किन भइरहन्छ सरकारी सर्भरमा लगातार आक्रमण ?

काठमाडौं । २०७९ माघ १४ गते शनिबार करिब पाँच घण्टासम्म ४०० बढी सरकारी वेबसाइट एकाएक बन्द भए । वेबसाइट बन्द हुँदा अध्यागमनदेखि राहदानी विभागका अनलाइन सेवा चलेनन् । त्यस दिन ११ वायुसेवा उडान प्रभावित हुनुका साथै अन्तर्राष्ट्रिय उडानतर्फ हजारौंको यात्रा अस्तव्यस्त बनेकाे थियाे । बन्द भएका सम्पूर्ण सरकारी वेबसाइट राष्ट्रिय सूचना प्रविधि केन्द्रमा होस्ट भएका थिए ।

एकैपटक डेटा सेन्टरमा धेरै साइटबाट साइबर आक्रमण हुँदा सरकारी वेबसाइटहरू डाउन भएको सूचना बाहिर आयो । सर्भर डाउन हुनुको कारण डीडीओएस (डिस्ट्रिब्युटेड डिनायल अफ सर्भिस) अट्याक भएको राष्ट्रिय सूचना प्रविधि केन्द्र (एनआईटीसी) ले जानकारी दिएपनि यसको विस्तृत अध्ययन तथा अनुसन्धानको प्रतिवेदन भने बाहिर ल्याइएकाे छैन ।

सरकारी वेबसाइटमा बारम्बार समस्या आउन थालेपछि राष्ट्रिय सूचना प्रविधि केन्द्रले यसबारे सतर्कता अपनाएकाे र आवश्यक छानबिन गरिरहेकाे केन्द्रका कार्यकारी निर्देशक प्रदीप शर्मा पौडेल बताउँछन् ।

देशको सरकारी डेटा सेन्टर नै डाउन भएपछि विभिन्न अडकलबाजी हुन थाले । केहीले साइबर आक्रमण भएको आशंका गरे भने केहीले 'डुअल इन्टरनेट कनेक्टिभिटी' (इन्टरनेट कनेक्सनका दुई वा सोभन्दा बढी विकल्प) नहुँदा उक्त समस्या निम्तिएको अनुमान गरे ।

"सरकारी वेबसाइटमा बारम्बार आक्रमण भयाे," एनआईटीसीका उपनिर्देशक  एवं सूचना अधिकारी रमेश पोखरेल भन्छन्, "कसले किन कहाँबाट आक्रमण गरिरहेको छ भन्ने कुरा अनुसन्धानकै क्रममा छ ।" उनका अनुसार माघ १४ गते शनिबार कार्यलयमा इन्जिनियर नहुँदा साइबर आक्रमण (डीडीओएस अट्याक) भएर लामो समय वेबसाइटहरू बन्द हुने अवस्था आएको थियो ।

फरक-फरक साइटहरूबाट एकसाथ आक्रमण भइरहनु र त्यसलाई नियन्त्रण गर्ने जनशक्तिको अभाव सँगसँगै हुनुले सरकारी वेबसाइट बन्द हुने अवस्था आएको उनकाे प्रतिक्रिया थियाे । पछिल्लो समय पर्याप्त जनशक्ति, स्रोत तथा साधन लगाएर निगरानी भइरहेकाले डाउन हुने जोखिम कम भएको उनको दाबी छ ।

उनका अनुसार सरकारलाई अट्याक गर्ने जसको पनि इच्छा हुन्छ । सरकारी वेबसाइटमा आक्रमण गर्‍यो भने ‘पपुलर’ हुन्छु भन्ने मान्छेमा एउटा खालको भ्रम भएकाले केही ह्याकरले यस्तो गर्न सक्ने उनको बुझाइ छ । यस्ता समस्या पुनः आउन नदिन वैकल्पिक उपायहरूमा समेत काम भइरहेको उनले बताए । ​विशेषगरी डेटा माइग्रेसन गर्दा साइबर आक्रमण हुने भएकाले त्यसको विकल्प खोजिरहेको उनले जानकारी दिए ।

त्यसको करिब २३ दिनपछि अर्थात् फागुन ८ गते देशकै महत्त्वपूर्ण मानिने त्रिभुवन अन्तर्राष्ट्रिय विमानस्थलको अध्यागमन विभागको वेबसाइट डाउन भयो । करिब डेढ घण्टा सर्भर डाउन हुँदा भिजा जारी हुन समस्या भयो । सो अध्यागमन कार्यालयको सर्भर डाउन हुँदा कम्तीमा छ ओटा अन्तर्राष्ट्रिय उडानबाट बाहिर जाने एक हजार हाराहारी यात्रु प्रभावित भएका थिए ।

