ඩොලර් මිලියන 2.5 හොරාකාලා රංගව පැටලෙව්ව හැටි!

May 8, 2026 at 05:34 AM

|

Lanka Leader

රංග රාජපක්ෂ මිය ගියේ රටම කළඹවමිනි. රංග මිය යන්නට පෙර ඔහු සතුව තිබුණු වැදගත් ලිපිගොනුවක් අතුරුදහන්ව ඇති බව ඔහු තමාට දැන්වූයේ යැයි ඔහුගේ මිත්‍ර බස් රියදුරකු මුහුණු පොතට ලිපියක් සපයමින් අනාවරණය කර තිබේ. 

රංග ප්‍රසිද්ධ වූයේ ඩොලර් මිලියන 2.5 හොරකම පිළිබඳව රහස් පොලිසියට පැමිණිලි කළ තැනැත්තා වශයෙනි. ඔහුගේ මරණයෙන් පසුව ආණ්ඩුවේ වගකිවයුත්තෙක්, ඒ පැමිණිල්ල කළේ වෙනත් නිලධාරියකු බවට ප්‍රකාශයක් නිකුත් කළේය. 

මේ සියල්ල අතර යම් සම්බන්ධයක් තිබෙන බවක් පෙනේ. ඒ කුමක් දැයි අවබෝධ කරගන්නට නම් සිදුව ඇති දේ මුල සිට සැලකිල්ලෙන් විමසා බැලිය යුතුය.

විදේශ ණය ගෙවීමේ කටයුතු මහ බැංකුවෙන් මුදල් අමාත්‍යංශය යටතට පවරා ගැනීම මේ සිදුවීම් පෙළට පදනම වැටෙන්නට මූලික හේතුවයි. එහිදී, මුදල් අමාත්‍යංශ පරිගණක පද්ධතිය ISO 27001 ප්‍රමිතියට පිහිටුවා නැති බව අනාවරණය වී තිබේ. ISO 27001 යනු වාණිජ බැංකුවල පරිගණක මෙහෙයුම්වල ආරක්ෂාව සහතික කෙරෙන සහ එවන් පද්ධති සඳහා අනිවාර්ය අංගයක් වන අන්තර්ජාතික ප්‍රමිතියකි. ශ්‍රී ලංකා මහබැංකුවේ පරිගණක පද්ධතියද පිහිටුවා ඇත්තේ මේ ප්‍රමිතිය යටතේය.

විදේශ ණය ගෙවීමේ කටයුතු මුදල් අමාත්‍යංශය යටපත පවරා ගත් පසුව එහි පරිගණක පද්ධතියේ ආරක්ෂාව ‘එනබල්’ නමැති ආයතනයට පවරන ලදි. ‘එනබල්’ යනු මුදල් අමාත්‍යංශයේ ලේකම් හර්ෂණ සූරියප්පෙරුම ප්‍රධාන විධායක වශයෙන් කටයුතු කර ඇති ආයතනයක් බවට තොරතුරු තිබේ.

2025 වසරේ අගෝස්තු මාසයට ආසන්න කාලයේ මුදල් අමාත්‍යංශ පරිගණක පද්ධතිය ‘හැකර්’ ප්‍රහාරයකට ලක් විය. එහිදී සොරාගන්නා තොරතුරු සම්භාරයක් ‘අඳුරු වෙබ් අඩවියක’ (Dark web) අලෙවියට තබා තිබුණි.

එයින් පසුව පරිගණක පද්ධතියේ ආරක්ෂාව පිණිස එතෙක් පැවති ‘ටේ‍රන්ඩ් මයික්‍රෝ’ (Trend Micro) වෛරස් ආරක්ෂණ පද්ධතියට අමතරව ‘සොෆොස්’ (Sophos) වෛරස් ආරක්ෂණ පද්ධතියක්ද එකතු කර තිබේ. ‘සොෆොස්’ යනු වර්තමානයේ ඉතාම ඉහළ විශ්වසනීත්වයක් හා පිළිගැනීමක් ඇති, ‘ඒඅයි’ තාක්ෂණය මුසු වෛරස් ආරක්ෂණ පද්ධතියකි.

