कानुन र संयन्त्र निर्माणमा सरकारको तदारुकता कमजोर, शनिबारको घटना चेतावनीको घन्टी
साइबर सुरक्षामा सरकारको बेवास्ताले राष्ट्रिय सुरक्षामै खतरा पैदा हुने जोखिम छ । साइबर सुरक्षाका जानकारहरू चार सयभन्दा बढी सरकारी वेबसाइट डाउन र अन्तर्राष्ट्रिय उडान प्रभावित हुने गरी शनिबार भएको साइबर आक्रमण नेपाललाई ‘चेतावनीको घन्टी’ मात्र भएको बताउँछन् ।
साइबर सुरक्षामा राज्य संवेदनशील भएर पूर्वतयारी नथाल्ने हो भने देशै ठप्प हुने गरी ठूला किसिमका साइबर आक्रमण हुन सक्ने सरकारी अधिकारीकै पनि चिन्ता छ । बढेको चुनौती सामना गर्न राज्य संयन्त्र भने तयार देखिँदैन ।
अध्ययन टोलीले सम्भावित जोखिमबारे प्रतिवेदन दिए पनि साइबर सुरक्षामा सरकारले गम्भीर बेवास्ता गरिरहेको छ । साइबर सुरक्षासम्बन्धी कानुन र संयन्त्र निर्माणमा सरकारको तदारुकता कमजोर देखिएको छ ।
पछिल्ला वर्ष प्रधानमन्त्री तथा मन्त्रीहरूले डिजिटल नेपालको नारा लगाइरहँदा साइबर सुरक्षाको जोखिमको विषयमा भने उनीहरू गम्भीर छैनन् । यसको एउटा उदाहरण राष्ट्रिय साइबर सुरक्षा नीतिको बेवास्ता हो । दुई वर्षअघि नै सञ्चार तथा सूचना प्रविधि मन्त्रालयले यससम्बन्धी मस्यौदा बनाएको थियो । जुन मस्यौदा करिब ६ महिना मन्त्रालयमै रह्यो भने आठ महिना मन्त्रिपरिषद्मा पुगेर पनि पारित हुन सकेन । सरकार परिवर्तन भएपछि अहिले पनि साइबर सुरक्षा नीतिको मस्यौदा सञ्चार मन्त्रालयमै फर्किएको छ अर्थात् अहिलेसम्म देशले साइबर सुरक्षा नीतिसमेत बनाउन सकेको छैन ।
राज्यले सेवा–प्रवाहलाई सूचना प्रविधिमा जोडिरहेको छ । राष्ट्रिय परिचयपत्र, राहदानी, सवारीचालक अनुमतिपत्रजस्ता सेवा अनलाइनमा आधारित हुँदै आएको छ । सरकारी कामहरू डिजिटल प्रणालीमा रूपान्तरण भइरहँदा सँगसँगै त्यसको सुरक्षामा पनि जोखिम बढ्दै गएको हो ।
राष्ट्रिय सुरक्षा प्रविधि केन्द्रको डाटा सेन्टरमा ‘डस अट्याक’ हुँदा अन्तर्राष्ट्रिय विमानस्थल घन्टौँ अस्तव्यस्त बन्न पुग्यो भने झन्डै चार सय सरकारी वेबसाइड नचल्दा सर्वसाधारणले दुःख पाएका थिए । गत वर्ष गृह मन्त्रालयले तयार पारेको प्रतिवेदनमा सरकार गम्भीर बनेको भए शनिबारको घटना रोकिन पनि सक्थ्यो ।
विद्यमान साइबर सुरक्षाका चुनौतीका विषयमा गृह मन्त्रालयका सहसचिव डा. भीष्मकुमार भुसाल नेतृत्वको अध्ययन टोलीले प्रतिवेदन बनाएको थियो, जसले सुरक्षा संगठनसहित सरकारका विभिन्न निकायको प्रतिनिधि सदस्य रहेको सो अध्ययन समितिले सरकारी सर्भरमा जुनसुकै वेला साइबर आक्रमण हुन सक्ने औँल्याएको थियो, जुन शनिबार भयो नै ।
