वित्तीय क्षेत्रलाई सुरक्षित बनाउन क्यान महासंघले राष्ट्र बैंकलाई दियो साइबर सुरक्षा रोडम्याप

काठमाडौं । नेपालको वित्तीय संस्थालार्ई साइबर खतराबाट जोगाउन क्यान महांघसले नेपाल राष्ट्र बैंकलाई ‘साइबर सुरक्षा रोडम्याप’ हस्तान्तरण गरेको छ।

फेडेरेसन अफ कम्प्यूटर एसोसिएसन नेपाल (क्यान महासंघ) का वरिष्ठ उपाध्यक्ष चिरञ्जीवी अधिकारी आफँैले तयार पारेको उक्त खाका नेपाल राष्ट्र बैंकका गभर्नर विश्वनाथ पौडेललाइ हस्तान्तरण गरेका हुन्।

रणनीतिका मुख्य बुँदाहरूः

१. सुदृढ शासन र नेतृत्व:

यो नीतिले नेपाल राष्ट्र बैंक र सबै वित्तीय संस्थाहरूमा प्रमुख सूचना सुरक्षा अधिकारी (CISO) को अनिवार्य नियुक्तिको व्यवस्था गरेको छ । यसका साथै, बोर्ड-स्तरीय IT जोखिम समिति र नेपाल राष्ट्र बैंकका गर्भनर वा डेपुटी गर्भनरको अध्यक्षतामा उच्चस्तरीय साइबर सुरक्षा समिति गठन गरिनेछ । यसले साइबर सुरक्षालाई उच्च प्राथमिकतामा राखी स्पष्ट भूमिका र जिम्मेवारी तोक्नेछ । नीतिलाई हरेक वर्ष वा कुनै महत्वपूर्ण साइबर घटनापछि अद्यावधिक गरिनेछ ।

२. FinCERT-नेपालको स्थापना:

यो रोडम्यापको मुख्य जगमध्ये एक वित्तीय क्षेत्र कम्प्युटर आपतकालीन प्रतिक्रिया टोली (FinCERT-नेपाल) को स्थापना हो । नेपाल राष्ट्र बैंकको सुपरिवेक्षणमा र CAN महासंघ तथा CSRI नेपालसँगको सहकार्यमा FinCERT-नेपालले निम्न कार्यहरू गर्नेछ:

• वित्तीय संस्थाहरूमा हुने साइबर घटनाहरूको प्रतिक्रिया समन्वय गर्ने ।
• सक्रिय जोखिम मूल्यांकन सञ्चालन गर्ने ।
• वित्तीय संस्थाहरूबीच खतरासम्बन्धी महत्त्वपूर्ण जानकारी आदानप्रदान गर्ने । FinCERT-नेपालले नेपाल प्रहरीको साइबर ब्युरो र npCERT सँग राष्ट्रिय स्तरको घटना व्यवस्थापनका लागि नजिकबाट समन्वय गर्नेछ ।

३. npCERT सँग एकीकरण:

सबै वित्तीय संस्थाहरूलाई npCERT सँग एकीकृत हुन अनिवार्य गरिनेछ । यसले वास्तविक-समयका खतरा अलर्टहरू, समन्वित घटना प्रतिक्रिया र बलियो साइबर खुफिया सहकार्य सुनिश्चित गर्नेछ । NRB ले सहज एकीकरणका लागि npCERT सँग सुरक्षित सञ्चार च्यानल स्थापना गर्नेछ ।

४. CSRI र CAN महासंघसँग रणनीतिक साझेदारी:

सेन्टर फर साइबर सेक्युरिटी रिसर्च एन्ड इनोभेसन नेपाल (CSRI नेपाल) र CAN महासंघसँगको अनिवार्य सहकार्य यस नीतिको महत्वपूर्ण अंग हो । यो साझेदारीले निम्न क्षेत्रमा योगदान पुर्याउनेछ:

अनुसन्धान: वित्तीय क्षेत्रमा विशेष साइबर खतराहरूको गहन अध्ययन ।

तालिम: वित्तीय संस्थाका कर्मचारीहरूका लागि विशेष प्रशिक्षण कार्यक्रमहरू ।

सिमुलेशन अभ्यास: लचिलोपनको परीक्षणका लागि यथार्थवादी साइबर आक्रमण सिमुलेशनहरू । नेपाल राष्ट्र बैंकले राष्ट्रिय साइबर सुरक्षा क्षमताहरू सुदृढ पार्न CSRI सँग संयुक्त पहलहरूमा लगानी गर्ने प्रतिबद्धता व्यक्त गरेको छ ।

५. सक्रिय जोखिम व्यवस्थापन र बलियो नियन्त्रण:

रोडम्यापले कोर बैंकिङ प्रणाली, भुक्तानी प्लेटफर्म, र ग्राहक डेटामा हुने जोखिमहरू पहिचान गर्न त्रैमासिक साइबर जोखिम मूल्यांकनलाई जोड दिन्छ । शून्य-विश्वास सुरक्षा मोडेल, महत्त्वपूर्ण प्रणालीहरूका लागि बहु-कारक प्रमाणीकरण (MFA), न्यूनतम विशेषाधिकार पहुँच, र प्रयोगकर्ता लगहरूको नियमित अडिट अनिवार्य गरिएको छ । डेटा इन्क्रिप्शन (AES-256 वा सो बराबर), डेटा हानि रोकथाम (DLP) उपकरणहरू, र व्यक्तिगत गोपनीयता ऐन २०७५ को पालनालाई प्राथमिकता दिइएको छ । नेटवर्क विभाजन, नियमित जोखिम मूल्यांकन, प्रवेश परीक्षण, र अनिवार्य एन्टिभाइरस/EDR समाधानहरूले सुरक्षालाई थप बलियो बनाउनेछ ।

