close

साइबर आक्रमणका घटना किन लुकाउँछ सरकार ?

विजय लिम्बू

चैत ९, २०७९ १०:४९

साइबर आक्रमणका घटना किन लुकाउँछ सरकार ?

नेपालमा सरकारी वेबसाइटहरू अनेक कारणले डाउन भइरहेका हुन्छन् । पछिल्लो समय 'डिडस अट्याक' ले साइट डाउन भयो भनिएको छ । 

वास्तवमा नेपाल सरकारका वेबसाइट बारम्बार किन डाउन भइरहन्छन् ? कहिले सर्भरले धान्न नसकेर साइट डाउन भएको भनिन्छ ।

कहिले कहिँ वैकल्पिक इन्टरनेट कनेक्टिभिटी नभएर डाउन भइरहेका हुन्छन् । कतिपय अवस्थामा त उचित किसिमले ऊर्जा व्यवस्थापन नहुँदा विद्युत आपूर्ति नपुगेर पनि साइट डाउन भइरहेका घटना आउँछन् । 

पछिल्ला केही घटनाहरू नियालेर हेर्दा इन्टरनेट कनेक्टिभिटी राम्रो नभएर, सर्भरको क्षमता नपुगेर, नेटवर्क आर्किटेक्चरका  कारण र उचित योजना नभएकाले सर्भर डाउन भएको देखिन्छ ।

यसमा सबैभन्दा पहिला साइबर आक्रमण कुन उद्देश्यले हुन्छ भन्ने कुराको चर्चा गरौं । यस्ता साइबर आक्रमण गर्नुको प्रमुख उद्देश्य भनेको भर्खरै सिक्दै गरेका ‘स्क्रेप्टिडी’ले रमाइलोका लागि साइबर आक्रमण गरिरहेका हुन्छन् ।

अर्को भनेको व्यवसायिक साइबर अपराधीले र्‍यान्सम अर्थात फिरौतीका लागि पनि साइबर आक्रमण गर्छन् । त्यस्तै ‘स्टेट स्पोन्सर्ड’ साइबर आक्रमणहरू पनि हुन्छन्, जसमा कुनै राष्ट्र वा सरकारी निकायमार्फत गरिन्छ वा त्यसमा उनीहरूको साथ समर्थन हुन्छ ।

यी आक्रमणहरू सामान्यतया संवेदनशील डेटा, बौद्धिक सम्पत्ति वा अर्को राष्ट्र वा संस्थाको महत्त्वपूर्ण पूर्वाधारमा क्षति पुर्‍याउने, चोरी गर्ने  उद्देश्यबाट प्रेरित हुन्छन्।

नेपालको सन्दर्भमा भने साइबर आक्रमण किन भइरहेका छन् भन्ने कुराका लागि अहिलेसम्म विस्तृत अध्ययन भएको देखिँदैन । आन्तरिक रुपमा अनुसन्धान हुन्छन् होला, तर त्यसको रिपोर्ट बाहिर आउँदैन । रिपोर्ट बाहिर नआएपछि अनुसन्धान नै भएन भन्ने बुझिन्छ ।

साइबर आक्रमण भएका जति पनि घटना छन्, अहिलेसम्म सबै लुकाइएका छन् । कसैले पनि सरकारी साइट ह्याक भयो वा सर्भरमा आक्रमण आयो भनेर जानकारी दिएका छैनन् ।

उनीहरूले बाहिर सूचना दिँदैन । कुन किसिमको आक्रमण आएको थियो, कुन आईपी एड्रेसबाट आक्रमण भएको हो, के उद्देश्यले साइबर आक्रमण भएको थियो भन्ने कुराको अध्ययन गरेर त्यसको रिपोर्ट दिनुपर्ने हो ।