प्रतिवेदनमा यस्तो साइबर आक्रमणले राष्ट्रिय सुरक्षामा पनि चुनौती हुने उल्लेख छ । ‘राष्ट्रिय तथा अन्तर्राष्ट्रिय संवेदनशील विषयमा विवाद बढेका वेला सरकारी तथा निजी क्षेत्रका महत्वपूर्ण प्रणालीमा साइबर आक्रमणको क्रम बढेर गएको देखिन्छ,’ गृहको प्रतिवेदनमा छ, ‘सरकारी निकायहरूको वेबसाइट डिफेसमेन्ट, वित्तीय प्रणाली एवं अन्य महत्वपूर्ण प्रणालीहरूमा अनधिकृत पहुँच वा सेवा अवरुद्ध गर्नेलगायतका साइबर आक्रमण राष्ट्रिय सुरक्षाका दृष्टिकोणले पनि चुनौतीपूर्ण छन् ।’
गृहको अध्ययन कार्यदलले तीन किसिमको साइबर सुरक्षा जोखिम औँल्याएको छ– व्यक्तिगत तथा पारिवारिक, सांगठनिक र राष्ट्रिय सुरक्षा । बढ्दो साइबर अपराध तथा आक्रमणका घटनाले तीनै किसिमका साइबर सुरक्षाका जोखिम बढेको पछिल्ला गतिविधिले देखाउँछ । सो अध्ययनले सरकारी क्षेत्र, सुरक्षा निकाय, बैंकिङ क्षेत्र, गैरसरकारी संस्था, एयरलाइन्स, इन्टरनेट सेवा प्रदायकमा साइबर सुरक्षाको बढी जोखिम औँल्याइएको छ ।
नेपालको निजी क्षेत्रमा पनि साइबर आक्रमण हुँदै आएको छ । तीन वर्षअघि एक बैंकमा ह्याकरले आक्रमण गरी ४६ करोड चोरेका थिए, समयमै जानकारी गराई बैंकले धेरै रकम फिर्ता ल्याउन सफल भएको थियो । बैंकिङ क्षेत्रमा हुने कतिपय साइबर आक्रमणका घटना गोप्य नै रहने गरेका छन् । पछिल्ला वर्ष बैंकहरूले भने साइबर सुरक्षामा लगानी बढाएका छन् ।
राष्ट्रिय अनुसन्धान विभागका पूर्वप्रमुख गणेश अधिकारी साइबर सुरक्षा राष्ट्रिय सुरक्षाको महत्वपूर्ण पाटो भए पनि राज्यले बेवास्ता गर्दै आएको बताउँछन् । अहिलेको अवस्थामा सुधार नभए आगामी दिन झन् भयावह हुन सक्ने उनी बताउँछन् । ‘नेपालमा सरकारी सूचनाहरू डिजिटल प्रणालीमा सुरक्षित गर्ने काम भइरहेको छ, डिजिटल प्रणालीबाट सेवा प्रवाह गर्ने गरी ई–गभर्नेन्स लागू भएको छ,’ उनी भन्छन्, ‘तर, सरकारी विद्युतीय प्रणालीको अवस्था अत्यन्त असुरक्षित देखिन्छ । त्यसकारण आन्तरिक तथा बाह्य क्षेत्रबाट कुनै पनि वेला शनिबार भएजस्तै फेरि पनि आक्रमण हुन सक्छ र त्यसले सम्रग शासन प्रणाली नै ठप्प हुन सक्ने अवस्था छ ।’ सरकारी मात्र नभई बैंकिङ तथा निजी क्षेत्रमा पनि साइबर आक्रमणको ठूलो त्रास रहेको उनी बताउँछन् । राष्ट्रिय अनुसन्धान विभागले पनि पटक–पटक यो विषयमा सजग गराउँदै आएको छ ।
सञ्चार तथा सूचना प्रविधि मन्त्रालयका प्रवक्ता सेवन्तक पोखरेल साइबर सुरक्षाको जोखिम बढेकोमा सरकार गम्भीर रहेको बताउँछन् । जोखिम न्यूनीकरणका लागि कानुन बनाउनेदेखि दक्ष जनशक्तिको सहयोग लिने काम भइरहेको उनले बताए । साइबर सुरक्षाका लागि दक्ष जनशक्तिको अभाव छ र नियमन गर्ने शक्तिशाली निकाय छैन ।
