नागरिकको डेटामाथि लापर्बाही; भीआईपीकै राष्ट्रिय परिचयपत्र समेत यति सजिलै हुन्छ डाउनलोड !
असार ७, २०८३ २०:५
काठमाडौँ । के तपाईंले वर्तमान सरकारका प्रधानमन्त्री बालेन्द्र शाह (बालेन) को राष्ट्रिय परिचयपत्र इन्टरनेटमा देख्नु वा फेला पार्नुभएको छ ? वा, गृहमन्त्री सुधन गुरुङको राष्ट्रिय परिचयपत्र देख्नु भएको छ ? अथवा, १८१ सिटसहित सरकारको नेतृत्व गरिरहेको राष्ट्रिय स्वतन्त्र पार्टी (रास्वपा) का सभापति रवि लामिछानेको राष्ट्रिय परिचयपत्र पाउनु भएको थियो ? सम्भवतः तपाईंले इन्टरनेटमा यी प्रभावशाली व्यक्तिको राष्ट्रिय परिचयपत्र यसअघि कहिल्यै देख्नुभएको थिएन ।
तर, सरकारको हतारोका कारण सिर्जित गम्भिर सुरक्षा कमजोरीले गर्दा अहिले यी तीन व्यक्तिको मात्र नभई, जोकोही नेपाली नागरिकको राष्ट्रिय परिचयपत्र तपाईं आफैँले डाउनलोड गर्न सक्ने स्थिति बनेको छ । टेकपानाले गरेको सामान्य परीक्षणकै क्रममा यी तीन प्रभावशाली व्यक्तिको राष्ट्रिय परिचयपत्र डाउनलोड सम्भव भएको हो । कसरी त ? त्यसका लागि पहिले यसको पृष्ठभूमि बुझ्न आवश्यक छ ।
१०० बुँदे शासकीय सुधार कार्यसूचीको बुँदा नम्बर २
जेन-जी विद्रोहपछि सम्पन्न निर्वाचनपछि बनेको बालेन्द्र शाह (बालेन) नेतृत्वको सरकारले १३ चैत २०८२ मा बसेको पहिलो मन्त्रिपरिषदको वैठकबाट १०० बुँदे ‘शासकीय सुधार कार्यसूची’ कार्यान्वयन गर्ने निर्णय गरेको थियो । त्यसको भोलिपल्ट सरकारले १०० दिनभित्र गरिसक्ने भनेका १०० कामको सूची सार्वजनिक गर्यो ।
राष्ट्रिय परिचयपत्र तथा पञ्जीकरण विभागका अनुसार सोही सूचीको बुँदा २ अनुसार प्रोभिज्नल राष्ट्रिय परिचयपत्र डाउनलोड गर्न सकिने सुविधा ल्याइएको हो । कार्यसूचीमा भनिएको छ, “सरकारको समग्र कार्यसम्पादनलाई नतिजामुखी, प्रभावकारी, मापनयोग्य र जवाफदेही बनाउन तथा नागरिक जीवनमा प्रत्यक्ष सुधार ल्याउने ढाँचामा रूपान्तरण गर्न नतिजामा आधारित शासकीय प्रबन्ध (Delivery-Based Governance) लागु गर्ने । यसको लागि प्रत्येक मन्त्रालयले ७ दिनभित्र प्रमुख १० कार्य, तिनका समयसीमा, जिम्मेवार अधिकारी र प्रमुख कार्यसम्पादन सूचकसहितको कार्ययोजना तयार गरी कार्यान्वयनमा लैजाने । ती कार्यहरूको मासिक प्रगति प्रधानमन्त्री तथा मन्त्रिपरिषद्को कार्यालयमा पेस गर्ने व्यवस्था मिलाई उक्त कार्यालयमार्फत नियमित अनुगमन, मूल्याङ्कन तथा सार्वजनिक रिपोर्टिङ सुनिश्चित गर्ने ।”
यही बुँदालाई आधार बनाएर प्रोभिजनल राष्ट्रिय परिचयपत्र डाउनलोड गर्न सकिने सुविधा ल्याइएको विभागको भनाइ छ । सोही कार्यसूचीको बुँदा ३५ मा ‘प्रमाणपत्रहरू नागरिकले आधिकारिक मोबाइल एप/नागरिक एप वा ईमेलमा ‘डाउनलोड’ गर्न मिल्ने व्यवस्था १५ दिनभित्र मिलाउने’ उल्लेख थियो । तर, सरकार बनेको ८२ औं दिनमा विभागले भने आफ्नो वेबसाइटबाट सहजै केही साधाारण विवरण राखेकै भरमा राष्ट्रिय परिचयपत्र डाउनलोड गर्न मिल्ने सुविधा ल्यायो ।
