काठमाडौं । लगानी सम्मेलनको तयारीमा सरकार जोडतोडले लागेको छ । लगानी बोर्ड नेपालको संयोजनमा यही १६ र १७ वैशाखमा काठमाडाैंमा लगानी सम्मेलन हुँदैछ । सम्मेलनमा सहभागी हुन १२१ देशका एक हजार ४०० बढी लगानीकर्ता तथा उच्च तहका व्यक्तिहरूलाई निमन्त्रणा दिइएको छ ।
तर, राष्ट्रिय-अन्तर्राष्ट्रिय स्तरका लगानीकर्तालाई निमन्त्रणा दिएको आयोजक लगानी बोर्डकै वेबसाइट असुरक्षित देखिएको छ । वेबसाइटमा एसएसएल (सेक्युअर सकेट्स लेयर) को कमी हुँदा यसले अन्तर्राष्ट्रिय स्तरमा नेपालले साइबर सुरक्षालाई कसरी हेरेको छ भन्ने प्रष्ट पारेको जानकारहरू बताउँछन् ।
“आयोजकले आफ्नो वेबसाइटको एसएसएललाई ध्यान दिएको छैन भने हामी सुरक्षामा कमजोर छौं भन्ने सन्देश जान्छ,” साइबर सुरक्षा विश्लेषक विजय लिम्बुले भन्छन्, “यो अन्तर्राष्ट्रिय स्तरमा बेइज्जत नै हो । लगानी सम्मेलन भनेको अन्तर्राष्ट्रिय स्तरको सम्मेलन हो । त्यहाँका ठूला ठूला लगानीकर्ताले यसलाई मूल्याङ्कन गर्छन् ।”
देशमा वेबसाइट त्यति महत्त्वपूर्ण होइन भन्ने मानसिकता भएको भए पनि अन्तर्राष्ट्रिय स्तरमा वेबसाइटलाई सबैभन्दा महत्त्वपूर्ण पक्ष मानिने लिम्बुले सुनाए । उनले अगाडि भने, “हाम्रो देशको मानसिकता के छ भने वेबसाइट जे भए पनि हुन्छ खासै फरक पर्दैन भन्ने हुन्छ । तर, विदेश र विदेशी लगानीकर्ताले सुरुमा हेर्ने भनेको नै वेबसाइट हो । वेबसाइट कुनै पनि इभेन्ट वा कुनै पनि संस्थाको फ्रन्ट फेस हो । त्यो फ्रन्ट फेस नै असुरक्षित छ भने सन्देश स्पष्ट रूपमा लगानीकर्तालाई यहाँ सुरक्षित छैन भन्ने जान्छ ।”
डिजिटल युगमा वेबसाइट भनेको घरको मुख्य ढोका जस्तै हो । घरमा पस्नका लागि गेट सुरक्षित छ भने पाहुनालाई घर सुरक्षित नै लाग्छ । लिम्बुले भने, “तर, गेट नै असुरक्षित देखिए उसलाई त्यहाँ जति सुरक्षित भए पनि दिमागमा असुरक्षित छ भन्ने छाप बस्छ ।”
अहिलेको युगमा लगानीकर्ताहरूमाझ देशलाई चिनाउने पहिलो तत्त्व भनेकै वेबसाइट भन्नेमा लिम्बु अडिग छन् । “जसले निमन्त्रणा गरेको हो, उसैको वेबसाइट नै असुरक्षित छ भने त्यस देशभित्र गर्न खोजिएको लगानी पनि सुरक्षित छैन भन्ने सन्देश अप्रत्यक्ष रूपमा लगानीकर्तामाझ जान्छ,” उनले थपे ।
लिम्बुको विचारलाई समर्थन जनाउँदै अर्का साइबर सुरक्षा विश्लेषक तथा अनुसन्धानकर्ता निर्मल दाहालले पनि एसएसएल डेटा सुरक्षाका लागि महत्त्वपूर्ण भएकाले त्यसमा ध्यान दिनुपर्ने धारणा राखे ।