जसरी कुनै विमान दुर्घटनामा पर्दा छानबिन समिति बनाएर विस्तृत अध्ययन गरेर अनुसन्धान गरिन्छ, त्यस्तै अभ्यास साइबर आक्रमणका घटनामा पनि हुनुपर्ने हो । त्यसो गर्दा पछि हुनसक्ने सम्भावित दुर्घटना न्यूनीकरण गर्न सघाउँछ ।

तर, नेपाल सरकारको डेटा सेन्टरमा वा साइटमा आक्रमण हुँदा त्यसको रिपोर्ट कहिल्यै बाहिर आउँदैन । उनीहरूले रिपोर्ट सार्वजनिक गर्न पनि उचित ठान्दैनन् ।

पछिल्लो घटना भएको एक महिनाभन्दा बढी भइसकेको छ । तर, नेपाल सरकारको मुख्य डेटा सेन्टरमा भएको आक्रमणको

 रिपोर्ट अहिलेसम्म पनि बाहिर आएको छैन । यस्ता रिपोर्टलाई अध्ययन गर्दा वास्तविकता के रहेछ भन्ने थाहा पाउन सकिन्थ्यो । त्यस्तै किसिमका आक्रमणबाट जोगिन अन्य निकायलाई सजग गराउन सकिन्थ्यो । 

साधारण उदाहरण हेरौं; कोभिड हुँदा रिपोर्ट निकालेर त्यसबाट बच्न के कस्ता उपाय अपनाउने भन्ने कुरा बाहिर आए । त्यसबाट धेरै मानिसहरू जोगिए ।

हो, देशको सर्भर डाउन हुँदा पनि सम्भावित जोखिमहरू कम गर्नका लागि र अन्य निकायलाई सजग बनाउन त्यसको विस्तृत अनुसन्धान रिपोर्ट सार्वजनिक गर्नुपर्ने हो ।

हामीले साइबर सुरक्षाको क्षेत्रमा काम गर्नेहरू वा सर्वसाधारणले रिपोर्ट खोजिरहेका हुन्छौं । तर, त्यसको रिपोर्ट कहिँ पनि भेटिँदैन ।

साइबर आक्रमण बढ्नुका पछाडि थुप्रै कारणहरू हुन्छन् । उहाँहरूसँग आईटीसर्ट (ITCERT-Information Technology Computer Emergency Response Team) भन्ने छ ।

तर, त्यसको काम प्रभावकारी देखिँदैन । केही साताअघि साइबर आक्रमण हुँदा छ घण्टाजति सर्भर डाउन भयो । उहाँहरूले त्यसलाई आधा घन्टामा समाधान गर्न सक्नुपर्थ्यो । तर त्यसका लागि छ घण्टाभन्दा बढी लाग्यो । किन ढिला भयो ? 

यस्तो आक्रमण नयाँ हुँदै होइन । सो आक्रमण सन् २०१६/१७ तिर आएको भए समाधान गर्न छ घण्टा लाग्यो भन्नु ठीकै हुन्थ्यो । तर, अहिलेको समयमा पनि त्यति पुरानो किसिमको आक्रमण आउँदा यति धेरै समय लाग्नुपर्ने कारण के हो ? 

अहिले २० देखि ४० जीबीपीएसको डिडस अट्याक आयो भनिएको छ, त्यो वास्तवमा सन् २०१६ तिर आउने साइबर आक्रमण हो । डिडस अट्याकलाई क्षणभरमै समाधान गर्न नसक्नु भनेको सरल रुपमा सिस्टममा कमी कमजोरी छ, डिजाइन गरेको आर्किटेक्चरमा समस्या भन्ने नै हो । 

किनभने डिडस अट्याक आउँछ, आइराख्छ । त्यसलाई आधा घन्टाभित्र निर्मूल गर्न सकिने गरी तयार हुनुपर्छ । नयाँ आउने अट्याकबारे पनि सजग बस्नु पर्छ । समाधान गर्न कति समय लाग्छ भन्ने कुराले खास अर्थ राख्छ ।

