आफैँ साइबर आक्रमण गरेर सुरक्षा कमजोरी पत्ता लगाउने र बलियो पार्न सघाउने नेपाली स्टार्टअप
भदौ २, २०८२ २०:३४
काठमाडौँ । विश्वव्यापी रूपमा साइबर आक्रमणका घटना दिनानुदिन बढ्दै गएका छन् । कति देशहरूमा आन्तरिक रूपमा साइबर आक्रमण भइरहेका छन् भने कतै दुई राष्ट्रबिचको द्वन्द्वमा पनि यसको प्रभाव देखिने गर्छ । रुस-युक्रेन, भारत-पाकिस्तान तथा इजरायल-प्यालेस्टाइन जस्ता द्वन्द्वमा साइबर आक्रमणका घटना बढी देखिने गरेका छन् ।
नेपाल पनि साइबर आक्रमणको उच्च जोखिममा छ । यहाँको डिजिटल परिदृश्य तीव्र गतिमा विस्तार भइरहँदा साइबर सुरक्षाको बहस पनि उत्तिकै पेचिलो बन्दै गएको छ । बैँक, वित्तीय संस्थादेखि सरकारी निकाय र निजी कम्पनीले वर्षेनी अडिट र सुरक्षा परीक्षणमा लाखौँ खर्च गर्छन् । तर पनि डेटा चोरी र ह्याकिङका घटना रोकिएका छैनन् ।
यही यथार्थको बिचमा परम्परागत सुरक्षा अवधारणालाई चुनौती दिँदै एक नयाँ सोचका साथ ‘इनरेड ल्याब्स’ नामक कम्पनीले नेपाली बजारमा प्रवेश गरेको छ । ‘डिफेन्स बाइ अफेन्स’ अर्थात् ‘आक्रमण नै सर्वोत्तम प्रतिरक्षा हो’ भन्ने मूलमन्त्रका साथ यस कम्पनीले बजारमा आफ्नो छुट्टै पहिचान बनाउने लक्ष्य लिएको छ ।
कम्पनीका सह-संस्थापक तथा प्रमुख कार्यकारी अधिकृत (सीईओ) शुसिल फुयाँल सुरक्षाको परम्परागत शैलीलाई ‘रियाक्टिभ’ (प्रतिक्रियात्मक) को संज्ञा दिन्छन् । “तपाईँको कुनै सामान चोरी भएपछि सीसीटिभी फुटेज खोजेर अनुसन्धान गर्नु रियाक्टिभ सुरक्षा हो, जुन घटना भइसकेपछिको प्रतिक्रिया मात्र हो,” उनले भने, “तर हामी ‘प्रोएक्टिभ’ (पूर्वतयारी सहितको) सुरक्षामा विश्वास गर्छौँ । अर्थात् त्यो सामान चोरी हुन सक्ने सम्भावित सबै बाटा पत्ता लगाउन आफैँले चोरीको प्रयास गर्ने र ती कमजोरीलाई बन्द गर्ने । इनरेड ल्याब्स यही सिद्धान्तमा आधारित एक ‘प्रोएक्टिभ डिफेन्स’ कम्पनी हो ।”
साइबर सुरक्षाको क्षेत्रमा ‘रेड’ (Red) शब्दले सामान्यतया ‘रेड टिमिङ’ अर्थात् सुरक्षाको आक्रामक पक्षलाई जनाउँछ । यही शब्दलाई जोडेर नेपालमै साइबर सुरक्षामा समर्पित हुने लक्ष्यले कम्पनीको नाम ‘इनरेड ल्याब्स’ राखिएको उनी सुनाउँछन् ।
कसरी जन्मियो इनरेड ल्याब्स ?
