सन् २००४ मा विश्वभर ३.५ अर्ब अमेरिकी डलर हाराहारी रकम साइबर सुरक्षाका लागि खर्च भएको थियो । सन् २०११ मा आइपुग्दा ६४ अर्ब अमेरिकी डलर पुगेको यस्तो खर्च सन् २०२३ सम्म आइपुग्दा २१९ अर्ब अमेरिकी डलरभन्दा बढी पुगेको आकलन इन्टरनेसनल डेटा कर्पोरेसनले गरेको थियो ।
हरेक वर्ष जुन तीव्रताका साथ साइबर सुरक्षामा संसारभर खर्च बढ्दै गएको छ, त्यसले यो क्षेत्र कति संवेदनशील र व्यापक बन्दै गइरहेको छ भन्ने पुष्टि गर्दछ ।
के हो साइबर सुरक्षा ?
तपाईं हामीले प्रयोग गर्ने कम्प्युटर, मोबाइल फोन, स्मार्ट टिभी जस्ता डिजिटल उपकरणहरू कुनै न कुनै रूपमा अन्य उपकरणसँग जोडिएका हुन्छन् । सामान्यतया इन्टरनेट र स्थानीय नेटवर्कको माध्यमबाट यस्ता डिभाइस एकअर्कोमा जोडिएका हुन्छन् ।
यस्ता डिभाइसमा कुनै अनधिकृत वा आपराधिक नियत राखी प्रवेश गरेर तपाईं हाम्रा सम्पत्ति र सूचनाहरू आपराधिक व्यक्ति या समूहको हातमा नपुगोस् भन्नका लागि विभिन्न उपाय अवलम्बन जरुरी हुन्छ ।
संक्षेपमा डिजिटल सूचना संरक्षणका लागि हुने वा हुन सक्ने आक्रमणहरूको पहिचान गर्ने र त्यसको प्रतिरोध गर्ने प्रक्रिया नै साइबर सुरक्षा हो । साइबर सुरक्षा आफैंमा एक बृहत् विषय हो ।
इन्टनरनेटको प्रयोग सबै पेसा-व्यवसायमा फैलिएपछि सर्वसाधारण व्यक्तिका सूचनाहरू सहजै आपराधिक व्यक्ति तथा गिरोहको हातमा पुग्ने सम्भावना अत्यधिक हुने भएकाले यसले हरेक वर्ष चुनौती थप्दै लगेको छ । साइबर सुरक्षालाई सहज अर्थमा बुझ्न पहिला ‘साइबर’ शब्दलाई बुझौं ।
‘साइबर’ शब्दले इन्टरनेटमार्फत जोडिने सम्पूर्ण डिजिटल जालो (नेटवर्क) लाई जनाउँछ । यस्तो नेटवर्कमा जोडिएका डिजिटल उपकरण वा हार्डवयर (जस्तै, मोबाइल फोन, कम्प्युटर, स्मार्टवाच) मात्र होइन कि नेटवर्क तयार हुन प्रयोगमा आउने आँखाले नदेखिने परिदृश्य र सफ्टवेयरहरू पनि समेटिन्छन् । साइबरलाई अझै राम्रोसँग बुझ्न पछिल्लो समय निकै चर्चा हुन थालेको ‘इन्टरनेट अफ थिङ्स’ (आईओटी) लाई नियाल्दा सजिलो हुन्छ ।
इन्टरनेट अफ थिङ्सले ती सबै भौतिक वस्तुहरूबिचको नेटवर्कलाई बुझाउँछ, जुन विभिन्न सेन्सर, सफ्टवेयर र अन्य प्रविधिहरूका माध्यमबाट एक उपकरण वा प्रणालीबाट अर्को उपकरण वा प्रणालीमा सूचना या तथ्याङ्क आदानप्रदान हुन्छन् ।
उदाहरणका लागि एउटा घर सुरक्षाको डिजिटल संरचनालाई हेरौं । घरको अगाडि मोटर पुगेको जानकारी सबैभन्दा पहिला सीसीटिभी क्यामेरा वा भिजुअल सेन्सर डिभाइसले थाहा पाउँछ । उसले स्वचालित रूपमा यस्तो सूचना बत्ती जोडिएको डिभाइसलाई दिन्छ र उक्त डिभाइसले उज्यालोको लागि बत्ती बालिदिन्छ ।
