जेनजी प्रर्शनपछि सरकारी तथा संवेदनशील कार्यालयले कम्प्युटर जस्ता उपकरण सहयोग लिंदा कस्तो जोखिम हुन्छ ?
असोज ९, २०८२ १०:३०
भ्रष्टाचार, बेथिति, राजनीतिज्ञका सन्तानको विलासी जीवनशैली र सामाजिक सञ्जालमाथिको प्रतिबन्धको विरोधमा नेपाली जेन-जी युवाले २३ भदौ २०८२ मा एक शान्तिपूर्ण आन्दोलन सुरु गरेका थिए । पहिलो दिन नै सरकारद्वारा दमन भएपछि आन्दोलनले फरक मोड लियो ।
युवाहरूले स्वतःस्फूर्त रूपमा अघि बढाएको उक्त प्रदर्शनमा तत्कालीन प्रधानमन्त्री केपी शर्मा ओलीको सरकारले गरेको दमनमा १९ जना प्रदर्शनकारी मारिए । घटनाको पहिलो दिन त्यसको नैतिक जिम्मेवारी लिँदै निवर्तमान गृहमन्त्री रमेश लेखकले राजीनामा दिए । सो घटनाको भोलिपल्ट २४ भदौमा आन्दोलन अझ सशक्त बन्यो र सुरु भएको ४८ घण्टा नबित्दै प्रधानमन्त्रीले स्वयँ राजीनामा दिनुपर्यो । यतिसम्म कि प्रदर्शनकारीबाट असुरक्षित महसुस भएपछि उनी सेनाको हेलिकोप्टरबाट भाग्नुपर्ने स्थिति सिर्जना भयो ।
प्रदर्शनकै क्रममा ‘जेन-जी’ को नाममा केही अराजक व्यक्ति तथा समूहहरूले देशभरका सरकारी सम्पत्तिमा आगजनी, तोडफोड, चोरी र लुटपाट जस्ता विध्वंसात्मक काम गरे । पछिल्लो समय सरकारी कार्यालयले डिजिटल माध्यमबाट विभिन्न सेवाहरू प्रवाह गर्दै आएका थिए । तर, यस घटनापछि अधिकांश कार्यालयका कम्प्युटर लगायत सूचना प्रविधिका उपकरण या त जलेर नष्ट भए, या त लुटिए । यसले गर्दा ती सरकारी कार्यालयलाई तत्काल वैकल्पिक भवनमा सारेर काम सुरु गरिए तापनि सरकारी खरिद प्रक्रियाको जटिलता र बजेटको सीमितता जस्ता कारणले नयाँ कम्प्युटर तथा अन्य उपकरणको व्यवस्था हुन सकेको छैन ।
यस्तो अवस्थामा नागरिकको दैनिक जीवनसँग प्रत्यक्ष जोडिने वडा, स्थानीय पालिका, प्रहरी कार्यालय जस्ता सरकारी निकायलाई केही व्यक्ति तथा संस्थाहरूले सामाजिक सञ्जालमार्फत कम्प्युटर वितरण गर्न थालेको देखिन्छ । हुन त हाम्रो जस्तो देशमा कुनै दातृ निकाय, संस्था वा व्यक्तिले यसरी सहयोग गर्नु नौलो कुरा होइन । तर, यो विषम परिस्थितिको अनुचित फाइदा उठाउने मनसायले पो उनीहरूले यस्तो गरिरहेका हुन् कि भनेर शङ्का गर्नुपर्ने अवस्था सिर्जना भएको छ ।
कार्यालयका लागि आवश्यक पर्ने टेबुल, कुर्सी लगायत अन्य सामग्री वितरणमा खासै चासो नदिई कम्प्युटरमा मात्र किन यस्तो विशेष चासो देखाइँदै छ त ?
