिन, त्याच्या खात्यामध्ये पुरेशी रक्कम शिल्लक असणं अशा गोष्टी तपासणे गरजेचं असतं. हे काम फक्त सीबीएसच करू शकतं; कारण सीबीएसकडेच खातेदाराची सगळी माहिती असते. जर ही सगळी माहिती तपासल्यानंतर सीबीएसला या व्यवहारात काही गैर नसल्याची खात्री पटली तर सीबीएस या व्यवहाराची नोंद आपल्याकडे करून घेतं. उदाहरणार्थ खातेदाराच्या खात्यात समजा १ लाख रुपये असतील आणि आता खातेदाराने एटीएममधून २० हजार रुपये काढले असतील तर आता खातेदाराच्या खात्यात ८० हजार रुपये शिल्लक असतील अशी नोंद सीबीएस करतं. त्यानंतर सीबीएस ‘सगळं ठीकठाक आहे’ अशा अर्थाचा संदेश स्वीच सॉफ्टवेअरकडे पाठवते. स्वीच सॉफ्टवेअर याची नोंद करून व्हिसा, मास्टरकार्ड, रूपे वगैरेंना कळवतं. तिथेही या व्यवहाराची नोंद होते. त्यानंतर एटीएमच्या सॉफ्टवेअरला सगळं ठीकठाक आहे असा संदेश जातो. हा व्यवहार इथे पूर्ण होतो. यावरून बॅंकेच्या कुठल्याही व्यवहारामध्ये अनेक संगणक आणि त्यांच्यावरच निरनिराळे सॉफ्टवेअर यांचा सहभाग असतो ही गोष्ट आपल्या लक्षात येईल. या सगळ्यांचं काम सुसूत्रतेनं चालणं तसंच हे सगळं सुरक्षित असणं म्हणूनच गरजेचं असतं. यामधल्या कोणत्याही यंत्रणेवर हल्ला झाला तर सगळंच काम पार बिघडून जाऊ शकतं. तसंच बॅंकेचे कामकाज बंद पडण्यापासून विलक्षण आर्थिक फटका बसेपर्यंत अनेक प्रकारच्या गोष्टी यातून घडू शकतात. नेमका हाच प्रकार कॉसमॉस बॅंकेच्या बाबतीत घडला असं दिसून आलं आहे. 

कॉसमॉस बॅंकेच्या स्वीच सॉफ्टवेअरवर हल्लेखोरांनी हल्ला केला असं बॅंकेचे म्हणणं आहे. ही स्वीच यंत्रणा पुरेशी सुरक्षित नव्हती का हे अजून समजलेले नाही; पण त्याशिवाय हा हल्ला शक्‍य नाही. या स्वीच यंत्रणेमध्ये हल्लेखोरांनी ‘मॅलवेअर’ सोडलं. मॅलवेअर हा व्हायरसचाच एक प्रकार असतो. ज्या सॉफ्टवेअरवर मॅलवेअर हल्ला करतं त्या सॉफ्टवेअरचे कामकाज ठप्प व्हावं किंवा त्यात बिघाड व्हावा अशा प्रकारचं काम मॅलवेअर करतं. म्हणूनच कॉसमॉस बॅंकेच्या स्विचमध्ये मॅलवेअर घुसले आणि त्यानं तो स्वीच बंद पाडला. त्याच्याच जोडीला या मॅलवेअरनं एक बनावट स्वीचच उभा केला. म्हणजेच कॉसमॉस बॅंकेचा मूळ स्वीच बंद झाला आणि हल्लेखोराच्या बनावट स्वीचच काम सुरू झालं. मूळ स्वीच आपल्याकडे एटीएमकडून पैसे काढले जात असताना एटीएम सॉफ्टवेअरकडून येत असलेले संदेश सीबीएसकडे पाठवत असे. सीबीएसनं सगळं ठीक आहे असं म्हटल्यावरच पैसे काढले जाऊ शकतं. आता मात्र या बनावट स्विचनं एटीएमकडून आपल्याकडे येत असलेल्या संदेशांची पडताळणी करण्यासाठी सीबीएसकडे धाव घेण्याचंच बंद केलं! म्हणजेच एटीएमकडून ‘पैसे काढू देऊ का?’असं विचारलं गेल्यावर स्वीच स्वतः:च ‘हो’ असं म्हणायला लागला. हा होकार (किंवा नकार) खरं म्हणजे सीबीएसकडून येणं अपेक्षित होतं. साहजिकच कुणीही कुठूनही पैसे काढायला लागलं तर स्वीच स्वतः:च या व्यवहाराला परवानगी द्यायला लागला. यामुळे कॉसमॉस बॅंकेच्या खातेदारांच्या खात्यांना स्पर्श न होताच अनेक देशांमधून काही तासांमध्येच कोट्यवधी रुपये काढले गेले; असं एकूण परिस्थितीवरून दिसतं आहे. 