समाधानका लागि डिभाइस होइन, जनशक्तिमा ध्यान दिनुपर्छ । विभिन्न सरकारी सुरक्षा निकायमा साइबर सेक्युरिटी एक्सपर्टको अभाव छ । त्यसमा विभिन्न क्षेत्रमा विज्ञता हासिल गरेका साइबर विज्ञहरू चाहिन्छन् ।

नेपाल सरकारको साइबर सुरक्षा हेर्न ‘ई-गभर्नेन्स’ भन्ने आइसकेको छ । तर, अहिले सर्भर डाउन भइरहेको भनेको त नेपाल सरकारको डेटा सेन्टरमै हो । त्यो डेटा सेन्टर सुरक्षाका लागि साइबर सुरक्षा विज्ञ करारमा भए पनि नियुक्ति गर्नुपर्ने हो ।

एक वा दुई जना भएर हुँदैन । चारपाँच जनाकै टिम चाहिन्छ । किनभने यसका लागि एउटा डेडिकेटेड टिम आवश्यक पर्छ । त्यो नहुँदा डेटा सेन्टर जोखिममा रहेको भन्ने बुझ्नुपर्ने हुन्छ । 

साइबर सुरक्षा विज्ञ राख्दा सिस्टम सेक्युरिटी एडमिनिस्ट्रेसन, गभर्मेन्ट रिस्क कम्प्लाइन्सेसबाट हुनुपर्छ । एउटा म्यानेजर तहको चाहिन्छ, जुन सेक्युरिटी टेस्टर पृष्ठभूमिको हुनुपर्छ ।

यस्तो चारपाँच जनाको टिम नभई उहाँहरूले अहिले आइरहेका साइबर आक्रमणका घटना नियन्त्रण गर्न सक्नुहुन्न ।

जुन किसिमले डिडस अट्याक वा ह्याकिङका घटनाहरू बढिरहेको छन्, यसले जतिपनि सरकारका सिस्टम र तथा डेटा छन्, ती सबै असुरक्षित भएको सङ्केत गर्छ । यही कमजोरीलाई निशाना बनाएर ह्याकरले आक्रमणको प्रयास गरिरहेको प्रस्ट देखिन्छ ।

अहिले ह्याकरको तर्फबाट डेटा चोर्न, सिस्टम चल्न नदिन, सर्भिस डाउन गर्न प्रयास भइरहेको हुन्छ । सरकारी अधिकारीहरूले पछिल्लो आक्रमणलाई विगत छ/सात वर्षयताकै ठूलो साइबर आक्रमण भनिरहेका छन् ।

तर त्यसलाई ठूलो आक्रमण मान्न सकिन्न । किन भने चाहे क्रिमिनल होस्,  कुनै सिकारु होस्, अथवा स्टेट स्पोन्सर्ड नै किन नहोस्, साइबर अपराधीहरूले नेपालको साइबर सुरक्षा ध्वस्त बनाउन अथवा डेटा चोर्न यस्ता कोसिस बारम्बार गरिरहेका हुन्छन् ।

यो सुरुवात मात्र हो । यो भन्दा डरलाग्दो साइबर आक्रमणका घटना आउनै बाँकी छ । मेरो अनुभवका आधारमा भन्नुपर्दा सुरुवाती दिनमा जसले पनि ससानो आक्रमणबाट सुरु गर्छन् । त्यसपछि मात्र ठूलो आक्रमण गर्छन् ।

 

यसरी साइबर आक्रमण गर्ने योजना बनाउँछन् ह्याकर

अपराधीहरूको ‘रुट’ हेरेर कसरी आक्रमण गर्ने योजना बनाइरहेका छन् भन्ने कुराको विश्लेषण गर्न सकिन्छ । जस्तै, ग्रुपमा सिकारु रहेछन् भने उनीहरूले योजना नै नबनाइकन  आक्रमण गर्छन् । 

तर, प्रोफेसनल साइबर अट्याकरले दुई/तीन महिना अगाडिबाट साइबर आक्रमण गर्ने योजना बनाएका हुन्छन् । त्यसमा उनीहरूमध्ये केहीले व्यवस्थापनको काम गर्छन्, केहीले अट्याकिङ टुलहरू बनाउँछन् ।

