मुख्य समाचारफ्रन्ट पेजसमाचारदृष्टिकोणअर्थअन्तर्वार्ताखेलकुदविश्वफिचरप्रदेशपालिका अपडेट
  • वि.सं २०८० चैत १५ बिहीबार
  • Thursday, 28 March, 2024
गोपाल साउद
२०७६ बैशाख ५ बिहीबार १५:२९:००
Read Time : > 4 मिनेट
Read Time : > 4 मिनेट
गोपाल साउद
२०७६ बैशाख ५ बिहीबार १५:२९:००

सचिन ठकुरी डिस्टेन्स एजुकेसनबाट साइबर सुरक्षा विश्लेषक तथा ह्याकरको पहिचान बनाउन सफल भएका छन् । इन्फर्मेसन सेक्युरिटी तथा ह्याकरको रुपमा काम गर्ने पहिलो पुस्ता हुन् । उनले पेसागत रूपमै यो क्षेत्रमा लागेको ५ वर्ष पूरा भयो । यसबीचमा उनले विभिन्न कम्पनीमा साइबर सुरक्षाको जिम्मेवारी सम्हाले । पछिल्लो डेढ वर्षदेखि भने उनले साथीहरूसँग मिलेर ‘थ्रेटनिक्स’ नामक साइबर सुरक्षासम्बन्धी कम्पनी सञ्चालन गरिरहेका छन् । सचिनले नयाँ पत्रिकाका गोपाल साउदसँग व्यक्त गरेको दृष्टिकोण, उनकै शब्दमा :

कम्प्युटर संसारमा ह्याकर र क्य्राकरको दुई शाब्दिक अर्थ छन् । यसको फरक–फरक अर्थ छन् । तर, हामीले बुझ्न सकेका छैनौँ, बुझेकाले पनि बुझाउन सकेका छैनौँ । 

ह्याकर भन्नाले अर्को कम्प्युटरको डाटा विनाअनुमति झिक्न सक्ने खुबी भएका व्यक्तिलाई बुझाउँछ । त्यस्तो डाटा राम्रो कामका लागि पनि हुन सक्छ । जस्तो प्रहरी, अनुसन्धान अधिकृतले गर्न–गराउन सक्छन् । टेलिकमले पनि गर्न सक्छ । ह्याकरले आफ्नो खुबीलाई नराम्रो काममा पनि उपयोग गर्न सक्छ । जब नराम्रो काममा उपयोग हुन्छ, तब क्य्राकर ठहरिन्छ । 

ह्याकर शब्दको अर्थ परम्परागत ढर्राभन्दा राम्रो र छिटो विकल्प दिने भन्ने पनि बुझिन्छ । तर, हामीकहाँ को हो ह्याकर, को हो क्र्याकर, छुट्याउने चलन छैन । इन्टरनेटको माध्यमबाट कुनै चलचित्र वा कसैको व्यक्तिगत खाता ब्रेक गरेर सूचना तथा जानकारी चोरी गर्नेलाई ह्याकर भन्न थालिएको छ । ह्याकर भन्नेबित्तिकै नराम्रो हुन्छ र नराम्रो काम गर्छ भन्ने किसिमको गलत बुझाइ छ । सर्वसाधारणमा पनि ह्याकर भन्नेबित्तिकै गैरकानुनी रूपमा तथ्यांक चोर्ने भन्ने दिमागी छाप बनेको छ । 

वास्तवमा ह्याकर विभिन्न किसिमका हुन्छन् । समग्रमा ह्याकर ह्वाइट ह्याट र ब्ल्याक ह्याट गरेर दुई किसिमका हुन्छन् । ब्ल्याक ह्याट ह्याकर भनेको गैरकानुनी काम गर्ने हुन् भने ह्वाइट ह्याट ह्याकर भनेको ब्ल्याक ह्याट ह्याकरबाट हुन सक्ने आक्रमण बन्द गर्ने र थप सुरक्षित बनाउन सहयोग पु¥याउने हुन् । यसबाहेक ग्रे ह्याट ह्याकर पनि हुन्छन्, ह्वाइट र ब्ल्याकको बीचमा पर्छन् ।

