साइबर सुरक्षामा गम्भीर लापरवाही

काठमाडौं : त्रिभुवन अन्तर्राष्ट्रिय विमानस्थलमा सोमबार १ बजे अनलाइन सिस्टम नचल्दा डेढ घण्टा अन्तर्राष्ट्रिय उडान प्रभावित भए। यस्तै समस्या गत माघ १४ गते पनि झेल्नुपरेको थियो। पाँच घण्टाभन्दा बढी उडान–अवतरण रोकिएको थियो। त्यस दिन विमानस्थलको मात्रै होइन, अधिकांश सरकारी वेबसाइट नै बन्द भएका थिए। पाँच घण्टापछि ‘सुरक्षित’ रूपमै खुले। तर, कसले र किन त्यस्तो गर्‍यो भन्ने अझै प्रस्ट भएको छैन। 

यस्तै, २०७५ साल वैशाखमा गृह मन्त्रालय, लोकसेवा आयोगसहित ६० भन्दा बढी सरकारी वेबसाइट ह्याक भएका थिए। नेपाली वेबसाइट ह्याक गरेको भन्दै ट्विटर प्रयोगकर्ताले नै त्यसबारे सार्वजनिक गरेका थिए। यसरी पटक–पटक देखिने समस्याले हाम्रो साइबर सुरक्षा कमजोर रहेको देखाउँछ। सञ्चार तथा सूचना प्रविधिमन्त्री रेखा शर्माले हालै एक कार्यक्रममा भनेकी थिइन्, ‘चाबी सरकारसँग छैन।’

तर, साइबर सुरक्षालाई मजबुत बनाउन सरकार गम्भीर देखिएको छैन। न मजबुत कानुनी संरचना छ न न नियमन गर्ने कुनै जिम्मेवार निकाय नै। सम्बन्धित निकायमा डाटा ब्याकअप राख्ने व्यवस्था पनि प्रभावकारी हुन सकिरहेको छैन। वेबसाइटमा अनधिकृत प्रवेश गरी नियन्त्रणमा लिने प्रवृत्ति बढ्न थालेको देखिएको छ। हाम्रा डाटा चोरी नभए पनि यसले जोखिममा रहेको देखाउँछ।

विज्ञ भन्छन्, ‘विदेशी भेन्डरसँग पूर्णभर पर्दा डाटाहरू असुरक्षित हुने, चोरी हुन सक्ने र विदेशका कुनै निकायलाई जानकारी हुने खतरा पनि छ। हाम्रा डाटा कसैले दुरुपयोग नगरोस् भनेर सचेत हुन जरुरी छ।’

साइबर सुरक्षामा सरकारी निकायले चासो नदिएको बताउँछन् सूचना प्रविधि विज्ञ सुरेश कर्ण। ‘समस्याका विषयमा धेरै बहस भए। तर, जिम्मेवार निकाय र व्यक्तिले काम गर्दैनन्’, कर्ण भन्छन्, ‘अरूलाई दोष लगाउनुभन्दा तालाचाबी सुरक्षित राख्न सक्नुपर्छ।’ उनका अनुसार सफ्टवेयर समयसापेक्ष छ कि छैन ? छैन भने अपडेट गरिहाल्नुपर्छ। भन्छन्, ‘हरेक मिनेटमा नयाँ सिस्टम आइरहेका हुन्छन्। चनाखो भएर अपडेट गर्नतर्फ लाग्नुपर्छ।’

बेला–बेला विदेशी भूमिबाट सरकारी वेबसाइटमा आक्रमण हुने गरेको छ। विदेशी ह्याकरले आक्रमण गर्दा तत्काल डाटा चोरी नभए पनि जोखिम भने उच्च रहेको घटनाक्रमले स्पष्ट पार्छ। विद्युतीय सुशासन आयोगका प्रमुख कार्यकारी दीपेश विष्ट आक्रमण ‘टेस्ट’ गर्न पनि हुने बताउँछन्। ‘बट गर्न परीक्षण ल्याबका लागि पनि अट्याक हुने गर्छ’, विष्ट भन्छन्, ‘सिस्टम डाउन गर्न खोजेर, डाटा चोरी गर्न पनि अट्याक गर्न सक्छन्। सरकारसँग, संगठनसँग असन्तुष्टि पोख्न पनि कसैले ह्याक गर्न सक्छन्।’ 

जानकारका अनुसार सरकारी निकायमा सर्भर, ब्याकअप र व्यवस्थापनको पनि समस्या हुन सक्छ। तर, उनीहरूले आफ्नो कमजोरी लुकाउन आक्रमण भन्न सक्ने विष्टको तर्क छ। राम्रो ताल्चा लगाउन सके जोखिमबाट बच्न सकिने उनी बताउँछन्। 