भारतीय र नेपाली यात्रुको काम विभागका कर्मचारीले ‘म्यानुअल्ली’ गरे पनि विदेशी नागरिकको काम सफ्टवेयरबाट मात्र गर्न मिल्ने भएकाले उनीहरू तीन घण्टा बढी विमानस्थलमा पर्खेर बस्नुपर्ने वाध्यता आइलाग्यो । उक्त सर्भर डाउन भएको एक महिना बितिसक्दा पनि त्यससँग सम्बन्धित कुनै प्रतिवेदन बाहिर आएको छैन । प्रारम्भिक अनुसन्धानमा ‘डुअल इन्टरनेट’ सुविधा नहुँदा सर्भर डाउन भएको बताइएको छ । 

अध्यागमन विभागमा सबसिस्टम धेरै भएकाले कहाँ खराबी भएर सर्भर डाउन भएको भन्ने नखुलिसकेको अध्यागमन कार्यालयका सूचना अधिकारी गणेश आचार्यले बताएका छन् । अध्यागन विभागमा साइबर आक्रमण भएको घटनाबारे अध्ययन भइरहेको बताइएको छ । 

यी प्रतिनिधि घटना मात्र हुन् । यस्ता साइबर आक्रमणका घटना बारम्बार भइरहेका हुन्छन् । तर, कति बाहिर आउँछन्, कति गोप्य नै रहन्छन् । 

सरकारी साइटमा भएका विभिन्न आक्रमणसँगै सम्पूर्ण नागरिक र सरकारी कार्यालयहरूका महत्त्वपूर्ण सूचना तथा तथ्याङ्क भण्डारण गरिएको डेटा सेन्टरको सुरक्षाको विषयलाई लिएर राष्ट्रिय स्तरमै  चासो र चिन्ता प्रकट हुन थाल्यो ।

वर्तमान सरकारकी प्रवक्ता एवं सञ्चार तथा सूचना प्रविधिमन्त्री रेखा शर्माले अधिकांश सरकारी वेबसाइट डाउन भएका घटनाप्रति बढी चासो देखाउँदै त्यसबारे कुरा राख्दै आएकी छन् । मन्त्री शर्मा मात्र नभई प्रतिनिधि सभाको बैठकमा विभिन्न सांसद्ले यसबारे चिन्ता व्यक्त गर्दै आइरहेका छन् । 

उता राष्ट्रिय सूचना प्रविधि केन्द्रका प्रमुख प्रदीप शर्मा पौडेल भने नेपाल सरकारका डेटा सुरक्षित रहेको तर्क राख्छन् । डेटा सेन्टर सिंहदरबार परिसरभित्र रहेकाले यसको भौतिक सुरक्षा प्रभावकारी भएको भन्दै थप पहुँच नियन्त्रण गर्न एक्सेस कन्ट्रोल, बायोमेट्रिक सुरक्षा, एक्सेस लग व्यवस्थापन, २४सैं घण्टा सीसीटीभी अनुगमन र कर्मचारी व्यवस्थापन गरिएको एनआईटीसीका प्रमुख पौडेल बताउँछन् । 

प्रतिवेदन किन बाहिर ल्याइएन ?

गम्भीर साइबर आक्रमण भएपनि सरकारी अधिकारीहरूले महिनौसम्म पनि यसको भित्री कारण बाहिर ल्याउन सकेका छैनन् । ​सरकारी अधिकारीहरू साइबर सुरक्षा आक्रमण भएर साइट डाउन भयो भनेर सहजै पन्छिने गरेकाे साइबर सुरक्षा जानकारहरूकाे गुनासाे छ ।

साइबर सुरक्षाविज्ञ विवेक राणा साइबर आक्रमण भएर सर्भर डाउन भएको हो/होइन भन्ने कुराको कुनै आधार नभएको राय राख्छन् । उनी भन्छन्, "साइबर आक्रमणले नै सरकारी साइटहरू डाउन भएको हो भन्ने कुराको कुनै प्रमाण नै बाहिर ल्याइँदैन । यसमा सोझै यो रोग लाग्यो भन्ने अनुमान गरिन्छ । अनि धमाधम औषधि किनेर खाइन्छ । यहाँ लक्षणको औषधिबाट धेरै धन्दा भइरहेको छ । साइट वास्तवमा डाउन भयो कि भएन, त्यसमा कसरी किन डाउन भयो, के कारणले डाउन भयो भन्ने कुरासम्बन्धी कुनै पनि अन्वेषण हुँदैन ।" 

राणाको कुरामा सहमति जनाउँदै अर्का साइबर सुरक्षा जानकार विजय लिम्बू सरकारले रिपोर्ट ननिकाल्नुमा केही सरकारी व्यक्तिको स्वार्थ जोडिएको तर्क राख्छन् । 