एक सामान्य व्यक्तिका लागि कम्प्युटर भनेको सिफारिस वा अन्य कागजात टाइप गर्ने र अनलाइन फाराम भर्ने उपकरण मात्र हो भन्ने लाग्न सक्छ । तर, यो डिजिटल युगमा वडाले दिने सामान्य सिफारिसदेखि व्यक्तिगत घटना दर्ता, नागरिकता सिफारिस, जिल्ला प्रशासनबाट जारी हुने नागरिकता, राष्ट्रिय परिचयपत्रको डेटा इन्ट्री र वितरणसम्मका अधिकांश काम कम्प्युटरबाटै हुन्छन् । यति मात्र होइन सरकारी कार्यालयका सम्पूर्ण आर्थिक कारोबारको विवरण पनि कम्प्युटरमै राखिन्छ । यसरी एकातिर सरकारी कामकाजका संवेदनशील तथ्याङ्क (डेटा) हुन्छन् भने अर्कोतिर नागरिकका सामान्य जानकारीदेखि लिएर जैविक विवरण (Biometric data) जस्ता अत्यन्त संवेदनशील व्यक्तिगत विवरण पनि डेटा सेन्टर वा स्थानीय कम्प्युटरमा नै भण्डारण गरिन्छ ।
प्रायः यस्ता विवरण अनलाइन प्रणालीमा इन्ट्री गरिन्छ । यसका लागि सम्बन्धित कर्मचारीले आफूलाई प्रदान गरिएको लगइन क्रेडेन्सियल जस्तै युजरनेम र पासवर्ड प्रयोग गर्नुपर्ने हुन्छ । यो त डेटा इन्ट्रीको एउटा उदाहरण मात्र हो । सरकारी कार्यालयका लगभग सबै प्रणाली यही प्रकृतिमा चल्छन्, जहाँ लगइन गरेपछि प्रणालीले अनुमति दिएका सबै काम गर्न सकिन्छ । यसमा रकम भुक्तानी जस्ता संवेदनशील आर्थिक कारोबार पनि समावेश हुन्छन् ।
यसबाट के स्पष्ट हुन्छ भने सरकारी कार्यालयमा प्रयोग हुने कम्प्युटर एउटा सामान्य उपकरण मात्र नभई, अति संवेदनशील तथ्याङ्क र प्रणाली सञ्चालन गर्ने महत्त्वपूर्ण यन्त्र हो ।
यस सन्दर्भलाई अझ स्पष्ट पार्न केही समयअघिको इजरायल-हेजबुल्लाहबिचको एक घटनालाई हेरौँ । सन् २०२४ को सेप्टेम्बरमा इजरायली गुप्तचर संस्थाले ‘अपरेसन ग्रिम बिपर’ नामक एक अभियान सञ्चालन गर्यो । यसअन्तर्गत विभिन्न नक्कली (शेल) कम्पनीमार्फत हेजबुल्लाहका लागि पेजर र वाकी-टकीहरू आपूर्ति गरियो । वास्तवमा ती उपकरणमा ब्याट्रीको भेषमा विस्फोटक पदार्थ लुकाइएको थियो ।
हेजबुल्लाहलाई शङ्का नहोस् भनेर ती सामग्री सोझै आधिकारिक कम्पनीबाटै आएको हो भन्ने भ्रम सिर्जना गरियो । केही समयपछि हेजबुल्लाहकै नेतृत्वबाट आएको जस्तो देखिने नक्कली मेसेजमार्फत ती पेजरलाई एकैसाथ विस्फोट गराइँदा १२ जनाको मृत्यु भयो भने करिब २,७५० जना घाइते भए । त्यसैगरी वाकी-टकी विस्फोटमा २० जनाले ज्यान गुमाए र ४५० भन्दा बढी घाइते भए ।
यो घटनाले आपूर्ति शृङ्खला (Supply Chain) मा कसरी बाहिरी शक्तिले प्रवेश गरी उपकरणमा अनधिकृत छेडखानी गरेर घातक हमला गर्न सक्छ भन्ने कुरा स्पष्ट पार्छ ।
इजरायल-हेजबुल्लाहको उक्त घटनालाई मनन गर्दा हाम्रो वर्तमान अवस्था झनै जोखिमपूर्ण देखिन्छ । हामीले पेजर वा वाकी-टकी जस्ता साना उपकरण मात्र होइन, दैनिक रूपमा अति संवेदनशील कार्यमा प्रयोग हुने पूरै कम्प्युटर प्रणाली नै कसैबाट लिइरहेका छौँ । यसले कस्तो खतरा निम्त्याउन सक्छ भन्ने कुरा सजिलै अनुमान गर्न सकिन्छ ।
यहाँको मुख्य जोखिम कम्प्युटरलाई नै विस्फोट गराउने भौतिक हमला नहुन सक्छ । बरु ठुलो चिन्ता के हो भने, हाम्रो डेटा र संवेदनशील प्रणालीमा अनधिकृत पहुँच पुर्याउने उद्देश्यले नै यी उपकरणमा छेडछाड गरेर वितरण गरिएको पो हो कि ? हामीले यस कोणबाट पनि सोच्न आवश्यक छ ।
