चर्चा कमाउन नागरिकको डेटा जोखिममा राख्ने प्रवृत्ति: सुरक्षा अनुसन्धान कि गैरजिम्मेवारी ?

पछिल्लो समय नेपाल सरकारका ‍वेबसाइट (.gov.np) मा फेला परेका सुरक्षा कमजोरीका बारेमा सामाजिक सञ्जालमा विभिन्न पोस्ट सार्वजनिक हुने गरेका छन् । सुरक्षा कमजोरी पत्ता लगाउनु र त्यसको जानकारी दिनु सकारात्मक पक्ष भए पनि कतिपय पोस्टमा नागरिकका संवेदनशील व्यक्तिगत विवरण स्पष्ट देखिने गरी स्क्रिनशट शेयर गरिएको पाइएको छ । यो निकै चिन्ताजनक विषय हो । सुरक्षा अनुसन्धान महत्त्वपूर्ण काम भए पनि यससँगै जिम्मेवारपूर्ण तरिकाले कमजोरी उजागर गर्ने प्रक्रिया अर्थात् ‘रेस्पोन्सिबल डिस्क्लोजर’ उत्तिकै आवश्यक र संवेदनशील हुन्छ ।

यस सन्दर्भमा केही महत्त्वपूर्ण प्रश्न उठ्नु स्वाभाविक हो । खासगरी यी सरकारी सिस्टमको परीक्षण गर्न कसले अनुमति दिएको थियो ? यदि उद्देश्य सिस्टमको सेक्युरिटी सुधारमा सहयोग गर्नु नै थियो भने सुरुमै सम्बन्धित आधिकारिक माध्यमबाट यसको रिपोर्ट किन गरिएन ? परीक्षण जारी राख्न कुनै आधिकारिक स्वीकृति नभएको अवस्थामा पनि अनुसन्धानलाई किन अगाडि बढाइयो ? अनि नागरिकका व्यक्तिगत विवरणलाई सार्वजनिक रूपमा किन उजागर गरियो भन्ने प्रश्न पनि उब्जिएका छन् । यस्ता कामबाट हामी साँच्चिकै सचेतना फैलाउँदैछौँ वा अनजानमै अन्य व्यक्तिलाई अनधिकृत डेटा पहुँच पाएर शेयर गर्न प्रोत्साहन गरिरहेका छौँ भन्ने कुरा सोच्नुपर्ने देखिन्छ ।

सुरक्षा कमजोरी आफैँले जति नोक्सान पुर्‍याउँछ त्यो भन्दा बढी संवेदनशील जानकारीलाई सार्वजनिक रूपमा उजागर गर्दा हुन देखिन्छ । यस प्रकारका गतिविधिले नैतिक प्रश्न उठाउने मात्र नभई नेपालको विद्यमान कानुन र नियम अन्तर्गत कानुनी कारबाहीको दायरामा समेत ल्याउन सक्छन् । सुरक्षा अनुसन्धानको मूल उद्देश्य प्रयोगकर्तालाई सुरक्षा प्रदान गर्नु हुनुपर्छ । त्यसमा उनीहरूलाई थप जोखिममा पार्ने किसिमको हुनु हुँदैन ।

यो बहसले नेपालको डिजिटल पूर्वाधारको क्षेत्रमा रहेको एउटा बृहत्तर समस्यालाई पनि सतहमा ल्याएको छ । नेपालले द्रुत गतिमा ‘डिजिटल नेपाल’ को परिकल्पनालाई अगाडि बढाउँदै अनलाइन सार्वजनिक सेवाको विस्तार गरिरहेको छ । डिजिटल रूपान्तरण अपरिहार्य भए पनि सुरक्षालाई प्राविधिक विकासपछिको सामान्य विषय मात्र नमानी प्राथमिक र आवश्यकताका रूपमा हेरिनुपर्छ । पर्याप्त सुरक्षा समीक्षा, नियमित परीक्षण र निरन्तर निगरानी बिना सेवा प्रवाहमा मात्र केन्द्रित हुँदा भविष्यमा ठुला खालका डेटा चोरी जस्ता परिणाम भोग्नुपर्ने हुन सक्छ ।

सामाजिक सञ्जालमा डेटा सार्वजनिक गरेर चर्चा कमाउनुभन्दा सरकारी प्रणालीमा बलियो सुरक्षा अभ्यास लागू गर्न पैरवी गर्नु बढी प्रभावकारी हुन्छ । यसका लागि नेपालमा साइबर सुरक्षा सम्बन्धी बलियो कानुनी र नियामक आधार तयार पार्न साइबर सुरक्षा विधेयक पारित गरी लागू गर्नु आवश्यक छ । सरकारी निकायमा कमजोरी पत्ता लगाउने कार्यक्रम (भल्नरेबिलिटी डिस्क्लोजर प्रोग्राम - भीडीपी) स्थापना गर्ने, डेभलपर तथा सुरक्षा टोली निर्माण गर्ने र अनुसन्धानकर्ताका लागि रिपोर्टिङ गर्ने प्लेटफर्म वा माध्यम तयार गर्नु आवश्यक देखिन्छ । 

यसका साथै जिम्मेवारपूर्ण रूपमा कमजोरी औंल्याउने कामलाई प्रोत्साहन दिने, जोखिम र प्रभावका आधारमा सुरक्षा सुधारलाई प्राथमिकता दिने तथा सार्वजनिक क्षेत्रमा साइबर सुरक्षा सचेतना, तालिम र क्षमता अभिवृद्धिमा लगानी बढाउनु पर्छ ।

सुरक्षा अनुसन्धानकर्तालाई जिम्मेवार रूपमा समस्या रिपोर्ट गर्न प्रोत्साहित गर्न र सरकारी निकायलाई सुरक्षा सुधारमा सहयोग पुर्‍याउन विभिन्न रचनात्मक उपाय अपनाउन सकिन्छ । यस अन्तर्गत कदर पत्र, सार्वजनिक पहिचान, हल अफ फेममा सूचीकृत गर्ने वा सम्भव भएसम्म साना पुरस्कार प्रदान गर्ने जस्ता सरल प्रोत्साहनका तरिका उपयोगी हुन सक्छन् ।

सुरक्षित डिजिटल नेपालको निर्माणका लागि सरकारी संस्था, डेभलपर, सुरक्षा अनुसन्धानकर्ता र नागरिकबिचको आपसी सहकार्य अपरिहार्य छ । हामीले ‘रेस्पोन्सिबल डिस्क्लोजर’ (जिम्मेवारपूर्ण तरिकाले खुलासा गर्ने) लाई प्रोत्साहन दिँदै, प्रयोगकर्ताको गोपनीयताको रक्षा गर्न र हाम्रा सार्वजनिक डिजिटल पूर्वाधारलाई बलियो बनाउन सँगै मिलेर काम गर्नुपर्छ ।

(लेखक विशाल श्रेष्ठ साइबर सुरक्षा अनुसन्धानकर्ता हुन् ।)

पछिल्लो अध्यावधिक: असार १३, २०८३ १२:३२

टिप्पणीहरू