त्यसको असरलाई विश्लेषण गर्ने छुट्टै टिम हुन्छ । यसरी टिमवर्क गरेर सबै योजना बनाएर आक्रमण गर्छन् । उनीहरूको उद्देश्य आक्रमण गरेर त्यहाँबाट पैसा असुली गर्ने हुन्छ ।

उदाहरणका लागि सिस्टम बन्द गर्ने अनि पैसाको माग गर्ने । त्यसपछि ‘मलाई यति पैसा तिर’ भनेर आदेश दिनेहरू हुन्छन् । त्यस्तै अर्कोमा हुन्छन्, स्टेट स्पोन्सर्ड अट्याकर । यसमा छिमेकी देशले सुनियोजित ढङ्गले योजना बनाएर आक्रमण गर्छन् ।

त्यसमा चाहिँ सुरक्षा विज्ञहरूले के कुरामा ख्याल गर्नुपर्छ भने जुन बेला अध्यागमन विभागमा प्रभाव पर्ने गरी साइबर आक्रमण भएको थियो, त्यस्तो बेला देशमा के घटना भइरहेको थियो ?

हामी छिमेकी देशसँगको आपसी द्वन्द्वमा पो थियौं कि ? भूराजनीतिक पो हो कि ? त्यो पनि विश्लेषण गर्नुपर्ने हुन्छ । किनभने यस्तो किसिमको साइबर आक्रमण भूराजनीतिक साइबर आक्रमण पनि हुनसक्छ ।

आपराधिक दृष्टिकोणबाट भन्दा पनि त्यसमा भूराजनीतिक रूपले हेर्नुपर्छ । देशको साइबर सुरक्षालाई अन्य देशले हेर्ने नजर गलत बनाउने छिमेकीको उद्देश्य छ भने भूराजनीतिक साइबर आक्रमण हो भन्ने बुझ्नुपर्ने हुन्छ । 

कसरी किन र कसले आक्रमण गरेको हो भन्ने बुझ्न हामीले बारम्बार रिपोर्ट माग गरिरहेका हुन्छौं । तर, हाम्रा सरकारी अधिकारीहरू आफैंले जनतालाई दिनुपर्ने रिपोर्ट माग गर्दा समेत दिन आवश्यक ठान्दैनन् । 

अहिले जे जति सरकारी साइबर सुरक्षा प्रणाली वा डिजिटल प्रणाली छ, यो कसैको व्यक्तिगत होइन । यसका लागि हामी नागरिकले कर तिरेका हुन्छौं । त्यही करबाट यस्ता प्रणालीहरू तयार पारिएका हुन् ।

राष्ट्रिय सूचना प्रविधि केन्द्रको सरकारी डेटा सेन्टर पनि कसैको व्यक्तिगत सम्पत्ति होइन । देशको सम्पत्तिमा देशका हरेक नागरिकको जानकारी राख्ने अधिकार हुन्छ ।

आफूले तिरेको करबाट तयार भएको डेटा सेन्टरमा केकस्तो आक्रमण भएको थियो, त्यो जानकारी पाउनु नेपाली नागरिकको नैसर्गिक अधिकार  हो । रिपोर्ट देखाएको भए मात्र पनि सम्बन्धित सरकारी अधिकारीहरू यस्ता समस्यामा जिम्मेवार रहेछन्, साइबर आक्रमण हुन नदिन यस किसिमका तरिका अपनाउनु पर्ने रहेछ भनेर उनीहरूमा समर्पण र जिम्मेवार भाव देख्न सकिन्थ्यो ।

