ඩිජිටල් බැංකුකරණයේ කළු පැල්ලම: NTB පාරිභෝගිකයන්ගේ මිලියන 10ක් අතුරුදහන් – “පද්ධතිය සුරක්ෂිතයි” යන්න ප්‍රමාණවත්ද?

ශ්‍රී ලංකාව සීග්‍රයෙන් ඩිජිටල්කරණය දෙසට ගමන් කරද්දී, සයිබර් අපරාධකරුවන් ද වඩාත් සූක්ෂ්ම ක්‍රමවේද භාවිතා කරමින් සිටිති. මෑතකදී නේෂන්ස් ට්‍රස්ට් බැංකුවේ (NTB) පාරිභෝගිකයින්ට මුහුණ දීමට සිදු වූ අත්දැකීම, ඩිජිටල් බැංකුකරණයේ පවතින ආරක්ෂක හිඩැස් සහ බැංකු පද්ධතිවල වගකීම පිළිබඳව බරපතල ප්‍රශ්න මතු කරයි.

නිමේෂයකින් අහිමි වූ මිලියන 10

වාර්තාවන ආකාරයට පසුගිය මාර්තු 15 වන දින, දහවල් කාලයේ පැයකටත් අඩු කාලයක් තුළ, අදාළ එක්තරා පාරිභෝගිකයකුගේ ස්ථාවර තැන්පතු ගිණුමකින් (Fixed Deposit) රුපියල් මිලියන 10කට අධික මුදලක් වෙනත් මූල්‍ය ආයතන වෙත (Dialog Finance සහ LOLC Finance) CEFTS හරහා මාරු කර තිබේ. මෙය සිදුවී ඇත්තේ පාරිභෝගිකයාට කිසිදු පූර්ව දැනුම් දීමකින් හෝ අවසරයකින් තොරවය.. තම දුරකථනයට පැමිණි SMS පණිවිඩ දෙස බලන විට, සියල්ල සිදුවී හමාරය.

බැංකුවේ තාක්ෂණික තර්කය: “ඔබේ උපාංගය, ඔබේ මුරපදය”

මෙම දැවැන්ත මූල්‍ය අලාභය සම්බන්ධයෙන් බැංකුව විසින් ලබා දී ඇති නිල ප්‍රකාශයට අනුව, ඔවුන්ගේ අභ්‍යන්තර පද්ධතිවල කිසිදු දෝෂයක් නොමැත . බැංකුව පවසන්නේ ගනුදෙනු සිදුවී ඇත්තේ පාරිභෝගිකයාගේ නිවැරදි User ID සහ Password භාවිතා කරමින් සහ පාරිභෝගිකයින් විසින් බැංකුවේ ලියාපදිංචි කර ඇති ජංගම උපාංගය (Registered Device ID) හරහාම බවයි .

මේ අනුව, බැංකුවේ අනුමානය වන්නේ පාරිභෝගිකයාගේ උපාංගය වෙත බාහිරින් ඇතුළු වී (Device Takeover) මෙම වංචාව සිදු කර ඇති බවයි . එබැවින්, මෙම අලාභයට වගකිව නොහැකි බවත් (Bank is not in a position to assume liability) , අපරාධ පරීක්ෂණ දෙපාර්තමේන්තුව (CID) හරහා විමර්ශනයක් පවත්වන ලෙසත් බැංකුව පාරිභෝගිකයාට දැනුම් දී ඇත’ .

“Trust” එකට සිදුවූයේ කුමක්ද? – පවතින හිඩැස්

මෙම සිදුවීමත් සමග පැනනගින ප්‍රධාන තාක්ෂණික ප්‍රශ්නය වන්නේ, මෙතරම් විශාල මුදලක්, කෙටි කාලයක් තුළ, “අසාමාන්‍ය” ආකාරයෙන් මාරු වෙද්දී, බැංකුවේ ‘Fraud Detection’ පද්ධති (වංචා හඳුනාගැනීමේ පද්ධති) ක්‍රියාත්මක නොවුණේ මන්ද යන්නයි.

සයිබර් ආරක්ෂක විශේෂඥයින් පවසන පරිදි, පාරිභෝගිකයෙකුගේ “සුපුරුදු” හැසිරීම් රටාවෙන් බැහැර වන ගනුදෙනු ක්ෂණිකව හඳුනාගෙන ඒවා තාවකාලිකව අත්හිටුවීමට හෝ අමතර තහවුරු කිරීම් ලබාගැනීමට (Step-up authentication) දියුණු බැංකු පද්ධති සමත් විය යුතුය.

පාරිභෝගිකයින් “ට්‍රස්ට්” (Trust) හෙවත් විශ්වාසය තබන්නේ බැංකුවේ පද්ධති සුරක්ෂිත යැයි සිතාය. නමුත්, “නිවැරදි මුරපදය භාවිතා කළා” යන තාක්ෂණික තර්කය පමණක් පාරිභෝගිකයින්ගේ ආරක්ෂාව තහවුරු කිරීමට ප්‍රමාණවත් ද?

නිගමනය සහ ඉදිරි පියවර

මෙම සිදුවීම, ශ්‍රී ලංකා මහ බැංකුව (CBSL) සහ සයිබර් විමර්ශන අංශ වෙත බරපතල අභියෝගයක් එල්ල කරයි. බැංකු පද්ධතිවල පවතින ආරක්ෂක අවම ප්‍රමිතීන් (Minimum Security Standards) යාවත්කාලීන කිරීමේ අවශ්‍යතාවය මින් මනාව පිළිඹිබු වේ.

දැනට පවතින සයිබර් අපරාධ රැල්ල හමුවේ, බැංකු පාරිභෝගිකයින්ට තමන්ගේ ඩිජිටල් උපාංගවල ආරක්ෂාව පිළිබඳව පෙරට වඩා දැඩි සැලකිල්ලක් දැක්වීමට සිදුවනු ඇත. අපරාධ පරීක්ෂණ දෙපාර්තමේන්තුවේ විමර්ශනවල ප්‍රගතිය මත, මීළඟට කුමක් සිදුවේදැයි අප බලාපොරොත්තුවෙන් සිටිය යුතුය.