मोटर वा मोटरमा आएको व्यक्ति परिचित वा अनुमति प्राप्त व्यक्ति हो कि होइन भनेर प्रमाणित गर्न क्यामेरा, फेस डिक्टेटर वा अरू सेन्सरको प्रयोग हुन्छ । अनुहार वा व्यक्ति पहिचान गर्न सकिने उक्त विवरण यस अगाडि आफूसँग सङ्ग्रहित विवरणसँग मिल्यो वा मिलेन भनेर नेटवर्कमा जडित हार्डवेयर र सफ्टवेयरले छुट्याउन सक्छन् ।
विवरण मिल्यो भने ढोका खोल्ने सूचना मूल ढोकामा जोडिएको डिभाइसलाई दिन सक्छ भने नमिलेमा शङ्कास्पद व्यक्ति प्रवेश गर्न लागेको अनुमान गरी घरधनीको मोबाइलमा चेतावनीमूलक मेसेज पठाउन सक्छ ।
त्यसैगरी गेटमा उपस्थित व्यक्तिले कुनै शङ्कास्पद हतियार बोकेको भए सुरक्षा साइरन बजाउन पनि सकिन्छ । कुनै गम्भीर आक्रमणको सङ्केत भए नजिकैको प्रहरीलाई स्वचालित ईमेल वा फोन कल जाने बनाउन मिल्छ । यति धेरै काम मानव सुरक्षा गार्डको उपस्थिति बिना नै हुन्छ ।
यहाँ एक-अर्को डिभाइसमा सूचना आदानप्रदान गर्न इन्टरनेटको प्रयोग भएको हुन्छ । यस्तो कार्य गर्दा डिभाइसहरूले सङ्ग्रहित पुराना डेटा अर्थात् तथ्याङ्क प्रयोग गर्छन् भने नयाँ डेटा पनि उत्पादन गर्दछन् ।
माथि भनेजस्तो प्रविधि तयार गर्दा घरको सुरक्षा प्रबन्ध राम्रो बनाउन सकिन्छ । तर यो त सामान्य र नियमित अवस्थाको कुरा भयो । अब एउटा फरक परिस्थितिको अनुमान गरौं । व्यक्ति वा मोटर पहिचान गर्दै विवरण रुजु गर्ने अनि गेटलाई सन्देश पठाउने डिभाइसमा इन्टरनेटमार्फत कुनै तेस्रो व्यक्तिले पहुँच पायो ।
उसले खोल्न नमिल्ने अवस्थामा पनि ढोका खोल्ने मिल्ने गरी डिभाइसको सेटिङ परिवर्तन गरिदियो वा ढोका खोल्ने आदेश दियो भने के होला ? घरमा अनधिकृत व्यक्तिले प्रवेश पाउने, चोरी, लुटपाट वा अन्य अपराध पनि हुने सम्भावना रहन्छ ।
त्यसैले डिजिटल उपकरणमा उत्पादन र सङ्कलन हुने डेटा अत्यन्तै संवेदनशील हुन्छन् । यस्ता डेटामा अनुमति प्राप्त व्यक्ति वा समूहको मात्र पहुँच छ भन्ने कुराको पक्कापक्की नभई सुरक्षित रहन सकिँदैन । यस्ता अनधिकृत व्यक्ति वा समूहको पहुँचबाट आफ्नो सूचना तथा तथ्याङ्क सुरक्षित राख्ने प्रविधि र रणनीतिक व्यवस्था नै साइबर सुरक्षा हो ।
अपराध र सुरक्षाको सम्बन्ध सदैव रहन्छ । साइबर सुरक्षाको चर्चा गरेपछि अब साइबर अपराधबारे थोरै चर्चा गरौं ।
के हो त साइबर अपराध ?