त्यसो हुन सकेको भए साइबर सुरक्षामा अनुसन्धानकर्ताको रूपमा हामी पनि केही सहयोग गर्न सक्थ्यौं । सरकारको यही कमजोरीले गर्दा साइबर सेक्युरिटी कम्युनिटीबाट पनि कसैले सहयोग गर्न चाहँदैनन् । किनभने सरकारले साइबर आक्रमण भएका सबै प्रमाणहरू लुकाउँछ ।

यदि कर्मचारीले आफ्नो कमजोरी लुकाउन रिपोर्ट नदेखाएको हो भने, त्यो अक्षम्य छ । गल्ती सबैबाट हुन्छ । हामीले गल्तीबाट नै थुप्रै पाठ सिकिरहेका हुन्छौं । गल्ती स्वीकार गर्नु नै महानता हो ।

अब त्यस्ता गल्ती गर्दैनौं भनेर माफी माग्दा हुन्छ । वास्तविक कुराहरू जे छन्, त्यो बाहिर आउनुपर्छ । सूचना नै दिइएन भने बरु त्यहाँभित्र स्वार्थ बाझिएको छ भन्ने बुझ्नुपर्ने हुन्छ ।

सरकारी अधिकारीहरू बारम्बार अहिलेसम्मकै ठूलो साइबर आक्रमण भनिरहेका हुन्छन् । यसको आधार के हो ? ठूलो आक्रमण भन्नका लागि पनि प्रमाण र रिपोर्ट चाहिन्छ । रिपोर्ट खोइ ? कति ट्राफिक आएको थियो त्यसको रिपोर्ट आउनुपर्छ ।

उहाँहरूले साइबर आक्रमण भएकाले साइट डाउन भएको भन्ने कुरा आफ्नो सामाजिक सञ्जाल तथा वेबसाइटहरूमा कतै पनि खुलाउनु भएको छैन । राष्ट्रिय सूचना प्रविधि केन्द्रको त सामाजिक सञ्जाल अकाउन्ट पनि छैन ।

कुनै न कुनै रूपमा सार्वजनिक जानकारी दिनुपर्ने हो, त्यो पनि छैन । प्रारम्भिक रिपोर्ट दिन सकिन्थ्यो । यस्ता केही काम पनि नगर्दा त्यहाँ गैरजिम्मेवार मानिसहरूले काम गरिरहेको जस्तो देखिन्छ ।

 

कसरी समाधान गर्ने बारम्बार हुने साइबर आक्रमण ?

सरकारी साइट तथा डेटामा जुन साइबर आक्रमण भइरहेको छ, त्यसमा सरकारले तीन ओटा कुरालाई ध्यानमा राख्नुपर्छ, जनशक्ति (People), प्रक्रिया (Process) र प्रविधि (Technology) ।

मानिसहरू राख्दा साइबर सुरक्षाको एउटा विधामा मात्र नभइ विभिन्न विधामा विज्ञता हासिल गरेका मानिसहरू राख्नुपर्छ । जसले त्यहाँ भएको डेटा सेन्टर जोगाउन सकून् ।

त्यसपछि प्रक्रियाको कुरा आउँछ, जसमा नेपाल सरकार निकै कमजोर छ । सरकारसँग यसका लागि कुनै नीति नियम नै छैन । जस्तै डिफेन्स लेयर (Defence Layer) कसरी राख्ने ?

त्यसपछि साइबर शासन र साइबर रेजिलियन्स नीति चाहियो । त्यसपछि पनि डिटेक्सन (Detection) को नीति चाहिन्छ, इन्सिडेन्ट रेस्पोन्स (Incident Response) को नीति आवश्यक हुन्छ ।

यस्ता नीति भएपछि सरकारले आन्तरिक रूपमा टिम कति सक्षम छ भन्ने कुराको परिपक्वता जाँच गर्नुपर्छ । केन्द्रका अधिकारीहरू नेपाल सरकारको डेटा सेन्टर सुरक्षित छ भन्ने गर्छन् ।

कुन आधारमा उहाँहरूले त्यसो भनिरहनु भएको छ ? उनीहरूको ‘म्याच्युरिटी लेभल’ (परिपक्वताको स्तर) के हो ? दक्षता अनुसार ‘म्याच्युरिटी लेभल’को सर्टिफिकेट पनि लिन सकिन्छ ।

यति गरिसकेपछि बल्ल प्रविधि आवश्यक पर्छ । त्यसपछि मात्र आवश्यक प्रविधि प्रयोग गर्न सकिन्छ । जस्तै ‘डिफेन्स लेयर’ अन्तर्गतको ‘इन्ट्रुजन डिटेक्सन सिस्टम’ चाहिने हो कि? हनिपट चाहिने हो कि ?