नेपाली साइबर सुरक्षा बजारमा थुप्रै कम्पनी सक्रिय छन् । फुयाँलका अनुसार ती कम्पनीले प्रायः भल्नेरेबिलिटी एसेसमेन्ट एन्ड पेनिट्रेसन टेस्टिङ (भीएपीटी) र आईएस अडिट जस्ता सेवा दिइरहेका छन् । यति हुँदाहुँदै पनि देशमा विभिन्न कम्पनी किन निरन्तर ह्याक भइरहेका छन् ? यही प्रश्नको उत्तर खोज्ने क्रममा इनरेड ल्याब्सको अवधारणा जन्मिएको फुयाँल बताउँछन् ।
“हामीले बजारमा एउटा ठुलो खाडल देख्यौँ । सबैले प्रविधि र प्रक्रिया (Process) को मात्र अडिट गरिरहेका थिए,” उनी आफ्नो अनुभव सुनाउँछन्, “तर कुनै पनि कम्पनी/संस्था/सङ्गठन ह्याक हुनुमा सबैभन्दा ठुलो र कमजोर कडी भनेकै ‘मानिस’ (People) हो, जसलाई सबैले बेवास्ता गरिरहेका थिए ।”
उनी अगाडि भन्छन्, “प्रविधि जतिसुकै बलियो भए पनि यदि तपाईँको कर्मचारीले एउटा फिशिङ ईमेलमा क्लिक गर्यो भने सम्पूर्ण प्रणाली जोखिममा पर्छ । हामीले यही छुटेको पक्ष अर्थात् मानिस, प्रक्रिया र प्रविधिको एकीकृत परीक्षण गर्ने उद्देश्यले इनरेड ल्याब्सको सुरुवात गर्यौँ ।”
वास्तविक ह्याकरले कुनै निश्चित दायरामा रहेर आक्रमण गर्दैन । ह्याकिङ सधैँ खतरनाक तरिकाले गरिन्छ/हुन्छ भन्ने पनि हुँदैन । उसले कहिलेकाहीँ कम्पनीको कर्मचारीलाई झुक्याउन सक्छ, सोसल इन्जिनियरिङको सहारा लिन सक्छ वा कहिलेकाहीँ भौतिक रूपमै कम्पनीभित्र प्रवेश गरेर क्षति पुर्याउन सक्छ ।
“सोच्नुहोस् त, म बैँकको कुनै शाखामा गएर ‘हेड अफिसबाट मर्मत गर्न आएको’ भनेर त्यहाँको कम्प्युटर नै उठाउन सफल भएँ भने, के त्यो ह्याक होइन र ?” फुयाँलले प्रश्न गरे, “परम्परागत परीक्षणले यस्ता जोखिमको मूल्याङ्कन कहिल्यै गर्दैन । हामीले सुरु गरेको ‘रेड टिम’ सेवाले यस्तै रियल लाइफ समस्याको टेस्टिङ गर्छ, जुन नेपालमा अरूले खासै गरेका छैनन् ।”
परम्परागत प्रक्रियालाई चुनौती
सीईओ फुयाँलका अनुसार इनरेड ल्याब्सले सुरक्षाको दृष्टिकोण मात्र नभई काम गर्ने प्रक्रियालाई पनि नवीन बनाएको छ । परम्परागत रूपमा सुरक्षा परीक्षणपछि एउटा विस्तृत रिपोर्ट तयार पारिन्छ र ग्राहकलाई बुझाइन्छ । त्यसपछि ग्राहकले कमजोरी समाधान गर्न महिनौँ लगाउन सक्छन् र फेरि परीक्षण गराउनुपर्छ । फुयाँलको नजरमा यो लामो र खर्चिलो प्रक्रिया हो ।
“हामी यो रिपोर्टको परम्परागत अवधारणामा विश्वास गर्दैनौँ,” फुयाँल भन्छन्, “हामीले एउटा कमजोरी आज भेट्टायौँ भने त्यसको जानकारी गिटल्याब (GitLab) जस्ता प्लेटफर्म मार्फत आजै दिन्छौँ । यसले गर्दा हाम्रो परीक्षण नसकिँदै ग्राहकको डेभलपमेन्ट टिमले कमजोरी सच्याउन थालिसकेको हुन्छ । यो छरितो प्रक्रियाले ग्राहकको ५० प्रतिशतसम्म समय र पैसा बचत हुन्छ ।”
साइबर सुरक्षाको संस्कार निर्माण गर्ने चाह