नेपालको सूचना सुरक्षा क्षेत्रमा काम गर्ने मेरो पुस्ता पहिलो हो । पेसागत रूपमा म यो क्षेत्रमा संलग्न भएको पाँच वर्ष भयो । यसबीचमा विभिन्न कम्पनीमा रहेर काम गरेँ । डेढ वर्षदेखि साथीहरूसँग मिलेर आफ्नै थ्रेटनिक्स नामको कम्पनी चलाइरहेको छु । पढाइका रूपमा इन्जिनियरिङ गरेको छैन । तर, प्लस टु पढ्दादेखि नै इन्फरमेसन सेक्युरिटीको विषयमा पढ्न र सिक्न थालेको हुँ । कोर्स चित्त नबुझेपछि क्याम्पस छाडेँ । त्यसपछि कक्षा नलिए पनि परीक्षा दिन मिल्ने गरी दूरशिक्षा (डिस्टेन्स एजुकेसन) मा जोडिएँ । 

यस क्षेत्रको ज्ञान कुनै निश्चित कोर्स वा डिग्री पास गरेर हासिल गर्न सकिने पनि होइन । किनभने यसमा एकदमै विविध किसिमको क्षेत्र छ । त्यसैले सूचना सुरक्षाको क्षेत्रमा लाग्नेमध्ये ९० प्रतिशतजसो स्वअध्ययन (सेल्फ टट)बाट आएका छन् । कम्प्युटर तथा सूचना प्रविधिको आधारभूत ज्ञानका लागि भने क्याम्पसको पढाइ महत्वपूर्ण हुन्छ । सिक्नका लागि विभिन्न फोरम छन् । यस क्षेत्रमा लागेकाले ती फोरममा जोडिएर, अनुसन्धानमूलक लेख तथा पुस्तक पढेरै सिक्ने हो । 

केही समयअघि फेसबुक र गुगलले सिंगापुरमा सिटिएफनामक प्रतिस्पर्धा गराएका थिए । त्यो प्रतिस्पर्धामा एसिया प्यासिफिक क्षेत्रबाट म चौथो भएको थिएँ । पहिलोपटक सन् २०१५ मा अमेरिकामा हुने ब्ल्याक ह्याट कन्फरेन्समा भागसमेत लिएको थिएँ । 

सामान्यतया अरूले लेखेका र बनाएका कोड, सिस्टम, सफ्टवेयर, नेटवर्कलाई कसरी ब्रेक गर्ने र त्यसबाट तथ्यांक कसरी लिन सकिन्छ ? आक्रमणकारीबाट कसरी सिस्टमलाई जोगाउने ? कमीकमजोरी पत्ता लगाउने नै इन्फरमेसन सेक्युरिटीसम्बन्धी काम हो । डेभलपर बन्न सीमित प्रोग्रामिङ जाने पुग्छ । तर, इन्फरमेसन सेक्युरिटीको क्षेत्रमा वेब एप्लिकेसन पेनटेस्ट गर्न मात्रै पनि चलिरहेका सबै प्रोग्रामिङ, त्यस आधारमा तयार हुने फ्रेमवर्क, त्यसले काम गर्ने तौरतरिका, नयाँ–नयाँ जोखिम, कमजोरी र संवेदनशीलता विस्तृतमा जानेर मात्रै पुग्दैन, अपडेट पनि भइरहनुपर्छ । 

नेपालकै ठूलोमध्येको एउटा ट्राभल एजेन्सीले हजारौँ ग्राहकको पासपोर्ट लिक गरिरहेको थियो । सरकारी वेबसाइटहरूले लाखौँ नागरिकको व्यक्तिगत विवरण चुहाइरहेका छन् । वर्षमा चार–पाँच सय सरकारी वेबसाइट ह्याक भइरहेका छन् । सफ्टवेयर कम्पनीकै पनि धेरै डाटा चुहावट भइरहेका छन् । 