अर्थातच बॅंकेने आपल्या स्वीच सॉफ्टवेअरवर व्हायरस किंवा इतर कुठल्याही प्रकारचा हल्ला होऊ नये यासाठी पुरेशा उपाययोजना केल्या होत्या का हे तपासात स्पष्ट होईलच. शिवाय असे प्रकार घडू नयेत यासाठी रिझर्व्ह बॅंकेने घालून दिलेल्या मार्गदर्शक तत्त्वांचे बॅंकेने पालन केलं आहे का हेसुद्धा अजून समजलेले नाही. याशिवाय आणखी एक महत्त्वाची गोष्ट म्हणजे अशा प्रकारचे व्यवहार होत असताना बॅंकेला सावध करणारे संदेश येणं अपेक्षित असतं. हल्लेखोरांनी सीबीएसला हातच न लावल्यामुळे आपल्याकडे असे संदेश वेळेत न आल्याचं बॅंकेचे म्हणणं आहे. याचा अर्थ आपला मूळ स्वीच बंद करण्यात आलेला असून बनावट स्वीच हल्लेखोरांनी वापरायला सुरुवात केली आहे हेसुद्धा बॅंकेला कळू शकले नाही. म्हणजेच अत्यंत चाणाक्षपणे आणि अनेक ठिकाणांहून एकाच वेळी करण्यात आलेला हा अत्याधुनिक स्वरूपाचा हल्ला आहे. यात बॅंकेच्या कुठल्या कर्मचाऱ्याचा सहभाग आहे का हेही तपासात कळेलच. जरी खातेदारांच्या खात्यांमधून थेट पैसे गेले नाहीत असं आपण गृहीत धरलं तरी बॅंकेला जवळपास १०० कोटी रुपयांचा तोटा सहन करावा लागणे ही साधीसुधी गोष्ट नाही.

देशात बॅंकांची परिस्थिती आधीच गंभीर असताना असा प्रकार घडावा यासारखे दुर्दैव नाही. असे हल्ले बॅंकांवर निरनिराळ्या प्रकारे होत असूनसुद्धा बॅंका सुरक्षिततेच्या बाबतीत पुरेशा सजग नाहीत हा मुद्दा इथे अधोरेखित करावासा वाटतो. काही वेळा याला अजिबात महत्त्व न दिल्यामुळे हे घडतं; तर कधीकधी यावर विनाकारण पैसे खर्च करायला नको अशी भूमिका घेतली जाते. जोपर्यंत अशा प्रकारचा महाभयानक हल्ला होत नाही तोपर्यंत माहितीच्या सुरक्षिततेची काळजी न घेण्यामुळे काय घडतं हे समजत नाही. हुशार हल्लेखोर बॅंकेच्या खातेदारांवर किरकोळ हल्ले न करता थेट बॅंकांवरच अशा प्रकारचे मोठे हल्ले करायला लागले तर त्यामुळे एखादी बॅंक अक्षरशः: पार झोपूच शकते. म्हणूनच याचा विचार सगळ्या पातळ्यांवर झाला पाहिजे. बॅंकांमधल्या माहितीच्या सुरक्षिततेवरचा खर्च हा जास्तीचा खर्च नसून तो इतर सगळ्या खर्चाइतकाच महत्त्वाचा आहे हे लक्षात घेतलं पाहिजे. तसंच साखळीमधला सगळ्यात कमकुवत दुवा हुडकून हल्लेखोर कुठल्याही सॉफ्टवेअरला भेदण्याचा प्रयत्न करतात हेसुद्धा लक्षात ठेवलं पाहिजे. साहजिकच काही गोष्टी एकदम सुरक्षित ठेवायच्या; पण एक-दोन गोष्टींच्या सुरक्षिततेकडे डोळेझाक करायची हेही अजिबातच चालण्यासारखे नसतं.

कॉसमॉस बॅंकेच्या प्रकरणातून घ्यायचा बोध नेमका हाच आहे!

फोटो फीचर

संबंधित बातम्या