मुख्य समाचारफ्रन्ट पेजसमाचारदृष्टिकोणअर्थअन्तर्वार्ताखेलकुदविश्वफिचरप्रदेशपालिका अपडेट
  • वि.सं २०८० चैत १६ शुक्रबार
  • Friday, 29 March, 2024
कर्मा लामा तामाङ
२०७७ बैशाख ११ बिहीबार ०७:४३:००
Read Time : > 3 मिनेट
दृष्टिकोण

सूचना प्रविधिमा सुरक्षाको महत्व

Read Time : > 3 मिनेट
कर्मा लामा तामाङ
२०७७ बैशाख ११ बिहीबार ०७:४३:००

गत केही समयदेखि नेपालमा भियानेट, फुडमान्डु र मर्कन्टाइलजस्ता इन्टरनेटमा आधारित भई सेवा प्रदान गर्ने कम्पनीमा ह्यकिङ भएको समाचारले उनीहरूले संकलन गरेको सूचना तथा जानकारीको सुरक्षा र साइबर सुरक्षाजस्ता विषयमा छलफल चलेको छ । साथै, सिरान टेक्नोलोजीले काठमाडौंप्रेसडटकमको समाचार हटाएको र सिरान टेक्नोलोजी र इ–सेवा भगिनी संस्था भएकाले, इ–सेवामा आफ्नो डाटा सुरक्षित नभएको भन्दै इ–सेवा बहिष्कार गरेको समाचार बाहिर आएको छ ।

सुरुमा केही शब्दावली बुझौँ । आइटी सेक्युरिटी (सूचना प्रविधि सुरक्षा) भन्नाले विभिन्न प्रविधिको प्रयोग गर्दै, सूचना (डाटा) लाई सुरक्षित राख्नका लागि गरिने प्रयोग गरिने उपाय बुझिन्छ । त्यो डाटा विद्युतीय वा कागजमा हुन सक्छ । साइबर सेक्युरिटी भन्नाले इन्टरनेट सम्बन्धित अपराधबाट विद्युतीय डाटालाई सुरक्षित राख्नका लागि गरिने प्रणाली र सावधानी बुझिन्छ । डाटा सेक्युरिटी भन्नाले विद्युतीय र डिजिटल डाटालाई अनधिकृत पहुँचबाट सुरक्षित राख्नका लागि गरिने सुरक्षात्मक उपाय बुझिन्छ । डाटा सेक्युरिटीका मूल मन्त्र गोपनीयता, सम्पूर्णता र उपलब्धता हुन् । डाटालाई परिचय नखुल्ने स्वरूपमा राख्ने, चाहिने डाटा मात्र संकलन गर्ने र संकलन गरिएको कार्यपश्चात् डिलिट गर्नेजस्ता प्रक्रिया अपनाइन्छ ।

इन्टरनेट र प्रविधिको प्रयोग बढ्दै गएपछि ह्यकिङ (जानी–जानी बाहिरबाट गरिएको आक्रमण) र डाटा ब्रिच (मानवीय लापर्बाहीबाट बाहिर निस्किने डाटा) हुनु कुनै नौलो कुरा होइन । जसरी बजारमा नियमन नभए कालोबजारीको सम्भावना बढ्छ, सडकमा ट्राफिक नियमको पालना नगरे गाडीको दुर्घटना हुन्छ, त्यसैगरी बढ्दो सूचना प्रविधिको प्रयोग र डाटा संकलकको गैरजिम्मेवारीले साइबर अपराधको जोखिम निम्त्याउँछ । साइबर अपराध बढ्नुको कारण एक त सिकारु स्क्रिप्ट किडिजदेखि लिएर व्यावसायिक रूपमा प्रोफेसनल ह्याकरले अन्यको सूचना संग्रहमा गरिएको भण्डार वा प्रयोग गरिएको सञ्जालमा अनधिकृत प्रवेश गरी फिरौती माग्नका लागि वैध प्रवेशमा रोक लगाउने र्‍यानसम्वेयरमार्फत वा परिचय चोरी गरेर पैसा कमाउने बाटो खोज्नु हो । अर्कोतिर शक्तिशाली देशले ह्यकिङमार्फत अरू देशबाट सूचना लिने प्रयास गर्नु हो, जसलाई राज्य प्रवर्धित ह्याकिङ भनिन्छ । कतिपय ह्याकिङ कुनै संस्था वा सरकारलाई अविश्वासको नजरले हेरियोस् र ब्रान्ड ब्रिग्रियोस् भनेर पनि गरिन्छ ।

यसको समाधान तीन तहबाट गर्न सकिन्छ । पहिलो, प्रयोगकर्ताको तहबाट, (क) लामो र कडा पासवर्ड प्रयोग गर्ने, नियमित रूपमा परिवर्तन गर्ने, आफ्नो पासवर्ड कसैलाई नदिने र हरेक सिस्टममा फरक–फरक पासवर्ड राख्ने गर्नुपर्छ । (ख) बैंकिङ कारोबार, इमेल हेर्ने जस्ता व्यक्तिगत काम गर्दा खुला रूपमा प्रयोग गर्न मिल्ने वाइफाई प्रयोग नगर्ने । (ग) आफ्नो कम्प्युटरमा राखिएको फायरवाल, एन्टिभाइरस र अन्य सफ्टवेयर नियमित रूपमा अपडेट गर्ने । (घ) आफ्नो व्यक्तिगत डाटा इन्टरनेटमा राख्दा वा कसैलाई दिँदा, किन र कुन कामका लागि हो, सजग रहने ।