राष्ट्रिय सूचना प्रविधि केन्द्रका प्रवक्ता रमेशप्रसाद पोखरेल साइबर आक्रमणको जोखिम कम गर्न सरकारी तथा निजी क्षेत्र सबै मिलेर अघि बढ्नुपर्ने बताउँछन् । ‘यससम्बन्धी विज्ञहरू सरकारमा भन्दा बाहिर धेरै हुनुहुन्छ,’ उनी भन्छन्, ‘यस्ता आक्रमणहरू भोलिका दिनमा पनि नहोलान् भन्न सकिन्न, त्यसका लागि सबै मिलेर अघि बढ्नुपर्छ ।’ शनिबारको घटनापछि त्यस्तो आक्रमण भएको वेला कमजोरी पत्ता लगाएर त्यसलाई कसरी छिटो हटाउने भन्नेमा आफूहरूले छलफल थालेको उनी बताउँछन् । यसका लागि विज्ञ कर्मचारी र तालिमको अभाव रहेको उनले स्विकारे ।
न कानुन, न संयन्त्र
राष्ट्रिय सुरक्षा नीति, २०७५ ले साइबर सुरक्षासम्बन्धी नीति तथा कानुनको आवश्यकता औँल्याएको थियो । तर, साइबर सुरक्षा बलियो बनाउन राज्य नीतिगत र भौतिक दुवै रूपमा तयार छैन । यसमा राज्यको खेलाँची कस्तो छ भन्ने बुझ्न राष्ट्रिय साइबर सुरक्षा केन्द्र स्थापनाको तयारी हेर्दा पनि प्रस्ट हुन्छ । नीतिगत निर्णय लिएको तीन वर्ष हुन लाग्दा पनि केन्द्रले मूर्तरूप पाउन सकेको छैन ।
आर्थिक वर्ष ०७६/७७ को बजेटमा नै केन्द्र स्थापनाको घोषणा भयो । तर, अझै यसको प्रक्रिया सुरु भएको छैन । केन्द्र स्थापनाका लागि सञ्चार मन्त्रालयले अध्ययन गर्न बल्ल प्रक्रिया अघि बढाएको छ । विगतका दुई वर्षमा अध्ययनका लागि छुट्याइएको बजेटसमेत फ्रिज भयो । यो वर्ष परामर्शदातामार्फत यसको अध्ययन गर्न लागिएको छ । साइबर सुरक्षाको जोखिम बढ्दै गएपछि यससँग सम्बन्धित सबै क्षेत्रको नियमनदेखि अनुसन्धान गर्ने उद्देश्यले यस्तो केन्द्र स्थापना गर्ने घोषणा भएको थियो ।
अहिलेसम्म साइबर सुरक्षा ऐन पनि बनेको छैन । साइबर सुरक्षासम्बन्धी छाता ऐन संसद्मा पुगेकोमा विवाद भएपछि फिर्ता भएको थियो । सञ्चार मन्त्रालयका प्रवक्ता सेवन्तक पोखरेलका अनुसार साइबर सुरक्षा ऐनको मस्यौदा बनाउने काम भइरहेको छ । ‘साइबर नीति अन्तिम अवस्थामा छ,’ उनी भन्छन्, ‘ऐन बनाउन हामीले छलफल अघि बढाइसकेका छौँ ।’
कानुन र राज्यसंयन्त्र नहुँदा यो क्षेत्रको नियमनसमेत हुन सकेको छैन । नियमन गर्ने कानुन र निकाय दुवै छैन । ‘कहिले कतिपय कम्पनीहरूले सफ्टवेयर अडिटिङ गर्छन्,’ सञ्चार मन्त्रालयकै एक अधिकारी भन्छन्, ‘त्यस्ता कम्पनीमाथि समेत हाम्रो पहुँच छैन ।’