इनरेड ल्याबले आफूलाई सेवा प्रदायकका साथसाथै साइबर सुरक्षा संस्कारको विकास गर्ने अभियानमा आफूलाई अगाडि सारेको फुयाँल सुनाउँछन् । खासगरी नेपालमा साइबर सुरक्षा सम्बन्धी जनचेतना फैलाउने र यसलाई सबैको पहुँचमा पुर्याउने इनरेड ल्याब्सको लक्ष्य छ । “साइबर सुरक्षालाई एउटा डरलाग्दो र जटिल विषय बनाइएको छ । यसले गर्दा आम मानिस यसबाट टाढा भाग्छन्,” फुयाँल सुनाउँछन्, “हामी यही धारणा तोड्न चाहन्छौँ । हाम्रो वेबसाइटदेखि हामीले सञ्चालन गर्ने पोडकास्टसम्म सबै कुरालाई रमाइलो र सरल बनाएका छौँ । यसले गर्दा प्राविधिक ज्ञान नभएका व्यक्तिले पनि यसको महत्त्व बुझ्न सक्छन् ।”
कम्पनीले नेपालमै पहिलो पटक साइबर सुरक्षामा केन्द्रित एक विशेष पडकास्ट सुरु गरेको छ । फुयाँलका अनुसार यस पडकास्टमा सरकारी अधिकारी, प्रहरी, अनुसन्धानकर्ता, ह्याकर र बैङ्करलाई एउटै मञ्चमा ल्याएर समस्या र समाधानबारे गहन छलफल गरिन्छ । “कसैले कुनै सिस्टम ह्याक गर्यो भने त्यसमा ह्याक गर्ने व्यक्तिको धारणा त्यति आउँदैन,” उनी भन्छन्, “उसले किन त्यसो गरेको होला, उसको लक्ष्य के थियो ? लगायत उसको दृष्टिकोण पनि बाहिर आओस् भन्ने हाम्रो उद्देश्य हो ।” यही अभियान अन्तर्गत इनरेड ल्याबले हालै आफ्नो पहिलो पडकास्ट सार्वजनिक गरिसकेको छ । साइबर सुरक्षा अनुसन्धानकर्ता निर्मल दाहालसँगको सो गफगाफमा नेपालमा साइबर सुरक्षाको अवस्था, करिअरदेखि सरकारी नीतिसम्मका विषयमा चर्चा गरिएको थियो ।
फुयाँल यस अभियानलाई पडकास्टमा मात्र नभई अन्य रचनात्मक शैलीले अगाडि सार्न चाहन्छन् । उनी भन्छन्, “भीपीएन, पब्लिक वाईफाई जस्ता प्राविधिक विषयलाई सरल भाषामा बुझाउने छोटा भिडिओ निर्माण गर्ने हाम्रो योजना छ । ती भिडिओमा विज्ञ भन्दा पनि आम सर्वसाधारण फिचर हुन्छन् । यसले गर्दा आम जनमानसका समस्या देखिन्छन् र त्यहाँ समाधानको चर्चा गरिन्छ ।”
के-के छन् इनरेड ल्याब्सले दिने सेवा ?
इनरेड ल्याबले विभिन्न निजी कम्पनी, सरकारी निकाय लगायतको डिजिटल सम्पत्ति सुरक्षित गर्न विभिन्न सेवा प्रदान गर्छ ।
१) पेनिट्रेसन टेस्टिङ (Penetration Testing / VAPT)
यो भनेको कम्पनीको सिस्टम, नेटवर्क वा एप्लिकेसनमा वास्तविक ह्याकरले जस्तै आक्रमणको नक्कल गरेर त्यसमा भएका कमजोरी, गलत कन्फिगरेसन र सुरक्षा त्रुटि पत्ता लगाउने प्रक्रिया हो । यो परीक्षणपछि कमजोरी कसरी समाधान गर्ने भन्नेबारे विस्तृत रिपोर्ट र सुझाव दिइन्छ । यसभित्र निम्न सेवाहरू पर्छन्:
-
वेब एप्लिकेसन भीएपीटी: ग्राहकको वेबसाइट वा वेब एपमा ‘ओस्वाप टप १०’ जस्ता मापदण्ड अनुसार परीक्षण गरी कमजोरी पत्ता लगाउने ।
-
मोबाइल एप्लिकेसन भीएपीटी: एन्ड्रोइड र आईओएस एपमा हुन सक्ने सम्भावित आक्रमणको परीक्षण गर्ने ।
-
नेटवर्क र सिस्टम भीएपीटी: सर्भर, कम्प्युटर, फायरवाल र अन्य नेटवर्क उपकरणको सुरक्षा परीक्षण गर्ने ।
-
सीएमएस सेक्युरिटी टेस्टिङ: वर्डप्रेस, जोम्ला (Joomla) जस्ता सीएमएस प्लेटफर्ममा चल्ने वेबसाइटको प्लगइन, थिम र कोर फाइलको सुरक्षा जाँच गर्ने ।
-