यसलाई प्रस्ट पार्दै लिम्बू अगाडि भन्छन्, "नेपालको घटनामा भने किन साइबर आक्रमण भइरहेको छ भन्ने नै अहिलेसम्म विस्तृतमा अध्ययन गर्ने मौका कसैले पाएको छैन । किनभने जति पनि साइबर अट्याकहरू भएका छन्, नेपाल सरकारले त्यो सबै घटना लुकाउँछ । उनीहरूले बाहिर सूचना दिँदैनन् । कुन किसिमको अट्याक आएको थियो, कुन आईपी एड्रेसबाट, के उद्देश्यले साइबर आक्रमण भएको थियो भन्ने कुराको अध्ययन गरेर त्यसको रिपोर्ट दिनुपर्ने हो । अहिलेसम्म दिएकै छैन ।" 

साइबर आक्रमणको घटनालाई अन्य दुर्घटनासँग तुलना गर्दै उसैगरी रिपोर्ट सार्वजनिक गर्नुपर्नेमा लिम्बूकाे धारणा छ । "जसरी कुनै विमान दुर्घटनामा पर्दा त्यसलाई विस्तृतमा अध्ययन गरेर छानबिन समिति बनाएर अनुसन्धान गरिन्छ,'' उनी भन्छन्, ''त्यसले पछि हुने दुर्घटनालाई न्यूनीकरण गर्न सघाउँछ । तर, देशको प्रमुख डेटा सेन्टर वा साइटमा आक्रमण हुँदा त्यसको रिपोर्ट कहिल्यै बाहिर आउँदैन ।" 

"उनीहरूले रिपोर्ट सार्वजनिक गर्न पनि उचित ठान्दैनन् । अहिले पनि एक महिनाभन्दा बढी भइसकेको छ । तर, रिपोर्ट अहिलेसम्म पनि बाहिर आएको छैन । यस्ता रिपोर्टलाई अध्ययन गर्दा वास्तविक के भएको रहेछ भन्ने थाहा पाउन सकिन्छ । त्यस्तै खालका आक्रमणबाट बच्नका लागि अरू निकायलाई सजग बनाउन सकिन्छ । तर, वहाँहरूले रिपोर्ट नै निकाल्नु भएको छैन।" उनी थपमा भन्छन् । 

रिपोर्ट बाहिर नल्याउनु वा खोज्ने व्यक्तिहरूमाझ नपुग्नुका थुप्रै कारण रहेको एनआईटीसीका प्रमुख पौडेलको भनाइ छ । 

 "हामीले प्रारम्भिक अनुसन्धानको रिपोर्ट सञ्चार मन्त्रालयलाई बुझाएका छौँ । यसका लागि बनेको छानबिन समिति र कार्यदलले थप अनुसन्धान गरेर प्रतिवेदन तयार पार्छ," उनले भने, "हामीले प्रधानमन्त्री कार्यालय, सञ्चार मन्त्रालय कार्यालयमा रिपोर्ट बुझाइसकेका छौँ । कति सूचना भन्न योग्य हुन्छन्, कतिपय सूचना बाहिर भन्न अयोग्य हुन्छन् । कति छानबिनका क्रममा रहन्छन् । कति संवेदनशील त गोप्य हुन्छन् । जसले गर्दा बाहिर ल्याउने अवस्था हुँदैन ।"

नेपाल प्रहरी, नेपाली सेना, नेपाल सरकारका उच्चस्तरीय अधिकारी लगायत अन्य विज्ञले प्रारम्भिक अनुसन्धान गरेर उक्त साइबर आक्रमण डीडीओएस आक्रमण भएको पुष्टि गरेको पौडेलले बताए । "उहाँहरूले तयार पारेको रिपोर्ट सञ्चार मन्त्रालय र प्रधानमन्त्री कार्यालयमा गइसकेको छ । भएको घटना डीडीओएस अट्याक भन्ने पुष्टि भइसकेको छ । यसमा कसले, किन, कुन ठाउँबाट गरेको भन्ने कुरा पत्ता लगाउन लामो अनुसन्धान गर्नुपर्ने भएकाले कार्यदल त्यही कार्यमा सक्रिय छ," उनले भने ।

यी समस्या समाधानका लागि सरकारका पनि केही कमजोरी भएको उनले स्वीकार गरेका छन् । विशेषगरी सीमित स्रोत, साधन र बजेटले गर्दा साइबर सुरक्षा प्रणाली अब्बल बनाउन नसकिएको उनको भनाइ छ ।

"डिजिटल प्रणालीको माग दुई तीन वर्षदेखि एक्कासी बढेकाले तत्कालै आवश्यक स्रोत, साधन लगायत अन्य वस्तु व्यवस्थापन गर्न केही समय समय लागेको हो," उनले भने ।   

साइबर आक्रमण हुने सम्भावित कारण के हुन् ?  