दोस्रो, कम्पनीको तहबाट, (क) सावधानी अपनाउने र ह्याकिङ र डाटा ब्रिच हुनै नदिने । गुणस्तरीय हार्डवेयर प्रयोग गर्ने र सफ्टवेयरलाई अद्यावधिक राख्ने, पुराना सफ्टवेयर नचलाउने । कर्मचारीहरू (प्रमुख कार्यकारी अधिकृतदेखि सुरक्षा गार्डसम्म) सबैलाई सूचनासम्बन्धी चेतनामूलक प्रशिक्षण दिने । यो निकै महत्वपूर्ण छ किनभने धेरैभन्दा धेरै डाटा ब्रिचका दुर्घटना कर्मचारीको अज्ञान, कमजोरी वा लापर्बाहीले हुने गर्छ । संवेदनशील डाटाको प्रयोग गरिने, जस्तै बैंकिङ क्षेत्रमा, जिम्मेवारीअनुसार डाटाको पहुँच अनुमति दिने । यो डाटाको सुरक्षाभित्र पर्छ र सबै कर्मचारीले सबै खालको सूचना हेर्न जरुरी छैन । जस्तै, प्रमुख कार्यकारी अधिकृतले सञ्जालको मुख्य पासवर्ड जान्नुपर्दैन । आवश्यकताअनुसार साइबर नीति र प्रतिकार्य योजना बनाएर नियमित रूपमा अब आफ्नो तत्परताको परीक्षण गर्ने । डाटाको वैकल्पिक प्रतिलिपि र त्यसलाई कसरी पुनः प्राप्ति गर्नेमा ध्यान दिनु पनि अति जरुरी छ । (ख) केही भइहाल्यो भने पहिले नै तयार गरिएको आपत्कालीन योजनाअनुसार अघि बढ्ने । पारदर्शिता अपरिहार्य हुन्छ । तसर्थ, कुन ठाउँमा कसलाई सूचना दिनुपर्ने हो, तुरन्त दिने । पारदर्शिताले विश्वास कायम राख्छ । (ग) डाटा ब्रिच बिमाको सुरुवात गर्नु एउटा उपाय हुन सक्छ । 

तेस्रो, सरकारको तहबाट, हाल नेपालमा भएको सूचना प्रविधि विधेयक सूचना प्रविधि सुरक्षाका विभिन्न पक्षलाई सम्बोधन गर्न स्पष्ट र पर्याप्त छैन । यसलाई पारित गर्दा त्यसमा ध्यान दिनु जरुरी छ । साइबर सेक्युरिटी र डाटा सेक्युरिटीसम्बन्धी कानुन छिट्टै ल्याइनुपर्छ, ताकि डाटा संकलक उत्तरदायी रहून् र लापर्बाही वा डाटाको दुरुपयोग भए कडा सजाय हुन सकोस् । नीति बनाउँदा युरोपको जनरल डाटा प्रोटेक्सन रेगुलेसन (जिडिपिआर) बाट धेरै कुरा सिक्न सकिन्छ । दीर्घकालीन योजना, जस्तै– सूचना प्रविधिको व्यावहारिक शिक्षा, क्षमता निर्माणमा सरकारले ध्यान दिनुपर्छ । एकद्वार प्रणालीबाट सूचना प्रविधिको सुरक्षाका विषयलाई प्रबन्ध गर्न स्वतन्त्र सरकारी निकाय साइबर सेक्युरिटी प्राधिकरण बनाइनुपर्छ । बजारमा आउने सूचना प्रविधि सम्बन्धित विभिन्न हार्डवेयर, सफ्टवेयर र सेवाको गुणस्तर कायम गर्न यो निकायले प्रमाणीकरण संस्थाको भूमिका निभाउन सक्छ ।

विश्वव्यापी भइरहेको एमोटेट, वन्नक्राई जस्ता फिरौती माग्ने जटिलता नेपालमा पनि हुन सक्छ । त्यसैगरी ह्याकिङद्वारा वा परिचय चोरी गरेर ठूलो रकमको चोरी हुन सक्छ । यसले धेरै क्षति पुर्‍याउनेछ । सावधानीलगायत पूर्वतयारी नै सबैभन्दा बेस भएकाले आइटी सुरक्षामा पर्याप्त लगानी गर्नु अत्यावश्यक छ । सिस्टम हार्डनिङ र कर्मचारीको प्रशिक्षण तथा सुरक्षा परीक्षणलगायत विज्ञताको ज्ञानको लागि परामर्श सेवा लिनु खर्चिलो लाग्न सक्छ । तर, दुर्घटना भइसकेपछि जुन प्रयोगकर्ताको घटेको विश्वास र डाटा चुहावटबाट भएको हानिलाई उल्टाउन लगभग असम्भव छ र पछि गएर धेरै खर्च गरे पनि पहिलेकै स्तरमा पुनः पुग्न अत्यधिक समय लाग्छ । चुस्त प्रणाली त हुनुपर्‍यो नै । सँगसँगै सञ्चालन र व्यवस्थापनमा बाध्यकारी मानवीय संलग्नताले र त्यसबाट सम्भावित मानवीय त्रुटि एवं निहित स्वार्थमा पहुँचको दुरुपयोग र विश्वासघातबाट निम्तिने जोखिमबाट बच्न सबै सरोकारवाला सुसूचित रहनुपर्छ । सरकारी निकाय, कम्पनी र प्रयोगकर्ता सबैले सुरक्षालाई गम्भीरतापूर्वक लिनुपर्छ ।

(लेखक जेके कन्सल्टिङ प्रालिकी निर्देशक हुन् ।)