अहिले नाम, जन्ममिति र नागरिकता जारी मितिकै भरमा जोकोहीले जोकसै नेपाली नागरिकको प्रोभिजनल राष्ट्रिय परिचयपत्र डाउनलोड गर्न सक्छन् । सुरक्षाका लागि पासवर्ड राखिएको भनिएको छ, तर त्यो पासवर्ड पनि व्यक्तिको अङ्ग्रेजी नामको अगाडिका चार अक्षर ठुलोमा र जन्ममिति (वर्ष) राखे सहजै खुल्छ । माथि उल्लेख गरिएका प्रधानमन्त्री शाह, सभापति लामिछाने र गृहमन्त्री गुरुङको ईएनआईडी सार्वजनिक रूपमा इन्टरनेटमा उपलब्ध भएका विवरणबाटै फेला पारेर निकालिएको हो ।
पञ्जीकरण विभाग भन्छः राष्ट्रिय परिचयपत्र अनिवार्य भइसक्यो, तर छाप्न सकेनौं त्यसैले यो प्रणाली ल्यायौं
राष्ट्रिय परिचयपत्र तथा पञ्जीकरण विभागका सूचना अधिकारी निराजन श्रेष्ठले भने राष्ट्रिय परिचय पत्र अधिकांश ठाउँमा अनिवार्य भइसकेको, तर माग अनुसार छाप्न नसकिएकाले यो विकल्प ल्याएको बताए । “अधिकांश ठाउँमा अहिले राष्ट्रिय परिचयपत्र अनिवार्य भइसकेको छ,” उनले टेकपानासँगको कुराकानीमा भने, “तर, माग भए जति छाप्न सकिएन । त्यसैले नागरिकता हुनेले एनआईडीको विवरण पाउन सक्ने प्रणाली बनायौं ।”
सूचना अधिकारी श्रेष्ठले यो पीडीएफ फाइल भए पनि केबल फोटोकपी जस्तो मात्र रहेको बताए । उनले अगाडि भने, “यो फोटोकपी जस्तो मात्रै हो । यो दुरुपयोग हुन्छ भन्ने तर्क राख्ने हो भने त नागरिकताकै पनि दुरुपयोग होला । तर, एनआईडी कसैले दुरुपयोग गर्न सक्दैन भन्ने लाग्छ ।”
यसमा भएको क्यूआर कोड आधिकारिक सङ्घसंस्थासँग भएको प्रणालीले मात्र रिड गर्न सक्ने र उनीहरूले नै भेरिफाई गर्न सक्ने भएकाले दुरुपयोग रोकिने उनको दाबी छ । “अहिले जसरी डाउनलोड गर्न दिइएको छ, त्यो खुकुलो भयो कि भन्ने लागेको हो,” उनले भने, “तर, यो परीक्षणका रूपमा मात्र सुरु गरिएको हो ।”
सूचना अधिकारी श्रेष्ठका अनुसार विभागले अहिले जति साधारण विवरण राखेर डाउनलोड गर्न सकिने भएको छ, त्यसलाई परिमार्जन गर्ने तयारी गरेको छ । “हामीले ओटीपीबाट भेरिफाई गरेर मात्र डाउनलोड गर्न सकिने प्रणाली बनाउने तयारी गरिरहेका छौँ । तर, हामीसँग अहिले राष्ट्रिय परिचयपत्रधनीको फोन नम्बर छैन । तत्कालका लागि सेवाग्राहीको काम नरोकियोस् भनेर यो सुविधा ल्याएका हौं । पर्याप्त सङ्ख्यामा छाप्न नसकेर पनि यो व्यवस्था गरिएको हो,” उनले थपे ।
उनले अहिले नागरिकता अनुसारको विवरण राखेपछि मात्र डाउनलोड गर्न मिल्ने भएकाले यो सम्बन्धित व्यक्तिले मात्र डाउनलोड गर्न सक्छन् भन्ने विश्वास रहेको जिकिर गरे । उनले भने, “यसलाई थप सुरक्षित बनाउँदै लैजानेछौं ।”
कहाँकहाँ छ राष्ट्रिय परिचयपत्र अनिवार्य ?