किनकि एउटा भौतिक विस्फोटले गर्ने क्षति सीमित हुन्छ । तर सरकारी प्रणालीमाथिको अनधिकृत पहुँचले निम्त्याउने सङ्कट राष्ट्रिय स्तरमै विनाशकारी हुन सक्छ ।
कम्प्युटर सुरक्षा क्षेत्रबाहिरका धेरै मानिसलाई कि-लगर (Keylogger) बारे जानकारी नहुन सक्छ । कम्प्युटरमा सफ्टवेयर वा हार्डवेयरको रूपमा कि-लगर जडान गरिएमा प्रयोगकर्ताले टाइप गरेका सम्पूर्ण विवरण यसलाई राख्ने व्यक्तिसम्म सजिलै पुग्छ । सफ्टवेयरको जटिलता अनुसार यस्ता कि-लगरले कम्प्युटरको एन्टिभाइरसलाई निष्क्रिय पार्ने, स्क्रिन र क्यामेराबाट लाइभ भिडिओ पठाउने र अन्ततः कम्प्युटरको सम्पूर्ण एक्सेस नै अनधिकृत व्यक्तिलाई सुम्पिनेसम्मका काम गर्न सक्छन् । सफ्टवेयर जति जटिल भयो, त्यसले गर्ने क्षति त्यति नै ठुलो हुन्छ र पछि अनुसन्धान गर्दा त्यसको प्रमाण फेला पार्न पनि उति नै गाह्रो हुन्छ ।
यदि यस्तै काम गर्ने कुनै हार्डवेयर उपकरण जडान गरिएको छ भने त्यसलाई पत्ता लगाउन झनै कठिन हुन्छ । किनभने कुनै पनि एन्टिभाइरस सफ्टवेयरले यस्तो हार्डवेयरलाई पहिचान गर्न सक्दैन । यस्तो छेडछाड गरिएको उपकरणलाई खोलेर कुनै विशेषज्ञले विस्तृत जाँच गरेमा मात्र त्यस्तो हार्डवेयरमा रहेको कि-लगर पत्ता लाग्न सक्छ ।
अझ चिन्ताको विषय त के छ भने यस्ता कि-लगर जडित किबोर्ड, माउस र डेटा केबुल जस्ता सामग्री गुगल वा अमेजनमा सामान्य खोजी गरेकै भरमा सजिलै किन्न पाइन्छन् ।
माथि उल्लिखित कि-लगर त एक सामान्य उदाहरण मात्र हो । जुन कम्प्युटरसम्बन्धी सामान्य ज्ञान भएको विद्यार्थीले समेत प्रयोग गर्न सक्छ । यसबाट सहजै अनुमान लगाउन सकिन्छ कि कुनै व्यावसायिक वा निहित स्वार्थ बोकेको समूहले यसलाई कति खतरनाक तहसम्म प्रयोग गर्न सक्छ ।
यी सबै कुरा बुझेपछि यदि तपाईँ कुनै सरकारी कार्यालयमा कार्यरत कर्मचारी हुनुहुन्छ भने यस्ता जोखिमबारे सोचेर चिन्तित हुनु स्वाभाविक हो । तर, हामीले के बुझ्नुपर्छ भने सबै दाता वा संस्थाको नियत खराब हुँदैन । कोही साँच्चै समाजसेवाको भावनाले प्रेरित हुन्छन् भने कोही यही मौकाको फाइदा उठाउने गलत मनसाय बोकेका पनि हुन सक्छन् ।
यस्तो अवस्थामा कुनै व्यक्ति वा संस्थाले कम्प्युटर वा अन्य सूचना प्रविधि उपकरण सहयोग गर्न खोजेमा लिने कि नलिने भन्ने दुविधा उत्पन्न हुन सक्छ । यसको उत्तम समाधान भनेको कम्प्युटर वा त्यससँग सम्बन्धित कुनै पनि उपकरण सिधै नलिनु हो । बरु, ती सहयोगी व्यक्ति वा संस्थालाई आफ्नो कार्यालयको कामको संवेदनशीलता बुझाउँदै भन्न सकिन्छ: “हाम्रो कामको प्रकृति संवेदनशील भएकाले हामी प्राविधिक उपकरण सिधै स्वीकार गर्न सक्दैनौँ । यसको सट्टा, उक्त उपकरण बराबरको रकम वा सोही मूल्य बराबरको अन्य आवश्यक सामग्री जस्तै फर्निचर, सहयोग गरिदिनुहुन अनुरोध गर्दछौँ ।”
यदि ती व्यक्ति वा संस्थाको नियत साँच्चै सहयोग गर्नु हो भने, उनीहरूले तपाईँको वैकल्पिक प्रस्तावलाई पक्कै स्विकार्नेछन् । यसबाट एकातिर हाम्रो प्रणाली सुरक्षित रहन्छ भने अर्कोतिर उनीहरूको सहयोग गर्ने भावनाको पनि कदर हुन्छ ।
छेड्खानीका लागि प्रयोग हुनसक्ने उपकरण
Keylogger Cable / Modules
नेपालमा कि-लगर केबल
(लेखक तिमिल्सिना ऋषिङ गाउँपालिका तनहुँका पूर्व सूचना प्रविधि अधिकृत हुन् । उनी लिङ्क्डइनमा सक्रिय छन् भने साइबर सुरक्षा र कम्प्युटिङमा उनको विशेष रुचि छ ।)
पछिल्लो अध्यावधिक: असोज ९, २०८२ १५:४१