जोखिमको अर्काे कारण राज्यले सफ्टवेयरमा लगानी गर्न सकेको छैन । सरकारी कार्यालयहरूले नै माइक्रोसफ्ट अफिस प्रोगामको अनधिकृत सफ्टवेयर प्रयोग गर्दै आएका छन् । यस्ता सफ्टवेयर अपडेट नहुने भएकाले ह्याकिङको जोखिम हुन्छ । सक्कली सफ्टवेयर प्रयोग गर्दा अर्बौँ खर्च हुने भएकाले अनधिकृत सफ्टवेयर प्रयोग गर्न बाध्य भएको सञ्चार मन्त्रालयका एक कर्मचारी बताउँछन् । सरकारी कर्मचारीहरूलाई नै साइबर सुरक्षाको आधारभूत तालिमसमेत दिने प्रणाली बन्न सकेको छैन ।
अर्काेतर्फ नेपालको अन्य देशहरूसँग कानुनी सहायता सन्धि नहुँदा यस्ता आक्रमणको विषयमा अनुसन्धानका लागि अन्य देशसँग सहकार्यसमेत हुने गरेको छ । अनुसन्धानमा एक देशले अर्काे देशलाई सघाउन यस्तो सन्धि आवश्यक हुन्छ ।
प्रहरीमा साइबर ब्युरोको स्थापना भए पनि यसको क्षमता वृद्धिमा चासो दिइएको छैन । ब्युरोमा पर्याप्त जनशक्ति र प्रविधिको समस्या रहेको प्रहरी अधिकारी बताउँछन् । जसकारण ब्युरो सामाजिक सञ्जालमार्फत हुने चरित्रहत्या तथा ठगीका घटनाको अनुसन्धानमा मात्र केन्द्रित छ ।
साइबर सुरक्षाविज्ञविहीन सरकार
सूचना प्रविधि मन्त्रालयको सूचना प्रविधि महाशाखाअन्तर्गत राष्ट्रिय साइबर सुरक्षा अनुगमन केन्द्र छ । जहाँ जम्मा दुईजना इन्जिनियर छन् । २४ सै घन्टा सक्रिय हुनुपर्ने यस्तो केन्द्रको मुख्य काम सरकारी सिस्टम तथा सर्भर अनुगमन गरी अस्वाभाविक ट्राफिक देखिए तत्काल जानकारी गराउने हो । तर, कर्मचारी अभावमा केन्द्र प्रभावकारी छैन । अर्काेतर्फ मन्त्रालयमा पनि साइबर सुरक्षाविज्ञ छैनन् । केन्द्रअन्तर्गत निजी कम्पनीमार्फत यस्तो कामको जिम्मा दिन लागिएको छ । साइबर सुरक्षाको यस्तो गम्भीर कामको जिम्मेवारी निजी कम्पनीलाई दिनु नै जोखिम भएको सञ्चार मन्त्रालयकै एक कर्मचारी बताउँछन् । राष्ट्रिय सूचना प्रविधि केन्द्रमा पनि यससम्बन्धी हेर्ने कर्मचारी करारमा छन् । यसका लागि निजामती सेवामा छुट्टै सूचना प्रविधि सेवाको आवश्यकता औँल्याइएको छ । सञ्चार मन्त्रालयका प्रवक्ता पोखरेल पनि जनशक्तिको अभाव रहेको र त्यसका लागि सूचना प्रविधि सेवा आवश्यक भएको बताउँछन् ।
बढ्दो साइबर सुरक्षासँग जोड्न कतिपय देशले यससम्बन्धी काम गर्ने कार्यालयलाई बजेटमा सिलिङ नै नराखी खर्च गर्न थालेका छन् । तर, नेपालको हकमा एकातर्फ लगानी कम छ भने अर्काेतर्फ भएको बजेट पनि अपारदर्शी खरिद प्रक्रियामा धेरै सकिने गरेको छ ।
अस्तव्यस्त साइबर अडिट, ल्याब पनि छैन