देशकै प्रमुख सर्भरमा साइबर आक्रमणका घटना बारम्बार भइरहने विषयलाई सरल रुपले हेर्न नहुने साइबर जानकार राणाको राय छ । साइबर आक्रमण गर्न अट्याकरले लामो समयदेखि योजना बनाउने गर्छन् । कुन समयमा आक्रमण गर्दा बढी प्रभाव हुन्छ वा आफ्नो उद्देश्य सफल हुन्छ भन्ने कुरा मापन गरेर आक्रमण गर्ने उनीहरूको तयारी हुने राणा बताउँछन् ।

यता साइबर सुरक्षा जानकार लिम्बूका अनुसार यसरी सरकारी साइटमा आक्रमण गर्न विशेषगरी तीन किसिमका मानिसहरू सहभागी हुन्छन् । सबैभन्दा पहिले सिकारु । जो साइबर आक्रमणको क्षेत्रमा नयाँ छन्, उनीहरूले आफ्नो रहर र सीप परीक्षणका लागि यस्ता किसिमका आक्रमण गर्छन् ।

त्यस्तै दोस्रोमा हुन्छन्, व्यावसायिक साइबर अपराधी । उनीहरूले योजनावद्ध तरिकाले आफ्नो उद्देश्य प्राप्तिका लागि साइबर आक्रमण गर्छन् । विशेषगरी सरकारी साइटको डेटा पाउन वा सेवा प्रभावित पारेर हैरान बनाउन तथा साइट डाउन गरी रकम असुल्ने नियतले साइबर आक्रमण गर्छन् ।

त्यस्तै अन्तिममा हुन्छन् 'स्टेट स्पोन्सर्ड अट्याकर' । यी त्यस्तो किसिमका साइबर अपराधी हुन्, जो कुनै देशबाट सञ्चालित हुन्छन् ।

कमजोर सेक्युरिटी आर्किटेक्चर

साइबर आक्रमणको प्रयास जसले गरेपनि सिस्टम भरपर्दो छ भने साइट बन्द हुने अवस्था नआउने जानकारहरूको ठहर छ । राणा र लिम्बूले गरेका विभिन्न अध्ययनले सिस्टममा भएका कमजोरीले ह्याकरहरूलाई आक्रमण गरेर सर्भर डाउन पार्न सम्भव भएको देखाएको छ ।

आफ्नो अध्ययनलाई आधार मान्दै उनीहरू साइबर आक्रमण जोखिमका लागि डेटा सेन्टरको सेक्युरिटी आर्किटेक्चरको भूमिका महत्त्वपूर्ण हुने तर्क राख्छन् । आईटीमा सेक्युरिटी आर्किटेक्चर भनेको संगठनको आईटी पूर्वाधारलाई साइबर खतराहरूबाट जोगाउन प्रयोग गरिने समग्र प्रणाली हो ।

यसले आईटी कर्मचारीहरूले कसरी सुरक्षा प्रक्रियाहरू कार्यान्वयन गर्नुपर्छ भनेर परिभाषित गर्छ र खतराहरू रोक्न, अनुसन्धान गर्न तथा पत्ता लगाउन प्रयोग गरिने सबै विशिष्टताहरू, प्रक्रियाहरू र मानक सञ्चालन  (Standard operation) प्रक्रियाहरू समावेश गर्छ ।

नेपालको सन्दर्भमा भने सरकारको सेक्युरिटी आर्किटेक्चर नै कमजोर रहेको कुरामा उनीहरूकाे सहमति छ ।  यसलाई थप प्रस्ट पार्दै राणा भन्छन्, "जतिसुकै अत्याधुनिक प्रविधि भित्र्याए पनि सेक्युरिटी आर्किटेक्चर कमजोर छ भने साइबर आक्रमणको जोखिम हुन्छ हुन्छ ।" 

आवश्यक स्रोतको अभाव

अर्काेतर्फ सर्भर चल्न आवश्यक पर्ने संसाधन नपुगेर पनि सर्भर डाउन हुने गरेकाे सुरक्षा अध्ययनबाट देखिएकाे छ ।

लिम्बू भन्छन्, "कहिलेकाहीँ डुअल इन्टरनेट कनेक्टिभिटी नभएर डाउन भइरहेको छ । एउटा मात्र इन्टरनेटको विकल्प हुँदा एउटा इन्टरनेट नचेलको अवस्थामा साइट डाउन हुन्छ । कति केसमा त पावर मेनेजमेन्ट नहुँदा पावर सप्लाइ नपुगेर पनि साइट डाउन भइरहेको घटना आइरहेको छ । पछिल्ला केही घटना हेर्दा इन्टरनेट कनेक्टिभिटी राम्रोसँग नभएर, सर्भर रिसोर्सको कमी भएर, नेटवर्ट आर्किटेक्चरको रिसोर्सेस नभएर, उचित योजना नभएकाले सर्भर डाउन भएको अनुमान लगाउन सकिन्छ ।" 

जानकारहरूले जेजस्ता अनुमान लगाए पनि सरकारले यसबारे रिपोर्ट बाहिर नल्याएसम्म वास्तविकता थाहा पाउन नसकिने धेरैकाे तर्क छ ।

डीडीओएस अट्याक हुन कति सम्भव छ ? कसरी हुन्छ यस्तो आक्रमण ?