साइबर सञ्जालसँग जोडिएका व्यक्ति या समूहले प्रयोग गरिरहेका डिजिटल उपकरणहरूबाट विभिन्न माध्यम खासगरी, सफ्टवेयर प्रयोग गरेर सूचना, डेटा वा कुनै पनि जानकारी बिना सूचनामा अनधिकृत रूपमा पहुँच राख्ने वा चोरी गर्नु नै साइबर अपराध हो ।
साइबर अपराधलाई अपराधको प्रकृतिअनुसार ‘कम्प्युटर अपराध’, ‘नेटवर्क अपराध’, ‘हाइटेक अपराध’, ‘इन्टरनेट अपराध’, ‘अनलाइन अपराध’ आदि पनि भन्न सकिन्छ । चर्चित एन्टी-भाइरस निर्माता कास्परस्काईका अनुसार साइबर अपराधले ती सबै आपराधिक गतिविधिलाई बुझाउँछ, जहाँ कम्प्युटर, नेटवर्क, नेटवर्क उपकरण या त प्रयोग गरिन्छ अथवा निशानामा पारिन्छ । साइबरसँग सम्बन्धित यस्ता सबै खाले अपराधहरूबाट सुरक्षा प्रदान गर्न अवलम्बन गरिने जुनसुकै उपायलाई साइबर सुरक्षा भन्न सकिन्छ ।
साइबर सुरक्षाको महत्त्व
अहिलेको समाज प्रविधि मैत्री मात्र होइन, प्रविधि नियन्त्रित पनि बन्न थालिसकेको छ । संयुक्त राष्ट्रसङ्घको सूचना तथा सञ्चार प्रविधि एजेन्सी इन्टरनेसनल टेलिकम्युनिकेसन युनियन (आईटीयू) को एक तथ्याङ्क अनुसार सन् २०२२ सम्म विश्वभर इन्टरनेट प्रयोग गर्ने व्यक्तिहरूको संख्या पाँच अर्ब तीस करोड पुगेको छ, जुन कूल जनसङ्ख्याको करिब ६६ प्रतिशत हो ।’
यो सङ्ख्या दिनानुदिन बढ्दै गएसँगै साइबर सुरक्षाको महत्त्व पनि बढ्नु स्वाभाविक नै हो । साइबर सुरक्षाले डिजिटल प्रविधिको प्रयोगमा हुन सक्ने कुनै पनि आपराधिक घटनालाई कम गर्ने मात्र नभई, यसबाट हुने जोखिलाई पूर्ण रूपमा सामाधान गर्ने कार्य समेत गर्दछ ।
साइबर सुरक्षाको एउटा महत्त्वपूर्ण पाटो प्रविधि प्रयोगकर्ताको जागरुकता र सतर्कतामा रहन्छ । जस्तै तपाईं कुनै सार्वजनिक नेटवर्क (वाईफाई) मा जोडिनुभएको छ भने त्यो नेटवर्कमा जोडिएको कुनै साइबर अपराध गर्ने व्यक्ति या समूहको सदस्य पनि त्यो नेटवर्कमा जोडिएको हुन सक्छ ।
जसको कारणले साइबर अपराधमा प्रयोग हुने विशेष सफ्टवेयर प्रयोग गरेर तपाईंले पठाउने सूचना तपाईंसँग जोडिएको अर्को व्यक्तिसम्म पुग्नुअघि बीचै सो व्यक्तिले हेरिसकेको वा चोरी गरिसकेको हुन सक्छ । यसलाई 'म्यान इन द मिडल' आक्रमण भन्ने गरिन्छ ।
यदि यस्तो सार्वजनिक र खुला नेटवर्कमा तपाईं जोडिनु भयो र तपाईंले अति संवेदनशील कार्यहरू जस्तै बैंकिङ एपको पासवर्ड वा पिन प्रयोग गर्नु भयो भने त्यसको जानकारी साइबर अपराध गर्ने व्यक्तिले हात पार्न सक्छ र पछि वा तत्कालै तपाईंको एपमा प्रवेश गरेर तपाईंको बैंकको खाताको पैसा चोरी गर्न सक्छ ।