अथाह बजार 
अन्तर्राष्ट्रिय बजारमा सूचना सुरक्षाको क्षेत्रमा काम गर्नेका लागि एकदमै राम्रो अवसर छ । विश्वव्यापी रूपमा यस क्षेत्रमा काम गर्नेको अभाव नै छ । अहिले यस क्षेत्रमा लाग्नेको संख्या थोरै छ । प्रतिस्पर्धा पनि सीमित छ । तीन वर्षअघिसम्म हाम्रो बजार शून्यजस्तै थियो । बिस्तारै यसको आवश्यकता र महŒव पनि बुझ्दै जान थालेपछि पछिल्लो समय बजार विस्तार हुँदै गएको छ । नेपालकै केही बैंकले सेक्युरिटी एनालिस्ट–इन्जिनियर पद सिर्जना गरेर तथा छुट्टै डिपार्टमेन्ट खडा गर्न थालेका छन् । 

तर, सरकारी, सार्वजनिक निकाय र अन्य निजी कम्पनीमा भने त्यस किसिमको अभ्यास सुरु भएको छैन । अबका दिनमा यो क्षेत्र विस्तार हुने निश्चित छ । स्टार्टअप तथा नयाँ कम्पनीले सुरुदेखि नै सेक्युरिटीमा काम गर्नेलाई भर्ना गरिरहेका छन् । त्यसैले विश्वबजारमा अमेरिकामै पनि यो क्षेत्रमा काम गर्ने जनशक्ति अभाव छ । यस किसिमको अभाव भविष्यमा झन् बढ्दै जाने पूर्वानुमान छ । यस क्षेत्रमा लागेकाको राष्ट्रिय तथा अन्तर्राष्ट्रिय समुदाय हुन्छन् । यहाँ कुनै कम्पनीमा आबद्ध भएर रोजगार गरिरहेकाबाहेक पेसागत रूपमा काम गर्ने त्यस्तो समुदायमा मुस्किलले २० जनाजति सदस्य छौँ ।

सरकारी प्रवेशमा जटिल
यस क्षेत्रमा काम गर्ने दक्ष जनशक्तिलाई कर्मचारीका रूपमा सरकारी सेवामा प्रवेश पाउन असम्भवजस्तै छ । थोरै मात्रामा भए पनि तेस्रो पक्षका रूपमा काममा लगाउन भने थालिएको छ । आजभन्दा १५–२० वर्षअघि कसैको क्षमता जाँच्ने माध्यम उसको शैक्षिक प्रमाणपत्र मात्रै हुन्थ्यो । इन्टरनेटले जसरी विश्वव्यापीकरण गर्दै गइरहेको छ, त्यसले बिस्तारै कुनै व्यक्तिको सीप र क्षमतालाई शैक्षिक डिग्रीले मापन गर्न सक्तैन भन्ने कुरा स्थापित हुँदै गएको छ । फेसबुक, गुगलजस्ता कम्पनीले पनि सुरुको समयमा निश्चित डिग्रीहोल्डरलाई जोड दिने गरेका थिए । अहिले ती कम्पनीले धेरैजसो हाइस्कुल ड्रपआउटलाई भर्ना गरिरहेका छन् । त्यो परम्पराले बिस्तारै नेपालकै आइटी क्षेत्रमा पनि फैलिन थालेको छ । त्यति राम्रो पारिश्रमिक पनि छैन । व्यवस्थापकीय तहले यसको आवश्यकता महसुस गर्न सकेको देखिँदैन । 

सूचना सुरक्षामा संवेदनशील छैनन् 
हामीले वार्षिक रूपमा इन्फरमेसन सेक्युरिटीमा राष्ट्रियस्तरको थ्रेट रिपोर्ट निल्दै आएका छौँ । त्यसमा नेपाललाई उपलब्ध आइपी–रेन्जमा रहेको जोखिम विश्लेषण गर्छौँ । वेब एप्लिकेसनमा डटकम, डट एनपी, नेपाली सफ्टवेयरको विश्लेषण गर्दा इन्फरमेसन सेक्युरिटीमा संवेदनशील भएको देखिँदैन । किनभने हामीले २०१७ र २०१८ मा गरी दुई रिपोर्ट सार्वजनिक गरेका थियौँ । दोस्रो रिपोर्टमा पनि खासै प्रगति देखिएन । उदाहरणका लागि नेपालकै ठूलोमध्येको एउटा ट्राभल एजेन्सीले हजारौँ ग्राहकको पासपोर्ट लिक गरिरहेको थियो । सरकारी वेबसाइटहरूले लाखौँ नागरिकको व्यक्तिगत विवरण चुहाइरहेका छन् । वर्षमा चार–पाँच सय सरकारी वेबसाइट ह्याक भइरहेका छन् । सफ्टवेयर कम्पनीकै पनि धेरै डाटा चुहावट भइरहेको देखेका छौँ । 