प्रारम्भिक अनुसन्धानका क्रममा सरकारी सर्भर डाउन हुनुको मुख्य कारण डीडीओएस अट्याक भएको एनआईटीसीका प्रमुख पौडेलले बताएका छन् । डीडीओएस अट्याक (DDoS Attack) भन्नाले ‘डिस्ट्रिब्युटेड डिनायल अफ सर्भिस अट्याक’ भन्ने बुझिन्छ ।

यो किसिमको साइबर आक्रमणमा लक्षित सर्भर, सेवा वा नेटवर्कको सामान्य ट्राफिकलाई धेरै स्रोतहरूबाट इन्टरनेट ट्राफिक जम्मा गराएर त्यस्ता साइट तथा सर्भिसहरू प्रभावित पारिन्छ । उदाहरणका लागि, डीडीओएस आक्रमणले वेबसाइटमा नक्कली रिक्वेस्टहरू पठाउनका लागि मालवेयरबाट सङ्क्रमित हजारौं कम्प्युटरहरू प्रयोग गर्नसक्छ, जसले साइटलाई ढिलो लोड हुने वा चल्दै नचल्ने बनाउँछ ।

डीडीओएस अट्याक न्यूनीकरण गर्न के गर्ने ?

डीडीओएस आक्रमणका घटना न्यूनीकरण गर्न सरकारले साइबर तथा सूचना सुरक्षाका तीन प्रमुख सिद्धान्तलाई पालना गर्नुपर्ने सुरक्षा जानकार लिम्बूको सुझाव छ । जसमा ‘कन्फिडेन्सियलिटी’, ‘इन्टिग्रेटी’ र ‘अभाइलेबिलिटी’ रहेका छन् ।

अवैध रूपमा डेटा पहुँच गर्न खोज्नुलाई ‘कन्फिडेन्सियलिटी’ (Confidentiality) भनिन्छ । ‘अभाइलेबिलिटी’ (Availability) भन्नाले डिजिटल सञ्चालनमा बाधा पुऱ्याउनुलाई बुझाउँछ भने डेटा क्षति गर्नुलाई ‘इन्टिग्रेटी’ (Integrity) भनिन्छ ।

साइबर आक्रमणहरू सामान्यतया प्रणालीमा अनाधिकृत पहुँच पुर्‍याई गोप्य वा संवेदनशील डेटा सूचना प्राप्त, डेटा परिवर्तन गर्ने वा नष्ट गर्ने उद्देश्यका हुन्छन् र सोको गलत प्रयोग गर्ने, प्रयोगकर्ताबाट फिरौती माग्ने, वा सामान्य व्यापारलाई अवरोध गर्ने गर्छन् ।

यी तीन ओटा सूचकलाई व्यवस्थापन गर्न सकियो भने साइबर आक्रमण कम गर्न सकिने लिम्बूको बुझाइ छ ।

"यी सबै कुराका लागि आवश्यक पर्ने भनेको रणनीति हो," लिम्बू भन्छन्, "कन्फिडेन्सियालिटी, इन्ट्रिग्रेटी र अभाइलेबिलिटीलाई आधार मानेर बनाएको रणनीति निकै महत्त्वपूर्ण हुन्छ । यसका लागि साइबर सेक्युरिटीको उत्तम रणनीति हुनुपर्‍यो ।" 

त्यसबाहेक पनि सरकारले सेक्युरिटी आर्किटेक्चरलाई बढी ध्यान दिनुपर्ने राणाको धारणा छ । "बाहिर फलामकै ढोका लगाएको छ भने पनि भित्ता कमजोर छ वा आन्तरिक प्रणाली कमजोर छ भने ‘क्रिमिनल’ जसरी पनि प्रवेश गर्न सक्छ । त्यसैले आर्किटेक्चरमा ध्यान दिनुपर्‍यो," उनले थपे ।

‘पिपुल’, ‘प्रोसेस’ र ‘टेक्नोलोजी’ को सही परिचालन

त्यस्तै साइबर सुरक्षाका तीन स्तम्भ मानिस (पिपुल), प्रक्रिया (प्रोसेस) र प्रविधि (टेक्नोलोजी) अर्थात् ‘पीपीटी’ मा केन्द्रित हुन लिम्बूले सुझाव दिए । "सुरक्षाका लागि मानिसहरू राख्दा साइबर सुरक्षाको एउटा विधामा मात्र नभई विभिन्न विधामा विज्ञता हासिल गरेका मानिसहरू राख्नुपर्छ । जसले त्यहाँ भएको डेटा सेन्टर जोगाउन सक्नुहुन्छ,” उनले भने । 