“एसएसएल भनेको म्यान इन द मिडल अट्याकबाट जोगाउने तत्त्व हो,” दाहालले भने, “जस्तो तपाईंले ब्राउजरमा वेबसाइट चलाइरहनु भएको छ अनि ब्राउजरबाट सर्भरसम्म रिक्वेस्ट आउने र जाने भइरहन्छ । तपाईंको ब्राउजर र सर्भर बीचमा अरू कसैले तपाईंहरू बीचको कम्युनिकेसनलाई हेर्न नमिलोस् भनेर एसएसएलले डेटा इन्क्रिप्ट गरिदिन्छ । त्यसले गर्दा सर्भर र ब्राउजरको बीचमा हुने तेस्रो पक्षले तपाईंहरूबिचको कुरा थाहा पाउँदैन । र, तपाईंको डेटा सुरक्षित हुन्छ । त्यो डेटा इन्क्रिप्टेड फर्ममा जाओस् भनेर एसएसएल प्रयोग गर्ने हो ।”
हुन त कतिपय अवस्थामा वेबसाइटमा एसएसएल नभए पनि केही फरक पर्दैन । किनभने कुनै जानकारी मात्र दिने किसिमका वेबसाइटमा डेटा गुम्ने भन्ने जोखिम हुँदैन । तर, बाहिरबाट हेर्दा सामान्य मानिने एसएसएलमा ध्यान नदिंदा त्यसले उक्त कम्पनी वा वेबसाइटप्रतिको धारणा नै परिवर्तन गरिदिन्छ ।
दाहालले अगाडि भने, “एसएसएल नहुँदा पनि साइटहरू चल्न त चल्छ । तर, सुरक्षाको दृष्टिकोणले एसएसएल हुनैपर्छ भन्ने मान्यता छ । एसएसएल एक्सपायर हुँदा वा एसएसएल नहुँदा बाहिर तिरको मान्छे त्यसको प्रभाव नराम्रो पर्छ । किनभने उनीहरू सुरक्षामा बढी केन्द्रित हुन्छन् । त्यसमा पनि सरकारी साइट खोल्दा सुरक्षित होस् भन्ने चाहना हुन्छ ।”
तर, साइट ब्राउज गर्दा सुरुमै उक्त साइट असुरक्षित छ भन्ने सङ्केत देखिए अन्य व्यक्तिलाई सो साइटप्रति विश्वास गर्न गाह्रो हुने दाहालको तर्क छ । “यो साइट आधिकारिक हो कि होइन भन्ने द्विविधा भयो भने त्यहाँबाट आएको निमन्त्रणालाई कसरी विश्वास गर्ने ? साइट कसैले कब्जामा लिएर नक्कली मेल गरेको हो कि भन्ने आशंका पनि हुन्छ,” उनले थपे ।
लिम्बु र दाहालको कुरामा समर्थन नजाउँदै फेसबुक हल अफ फेममा अहिले तेस्राे स्थानमा रहेका ह्वाइट ह्याट ह्याकर समिप अर्यालले पनि वेबसाइट सञ्चालकले एसएसएललाई ध्यान दिनुपर्ने राय राखे । “हुन त एसएसएल राख्ने नराख्ने भन्ने व्यक्ति, कम्पनी वा संस्थाको आफ्नो विचार हो,” अर्यालले भने, “तर, अहिलेको समयमा एसएसएल अत्यावश्यक जस्तै हो । प्रयोगकर्ताको डेटा भण्डारण गर्ने साइटहरूमा एसएसएल निकै महत्त्वपूर्ण हो । साइट इन्फरमेटिभ खालको हो भने नभए पनि हुन्छ ।” अर्यालले अगाडि भने, “यसले भिजिटरको नजरमा वेबसाइट कस्तो छ भन्ने मूल्याङ्कन गर्ने भएकाले पनि लगानी बोर्ड जस्तो निकायले यसमा ध्यान दिनुपर्थ्यो ।”