क्लाउड सेक्युरिटी एसेसमेन्ट: एडब्लूएस, एजर, जीसीपी जस्ता क्लाउड प्लेटफर्ममा ग्राहकको डेटा र प्रणाली कति सुरक्षित छ भनेर परीक्षण गर्ने ।
२) रेड टिमिङ (Red Teaming)
यसको उद्देश्य परम्परागत परीक्षणभन्दा एक कदम अगाडि बढेर वास्तविक ह्याकरले जस्तै कुनै नियम बिना कम्पनीको समग्र सुरक्षा प्रणालीलाई चुनौती दिनु हो । यसमा प्रविधिको मात्र परीक्षण नगरी कर्मचारीलाई फिशिङ ईमेल पठाउने, सोसल इन्जिनियरिङ प्रयोग गर्ने वा भौतिक रूपमै कम्पनीभित्र छिरेर प्रणालीमा पहुँच बनाउन खोज्ने जस्ता बहु-आयामिक आक्रमण गरिन्छ । यसले कम्पनीको मान्छे, प्रक्रिया र प्रविधि तीनै तहमा लुकेर रहेका कमजोरी उजागर गर्छ ।
३) साइबर सुरक्षा सचेतना तालिम
कुनै पनि संस्थाको सबैभन्दा कमजोर कडी मानिने कर्मचारीलाई साइबर हमलाबाट बँच्न आवश्यक ज्ञान र सीप प्रदान गर्ने काम इनरेड ल्याब्सले गर्छ । यस अन्तर्गत कम्पनीले फिशिङ ईमेल कसरी चिन्ने, बलियो पासवर्ड किन आवश्यक छ र सुरक्षित इन्टरनेट कसरी प्रयोग गर्ने जस्ता विषयमा व्यावहारिक तालिम दिन्छ । यसले मानवीय त्रुटिका कारण हुने जोखिमलाई न्यूनीकरण गर्न सघाउने फुयाँल सुनाउँछन् ।
४) सोर्स कोड रिभ्यु
कुनै पनि सफ्टवेयर वा एप्लिकेसन बन्नुको पछाडि रहेको कोड (प्रोग्रामिङ) मा लुकेका सुरक्षा कमजोरी पत्ता लगाउने काम नै सोर्स कोड रिभ्यु हो । कुनै पनि सफ्टवेयर बजारमा जानुअघि नै कोडको जाँच गर्दा भविष्यमा हुन सक्ने ठुला आक्रमणबाट बच्न सकिन्छ । इनरेड ल्याब्सले प्रदान गर्ने सेवामध्येको यो पनि एक हो ।
५) डार्क वेब मनिटरिङ
डार्क वेब मनिटरिङ भनेको इन्टरनेटको अँध्यारो संसार (डार्क वेब) मा ग्राहक कम्पनीको कुनै गोप्य जानकारी, कर्मचारी वा ग्राहकको डेटा वा पासवर्ड बिक्रीमा छन् कि भनेर निरन्तर निगरानी गर्ने सेवा हो । यदि त्यस्तो केही भेटिएमा इनरेड ल्याब्सले तत्काल जानकारी गराएर सम्भावित खतराबाट बच्न मद्दत गर्ने सीईओ फुयाँल सुनाउँछन् ।
६) इन्सिडेन्ट रेस्पोन्स
यस कम्पनीले उपलब्ध गराउने अर्को सेवा हो ‘इन्सिडेन्ट रेस्पोन्स’ । यो भनेको यदि ग्राहकको कम्पनीमा कुनै साइबर हमला भइहाल्यो भने तत्काल एक्सनमा आएर क्षति न्यूनीकरण गर्ने, हमलालाई रोक्ने र प्रणालीलाई पुनः सुरक्षित अवस्थामा फर्काउने काम गर्नु हो । यस अन्तर्गत घटनाको विश्लेषण गरी भविष्यमा यस्तो हुन नदिन के गर्ने भनेर सुझाव पनि दिइन्छ ।
७) आईएस अडिट
कम्पनीको सूचना प्रविधि प्रणाली, नीति र प्रक्रिया राष्ट्रिय तथा अन्तर्राष्ट्रिय मापदण्ड (जस्तै आईएसओ) अनुसार छन् कि छैनन् भनेर जाँच गर्नु नै ‘आईएस अडिट’ गर्नु हो । यसले ग्राहकलाई नियमनकारी निकायको कारबाहीबाट बचाउनुका साथै प्रणालीलाई थप सुरक्षित र व्यवस्थित बनाउन मद्दत गर्छ ।
८) अट्याक सर्फेस म्यानेजमेन्ट
वेबसाइट, सर्भर र अनलाइन उपकरणको निरन्तर निगरानी गरी ह्याकरले आक्रमण गर्न सक्ने सम्भावित ठाउँ (Attack Surface) पत्ता लगाउनु नै अट्याक सर्फेस म्यानेजमेन्ट हो । यस प्रक्रियाले कम्पनीले थाहै नपाएका वा बिर्सिएका प्रणालीमा रहेका जोखिमलाई पनि पहिचान गर्छ ।