විදේශ සම්පත් දෙපාර්තමේන්තුවේ පරිගණක පද්ධතියට සයිබර් හැකර්වරුන් ඇතුළු වී ඕස්ට්රේලියාවට ගෙවීමට නියමිතව තිබූ ඇමරිකානු ඩොලර් මිලියන 2.5 කට ආසන්න විදේශ ණය ආපසු ගෙවීම් වංචනිකව වෙනත් පාර්ශ්වයක් වෙත හරවාගෙන ඇති බව මුදල් අමාත්‍යාංශය අනාවරණය කර ඇතැයි 2026 අප්‍රේල් 23 වැනිදා මාධ්‍ය වාර්තා පළ විය.

පසුව ප්‍රකාශ කෙරුණේ, එය හැකරුන් පද්ධතියට ඇතුළු වී කළ දෙයක් නොව, ඊමේල් පණිවිඩයක් මගින් මුදල් සම්ප්‍රේෂණය කිරීමට අලුත් ගිණුම් අංකයක් එවූ වංචාකාරයකු අදාළ මුදල් ලබාගෙන ඇති බවයි. 

මෙය මුලින් කළ ප්‍රකාශයට වඩා සම්පූර්ණයෙන්ම වෙනස් ක්‍රියාදාමයකි. ‘හැක් කිරීම’ යනු දත්ත සොරකම් කිරීමට හෝ හානි කිරීමට පරිගණක පද්ධතියකට අනවසරයෙන් ඇතුළු වීමයි. ඊමේල් හෝ වෙබ් අඩවි හරහා මුරපද, බැංකු ගිණුම් වැනි සංවේදී තොරතුරු ස්වේච්ඡාවෙන් භාර දීමේ මට්ටමට පුද්ගලයින් රවටා ගන්නා උපක්‍රමය හඳුන්වනුයේ ‘පිෂින්’ නමිනි. එය ‘ඇමක්’ දීමකි. හැක් ප්‍රහාර පද්ධතියකට එල්ල වේ. ‘පිෂින්’ මගින් පරිගණක පාවිච්චි කරන පුද්ගලයින් රවටා තොරතුරු ලබාගෙන මුදල් වංචා ආදියට මග පාදා ගැනේ.

මෙහිදී පැනනැගෙන බරපතලම ගැටලුව, මෙය සිදුවිය හැක්කක්ද යන්නයි. අපට දැනගන්නට ලැබුණු ආකාරයට අදාළ ඕස්ට්රේලියානු බැංකුවේ ඊමේල් ලිපිනයේ අගට ඉංග්‍රීසි ‘gov’ අකුරු තුන ඇතුළත්ය. එයින් අවධාරණය වන්නේ එය රාජ්‍ය ආයතනයක ලිපිනයක් බවයි. නමුත් ව්‍යාජ ගිණුම් අංකය එවා ඇත්තේ එම අකුරු තුන නැති ‘com’ අගට ඇති ලිපිනයක් මගිනි. ‘සොපෝස්’ වැනි වෛරස් ආරක්ෂණ පද්ධතිවලට මෙවැනි ව්‍යාජ ඊමේල් පණිවිඩ ඉතා පහසුවෙන්ම හඳුනාගැනීමට පුළුවන. එසේ හඳුනාගත් සැණින් වෛරස් ආරක්ෂණ පද්ධතියෙන් අනතුරු ඇඟවීමේ නිවේදනයක් නිකුත් කෙරෙයි. වෛරස් ආරක්ෂණ පද්ධති දෙකක් රවටමින් මෙවැනි ව්‍යාජ ඊමේලයක් පරිගණකයකට ඇතුළු වීම විශ්වාස කළ හැක්කක් නොවේ.

එවැනි අනතුරු ඇඟවීමක් නොතකා හැර මේ සා විශාල මුදලක් ගෙවන්නට කිසිදු නිලධාරියකු පෙළඹෙන්නේ නැත. නීති රෙකුලාසිවලට අනුවද ඔවුන්ට එවැනි බලයක්ද නැත. එවැනි අවස්ථාවක අනිවාර්යයෙන්ම ඉහළ නිලධාරීන්ගේ අවධානයට යොමු කිරීමත් එයින් පසුව අදාළ නීත්‍යනුකූල ක්‍රමවේද අනුගමනය කරමින් මුදල් සම්ප්‍රේෂණය කිරීමත් සිදු වේ.

(දැන් ආණ්ඩුවේ පාර්ශ්වයන් අවධාරණය කරන්නේ රංග රාජපක්ෂ මේ වෙනස හඳුනා නොගෙන මුදල් සම්ප්‍රේෂණය කළ නිසා මේ මුදල රටට අහිමිවූ බවයි.) 

