मुख्य समाचारफ्रन्ट पेजसमाचारदृष्टिकोणअर्थअन्तर्वार्ताखेलकुदविश्वफिचरप्रदेशपालिका अपडेट
  • वि.सं २०८० चैत १६ शुक्रबार
  • Friday, 29 March, 2024
आनन्दराज खनाल
२०७९ माघ १७ मंगलबार ०८:३४:००
Read Time : > 3 मिनेट
दृष्टिकोण प्रिन्ट संस्करण

सरकारको साइबर सुरक्षामाथि पाँच प्रश्न

Read Time : > 3 मिनेट
आनन्दराज खनाल
२०७९ माघ १७ मंगलबार ०८:३४:००

सरकारको एकीकृत डेटा केन्द्र (जिआइडिसी)मा शनिबार साइबर आक्रमण भयो । हालसम्मकै ठूलो देखिएको साइबर आक्रमणले चार सय सरकारी वेबसाइट डाउन भए, जसले गर्दा सरकारी सेवा मात्रै होइन, अन्तर्राष्ट्रिय उडानसमेत प्रभावित हुन पुग्यो । शनिबार सरकारी वेबसाइटमा भएको आक्रमणले सूचना तथा सञ्चार प्रविधिमा हाम्रो कमजोर धरातलको उजागर गरेको छ । 

साइबर आक्रमण भएपछि यसलाई विभिन्न दृष्टिकोणबाट बाहिरी रूपमा विश्लेषण गर्न थालियो । तर, सबैभन्दा दुःखको विषय के भने सरकारले सो दिन कुनै आधिकारिक सूचनासमेत सार्वजनिक गरेन । उक्त आक्रमण के हो ? ह्याक भएको हो ? आन्तरिक प्राविधिक समस्या हो ? डस अट्याक हो कि के हो ? त्यो त छानबिन तथा अध्ययनले देखाउला । तर, आम नागरिक र सरोकारावालाको मनमा अहिले एउटा प्रश्न खेलिरहेको छ, के सरकारसँग रहेका हाम्रा डेटा सुरक्षित छन्? 

शनिबारको घटनाले एकातर्फ जनताले असुरक्षित महसुस गरेका छन् भने अर्कातर्फ अन्तर्राष्ट्रिय समुदायमा हाम्रो छविलाई धमिलो पारिदिएको छ । त्यसैले उक्त घटनालाई सामान्य ठानेर त्यतिकै सेलाउन दिनुहुँदैन । बरु हाम्रा कमजोरी पहिल्याएर तत्काल सुधार गर्नुपर्छ । आगामी दिनमा यस्ता घटना नहुने गरी तयारी अवस्थामा बस्नुपर्छ । सरकारको साइबर सुरक्षाको अवस्था, समस्या, चुनौती र विश्वसनीयताका सवालमा उठेका र उठ्न सक्ने पाँच प्रश्नको उत्तर खोज्नुपर्छ, त्यसमा छलफल र विमर्श गर्नुपर्छ । 

कति बलियो छ नेपाल सरकारको साइबर सुरक्षा ? :  नेपाल सरकारको साइबर सुरक्षा कति बलियो छ भन्ने विषयलाई सापेक्षतामा हेर्नुपर्ने हुन्छ । यसका लागि हामीले कस्ता साइबर आक्रमणहरूको सामना गर्नुपरिरहेको छ र कसले के प्रयोजनका लागि आक्रमण गरिरहेको छ भन्ने दृष्टिकोणबाट मूल्यांकन गर्नुपर्छ । 

आजसम्म भएका साइबर आक्रमणलाई हेर्ने हो भने मूलतः वेबसाइट ह्याक गर्ने र त्यसको स्थानमा अर्कै सामग्री राखिदिने, (डी) डस अट्याक गरेर वेबसाइटमा पहुँच हुन नदिने, डेटा ‘ब्रिच’ गरेर संवेदनशील विवरण चोरी गर्ने, बैंकिङ प्रणालीमा आक्रमण गरेर आर्थिक अपराध आदि गर्ने गरेको देखिन्छ । यी आक्रमण मूलतः आर्थिक अपराधसँग जोडिएका छन् भने केही भने संवेदनशील सूचनामा जासुसी गर्ने प्रयोजनले अभिप्रेरित छन् । 

अधिकांश संस्था आवश्यकताभन्दा पनि बढी कसैलाई जागिर खुवाउनैका लागि स्थापना गरिएका छन् । राजनीतिक मोलमोलाइबाट भर्ती गरिएका व्यक्तिबाट व्यवस्थित र नेतृत्व दिइएका संस्था न बलिया हुन्छन्, न प्रतिस्पर्धी । साइबर सुरक्षाका दृष्टिले सरकारी संस्थाहरू अत्यन्तै कमजोर साबित भइरहेका छन् ।