सरकारले विभिन्न सार्वजनिक सेवाहरू प्राप्त गर्न राष्ट्रिय परिचयपत्रलाई क्रमशः अनिवार्य गर्दै लगेको छ । यसअन्तर्गत नेपालभित्रैबाट राहदानी (पासपोर्ट) का लागि आवेदन दिने १६ वर्षभन्दा माथिका नागरिकका लागि राष्ट्रिय परिचयपत्र अनिवार्य गरिएको छ ।
यसैगरी नेपाल राष्ट्र बैंकको निर्देशन अनुसार नयाँ बैंक खाता खोल्न तथा पुराना खाताको ग्राहक पहिचान विवरण (केवाइसी) अद्यावधिक गर्न पनि यो परिचयपत्र आवश्यक पर्छ । यसका साथै, नयाँ मोबाइल सिमकार्ड लिन र घरजग्गा खरिदबिक्रीको कारोबार गर्नका लागि पनि राष्ट्रिय परिचयपत्र अनिवार्य रूपमा पेस गर्नुपर्ने व्यवस्था छ ।
व्यक्तिगत आयकर दर्ता (राजस्व), सवारी चालक अनुमतिपत्र (लाइसेन्स), स्वास्थ्य बीमा र कम्पनी दर्ता तथा नवीकरण, शेयर कारोबार जस्ता महत्त्वपूर्ण सेवामा राष्ट्रिय परिचयपत्र आबद्ध भइसकेको छ । त्यसका साथै सामाजिक सुरक्षा भत्ता र पेन्सन प्राप्तिका लागि राष्ट्रिय परिचयपत्र अनिवार्य गर्ने निर्णय गरिएको छ । यद्यपि, ज्येष्ठ नागरिकलाई परेको व्यावहारिक कठिनाइ र गुनासोका कारण गृह मन्त्रालयले यस व्यवस्थालाई तत्कालका लागि स्थगित गरेको थियो । यीबाहेक अन्य क्षेत्रहरू पनि छन्, जहाँ राष्ट्रिय परिचयपत्र अनिवार्य गरिएको छ ।
अर्थात् सरकारी निकाय, सार्वजनिक संस्था तथा निजी क्षेत्रबाट प्रवाह गरिने विभिन्न सेवा र सुविधा लिनका लागि नागरिकता प्रमाणपत्रको सट्टा राष्ट्रिय परिचयपत्र वा राष्ट्रिय परिचय नम्बर पेस गर्नुपर्ने व्यवस्थालाई सरकारले क्रमिक रूपमा लागु गर्दै लगेको छ ।
यति महत्त्वपूर्ण मानिएको यो कागजात सरकारले सहजै डाउनलोड गरी राख्न सकिने व्यवस्था गरेको छ । जुन साइबर सुरक्षा र नागरिकको डेटा गोपनीयताको सवालमा निकै गम्भीर लापर्बाहीको विषय हो ।
साइबर सुरक्षा विश्लेषक भन्छन्ः सरकार चुकेकै हो, कम्तीमा मल्टिफ्याक्टर अथेन्टिकेसन राख्नुपर्थ्यो !