අන්තර් රාජ්‍ය සම්ප්‍රේෂණ සඳහා ලැබෙන ගිණුමක් වෙනස් කිරීම සඳහා විධිමත් රාජ්‍ය තාන්ත්‍රික සහ මූල්‍ය සත්‍යාපන ක්‍රියාමාර්ග අවශ්‍යය. නිල රාජ්‍ය තාන්ත්‍රික සටහනක් සහ මූල්‍ය රෙගුලාසිවලට අනුකූල වීම සහතික කිරීම සඳහා යාවත්කාලීන කරන ලද SWIFT/භාණ්ඩාගාර ගෙවීම් උපදෙස් ආදිය ඊට ඇතුළත් වේ. එහිදී ලේඛන යාවත්කාලීන කිරීම, නිල මාර්ග හරහා නව බැංකු තොරතුරු තහවුරු කිරීම සහ නව ගිණුමට ජාත්‍යන්තර රාජ්‍ය සම්ප්‍රේෂණ භාරගත හැකි බව සහතික කිරීම ආදිය සිදු කෙරේ.

එහෙයින් මෙය රංග රාජපක්ෂගේ නොසැලකිලිමත්කම නිසා සිදුවූ දෙයක් නොව එයින් එහා ගිය සූක්ෂ්ම සැලැස්මක ප්‍රතිපලයකි. සැලසුම වැරදුණේ, රංගගේ පැමිණිල්ල නිසා වීමට ඉඩ තිබේ. සිදුවන්නට ඇත්තේ කුමක්ද?

මෙය මුදල් අමාත්‍යංශ ලේකම්වරයාද ඇතුළු යම් පිරිසක් සහ ‘එනබල්’ ආයතනයේ යම් පිරිසක් සම්බන්ධ සූක්ෂ්ම වංචාවක් යැයි අපි යෝජනා කරමු. හේතුව, නව ගිණුම් අංකයකට මුදල් සම්ප්‍රේෂණය කිරීමේදී අමාත්‍යංශ ලේකම්වරයාගේද අනුමැතිය ලැබිය යුතු බැවිනි.

වංචනිකයන් කණ්ඩායම උත්තේජනය ලබන්නේ, 2025 අගෝස්තු සමයේ සිදුවූ හැකර් ප්‍රහාරයෙනි. ඔවුන්ගේ සැලසුම, හැකිතාක් කල් හොර ගිණුමට මුදල් සම්ප්‍රේෂණය කර අවසානයේ ‘හැකරුන්’ පිට වරද පටවා, චූදිතයන් නොමැතිව නිදහස් වීමයි. ‘හැකර්’ ප්‍රහාරයකින් මුදල් වෙනත් පාර්ශ්වයකට ගොස් ඇතැයි පළමුව නිවේදනය කෙරෙන්නේ ඒ සැලසුමට අනුවය.

‘එනබල්’ ආයතනයට සම්බන්ධ පුද්ගලයන් හා මුදල් අමාත්‍යංශයේ ඉහළම නිලධාරීන් එකතු වූ විට මෙය පහසුවෙන් ක්‍රියාත්මක කළ හැකිය. පද්ධතියේ ‘ආරක්ෂකයින්’ ඔවුන් නිසා පද්ධතියේ ‘ආරක්ෂකයින්’ ඔවුන් නිසා, මුදල් සම්ප්‍රේෂණය කිරීමට නියමිත දින, මුදල් ප්‍රමාණ ආදි දත්ත සියල්ල ඔවුන්ට පහසුවෙන් ලබාගත හැකිය. මේ ව්‍යාජ ඊමේල් ගිණුමේ නිෂ්පාදකයාත් ගිණුම් හිමියාත් ඔවුන් අතරම සිටිය යුතුය.

රංග රාජපක්ෂගේ නැති වු ලිපිගොනුවේ තිබෙන්නට ඇත්තේ මේ වංචාවට සම්බන්ධ පුද්ගලයින් හා ඔවුන්ගේ පරිගණක ක්‍රියාකාරකම් පිළිබඳ විස්තර විය හැකිය. 

නරියාට කුකුල් කොටුව බාරදුන්නා වගේ යැයි ගැමියන් අතර කතාවක් තිබේ.

(මුහුණු පොතෙන් උපුටා ගන්නා ලදී)