भैरव टेक्नोलोजीले सन् २०२२ मा प्रकाशित गरेको राष्ट्रिय साइबर सुरक्षा खतरा प्रतिवेदन, २०२२ अनुसार फिसिङ, स्पियर फिसिङ, मालवेयर, वेब आक्रमण तथा सफ्टवेयरमा भएको कमजोरीलाई आधार बनाएर आक्रमण गर्ने गरी प्रयोगकर्ताको विवरण चोरी गर्ने, वेबसाइट ह्याक गर्ने, सर्भरमा पहुँच हुन नदिने आदि साइबर आक्रमण भएको देखिन्छ । त्यसैगरी, प्रयोग भएका उपकरणमा पनि साइबर आक्रमण भएको देखिन्छ । यी सबैखाले आक्रमणको निशानामा नेपाल सरकारका मन्त्रालय, विभाग, नियामक निकाय, सार्वजनिक संस्था अग्रपंक्तिमा देखिन्छन् । आक्रमणकारीको विवरण, आक्रमणको उद्देश्य र प्रयोग गरिएको प्रविधिलाई विचार गर्दा नेपाल सरकारको साइबर सुरक्षा अत्यन्तै कमजोर रहेको पाइन्छ ।

अहिलेको अवस्थामा कस्ता जोखिम र चुनौती देखिन्छन् ? :  डिजिटल नेपालको परिकल्पना गर्दैगर्दा, इन्टरनेटमा पहुँच सजह हुँदै गर्दा, स्मार्टफोनको प्रयोग बढ्दै अधिकांश सेवा अनलाइन माध्यमबाट प्राप्त हुँदै गर्दा र नेपालमा भएका साइबर आक्रमण हेर्दा आर्थिक उद्देश्यले मात्र नभई क्रमशः सरकारलक्षित, र अत्यन्तै संवेदनशील सेवा दिने सर्भरमा पहुँच हुन नदिनेसम्मका आक्रमण भएको देखिन्छ । यस्तै, नेपाल–भारत सम्बन्धमा तिक्तता आउँदा देखिएका गतिविधि हेर्दा र नेपाल भू–राजनीतिक विवादको केन्द्र बन्दै गर्दा जोखिम कम हुनेभन्दा बढ्दै जाने देखिन्छ ।

हाम्रा लागि सबैभन्दा ठूलो चुनौती भनेको राजनीतिक नेतृत्व र सरकारी कर्मचारीहरूमा साइबर सुरक्षा र त्यसको तयारीप्रतिको उदासीनता र ढिलासुस्ती, उनीहरूमा भएको अज्ञानता आदि नै हो । उनीहरूमा समयको चाप कहिल्यै महसुस गर्न सकिन्न । यो चुनौतीका रूपमा रहिरहेको छ । भाषण मात्रै गरेर नेपालको साइबर स्पेस सुरक्षित हुँदैन भन्ने ज्ञान दिनु अर्को चुनौती हो ।

उदाहरणका लागि नेपाल दूरसञ्चार प्राधिकरणले सन् २०१६ मा तर्जुमा गरेर मन्त्रालयमा सिफारिस गरेको ‘राष्ट्रिय साइबर सुरक्षा नीति’ आजसम्म पनि मन्त्रालयको कुनै कर्मचारीको घर्रामा थन्किएर बसिरहेको छ । साइबर अपराधसम्बन्धी कानुन नै बनेको छैन । प्राधिकरणले मस्यौदा तयार गरेर मन्त्रालयमा पठाएको थियो । सूचना प्रविधि विधेयक संसद्मा विचाराधीन भएको तीन वर्षभन्दा बढी भयो ।

सरकारी आइसिटी प्रणालीको अडिट हुन्छ ? :  सञ्चार तथा सूचना प्रविधि मन्त्रालयअन्तर्गतको सूचना प्रविधि विभागले सार्वजनिक गरेको विवरणअनुसार आर्थिक वर्ष ०७६/७७ देखि विभागले सूचना प्रविधि प्रणाली सुरक्षा परीक्षण सुरु गरेको देखिन्छ । आव ०७६/७७ मा ३७ वटा सरकारी निकायका ४६ वटा वेबसाइट–एप्लिकेसन, ०७७/७८ मा ५१ वटा सरकारी निकायका १०० वटा वेबसाइट–एप्लिकेसन, ०७८/७९ मा ६३ वटा सरकारी निकायका १०० वटा वेबसाइट–एप्लिकेसन परीक्षण गरेको देखिन्छ । 