हामीले रिपोर्ट निकाल्दा अनधिकृत किसिमको पहुँच नखोजेर सार्वजनिक रूपमा उपलब्ध सूचनालाई मात्र आधार मान्दै आएका छौँ ।युरोपमा जिडिपिआरनामक नयाँ कानुन आएको छ । त्यसले कुनै कम्पनीको लापरबाहीबाट प्रयोगकर्ताको तथ्यांक चुहाएको खण्डमा ठूलो रकम जरिवाना तिर्नुपर्ने व्यवस्था छ । यहाँ भने तथ्यांक संरक्षण तथा साइबर सुरक्षासम्बन्धी विशेष कानुन छैन । फेसबुक तथा सामाजिक सञ्जालसँग सम्बन्धित विषयलाई मात्रै साइबर सुरक्षाको विषयका रूपमा लिएको देखिन्छ । नयाँ आउँदै गरेको सूचना प्रविधि विधेयकमा पनि कतिपय विषय राम्रोसँग व्याख्या गरिएको छैन । साइबर सुरक्षाको क्षेत्रमा काम गर्नेलाई रोक्न वा अप्ठ्यारोमा पार्न कानुन बनाउन खोजिएजस्तो देखिन्छ । यस क्षेत्रमा लागेकाले सूचना सुरक्षा र साइबर सुरक्षामा राज्यलाई सहयोग पु-याउन सक्छन् भन्ने मान्यता स्वीकार गर्न चाहेको देखिँदैन । इन्फरमेसन सेक्युरिटीको क्षेत्रमा काम गर्नेप्रति सकारात्मक दृष्टिकोण बन्ने गरी आवश्यक कानुन बनाइदिनुपर्छ । 

अन्तर्राष्ट्रिय रूपमा बग बाउन्टी नामक एउटा अवधारणा छ । यसमा काम गर्ने कम्पनी नै विश्वभर हजारौँको संख्यामा छन् । त्यसमा कम्पनीहरूले आफ्नो सिस्टम तथा एप्लिकेसन टेस्ट गर्न लगाउँछन् । केही कमजोरी तथा जोखिम पत्ता लगाएर सम्बन्धित कम्पनीलाई रिपोर्ट गरिएमा रिवार्ड दिने र हलअफ फेममा समेत नाम राखिदिने चलन छ । मेरै चिनजानका कतिपयलाई फेसबुक र गुगलजस्ता कम्पनीले जागिर दिएर राखेका छन् । मैले पनि बग बाउन्टीबाट पेसागत रूपमा काम थालेको हुँ । २०१२/०१३ तिर फेसबुक, गुगल, ट्विटर, माइक्रोसफ्टमा जोखिमको रिपोर्ट गरेर उनीहरूबाट रिवार्ड पाएको छु । उनीहरूले आफ्नो हलअफ फेममा मेरो नामसमेत राखेका छन् । 
नेपालमा भने ठीक उल्टो चलन छ । कसैले कुनै भुक्तानी प्रणालीको जोखिम औँल्याएर सुधार्नका लागि सुझाब दिँदा उल्टै प्रहरी कारबाहीको धम्की आउँछ । हामी आफैँले पनि थ्रेट रिपोर्टका लागि सार्वजनिक रूपमा उपलब्ध सूचना केलाउँदा पनि कति धेरै महत्वपूर्ण संवेदनशील सूचना भेटिरहेका हुन्छौँ । तर, सचेत गराउन पनि डराउनुपर्ने अवस्था छ ।