ई-एनआईडी डाउनलोड गर्ने हालको प्रणालीमा रहेका प्राविधिक कमजोरीका कारण नागरिकका संवेदनशील व्यक्तिगत विवरण जोखिममा परेको भन्दै साइबर सुरक्षा क्षेत्रका विज्ञहरूले चिन्ता व्यक्त गरेका छन् । आफूलाई ‘नरसिंहा’का रूपमा चिनाउने साइबर सुरक्षा अनुसन्धानकर्ताका अनुसार ई-एनआइडी डाउनलोड गर्ने हालको प्रक्रिया निकै फितलो छ । सामान्य रूपमा जन्म मिति, नाम र नागरिकता जारी भएको मिति प्रविष्ट गरेकै भरमा सजिलै राष्ट्रिय परिचयपत्र डाउनलोड गर्न सकिने यो सुविधामा कमजोरी रहेको उनी बताउँछन् ।
यस प्रणालीमा विद्यमान प्राविधिक त्रुटिबारे प्रकाश पार्दै उनले भने, “सिस्टममा विवरण पठाउँदा ‘गेट रिक्वेस्ट’ (GET Request) को प्रयोग गरिएको छ । गेट रिक्वेस्ट पठाउँदा संवेदनशील विवरण यूआरएलमै देखिने हुँदा यो सुरक्षाका दृष्टिकोणले अनुपयुक्त मानिन्छ । यसको सट्टा ‘पोस्ट रिक्वेस्ट’को प्रयोग गरिनुपर्थ्यो ।”
यसका साथै ‘वेब आर्काइभ यूआरएल’मा रहने हिस्ट्रीका माध्यमबाट समेत प्रयोगकर्ताका विवरण बाहिरिएको फेला परेको उनले जानकारी दिए । यसको सुरक्षित विकल्पका रूपमा राष्ट्रिय परिचयपत्र बनाउँदा दर्ता गरिएको मोबाइल नम्बर तथा ईमेलमा ओटीपी पठाएर मात्र डाउनलोड गर्न पाउने गरी मल्टिफ्याक्ट अथेन्टिकेसन सिस्टम लागु गर्नुपर्ने उनको सुझाव छ ।
यसैगरी नाम नखुलाउने सर्तमा अर्का साइबर सुरक्षा अनुसन्धानकर्ताले पनि हालको प्रणालीमा सुरक्षा विधिलाई उपेक्षा गरिएको बताए । उनले भने, “सार्वजनिक रूपमा वा सामान्य खोजतलास गरी पत्ता लगाउन सकिने विवरणका आधारमा मात्रै यति संवेदनशील कागजात डाउनलोड गर्न दिनु भनेको निकै असुरक्षाको स्थिति पैदा गर्ने कार्य हो ।”
विगतमा पनि यस्ता सुरक्षा कमजोरी पहिचान गरी सम्बन्धित निकायमा रिपोर्ट गरिए तापनि समयमै प्रणालीको मर्मत र सुधार हुन नसक्दा यो समस्या देखिएको उनको भनाइ छ । नागरिकता जारी भएको मितिलाई मात्र मुख्य सुरक्षाको आधार मान्न नसकिने भन्दै उनले प्रमाणीकरणका लागि थप बलियो माध्यम अपनाउनुपर्नेमा जोड दिए ।
यता, ई-एनआइडी डाउनलोड गर्ने यो प्रमाणीकरण प्रणाली फितलो भएको र यसले गम्भीर सुरक्षा जोखिम निम्त्याउने डिजिटल राइट्स नेपालका संस्थापक अध्यक्ष एवम् अधिवक्ता सन्तोष सिग्देल बताउँछन् । मोबाइलमा ओटीपी पठाउने, ईमेलमार्फत पुष्टि गर्ने वा अतिरिक्त माध्यममार्फत मल्टी फ्याक्टर अथेन्टिकेसनको व्यवस्था नहुँदा व्यक्तिगत विवरणको दुरुपयोग हुनसक्ने उनको भनाइ छ ।
सिग्देलले भने, “सरकारले राष्ट्रिय परिचयपत्रको डिजिटल कपी डाउनलोड गर्नका लागि मल्टी फ्याक्टर अथेन्टिकेसनको व्यवस्था गर्नुपर्ने थियो । अहिले एउटा फ्याक्टरबाट मात्र अथेन्टिकेट गर्ने प्रणाली भयो । मल्टी फ्याक्टर अथेन्टिकेसन सुनिश्चित नगरी जुन डेटा एनआईडी प्रणालीभित्र हुन्छ, त्यही डेटाको आधारमा मात्र अथेन्टिकेट गर्दा भविष्यमा समस्या आउन सक्छ ।”