पेरिमिटर फायरवाल चाहिने पो हो कि ? एन्टिभाइरस आवश्यक पर्ने हो कि? अथवा वेब एप्टिलेसन फायरवाल जरुरी हो कि ? सिम, डेटा प्रोटेक्सनका लागि डीएलपी सिस्टम राख्ने हो कि ? त्यसका लागि एउटा रणनीति बनाएर मात्र अगाडि बढ्न सकिन्छ ।

अभ्यासमा यी तीनै काम भएको देखिँदैन । उहाँहरूले प्रविधि मात्र थपेको थप्यै गर्नुभयो । प्रविधि जति राखिएको भए पनि, जनशक्ति र प्रक्रिया भने छैन ।

यस्तोमा प्रविधि मात्र आफैं चल्दैन । यसलाई अर्को रुपमा हेर्ने हो भने साइबर सेक्युरिटीका तीन खम्बा मध्ये केन्द्रसँग एउटा मात्र खम्बा छ, बाँकी दुई ओटा छैनन् ।

साइबर सेक्युरिटीको एउटा मापदण्डमा पनि सरकारले काम गरेको देखिँदैन । यसमा सरकारी डेटा सेन्टर सुरक्षित छ भनेर कसरी विश्वास गर्ने ? साइबर सुरक्षामा सात ओटा डिफेन्स लेयर हुन्छन् ।

साइबर सेक्युरिटीमा ३२ ओटा साइबर सेक्युरिटी डोमेन छन् । त्यसलाई आधार बनाउने हो भने तीन ओटा मापदण्डहरू बन्छन् । त्यस्ता कुरामा काम गरेको देखिँदैन । त्यसका लागि सरकारी निकायहरूमा बलियो इच्छाशक्ति हुनुपर्‍यो ।

सबैभन्दा मुख्य कुरा देशलाई जति साइबर सुरक्षा विज्ञ, अनुसन्धानकर्ता वा जानकार आवश्यक पर्छन्, उनीहरूलाई यतै राख्ने वातावरण सिर्जना गर्नुपर्ने चुनौति छ । देशमा भएकै साइबर सुरक्षा दक्ष जनशक्ति विदेश जाने प्रवृत्ति बढेको छ ।

नेपाल सरकारले काम नै नदिएपछि यहाँ बस्नुको के अर्थ ? राम्रो रोजगार र सेवा सुविधा खोज्दै देशका साइबर सुरक्षा विशेषज्ञ बाहिर गइरहेका छन् ।

नेपाल सरकारको इतिहासमा नेपाल राष्ट्र बैंकले साइबर सुरक्षामा एक जनाका लागि आवेदन खुलायो । पहिलो कदम सुरु भएको छ ।

अब हरेक सरकारी निकायले सीपको आधारमा यसरी साइबर सुरक्षा विज्ञ छनौट गर्नुपर्छ । कति जनशक्ति आवश्यक पर्छन्, त्यो रिपोर्ट तयार पार्न जरुरी छ । यदि देशमा साइबर सुरक्षा विज्ञ छैनन् भने तयार पार्ने वातावरण बनाउनु पर्ने हुन्छ । 

एउटा रणनीति बनाएर त्यसै अनुसारका मापदण्डमा चल्ने हो र आवश्यक प्रविधि भित्र्याउने हो भने नागरिकको डेटा सुरक्षित हुन सक्छ । गर्न नसकिने होइन, तर गर्नसक्ने जिम्मेवारी बोध गर्न सक्नुपर्छ ।

