19 दिसंबर 2022

भारतीय रिज़र्व बैंक ने बैंक ऑफ बहरीन एंड कुवैत बीएससी, भारत में परिचालन
पर मौद्रिक दंड लगाया

भारतीय रिज़र्व बैंक (आरबीआई) ने दिनांक 12 दिसंबर 2022 के आदेश द्वारा, बैंक ऑफ बहरीन एंड कुवैत बीएससी, भारत में परिचालन (बैंक) पर भारतीय रिज़र्व बैंक द्वारा जारी ‘बैंकों में साइबर सुरक्षा ढांचा' संबंधी निदेशों के अननुपालन के लिए ₹2.66 करोड़ (दो करोड़ छियासठ लाख रुपये मात्र) का मौद्रिक दंड लगाया है। यह दंड, बैंककारी विनियमन अधिनियम, 1949 (अधिनियम) की धारा 46 (4) (i) के साथ पठित धारा 47 ए (1) (सी) के प्रावधानों के अंतर्गत भारतीय रिज़र्व बैंक को प्रदत्त शक्तियों का प्रयोग करते हुए लगाया गया है।

यह कार्रवाई विनियामक अनुपालन में कमियों पर आधारित है और इसका उद्देश्य उक्‍त बैंक द्वारा अपने ग्राहकों के साथ किए गए किसी भी लेनदेन या करार की वैधता पर सवाल करना नहीं है।

पृष्ठभूमि

अक्तूबर 2021 में भारतीय रिज़र्व बैंक द्वारा किए गए बैंक की सूचना प्रौद्योगिकी संबंधी जांच, बैंक द्वारा भारतीय रिज़र्व बैंक को रिपोर्ट की गई साइबर सुरक्षा घटना और उक्त से संबंधित सभी पत्राचारों से पता चला कि उस सीमा तक उपर्युक्त निदेशों का अननुपालन किया गया है, जिस सीमा तक बैंक (i) अपने डेटाबेस में असामान्य और अनधिकृत, आंतरिक या बाह्य गतिविधियों का पता लगाने के लिए प्रणाली को कार्यान्वित करने; (ii) बैंक की सुरक्षा स्थिति में तत्काल /निकट-तत्काल जानकारी और अंतर्दृष्टि प्राप्त करने के लिए सुरक्षा परिचालन केंद्र को कार्यान्वित करने; (iii) डेटाबेस और सर्वर की परिचालन प्रणाली के लिए लेखा-परीक्षा लॉग सक्षम करने; (iv) अंत-बिंदुओं पर प्रशासनिक अधिकारों को अस्वीकार करने; (v) महत्वपूर्ण सर्वरों तक पहुँचने के लिए बहु-कारक प्रमाणीकरण लागू करने; (vi) महत्वपूर्ण सर्वरों तक पहुंच की अनुमति, प्रबंधन और निगरानी के लिए उचित प्रणाली और नियंत्रण कार्यान्वित करने; (vii) साइबर संकट प्रबंधन योजना कार्यान्वित करने; (viii) तत्काल आधार पर अलर्ट उत्पन्न करने के लिए एक प्रणाली को कार्यान्वित करने, केंद्रीकृत निगरानी समाधान के साथ लॉग को एकीकृत करने और अलर्ट/लॉग की समीक्षा करने; और (ix) एप्लिकेशन, डेटाबेस और परिचालन प्रणाली की महत्वपूर्ण फाइलों की अखंडता सुनिश्चित करने के लिए एक तंत्र स्थापित करने में विफल रहा, जिसके परिणामस्वरूप अनधिकृत घुसपैठ हुई और उसका पता नहीं चल पाया और बाद में साइबर सुरक्षा घटना हुई। उक्त के आधार पर, बैंक को एक नोटिस जारी किया गया जिसमें उनसे यह पूछा गया कि वे कारण बताएं कि भारतीय रिज़र्व बैंक द्वारा जारी निदेशों, जैसा कि उसमें उल्लिखित है, के अनुपालन में विफलता के लिए उस पर दंड क्यों न लगाया जाए।

नोटिस पर बैंक के उत्तर, व्यक्तिगत सुनवाई के दौरान किए गए मौखिक प्रस्तुतियों तथा इसके अतिरिक्त प्रस्तुतियों पर विचार करने के बाद, भारतीय रिज़र्व बैंक इस निष्कर्ष पर पहुंचा है कि भारतीय रिज़र्व बैंक द्वारा जारी उपर्युक्त निदेशों के अननुपालन का आरोप सिद्ध हुआ है और ऐसे निदेशों की अननुपालन की सीमा तक मौद्रिक दंड लगाया जाना आवश्यक है।

(योगेश दयाल) 
मुख्य महाप्रबंधक

प्रेस प्रकाशनी: 2022-2023/1408