अहिले एउटै नेटवर्कमा हजारौं प्रयोगकर्ताहरू जोडिएका हुन्छन् । यस्तो ठुलो सञ्जालमा हुन सक्ने अपराधहरूलाई निवारण गर्न अथवा न्यूनीकरण गर्न राम्रो साइबर सुरक्षा प्रबन्ध र परिस्थिति निर्माण हुनु जरुरी छ ।
राज्य संरचनाका गोप्य सूचनाहरूको चुहावट वा चोरीलाई रोक्न, डिजिटलाइज भइसकेको बैंकिङ प्रणालीलाई सुरक्षित राख्न, निजी, सरकारी वा गैरसरकारी निकायमा रेकर्डमा राखिएका लाखौं करोडौँ व्यक्तिहरूको विवरणलाई सुरक्षित राख्न पनि साइबर सुरक्षाले महत्त्वपूर्ण भूमिका खेल्छ ।
सोच्नु होस् त, तपाईंले, ईमेल, फोन, नागरिकता, पासपोर्ट, जन्म मिति लगायतका आफ्ना विवरण विभिन्न वेबसाइट वा एप्लिकेसनहरूमा दिनुहुन्छ ।
तपाईंका ती सबै तथ्याङ्कहरू कुनै न कुनै ठाउँमा कुनै डिभाइसमा सङ्ग्रहित भएका हुन्छन् । अब ती तथ्याङ्कहरू गलत व्यक्तिको पहुँचमा पुगेर सामान्यदेखि जटिल प्रकारका साइबर अपराधमा प्रयोग हुन् सक्छन् ।
उदाहरणका लागि तपाईंको फोन नम्बर कुनै गलत व्यक्तिको हातमा पर्यो भने फोन गरेर अनेक प्रलोभनमा पार्ने, हैरानी दिने वा अनजान तवरमा कुनै अपराधमा संलग्न गराउने सम्मका घटना हुन सक्छन् । यस्ता व्यक्तिगत तथ्याङ्कको गलत प्रयोग हुन नदिन पनि साइबर सुरक्षा महत्त्वपूर्ण रहन्छ ।
साइबर सुरक्षाको उद्देश्य
साइबर सुरक्षाको प्रसंगमा ह्याकर, साइबर आक्रमणकारी वा साइबर अपराधीको कुरा सधैँ आउने गर्छ । कुनै पनि व्यक्ति वा समूह, जो कुनै सूचना प्राप्तिका लागि या अन्य कुनै पनि गैरकानुनी कार्य गर्ने उद्देश्यका लागि अरू व्यक्तिको कम्प्युटर डिभाइस वा नेटवर्कमा अनुमति बिना प्रवेश गर्छ भने त्यो ‘ह्याकर’ हो ।
झट्ट बुझ्दा साइबर सुरक्षा भन्ना साथ यस्ता ह्याकरहरूबाट कुनै कम्पनी, समूह या व्यक्तिको डिजिटल सिस्टमलाई सुरक्षित राख्ने कार्य बुझिन्छ । अर्थात् साइबर सुरक्षाको उद्देश्य नै यस्ता गलत नियतका व्यक्ति वा समूहबाट जोगाउने, क्षति कम गर्ने, पुनर्स्थापना गर्नु नै हो । यस्ता उद्देश्यहरूलाई मुख्यतः तीन भागमा छुट्याएर अध्ययन गर्न सकिन्छ ।
१. गोपनीयताको रक्षा