९. ‘ISO 27001’ रेडी एसेसमेन्ट
सूचना सुरक्षाको विश्वव्यापी मापदण्ड आईएसओ २७००१ (ISO 27001) को प्रमाणपत्र लिन चाहने कम्पनीलाई तयारीमा मद्दत गर्न आईएसओ रेडी एसेसमेन्ट गरिन्छ । यसमा कम्पनीको हालको अवस्थाको मूल्याङ्कन गरी मापदण्ड पूरा गर्न के-कस्ता सुधारहरू आवश्यक छन् भन्नेबारे स्पष्ट मार्गचित्र प्रदान गरिन्छ ।
१०) साइबर सुरक्षा परामर्श
इनरेड ल्याब्सले कुनै पनि व्यवसायको आवश्यकता अनुसार साइबर सुरक्षाको रणनीति बनाउन, जोखिम मूल्याङ्कन गर्न र बलियो सुरक्षा ढाँचा तयार गर्न विशेषज्ञ सल्लाह र सेवा दिन्छ ।
यी सबै सेवाले कुनै पनि सङ्गठनको समग्र सुरक्षालाई मजबुत बनाउन मद्दत गर्छन् ।
चुनौती, भविष्यका योजना र राष्ट्रिय लक्ष्य
हाल १५ जनाको मुख्य टिमसहित सञ्चालनमा रहेको इनरेड ल्याब्सले कारोबार एप, डिजिटल एज नेपाल, लोकोमोटिभ जस्ता संस्थासँग सहकार्य गरिरहेको छ । “हामीलाई जनशक्तिको अभाव त हुन्छ नै तर एकपटक आइसकेको कर्मचारी कम्पनीमै लामो समय टिकिरहने सम्भावना शत प्रतिशत नै हुन्छ,” सीईओ फुयाँल भन्छन्, “तर, चुनौती ग्राहकको विश्वास जित्नुमा छ ।”
निःसन्देह, साइबर सुरक्षा हरेक क्षेत्रका लागि एक महत्त्वपूर्ण र संवेदनशील विषय हो । तर, सचेतनका अभावले यस क्षेत्रलाई लगानीभन्दा पनि खर्चका रूपमा हेर्ने प्रवृत्ति हाबी छ । इनरेड ल्याब्सले सामना गरेको समस्या पनि यहीँ छ । “साइबर सुरक्षालाई लगानीभन्दा पनि खर्च ठान्ने वा भनौँ बेवास्ता गर्ने गरिन्छ । त्यसैले हामी यसलाई सचेतनाका रूपमा पनि अगाडि बढाइरहेका छौँ । नयाँ कम्पनी भएकाले विश्वासको वातावरण बनाउनुपर्ने आवश्यकता छ । तर, यो पनि समयसँगै व्यवस्थित हुँदै गइरहेको छ,” फुयाँल थप्छन् ।
साइबर सचेतना फैलाउने, व्यवसायीलाई साइबर स्पेसमा सुरक्षित राख्ने र देशलाई साइबर सुरक्षाका हिसाबले अगाडि सार्ने लक्ष्यका साथ इनरेड ल्याब्स अगाडि आएको छ । “हाम्रो अन्तिम लक्ष्य भनेको नेपाललाई विश्वव्यापी साइबर सुरक्षा सूचकाङ्क (Global Cybersecurity Index) मा माथि उठाउनु हो,” फुयाँलले आफ्नो दीर्घकालीन योजनाबारे भने, “जब देशको साइबर सुरक्षा बलियो हुन्छ, तब मात्र विदेशी लगानी र अवसर भित्रिन्छ । हामीले गर्ने हरेक कामले अप्रत्यक्ष रूपमा राष्ट्रिय स्तरमै योगदान पुर्याइरहेको हुन्छ भन्ने हाम्रो विश्वास छ ।”
आफ्नो सेवाको प्रभावकारितामा विश्वस्त इनरेड ल्याब्सले नयाँ ग्राहकका लागि केही दिनको नि:शुल्क परीक्षण सेवा पनि प्रदान गर्ने भएको छ । “पहिले हाम्रो काम हेर्नुहोस्, त्यसको प्रभावकारिता बुझ्नुहोस्, अनि मात्र सहकार्यको निर्णय लिनुहोस्,” फुयाँलले भने । इच्छुक व्यक्ति वा कम्पनीले इनरेड ल्याब्ससँगको सहकार्यका लागि ९७०९१९१९०० मा सम्पर्क गर्न सक्नेछन् ।
पछिल्लो अध्यावधिक: भदौ २, २०८२ २०:३७