वेबसाइटमा एसएसएल राख्ने काम खर्चिलो पनि होइन । कतिपय डोमेन तथा होस्टिङ प्रोभाइडरले निःशुल्क उपलब्ध गराइरहेका हुन्छन् । केही स्तरीय एसएसएलका लागि भने शुल्क तिर्नुपर्छ । तर, लगानी बोर्डको लापरबाहीका कारण वेबसाइट असुरक्षित मानिने अवस्थामा पुगेको जानकारहरूको भनाइ छ । लिम्बुले भने, “यति ठूलो कार्यक्रम आयोजना गर्न लागेको लगानी बोर्डले वेबसाइटको सामान्य पक्ष एसएसएल नहेर्नु लापरबाही हो ।”
“नेपालमा हामीले यो पक्ष नबुझेका हौं । बाहिर ईमेल र वेबसाइटलाई आधिकारिक मानिन्छ,” विश्लेषक लिम्बुले अगाडि भने, “तर, हाम्रोमा इमेल र वेबसाइटलाई आधिकारिक नै मान्दैनौं । जहिले पनि भए हुन्छ नभए हुँदैन भन्ने भावमा लिइरहेका हुन्छौं । लगानी बोर्डकै असुरक्षित वेबसाइटले नेपालको मानसिकतालाई पनि दर्शाउँछ । र, त्यो इनसेक्युअर वेबसाइट देखेर नेपालको मानसिकता के छ भनेर विदेशीले बुझ्छन् ।”
के हो एसएसएल, अनि किन राखिन्छ यो ?
सेक्युअर सकेट्स लेयर (एसएसएल) एउटा यस्तो सेक्युरिटी प्रोटोकल हो जले वेब सर्भर र वेब ब्राउजरबीच इन्क्रिप्टेड लिङ्क तयार पार्छ । विभिन्न संघसंस्थालाई आफ्ना ग्राहक तथा अडियन्सको डेटा गोप्य र सुरक्षित राख्न चाहिन्छ ।
“अहिलेको अवस्थामा सामान्यतः एसएसएल सर्टिफिकेट राख्नुको दुई ओटा कारण छन्,” लिम्बु भन्छन्, “वेबसाइट भिजिट गर्दा वा कुनै वेबसाइटमा भएको डेटा एक्सेस गर्दा सुरक्षित साथ एक्सेस गरिरहेका छौं भन्ने सुनिश्चित गर्ने माध्यम एसएसएल सर्टिफिकेट हो ।”
लिम्बुका अनुसार कतिपय ब्राउजरले एसएसएल सर्टिफिकेट नभएको वेबसाइट खोल्न मान्दैनन् । त्यसमा जोखिम लिएरै साइट खोल्छु भन्यो भने मात्र अनुमति पाइन्छ । विशेषगरी ब्राउजले बाइ डिफल्ट एचटीटीपीएस मात्रै खोल्न खोज्छ ।
त्यसैले वेबसाइट खोल्नु अगाडि नै यो वेबसाइट असुरक्षित छ भनेर फ्ल्याग गरिदिनाले वेबसाइट असुरक्षित भएको भन्दै ब्लक गरिदिन्छ । लिम्बु अगाडि भन्छन्, “त्यस्तै अहिले एचटीटीपीएस नहुने बित्तिकै धेरै ठाउँमा इनएक्सेस नै हुन्छ । कति केसमा डिभाइसमा एन्टिभाइरस छ भने त कतिपय एन्टिभाइरसले एसएसएल नभएको साइट खोल्न पनि दिंदैन ।”
लगानी बोर्डको वेबसाइट ‘नट सेक्युअर’ हुनुले साइबर सुरक्षा, देशको मानसिकता र लापरवाही दर्शाएको जानकारहरूको भनाइ छ ।