नागरिकले जानेर वा नजानेर आफ्नो नागरिकताको विवरण अरू कसैलाई दिएको अवस्थामा त्यसैको आधारमा अब एनआईडीको पनि दुरुपयोग हुनसक्ने जोखिम रहेको सिग्देल बताउँछन् । उनका अनुसार ईएनआईडी डाउनलोडमा मल्टी फ्याक्टर अथेन्टिकेसन नगरिँदा नागरिकलाई दुई वटा कुरामा मुख्य असर पर्छः पहिलो, यसले नागरिकको गोपनीयताको अधिकारमा आघात पुर्याउन सक्छ । दोस्रो, तथ्याङ्क संरक्षण गर्नुपर्ने सरकारको उत्तरदायित्वमा पनि असर गर्छ । पर्याप्त सुरक्षा व्यवस्था बिना ईएनआईडी डाउनलोड गर्न मिल्ने व्यवस्था गर्नु नागरिकको गोपनीयतामाथि थप जोखिम निम्त्याउने कदम भएको उनको विश्लेषण छ ।
यसैगरी यसखाले कमजोरीले पहिचान चोरी (आइडेन्टिटी थेफ्ट) को ठुलो जोखिम बढाउन सक्ने भएकाले यस विषयमा सरकार र आम नागरिक दुवै सचेत हुनुपर्ने साइबर सुरक्षा कम्पनी ‘बगभी’का संस्थापक एवम् साइबर सुरक्षा अनुसन्धानकर्ता नरेश लाम्गादे बताउँछन् । पछिल्लो समय सरकारी डिजिटल प्रणालीहरूको सुरक्षा व्यवस्थाबारे लगातार प्रश्न उठिरहेको सन्दर्भ जोड्दै लाम्गादेले भने, “केही समयअघि सवारी चालक अनुमतिपत्र (लाइसेन्स) सम्बन्धी विवरण सार्वजनिक भएको घटनाले पनि सरकारी प्रणालीको सुरक्षा पक्षप्रति चिन्ता बढाएको छ । यसले पनि नागरिकमा हुनसक्ने साइबर आक्रमणको जोखिम निम्त्याएको छ ।”
नागरिकको व्यक्तिगत डेटा सुरक्षित राख्ने विषयमा सरकार अझ बढी गम्भीर र संवेदनशील बन्नुपर्नेमा उनले जोड दिए । सरकारले १०० दिने कार्यसूची जारी गरे लगत्तै साइबर सुरक्षा अनुसन्धानकर्ता विजय लिम्बुले टेकपानामा यस सम्बन्धी एउटा लेख लेखेका थिए । जसमा उनले हरेक सरकारी सेवा प्राप्त गर्नका लागि राष्ट्रिय परिचयपत्रलाई एकमात्र सर्वमान्य आधार मानिनु सिङ्गो देशकै लागि जोखिमपूर्ण विन्दु भएको र त्यसमा केही गडबडी भए सम्पूर्ण प्रणाली नै ध्वस्त हुन सक्ने खतरा औँल्याएका थिए ।
“यदि प्रणालीमा एउटा मात्र गल्ती भयो वा डेटा चोरी भयो भने देशको पुरा सिस्टम नै ठप्प हुन सक्छ । त्यसैले राष्ट्रिय परिचयपत्र जोखिम मात्र नभई टिकिङ क्लक (जुनसुकै बेला निम्तिन सक्ने सङ्कट) पनि हो,” उनले लेखेका थिए । तर साइबर सुरक्षा क्षेत्रबाट सचेत गराउँदा गराउँदै सरकारले भने त्यसलाई पूर्णतः बेवास्ता गरेको छ ।
डिस्क्लेमरः सरकारी सेवामा देखिएको लापर्बाही र यसको गम्भीरता तत्काल बोध गराउने उद्देश्यले मात्र इन्टरनेटमा सहजै भेटिएका विवरणको आधारमा टेकपाना टिमले सावधानीपूर्वक देशको प्रधानमन्त्री, गृहमन्त्री र सत्ताधारी पार्टीका सभापतिको राष्ट्रिय परिचयपत्र डाउनलोड गरेको हो । यस क्रममा राष्ट्रिय परिचयपत्रको सिस्टममा कुनै प्रकारको ह्याकिङको प्रयास समेत गरिएको छैन । प्रकाशित स्क्रिनशटबाट व्यक्तिगत गोपनीयता कायम राख्नुपर्ने विवरणहरू ब्लर गरिएको छ भने लोकल सिस्टम तथा सर्भरबाट तीनै जनाका डाउनलोडेड पीडीएफ फाइलहरू डिलिट गरिएको छ । हाम्रा आम पाठकहरूलाई यो तरिका अपनाएर अन्य कसैको राष्ट्रिय परिचयपत्र डाउनलोड गर्ने प्रयास नगर्न अनुरोध समेत गर्दछौं ।
पछिल्लो अध्यावधिक: असार ७, २०८३ २०:५