राष्ट्रिय सूचना प्रविधि केन्द्रमा राजनीतिक भर्ती छ, काम धेरैजसो आउटसोर्सिङबाट गरिन्छ । राष्ट्रको डेटा सम्हालेर बसेको यति संवेदनशील निकाय प्रतिस्पर्धी छैन । त्यसैले उक्त संस्थालाई हरेक हिसाबले बलियो नबनाएसम्म यस्ता समस्या भइरहन्छन् । 

जुन सरकारी निकायले आफ्नै ढंगले वेबसाइट–एप्लिकेसन तथा सफ्टवेयर निर्माण गर्दछन्, तिनले उक्त वेबसाइट–एप्लिकेसन तथा सफ्टवेयर प्रयोग गर्नुपूर्व परीक्षण गरेर मात्रै प्रयोग गर्नुपर्ने हो । तर, अधिकांश संस्थामा यस्तो हुँदैन । अर्को समस्या के भने खुद्रामा काम लगाउने गर्नाले पनि सुरक्षा संवेदनशीलता देखिँदैन । तथापि, सुरक्षा परीक्षण गर्ने प्रचलन बढ्दै जानु सुखद पक्ष हो । यसलाई अनिवार्य गर्नुपर्छ । 

सरकारी संरचना र संस्था कति बलिया र प्रतिस्पर्धी छन् ? :  अधिकांश संस्था आवश्यकताभन्दा पनि बढी कसैलाई जागिर खुवाउनैका लागि स्थापना गरिएकाजस्ता लाग्छन् । आवश्यकता नै पहिचान नगरीकन स्थापना गरिएका संस्था राजनीतिक मोलमोलाइबाट भर्ती गरिएका व्यक्तिबाट व्यवस्थित र नेतृत्व दिइएका संस्था न बलिया हुन्छन् न प्रतिस्पर्धी ।

साइबर सुरक्षाका दृष्टिले सरकारी संस्थाहरू अत्यन्तै कमजोर साबित भइरहेका छन् । अझै दुःखको कुरा त के भने सक्षम संस्थासँग पनि सम्बन्ध कायम राख्‍न नसक्ने खालका छन् । साइबर सुरक्षा द्विपक्षीय, क्षेत्रीय, अन्तर्राष्ट्रिय सरोकारको विषय हो । समन्वय राखेर काम गर्न सक्नुपर्छ । सूचना आदानप्रदान गर्ने, सहयोग लिने–दिने गर्न सक्नुपर्छ, जुन भइरहेको छैन । 
राष्ट्रिय सूचना प्रविधि केन्द्र विकास समितिअन्तर्गत गठन भएको हो । त्यहाँ राजनीतिक भर्ती छ, काम धेरैजसो आउटसोर्सिङबाट गरिन्छ । राष्ट्रको डेटा सम्हालेर बसेको यति संवेदनशील निकाय प्रतिस्पर्धी छैन । त्यसैले उक्त संस्थालाई हरेक हिसाबले बलियो नबनाएसम्म यस्ता समस्या भइरहन्छन् । 

साइबर सुरक्षाका लागि के–के सुधार आवश्यक छ ? :  समग्र साइबर सुरक्षा कायम गर्न विभिन्न मोडेल विकास गरिएको छ । अन्तर्राष्ट्रिय दूरसञ्चार संघ (आइटियू)ले पाँचवटा स्तम्भका आधारमा साइबर सुरक्षालाई मूल्यांकन गर्दछ । ती स्तम्भ हुन्– कानुनी उपाय, प्राविधिक उपाय, संगठनात्मक उपाय, क्षमता विकास र सहयोग । यस्तै, अन्य क्षेत्रगत मोडेल पनि छन् । तदनुसार सुरक्षा मापदण्ड तोकिएका छन् । हामीले गर्ने भनेको यिनै मोडेलको अनुशरण हो । हामीले के बुझ्नुपर्छ भने साइबर सुरक्षा भनेको प्राविधिक कुरा मात्रै होइन । एन्टिभाइरस र फायरवाल राख्दैमा कुनै सूचना प्रविधि प्रणाली सुरक्षित हुँदैन । 

संस्थामा व्यावसायिकता र पेसाधर्मिता विकास गर्ने हो । यस्ता संस्थामा राजनीतिक भागबन्डा र लेनदेनका आधारमा नियुक्ति गर्ने होइन । क्षमता, दक्षता र अनुभवका आधारमा नियुक्ति गर्ने हो । देशको भविष्यको कुरा हो, खेलबाड नगर्दा नै राम्रो हुन्छ । क्षेत्रगत ज्ञान र अनुभव नै नभएका मानिस पनि संस्थाको व्यवस्थापन र नेतृत्व लिन अग्रसर भएको देख्दा मलाई आश्चर्य लाग्छ ।