साइबर सुरक्षाको पहिलो उद्देश्य गोपनीयताको रक्षा हो । व्यक्तिका गोप्य सूचनाहरू चाहे नाम र उमेर मात्रै किन नहोस्, अथवा बैंक खाता विवरण, अस्पतालमा राखिएको तथ्याङ्कदेखि नागरिकता विभागमा राखिएका विवरण ती सबै गोप्य र सम्बन्धित तथा आधिकारिक निकाय वा व्यक्ति बाहेक अरूको पहुँचमा पुग्न नदिनु यसको एक प्रमुख उद्देश्य हो ।
तपाईंले कुनै पनि सेवाका लागि डिजिटल माध्यमबाट विवरण भर्नु भयो र त्यो विवरण त्यही प्रयोजन बाहेक अन्य कुनै पनि प्रयोजनमा तपाईंको स्वीकृति बिना प्रयोग भयो भने त्यो साइबर अपराध हो । किनकि त्यहाँ तपाईंको गोपनीयताको हकको हनन हुन जान्छ ।
गोपनीयताले यो सुनिश्चितता गर्छ कि अनधिकृत व्यक्तिले कुनै पनि संवेदनशील सूचनाहरूमा प्रवेश गर्न पाउने छैन । तपाईंको सूचना चाहे तपाईंले प्रयोग गरिरहेको डिजिटल डिभाइसबाट होस् अथवा तपाईंको सूचना सङ्कलन भएको कुनै पनि डिभाइसबाट नै किन नहोस्, तपाईंको स्वीकृति बिना त्यसको कुनै पनि अनधिकृत प्रयोग हुनबाट बचाउनु साइबर सुरक्षा प्रणालीको एक प्रमुख जिम्मेवारी हो ।
सारांशमा के भन्न सकिन्छ भने, कुनै पनि डेटालाई गलत प्रायोजनका लागि अनुमति बिना प्रयोग गर्न नदिनु नै डिजिटल गोपनीयताको हक हो । क्रिप्टोग्राफी, इन्क्रिप्सन-डिक्रिप्सन जस्ता साइबर सुरक्षा प्रविधि प्रयोगले साइबर सुरक्षाको यो उद्देश्य पूरा गर्न सहयोग गर्दछन् ।
२. अखण्डता कायम
साइबर सुरक्षाको सन्दर्भमा अखण्डताले कुनै संरक्षित डेटालाई अनुमति बिना परिवर्तन, सम्पादन, ठाउँसारी वा हटाउन नहुने कुरालाई बुझाउँछ । जुन तथ्याङ्क जसले, जसरी दिएको छ, त्यो त्यसरी नै सङ्ग्रहित र उद्देश्य अनुसार नै प्रशोधन र उपयोग हुनु पर्छ ।
जस्तैः तपाईंको बैंक खातामा भएको जम्मा रकमलाई अनधिकृत रूपमा परिवर्तन गरियो भने त्यो साइबर अपराध हुन जान्छ । खाताको रकम नियमपूर्वक तपाईंले रकम जम्मा गर्दा अथवा निकाल्दा नियमानुसार मात्रै परिवर्तन हुनु पर्छ ।
ह्याकर वा आक्रमणकारीबाट मात्र नभएर तथ्याङ्क सङ्कलन गर्ने पक्षले समेत कुनै पनि व्यक्तिको डेटामा अनुचित र अनधिकृत परिवर्तन गर्न नपाउने कुराको सुनिश्चित गर्नु नै साइबर सुरक्षाको उद्देश्य हो ।
अखण्डताले यो सुनिश्चित गर्दछ कि कुनै गलत वा सही कुनै पनि नियतले सूचना या प्रणालीलाई अवैधानिक तोडमोड, छेडखानी गर्ने छैन । सुरक्षा रणनीति जस्तै, हरेक प्रयोगकर्ताका गतिविधि रेकर्ड गरेर, श्रेणीअनुसार मात्र सूचनामा पहुँच दिएर वा तोकिएको भूगोल वा डिभाइसलाई मात्र निश्चित अनुमति दिएर साइबर सुरक्षा कर्मचारीले यस्ता डेटाको अखण्डता कायम गराउन सक्छन् ।