महँगो हुन्छ भनेर सुरक्षामा ध्यान नदिनु जोखिम निम्त्याउनु भएको कर्ण बताउँछन्। सरकारी निकायमा महँगो भन्दै साइबर सुरक्षा संवेदनशीलतामा खेलाची गरिरहेको उनको ठम्याइ छ। सफ्टवेयर र हार्डवेयर दुवैमा उत्तिकै ध्यान दिनुपर्ने भए पनि त्यसो नभएको विज्ञ बताउँछन्। त्यतिमात्र नभई सरकारी वेबसाइटका प्रयोगकर्ता ‘कनेक्ट’ हुने कम्प्युटरलाई पनि सुरक्षित बनाउनुपर्छ। कमजोर ठाउँबाट आक्रमणकारी छिर्ने भएकाले कहीँ पनि कमजोरी हुन नदिन प्रयोगकर्ता सजग हुनुपर्ने कर्णको भनाइ छ। ‘सर्भर जडान भएका कम्प्युटर प्रयोगकर्ताले जे पायो त्यही खोल्न हुन्न। हर समय सचेत हुनुपर्छ’, उनी भन्छन्, ‘जे पायो त्यही नखोल्ने गर्दा पनि सुरक्षित भइन्छ।’

उनका अनुसार जे पायो त्यही क्लिक हुँदा कोड रन हुन्छ। कम्प्युटरमा कन्ट्रोल हुन पुग्छ। भन्छन्, ‘महत्वपूर्ण सरकारी वेबसाइट नियमन नहुँदा पनि समस्या विकराल बन्दै गएको छ। साइबर सुरक्षामा चुनौती बढ्दै गएको छ।’ 

सूचना प्रविधि उच्चस्तरीय आयोगका पूर्वउपाध्यक्ष माधव भट्टराई साइबर सुरक्षाको सम्पूर्ण नीति पुनरावलोकन गर्नुपर्ने आवश्यकता देख्छन्। भन्छन्, ‘सरकारी वेबसाइट र डाटा सुरक्षित राख्न विशेष कदम चाल्नुपर्छ। जतिसुकै प्रयास गर्दा पनि सुरक्षा चुनौती हुन्छ। विशेष चनाखो हुनुपर्छ।’
विभिन्न मन्त्रालयले सूचना प्रविधिमा ध्यान केन्द्रित गरे पनि एकीकृत हुन नसक्दा समस्या देखिन थालेको छ। ‘राष्ट्रिय सुरक्षाको मापदण्ड हुनुपर्छ’, भट्टराई भन्छन्, ‘सरकारी निकायले अपनाएको विधिमा कडाइका साथ अनुगमन हुनुपर्छ। अनि मात्र सुरक्षित हुन सकिन्छ।’

अनुगमन संयन्त्र बनाउन आवश्यक भइसकेको विज्ञको मत छ। अहिलेको संरचनाले साइबर सुरक्षा दिन नसकिने उनीहरूको ठहर छ। संरचनागत जिम्मेवारी दिएर नियमन गर्न अपरिहार्य भइसकेको भट्टराई बताउँछन्। भन्छन्, ‘अहिले जस्तो छ, त्यस्तै छोड्दा अझ जोखिम बढ्छ। आईटी इक्विमपेन्ट प्रणाली तथा सुरक्षामा कुनै कसर बाँकी राख्न हुन्न।’ राष्ट्रिय सुरक्षा नीति बनाएर अझै गम्भीर ढंगले लाग्नुपर्ने सुझाव उनी दिन्छन्। भन्छन्, ‘सरकारी निकाय र निजी क्षेत्रबीच समन्वय गरी प्रभावकारी सेवा दिन आवश्यक छ।’ 

कम्प्युटर एसोसिएसन नेपाल महासंघ (क्यान महासंघ)का पूर्वअध्यक्ष विनोद ढकाल साइबर चुनौती विश्वव्यापी भएको बताउँछन्। ‘यहाँ पूर्वाधारमा कमी भएका कारण अझ चुनौती छ’, ढकाल भन्छन्। सूचना प्रविधि क्षेत्र र यसको सुरक्षाका लागि बजेट व्यवस्था गरिए पनि खर्च र प्रयोगमा सरकारी निकाय कमजोर रहेको उनको ठम्याइ छ।

कमिसनको चक्करमा लाग्दा सरकारी वेबसाइट सधैं कमजोर हुने गरेको ढकालको ठम्याइ छ। सूचना प्रविधिबिना नचल्ने अवस्था आइसके पनि सरकारी निकाय संवेदनशील नभएको उनी बताउँछन्। ‘आईटीमा लगानी बढ्दो क्रममा छ। तर, सरकारले सुरक्षा दिन सकिरहेको छैन’, ढकाल भन्छन्, ‘बैंकिङ क्षेत्रमा कडाइ छ। कहिलेकाहीँ एटीएम ह्याक सुनिए पनि नगन्य मात्रामा छ। तर, सरकारी साइटमा भने बारम्बार समस्या आइरहेको देखिन्छ।’ कर्णका अनुसार अनुगमन गर्ने निकाय छैन। समस्या नआउँदासम्म कसैलाई थाहा हुँदैन। भन्छन्, ‘वाच गर्ने, मनिटरिङ गर्ने, रेस्पोन्स गर्ने निकाय चाहिन्छ। यसो हुन सके जोखिमबाट बच्न सकिन्छ।’