साइबर सुरक्षाकै लागि भनेर राष्ट्रिय सूचना प्रविधि विभाग स्थापना भएको छ । तर, यसले सरकारी निकायका ‘सिस्टम’ वर्षमा एकपटक पनि अडिट गर्न भ्याउँदैन । विभागका एक अधिकारीका अनुसार एउटै ‘सिस्टम’ अडिट गर्न दुई दिनसम्म लाग्छ । तर, विभागले वर्षमा पाँच सयभन्दा धेरै ‘सिस्टम’ अडिट गर्नुपर्ने हुन्छ । समयमा ‘सिस्टम’ अडिट हुन नसक्दा जोखिम बढिरहेको छ । अर्काेतर्फ साइबर सुरक्षासम्बन्धी ल्याबसमेत स्थापना हुन सकेको छैन ।
पैसाकै लागि पनि हुन्छ साइबर आक्रमण
नेपालमा अहिलेसम्म धेरजसो ‘डक अट्याक’ भएका छन्, जसको मुख्य उद्देश्य सेवाप्रवाह रोक्नु हो । तर, कतिपय देशमा फिरौतीका लागि पनि साइबर आक्रमण हुन थालेका छन् । त्यस्तो आक्रमण रोक्नु निकै चुनौतीपूर्ण छ । पैसाकै लागि हुने साइबर आक्रमणलाई साइबर सुरक्षाको भाषामा ‘र्यान्समवेयर’ भनिन्छ । यस्तोमा कुनै सिस्टमभित्रै पहुँच पुर्याएर ह्याकरले पैसा माग्ने गर्दछन् । नेपालमा पनि कतिपय व्यवसायी यस्तो ह्याकिङमा परिसकेका छन् । एक व्यवसायीका ठेक्कासम्बन्धी डकुमेन्ट ह्याक गरेर ह्याकरले पैसा मागेका थिए । ‘भोलिपल्ट करोडौँको ठेक्का थियो, अघिल्लो दिन त्यसरी बिडिङ डकुमेन्ट नै ह्याक भयो,’ ती व्यवसायी भन्छन्, ‘ह्याकरलाई पैसा तिर्नुको विकल्प भएन ।’
शनिबारको आक्रमण इजरायलदेखि फ्रान्सबाट सम्म
शनिबार सरकारी डाटा सेन्टरमा भएको साइबर आक्रमण इजरायल र फ्रान्सलगायतका देशबाट भएको राष्ट्रिय सूचना प्रविधि केन्द्रले जनाएको छ । लग विश्लेषण गर्दा ती देशबाट धेरै ट्राफिक आएको पाइएको केन्द्रका प्रवक्ता रमेश पोखरेलले बताए । तर, आक्रमणको कारण खुल्न नसकेको र थप जाँचबुझ भइरहेको केन्द्रले जनाएको छ ।
सेवा प्रवाह अवरुद्ध गर्ने उद्देश्यले हुने आक्रमणलाई ‘डस अट्याक’ भनिन्छ । कुनै सर्भरमा भाइरसमार्फत अत्यधिक ट्राफिक प्रवाह गरेर सर्भर नचल्ने बनाइन्छ । तर, यस्तो आक्रमणमा डाटा भने सुरक्षित हुन्छन् । पैसा माग्न, कुनै सिस्टम कमजोर देखाउन तथा कुनै प्रतिशोध साध्न पनि साइबर दुनियाँमा यस्ता आक्रमण हुने गरेको पाइन्छ ।
शनिबारको आक्रमणमा डाटा ह्याकिङ नभएको केन्द्रले जनाएको छ । यस्तो आक्रमण पछि पनि हुन सक्ने भएकाले त्यसलाई न्यूनीकरण गर्न विज्ञहरूसँग छलफल गरिने प्रवक्ता सेवन्तक पोखरेल बताउँछन् । ‘यस्ता आक्रमण अन्य देशमा पनि भइरहेका हुन्छन्,’ उनी भन्छन्, ‘आक्रमण हुँदा कसरी छोटो समयमै त्यसलाई निष्क्रिय बनाउन सकिन्छ भनेर छलफल थालेका छौँ, यसमा निजी क्षेत्रमा रहेका विज्ञको पनि राय र सहयोग लिन्छौँ ।’
गृहको प्रतिवेदनले भनेको थियो– साइबर आक्रमण राष्ट्रिय सुरक्षाका दृष्टिकोणले पनि चुनौतीपूर्ण छन्