३. उपलब्धताको सुनिश्चितता
तपाईंले डिजिटल नेटवर्कमा आफूले चाहेको बेला पाउनु पर्ने सेवा नियमानुसार सधैँ उपलब्ध हुनु पर्छ । जस्तैः तपाईंलाई आफ्नो बैंकको विवरण हेर्नु पर्ने भयो र तपाईसँग अनलाइन बैंकिङ छ भने, तपाईंले चाहेको बेला त्यो सेवा प्राप्त गर्ने अधिकार राख्नु हुन्छ ।
हेर्दा सामान्य देखिए पनि यो साइबर सुरक्षाको एक महत्त्वपूर्ण उद्देश्य हो । अनधिकृत व्यक्ति तथा ह्याकरलाई पहुँच रोक्ने निहुँमा तपाईंको पहुँच पनि रोकिनु हुँदैन । यसको लागि विशेष सफ्टवेयर वा प्रविधिको प्रयोग गरेर वास्तविक प्रयोगकर्तालाई प्रयोगको सुनिश्चितता गराउनु साइबर सुरक्षाको एक प्रमुख उद्देश्य हो ।
उपलब्धताको सवाल सामान्य लागे पनि कतिपय अवस्थामा संसारकै ठुला बैंक तथा वित्तीय संस्था, सरकारी सेवाहरू र प्रविधि कम्पनीलाई समेत यसमा चुनौती देखिने गरेको छ । यो निकै ठुलो चुनौतीको रूपमा देखिँदै आएको छ ।
‘डिनाइल अफ सर्भिस अट्याक’ वा ‘डिस्ट्रिब्युटेट डिनाइल अफ सर्भिस अट्याक’का रूपमा हुने सेवाको अस्वीकार एक मुख्य साइबर आक्रमण हो ।
सन् २०१७ मा एउटै आक्रमणबाट थुप्रै कम्पनीका १ लाख ८० हजार सर्भरमा एकै पटक यस्तो आक्रमण भएको थियो । यस्ता आक्रमणको उद्देश्य सेवा प्रदायकले आफ्ना डिजिटल सेवा ग्राहकसम्म पुर्याउन नसकून् भनेर गर्ने गरिन्छन् ।
यस्तो आक्रमणमा आक्रमणकारीले विभिन्न कम्प्युटर वा अन्य संयन्त्रको प्रयोग गरी एकै पल्ट सेवाका लागि अनुरोध पठाउँछ, जसले गर्दा वास्तविक सेवाग्राहीहरू सेवाबाट वञ्चित हुन पुग्छन् । जस्तै, विश्वविद्यालयमा भर्ना खुलेका बेला विद्यार्थीले भर्नुपर्ने फर्म एकै पल्ट आक्रमणकारीले विभिन्न माध्यमको प्रयोग गरी व्यस्त राखि दिन्छन् ।
जसले गर्दा वास्तविक विद्यार्थीहरूले फारम भर्न पाउँदैनन् । साइबर सुरक्षामा उपलब्धताले सूचना र प्रणाली वैधानिक प्रयोगकर्ताहरूका लागि जुनसुकै बेला पनि उनीहरूको अनुरोधअनुसार तयार रहने कुराको सुनिश्चित गर्छ ।
(यो लेख ‘साइबर सुरक्षाः अवधारणा र अभ्यास’ पुस्तकबाट साभार गरिएको हो । यो पुस्तक गङ्गालाल चपाई (निकेश), बाबुराम अर्याल र रविराज बरालले लेखेका हुन् । यसको प्रकाशक आन्तरिक मामिला तथा कानुन मन्त्रालय, सञ्चार रजिस्ट्रारको कार्यालय, बागमती प्रदेश हो ।)