सरकारले देशकै साइबर सुरक्षा कम्पनीहरू चिन्न सकेको छैन । १०/१२ वर्ष अगाडि इजरायलमा साइबर सुरक्षातर्फ त्यति काम भएको थिएन ।

तर, जब इजरायल सरकारले स्थानीय साइबर सुरक्षा कम्पनीहरूलाई सहयोग गर्न थाल्यो, त्यसपछि उक्त देशको साइबर सुरक्षा प्रणाली मजबुत भएको छ । अहिले आएर इजरायल संसारकै ‘पावर हब’ बनेको छ।

अहिले देशलाई चाहिने सफ्टवेयर, साइबर सेक्युरिटी टुल, साइबर सेक्युरिटी प्रोसेस र सेवा चाहिन्छ विदेशी कम्पनीहरूबाट लिने गरिएको छ । नेपाली कम्पनीहरूबाटै सेवा, सुविधा दिने वातावरण बनाउनु पर्छ ।

अहिले देशले जति पनि साइबर सुरक्षा विज्ञहरू प्रयोग गरेको छ, सबै बाहिरका छन् । त्यसबाट डलर पनि बाहिर गइरहेको छ । जबकी देशमै बाहिरको भन्दा राम्रा विज्ञ जनशक्ति छन् ।

देशका कुनै पनि साइबर सुरक्षा विज्ञ प्रयोग गर्न सरकार हिचकिचाउँछ । नेपालमै हुर्किरहेको कम्पनीहरूलाई केही सिकाउनु पर्ने हुनसक्छ । वा कम्पनीबाट केही सिक्नुपर्ने हुनसक्छ । यसमा सरकारको सहकार्य चाहिन्छ ।

पहुँच पाएको मान्छेले सरकारी डेटा चोरेर लग्यो भने उसलाई कारबाही गर्ने कानून छैन । डेटा संरक्षण गर्ने ऐन छैन ।

जिम्मेवार व्यक्ति वा आधिकारिक पहुँच पाएको मान्छेले डेटा चोरी गर्दा कुनै कानून लाग्दैन । जसले गर्दा बाहिरका जति पनि सेवाप्रदायक छन्, उनीहरूलाई डेटाको एक्सेस हुन्छ । यदि उनीहरूले डेटा चोरेर लगेका छन् भने कुन ऐन अन्तर्गत कारबाही गर्ने ?

त्यस्तै हामीसँग सूचना लुकाएको अवस्थामा पनि कारबाही गर्ने नीति छैन । नेपाल सरकारका जति पनि नियमनकारी निकाय छन्, सबै विसंगतिको बाटोमा छन् । त्यसको कारण भनेकै उपयुक्त कानून नहुनु हो । 

'डेटा ब्रिच नोटिफिकेसन एक्ट' अमेरिका, बेलायत, भारत जस्ता देशमा बनिसकेको छ । यो नियम अनुसार सिस्टम ह्याक भइसकेपछि त्यसबारे जानकारी हुनै पर्छ । उनीहरूले कुनै सूचना लुकाउन पनि पाउँदैनन् ।

त्यसको विस्तृत अनुसन्धान गरेको रिपोर्ट सार्वजनिक गर्नुपर्छ । यदि गरेको छैन भने कानून अनुसार कारबाहीको भागी हुनुपर्छ ।

विदेशतिर यी नियमको उलङ्घन गरेको खण्डमा जेल सजाय हुनेसम्मको व्यवस्था छ । साइबर सुरक्षा ऐन र डेटा ब्रिच नोटिफिकेसन ऐन सरकारले तत्कालै ल्याउनुपर्ने कानून हुन् । हाम्रो देशमा यी दुवै महत्त्वपूर्ण कानून छैनन् ।