विद्यमान साइबर सुरक्षाका चुनौतीका विषयमा गृह मन्त्रालयका सहसचिव डा. भीष्मकुमार भुसाल नेतृत्वको अध्ययन टोलीले प्रतिवेदन बनाएको थियो, जसले सुरक्षा संगठनसहित सरकारका विभिन्न निकायको प्रतिनिधि सदस्य रहेको सो अध्ययन समितिले सरकारी सर्भरमा जुनसुकै वेला साइबर आक्रमण हुन सक्ने औँल्याएको थियो, जुन शनिबार भयो नै । प्रतिवेदनमा यस्तो साइबर आक्रमणले राष्ट्रिय सुरक्षामा पनि चुनौती हुने उल्लेख छ । ‘राष्ट्रिय तथा अन्तर्राष्ट्रिय संवेदनशील विषयमा विवाद बढेका वेला सरकारी तथा निजी क्षेत्रका महत्वपूर्ण प्रणालीमा साइबर आक्रमणको क्रम बढेर गएको देखिन्छ,’ गृहको प्रतिवेदनमा छ, ‘सरकारी निकायहरूको वेबसाइट डिफेन्समेन्ट, वित्तीय प्रणाली एवं अन्य महत्वपूर्ण प्रणालीहरूमा अनधिकृत पहुँच वा सेवा अवरुद्ध गर्नेलगायतका साइबर आक्रमण राष्ट्रिय सुरक्षाका दृष्टिकोणले पनि चुनौतीपूर्ण छन् ।’ गृहको अध्ययन कार्यदलले तीन किसिमको साइबर सुरक्षा जोखिम औँल्याएको छ– व्यक्तिगत तथा पारिवारिक, सांगठनिक र राष्ट्रिय सुरक्षा । सो अध्ययनले सरकारी क्षेत्र, सुरक्षा निकाय, बैंकिङ क्षेत्र, गैरसरकारी संस्था, एयरलाइन्स, इन्टरनेट सेवा प्रदायकमा साइबर सुरक्षाको बढी जोखिम औँल्याइएको छ ।
राजनीतिक नियुक्तिले झन् जोखिम
साइबर सुरक्षासँग सम्बन्धित क्षेत्रका नियुक्तिमा विज्ञभन्दा सत्तारूढ दलसँग निकट व्यक्ति प्राथमिकतामा पर्ने गरेका छन् । राष्ट्रिय सूचना प्रविधि केन्द्र र विद्युतीय सुशासन आयोगजस्ता निकायमा विज्ञतालाई ध्यानमा नदिई पार्टीनिकट व्यक्ति नियुक्त भएका छन् ।
सूचना प्रविधि केन्द्रको कार्यकारी निर्देशकमा प्रदीप शर्मा पौडेल नियुक्त भएका छन् । त्यस्तै, विद्युतीय सुशासन आयोगमा दीपेश विष्टलाई गत असारमा नियुक्त गरिएको थियो ।
शेरबहादुर देउवा सरकारको पाला दुवैले विज्ञताभन्दा राजनीतिक पहुँचका आधारमा नियुक्ति पाएको सञ्चार मन्त्रालयका अधिकारी बताउँछन् । महत्वपूर्ण निकायको प्रमुखमा राजनीतिक नियुक्ति र अर्काेतर्फ विज्ञ पदमा करारका कर्मचारी हुँदा साइबर सुरक्षा थप चुनौतीपूर्ण बनेको जानकार बताउँछन् ।
नेपाल साइबर सुरक्षामा कमजोर : आइटियू
इन्टरनेसनल टेलिकम्युनिकेसन युनियन (आइटियू)ले पनि नेपाललाई साइबर सुरक्षामा कमजोर देशमा राखेको छ । आइटियूको ग्लोबल साइबर सेक्युरिटी इन्डेक्समा नेपाल पछाडि छ । गत वर्षको मूल्यांकनमा नेपाल ९४औँ स्थानमा थियो । उक्त मूल्यांकनअनुसार दक्षिण एसियामा नेपाल भुटानपछि सबैभन्दा कमजोर रहेको छ । यस वर्ष प्रगति हुन नसकेकाले थप पछि पर्ने जोखिम रहेको सञ्चार मन्त्रालयका अधिकारीको चिन्ता छ ।