“त्यसपछि प्रोसेस चाहियो । जुनमा हाम्रो नेपाल सरकार धेरै पछाडि छ । उहाहरूसँग यससँग सम्बन्धित कुनै नीति नियम नै छैन । जस्तै; डिफेन्स लेयर कसरी राख्ने ? त्यसपछि ‘साइबर प्रिभेन्सन’ को नीति चाहियो । डिटेक्सनको नीति चाहियो, इन्सिडेन्ट रेस्पोन्सको नीति चाहियो । आक्रमण भइराख्छ । त्यस्तोमा आक्रमणलाई कसरी न्यूनीकरण गर्ने भन्ने नीति चाहिन्छ । यस्ता नीति भएपछि उहाँहरूले आन्तरिक रुपमा टिम कति सक्षम छ भन्ने कुराको म्याचुरिटी निकाल्नुपर्‍यो । उहाँहरू नेपाल सरकारको डेटा सेन्टर सुरक्षित छ भन्नुहुन्छ । केका आधारमा उहाँहरूले त्यसो भनिरहनु भएको छ ? उहाँहरूको ‘म्याचुरिटी लेभल’ के हो ? दक्षता अनुसार म्याचुरिटी लेभलको सर्टिफिकेट त लिन सकिन्छ," उनले अगाडि भने ।

साइबर सुरक्षा प्रणाली सुरक्षित बनाउन नीतिको अभाव भएको लिम्बूको धारणा छ ।  

यति गरिसकेपछि मात्र प्रविधि आवश्यक पर्छ । जस्तो सरकारलाई 'डिफेन्स लेयर' अन्तर्गतको इन्ट्रिजेन्ट डिटेक्सन सिस्टम चाहिने हो कि ? पेरिमिटर फायरवाल चाहिने हो कि ? एन्टिभाइरस चाहिने हो कि ? वेब एप्टिलेसन फायरवाल चाहिने हो कि ? सिम, डेटा प्रोटेक्सनका लागि डीएलपी सिस्टम चाहिने हो कि ? त्यसका लागि स्पष्ट रणनीति बनाएर मात्र अगाडि बढ्न सकिने उनले उल्लेख गरे ।

यसमा सरकारले साइबर आक्रमण हुनुका पछाडि अनुसन्धान भए/नभएको नै प्रस्ट नहुँदा र भएपनि रिपोर्ट बाहिर नआएकाले साइबर सुरक्षामाथि थप प्रश्न उब्जिएको छ ।

आक्रोश भावमा लिम्बू भन्छन्, "आक्रमण कस्तो किसिमको हो, के भइरहेको छ भनेर रिपोर्ट दिनुपर्ने हो ।” देशको सर्भर डाउन हुँदा सम्भावित जोखिमहरू कम गर्न र अन्य निकायलाई सजग बनाउनका लागि यसको विस्तृत अनुसन्धान गरेर रिपोर्ट सार्वजनिक गर्नुपर्ने हो ।"

यसो गर्दा साइबर सुरक्षाका क्षेत्रमा काम गर्नेहरू वा सर्वसाधारणले रिपोर्टका माध्यमबाट आफू सजग हुनसक्ने उनको धारणा छ ।

देशकै साइबर सुरक्षा विज्ञ परिचान

सरकारी डेटा सेन्टरमा भइरहने आक्रमण रोक्नका लागि विदेशी जनशक्तिमा मात्र निर्भर हुनु उचित हुँदैन । सरकारी डेटा सुरक्षाका लागि खटिने साइबर सुरक्षा विज्ञमा केकस्ता विशेषज्ञाता हुनुपर्छ भन्ने कुराको मापदण्द बनाएर देशकै जनशक्ति परिचानल गर्न जानकारको सुझाव छ । 

२०२२ मा विश्वका उत्कृष्ट २५० साइबर सुरक्षा कम्पनीमध्ये तीन ओटा साइबर सुरक्षा कम्पनी नेपालबाट छनौट भएका थिए । जसमा भैरव टेक्नोलोजी, क्रिप्टोजेन नेपाल र ग्रिन टिक नेपाल रहेका थिए ।

सरकारी साइटका लागि आवश्यक जति पनि सफ्टवेयर, टुल, टेस्टिङ डिभाइड आवश्यक पर्छन् ती सबै कुरा देशकै साइबर सुरक्षा कम्पनीले प्रदान गर्न सक्ने लिम्बूको भनाइ छ । यसरी देशकै साइबर सुरक्षा कम्पनीसँग सहकार्य गरेर अगाडि बढ्ने हो भने साइबर सुरक्षाको जोखिम न्यूनीकरण गर्न सकिन्छ । 

साइबर आक्रमण गर्नेलाई नेपालमा के कारबाही हुन्छ ?