निजी कार्यालयमा ग्राहक सन्तुष्टिलाई बढी प्राथमिकता दिइन्छ । जसले गर्दा कम्पनीहरूले आफ्नो साइबर सुरक्षा प्रणालीलाई दह्रो बनाएका हुन्छन् । त्यसमा पनि नियमनकारी निकायले कडा निर्देशन दिएको हुन्छ ।

प्रयोगकर्ताको डेटा सुरक्षाको अवस्थामा केही कमजोरी भए कारबाही गर्ने निर्देशन हुन्छ । त्यसभन्दा पनि सर्भरमा आक्रमण भयो वा साइट डाउन भयो भने उनीहरूको व्यापार नै चौपट हुनसक्छ ।

त्यसैले पनि निजी कम्पनीहरूले सावधानी अपनाएका हुन्छन् । नियामक निकायको नीतिमा रहेर सेक्युरिटी अडिट गरिरहेका हुन्छन् । सबैभन्दा मुख्य कुरा जुन कम्पनीको सफ्टवेयर, टुल वा अन्य प्रणाली प्रयोग गरिएको हुन्छ, त्यस्ता कम्पनीको थर्ड पार्टी जोखिम मूल्याङ्कन गरिएको हुन्छ ।

सरकारले पनि कुनै सेवा प्रयोग गर्नुपूर्व यस्ता कामहरू गर्नुपर्छ । सरकारले सेवाग्राहीलाई प्राथमिकतामा राखेकै छैन । सरकारले सेवाग्राहीलाई सेवाग्राही जस्तै व्यवहार गर्नुपर्छ ।

आएका गुनासाहरू प्राथमिकतामा राखेर समाधान गर्नुपर्छ । निजी क्षेत्र सीमित बजेटमा काम गर्न सक्छ । तर, त्यसभन्दा धेरै बजेट हुने सरकारी निकाय किन प्रभावकारी काम गर्न सक्दैनन् ?

सूचना सुरक्षाको तीन ओटा सिद्धान्त छन्, कन्फिडेन्सियालिटी (Confidentiality), इन्टिग्रिटी (Integrity) र एभायलेबिलिटी (Availability) ।

कन्फिडेन्सियालिटी भन्नाले जति पनि सिस्टम र डेटाहरू छन्, तिनको संवेदनशीलता ‘ब्रिच’ (चोरी वा चुहावट) हुनु भएन । गोप्य डेटा वा कुनै पनि सूचना हुन्छ, त्यो सम्बन्धित व्यक्तिले मात्र पाउनु पर्छ, जसलाई उक्त डेटा सम्बन्धी केही काम गर्न भनिएको छ ।

त्यस बाहेक अन्य कसैले पनि उक्त डेटा पाउनु भएन । अर्को इन्ट्रिग्रेटी भनेको चाहिँ जे डेटा सिस्टममा राखिएको हो, त्यही डेटा हुनुपर्छ, तोडमोड गर्नु भएन ।

यसैगरी एभायलेबिलिटी भनेको चाहिएको बेला डेटा वा साइटमा साइटमा पहुँच हुनुपर्छ । दुई घण्टा/तीन घण्टा पछि मात्र एक्सेस पाउँदा यस्ता सिद्धान्तको हनन् हुन्छ ।

यी सबै कुराका लागि आवश्यक पर्ने भनेकै रणनीति हो । कन्फिडेन्सियालिटी, इन्ट्रिग्रेटी र एभायलेबिलिटीलाई आधार मानेर बनाएको रणनीति निकै महत्त्वपूर्ण हुन्छ ।

जसअन्तर्गत केके कुरालाई प्राथमिकतामा राख्ने ? गम्भीरता तथा संवेदनशीलताका आधारमा कुन अगाडि राख्ने भन्ने कुरा विचार  गर्नुपर्छ । अन्त्यमा त्यसै अनुसारको सुरक्षा संयन्त्र तयार पार्नुपर्ने हुन्छ । 

पछिल्लो अध्यावधिक: चैत ९, २०७९ १०:४९