६. डिजिटल भुक्तानी सुरक्षामा सुधार:

डिजिटल कारोबारमा बढ्दो निर्भरतालाई ध्यानमा राख्दै, नीतिले मोबाइल बैंकिङ, इन्टरनेट बैंकिङ र डिजिटल वालेटहरूका लागि कडा सुरक्षा दिशानिर्देशहरू प्रस्तुत गरेको छ । यसमा MFA, बलियो इन्क्रिप्शन, र DDoS सुरक्षा समावेश छ, साथै सबै डिजिटल प्लेटफर्महरूको नियमित जोखिम परीक्षण गरिनेछ ।

७. व्यापक घटना पहिचान र प्रतिक्रिया:

नेपाल राष्ट्र बैंक र वित्तीय संस्थाहरूका लागि २४/७ सेक्युरिटी अपरेसन सेन्टर (SOC) को स्थापना, SIEM र EDR उपकरणहरूसँग मिलेर, वास्तविक-समयमा विसंगति पहिचान सुनिश्चित गर्नेछ । वित्तीय संस्थाहरूले पहिचान, नियन्त्रण, उन्मूलन, रिकभरी, र सरोकारवालाहरूसँगको सञ्चार समेट्ने विस्तृत साइबर सुरक्षा घटना प्रतिक्रिया योजना (CIRP) कायम राख्नुपर्छ । गम्भीर घटनाहरू २४ घण्टाभित्र नेपाल राष्ट्र बैंकलाई रिपोर्ट गर्नुपर्नेछ, र त्यसको कारण तथा समाधानको विस्तृत जानकारीसहितको फलोअप रिपोर्ट पेस गर्नुपर्नेछ । सुरक्षित, अफ-साइट ब्याकअप र बलियो व्यापार निरन्तरता/आपतकालीन रिकभरी योजनाहरू पनि अनिवार्य छन् ।

८. तेस्रो-पक्ष र क्लाउड सुरक्षा अनुपालन:

सबै तेस्रो-पक्ष विक्रेताहरू र क्लाउड सेवा प्रदायकहरूको लागि उचित लगनशीलता, आवधिक सुरक्षा अडिट, र ISO 27001 वा सो बराबरको मापदण्डहरूको पालना अनिवार्य गरिएको छ ।

९. क्षमता निर्माण र सचेतना:

नेपाल राष्ट्र बैंक र वित्तीय संस्थाका कर्मचारीहरूका लागि वार्षिक अनिवार्य साइबर सुरक्षा तालिम, नेपाल दूरसञ्चार प्राधिकरण (NTA) सँगको सहकार्यमा सार्वजनिक सचेतना अभियान, र सिमुलेशन अभ्यासका लागि उद्योग सहकार्य राष्ट्रभरि साइबर सुरक्षा-सचेत संस्कृति निर्माणका लागि महत्वपूर्ण छन् ।

१०. साइबर सुरक्षा छात्रवृत्ति कोष र नवप्रवर्तन प्रवर्द्धन:

वित्तीय संस्थाहरूले नेपाली विश्वविद्यालयहरूमा साइबर सुरक्षा छात्रवृत्तिका लागि कोष छुट्याउनुपर्ने महत्वपूर्ण कदम चालेको छ, जसको सुपरिवेक्षण नेपाल राष्ट्र बैंकले गर्नेछ । धोकाधडी पत्ता लगाउने प्रविधि, ब्लकचेन सुरक्षा, AI-आधारित खतरा विश्लेषण, र डिजिटल फोरेन्सिक जस्ता क्षेत्रमा अनुसन्धानका लागि CSRI र विश्वविद्यालयहरूसँग उद्योग-शैक्षिक सहकार्यलाई प्रोत्साहन गर्नाले दक्ष जनशक्ति उत्पादन र नवप्रवर्तनलाई बढावा दिनेछ ।

११. आवधिक अडिट र अनुपालन अनुगमन:

नियमित आन्तरिक तथा बाह्य अडिट, वित्तीय संस्थाहरूबाट नेपाल राष्ट्र बैंकमा त्रैमासिक अनुपालन प्रतिवेदन, र गैर-अनुपालनका लागि जरिवाना वा इजाजतपत्र निलम्बन जस्ता कडा दण्डको प्रावधानले कडा कार्यान्वयन सुनिश्चित गर्दछ ।

१२. अनुपालन र प्रवर्तन:

यो नीति विद्यमान राष्ट्रिय कानुन र अन्तर्राष्ट्रिय मापदण्डहरूसँग पूर्ण रूपमा मिल्दोजुल्दो छ, र बारम्बार उल्लंघनले प्रणालीगत जोखिम निम्त्याएमा सुधारका कार्यहरू र इजाजतपत्र निलम्बन जस्ता कदमहरू चाल्न सकिनेमा जोड दिन्छ ।

साथै यो रोडम्याप विभिन्न चरणमा कार्यान्वय गर्न क्यान महासंघले समयरेखा समेत तोकेको छ। यो रोडम्याप नेपालको बैंक तथा वित्तीय संस्थालाई साइबर खतराबाट बचाउन सुरक्षित, लचिलो र विश्वसनीय हुने क्यान महासंघले जनाएको छ।