साइबर आक्रमण गर्ने व्यक्ति वा संस्थालाई विद्युतीय कारोबार ऐन २०६३ को धारा ४५ र ४६ कसूरमा आकर्षित हुने देखिन्छ ।

ऐनको धारा ४५ मा "कुनै व्यक्तिले कुनै कम्प्युटरमा रहेको कुनै कार्यक्रम, सूचना वा तथ्याङ्कमा पहुँच प्राप्त गर्ने मनसायबाट सो कम्प्युटर धनी वा जिम्मेवार व्यक्तिबाट अख्तियारी नलिई सो कम्प्युटरको प्रयोग गरेमा वा अख्तियारी लिएको अवस्थामा पनि अख्तियारी दिइएको भन्दा भिन्न कुनै कार्यक्रम, सूचना वा तथ्याङ्कमा पहुँच प्राप्त गर्ने उद्देश्यले कुनै कार्य गरेमा निजलाई कसूरको गम्भीरता हेरी दुई लाख रुपैयाँसम्म जरिवाना वा तीन वर्षसम्म कैद वा दुवै सजाय हुने" व्यवस्था छ ।

त्यसैगरी धारा ४६ मा "कुनै व्यक्तिले कुनै संस्थालाई गलत तरिकाले हानी नोक्सानी पुर्‍याउने मनशाय राखी जानी जानी कम्प्युटर सम्पदामा रहेको कुनै सूचनालाई कुनै पनि ब्यहोराबाट नष्ट गरेमा, क्षति पुर्‍याएमा, मेटाएमा, हेरफेर गरेमा, काम नलाग्ने बनाएमा वा त्यस्तो सूचनाको मूल्य र प्रयोगको महत्वलाई ह्रास गराएमा वा हानिकारक प्रभाव पारेमा वा कसैलाई त्यस्तो काम गर्न लगाएमा निजलाई दुई लाख रुपैयाँसम्म जरिवाना वा तीन वर्षसम्म कैद वा दुवै सजाय हुने व्यवस्था छ ।

तर, साइबर अपराधी सधैं देशभित्रका नागरिक नहुने भएकाले यी व्यवस्था त्यति प्रभावकारी नहुने अधिवक्ता तथा डिजिटल राइट्स नेपालका संस्थापक अध्यक्ष सन्तोष सिग्देलको भनाइ छ ।

"नेपालमा विद्युतीय कारोबार ऐन अन्तर्गत वाह्यदेशीय क्षेत्राधिकारको व्यवस्था गरिएको छ," यसलाई प्रस्ट पार्दै उनी भन्छन्, "भन्नुको अर्थ संसारमा जुनसुकै स्थानबाट साइबर आक्रमण भएपनि त्यस्तो आक्रमण गरिएको कम्प्युटर, कम्प्युटर प्रणाली वा कम्प्युटर नेटवर्क प्रणाली नेपालमा अवस्थित छ भने साइबर आक्रमण गर्ने व्यक्ति नेपालको कानून अनुसार दण्डित हुन्छ भन्ने हो ।" 

उनी अगाडि भन्छन्, "नेपाल हालसम्म कुनै साइबर अपराध सन्धि वा महासन्धिको सदस्य भएको छैन, साथै यस्ता किसिमका बाह्यदेशीय क्षेत्राधिकार आकर्षित हुने अपराधहरू प्रभावकारी रूपमा सम्बोधन गर्न अन्य देशहरूसँग पारस्परिक कानूनी सहायता सम्झौता हुनुपर्छ । नेपालले त्यस्तो सम्झौता पनि गरेको छैन । यसले गर्दा देशभन्दा बाहिरबाट भएका साइबर आक्रमणमा संलग्न व्यक्तिहरू पत्ता लगाउने र उनीहरूसम्म पुग्ने संयन्त्र सरकारसँग छैन । यदि केही गरी पत्ता लगाइयो भने पनि पारस्परिक कानूनी सहायता सम्झौता नहुँदा उक्त आरोपीलाई नेपालमा ल्याएर कानूनी कारबाही गराउने प्रावधान छैन ।"

यस्ता सम्झौताको अभाव हुँदा बाहिरी देशबाट हुने साइबर अपराधीलाई यो परिधिभित्र ल्याउन गाह्रो भएको उनले औँल्याएका छन् ।

साइबर सुरक्षा प्रणालीलाई सुरक्षित बनाउन के गर्नुपर्ला ?

डेटा सेन्टर, सर्भर लगायत अन्य आईओटी (इन्टरनेट अफ थिङ्ग्स) डिभाइसको सुरक्षाका लागि अमेरिका, बेलायत, रूस जस्ता विकसित देशमा विभिन्न सुरक्षाका मापदण्द अपाउने गरिन्छ ।

त्यसबाहेक पनि विभिन्न देशले साइबर आक्रमणकालाई गम्भीर अपराधका रूपमा लिने भएकाले जोकोहीले साइटबर आक्रमण गर्ने आँट नगर्ने देखिएको छ । जसमध्ये केही प्रमुख यहाँ उल्लेख गरिएको छ । त्यसबाहेक साइबर सुरक्षा प्रणालीलाई सुरक्षित बनाउन विकसित देशले तल उल्लेख गरिएका प्रक्रिया अपनाउने गर्छन्: 

१) फायरवालको व्यवस्था

फायरवाल सफ्टवेयर वा हार्डवेयरमा आधारित त्यस्तो प्रणाली हो जसले सर्भर तथा नेटवर्कलाई अनाधिकृत पहुँचबाट जोगाउँछ । यसले नेटवर्क वा सर्भरमा आउने विभिन्न ट्राफिकलाई नियमन र फिल्टर गर्दै अनाधिकृत ट्राफिक भएको ख्डमा त्यसलाई ब्लक गर्ने काम गर्छ । यस्तो प्रणाली लागू गर्नाले डेटा सेन्टर, सर्भर र नेटवर्क सुरक्षित राख्न सकिन्छ ।

२) इन्क्रिप्सन

इन्क्रिप्सन एउटा त्यस्तो प्रक्रिया हो जसले अनाधिकृत पहुँच रोक्नका लागि डेटालाई कोडमा परिणत गर्छ । विभिन्न वित्तिय, व्यक्तिगत तथा संवेदनशिल डेटा हुने ठाउँमा यो प्रक्रिया बढी अपनाइन्छ ।

३) भर्चुअल प्राइभेट नेटवर्क (भीपीएन)को प्रयोग

भीपीएन एक सुरक्षित र इन्टरनेटमा दुई डिभाइसबीच इन्क्रिप्टेड जडान हुने नेटवर्क हो । यसको प्रयोगले डेटा, सर्भर र नेटवर्क सुक्षित राख्न सकिन्छ ।

४) एक्सेस कन्ट्रोल

एक्सेस कन्ट्रोल त्यस्तो सुरक्षा उपाय हो जसले आधिकारिक व्यक्तित्वलाई मात्र साइबर प्रणाली तथा डेटामा पहुँच दिन्छ ।

५) इन्स्ट्रक्सन डिटेक्सन सिस्टम (आईडीएस)

आईडीएस त्यस्तो प्रणाली हो, जसले नेटवर्कभित्र भएका शंकास्पद गतिविधिलाई नियमन गर्छ । यदि सिस्टममा कुनै शंकास्पद गतिविधि भएको खण्डमा यो प्रणालीले त्यसको जानकारी दिन्छ । साथै यस प्रणालीबाट कुनै पनि शंकास्पद आईपी एड्रेसलाई ब्लक गर्न पनि सकिन्छ ।

६) भौतिक सुरक्षा

डेटा सर्भरमा भएका विभिन्न भौतिक सामग्री तथा उपकरणको भौतिक सुरक्षा पनि धेरै नै आवश्यक पर्छ । विशेषगरी यस्ता सामग्री महँगा पर्ने भएकाले चोरी हुने, नष्ट हुने जोखिम बढी हुन्छ । त्यसैले भर्चुअल मात्र नभई भौतिक सुरक्षा पनि उत्तिकै आवश्यक पर्छ ।

७) ब्याकअप

सर्भरमा प्रयोग हुने जति पनि स्रोतसाधन छन्, सबैको ब्याकप हुनुपर्छ । ता कि कुनै पनि उपकरण वा प्रणालीमा आक्रमण हुँदा त्यसलाई तत्कालै परिवर्तन गरी नयाँ इन्स्टल गर्न सकियोस् । साथै साइबर आक्रमण हुँदा त्यहाँ प्रयोग भएका डिभाइस सङ्क्रमित (कमजोरी हुनु, भाइरस तथा मालवेयर समावेश हुनु) भएका हुन्छन् ।

यदि तीनै डिभाइसलाई परीक्षण नगरी प्रयोग गरियो भने साइबर आक्रमणको जोखिम बढी हुन्छ । जसलाई समाधान गर्न सङ्क्रमित डिभाइसलाई क्षणभरमै परिवर्तन गरी त्यसको ब्याकअपको रूपमा नयाँ डिभाइस इन्स्टल गरिन्छ । जसले गर्दा पहिलेकै कमजोरीले साइबर आक्रमण हुने सम्भावना कम हुन्छ । 

८) व्यक्ति, प्रविधि र प्रक्रियाको सही उपयोग

साइबर प्रणालीमा व्यक्ति, प्रक्रिया र प्रविधि (PPTs) लाई धेरै महत्त्व दिइएको हुन्छ । यी तीन तत्वको सन्तुलन भएको खण्डमा मात्र साइबर सुरक्षा प्रभावकारी हुन्छ । त्यसैले सर्भर तथा डेटा सेन्टर सुरक्षाका लागि विकसित देशमा पीपीटीको सिद्धान्तलाई बढी प्राथमिकता दिइन्छ ।

पछिल्लो अध्यावधिक: चैत १८, २०७९ १२:४५

टिप्पणीहरू