राष्ट्रिय सूचना प्रविधि केन्द्रका सहायक निर्देशक रमेश पोखरेल गत माघ १४ गते सुरक्षा डिभाइसले रोक्न सकेका कारण ठूलो समस्या नआएको बताउँछन्। ‘ससाना अट्याक (आक्रमण) बेला–बेला आइरहेको हुन्छ’, पोखरेल भन्छन्, ‘त्यस दिन ठूलो अट्याक आयो। तर, हाम्रो डिभाइसले रोक्यो। हाई ट्राफिकलाई कम गरेर समाधान गर्‍यौं।’ 

यसमा डाटा लैजाने नियत हुन सक्ने उनको ठम्याइ छ। ‘वेबसाइट, एप्स बनाउँदा सेक्युरिटीमा जोड दिनुपर्छ। सेक्युरिटीसम्बन्धी विज्ञ स्वदेशमै उत्पादन गर्नुपर्छ’, पोखरेल भन्छन्, ‘हामीले पनि ज्ञान बढाए प्रतिस्पर्धा गर्न सकिन्छ। जति बेला पनि अट्याक हुन सक्ने भएकाले जोखिमबाट बच्न सक्नुपर्छ।’ 
उनका अनुसार नेपालमै पनि ह्याक गर्नेहरू छन्। ‘भर्खर पढ्दा ह्याक गर्ने साहस हुन्छ। सिक्न चाहन्छन्’, पोखरेल भन्छन्, ‘सेक्युरिटी, वेबसाइट, एप्लिकेसन ब्रेक गर्ने चाहना विद्यार्थीमा हुने भएकाले पनि अट्याक हुने गरेको छ।’

काठमाडौं विश्वविद्यालयका सहायक प्राध्यापक सञ्जय पुडासैनी सुरक्षा शतप्रतिशत गर्न नसकिए पनि सजिलोसँग पहुँच गर्न नसक्ने बनाउनुपर्ने बताउँछन्। ‘परम्परागत सुरक्षालाई मात्रै महत्व दिएर हुँदैन। समयसापेक्ष सुरक्षामा ध्यान दिनुपर्छ’, पुडासैनी भन्छन्, ‘लापरवाही, बेवास्ता गर्दा पनि धेरै जोखिम बढेको छ।’ 

डिजिटल नेपाल फ्रेमवर्क कार्यान्वयन नहुँदा पनि सुरक्षामा खतराका संकेत देखापरेका छन्। ‘कसरी सुरक्षा दिने उल्लेख भए पनि गम्भीर रूपमा कार्यान्वयन गरिएको छैन। साइबार सुरक्षासम्बन्धी राष्ट्रिय नीति नहुँदा पनि समस्या आइरहेको छ। कानुन ल्याउन लागेको पाँच वर्ष पूरा भयो, अझै आएको छैन’, पुडासैनी भन्छन्, ‘समसामयिक बनाउन दुई–दुई वर्षमा रिभाइभ गर्ने नीति पनि हुनुपर्छ।’ 

राष्ट्रिय सुरक्षा नीति २०७५ ले साइबर सुरक्षासम्बन्धी नीति तथा कानुन आवश्यक रहेको कुरा औंल्याएको थियो। आर्थिक वर्ष २०७६/७७ को बजेटमा राष्ट्रिय साइबर सुरक्षा केन्द्र स्थापनाको घोषणा गरिए पनि केन्द्र स्थापना र साइबर सुरक्षासम्बन्धी नीतिले अझै पूर्णता पाउन सकेको छैन। 
‘सरकारी वेबसाइट विदेशी सर्भरबाट प्रयोग गरिरहेका छौं। यसो गर्दा हाम्रा डाटा बाहिर जान्छन्’ पुडासैनी भन्छन्, ‘सरकार तथा कर्पोरेटले पनि समय–समयमा सेक्युरिटी एलोकेसन गर्नुपर्छ। क्रिटिकल सिस्टम पहिचान गरी मनिटरिङ गरौ। रिभ्यु र रिभाइज गरौं।’ 

कुनै पनि सरकारी संस्थान तथा कर्पोरेटको डाटा सुरक्षित नभएको उनी बताउँछन्। सरकारले ‘प्रोएक्टिभ’ कानुन बनाउन, कार्यान्वयन गर्न जोड दिनुपर्ने उनको भनाइ छ। ‘भारतले विद्यार्थीलाई सिस्टम हेर्न प्रतिस्पर्धा गराउँछ। यहाँ पनि डेटा सुरक्षित गर्न सचेतना बढिरहेको छ’, उनी भन्छन्। 

भेन्डरकै भर पर्दा समस्या 

कतिपय सफ्टवेयर भेन्डरमा निर्भर छन्। त्यसबारे सम्बन्धित कार्यालयका कर्मचारीलाई कुनै जानकारी हुँदैन। समस्या पर्दा भेन्डर तुरुन्तै उपलब्ध हुँदैन। जसकारण सर्वसाधारणले सास्ती पाइरहेका छन्। यहाँबाट जानकारी गराउन, उताबाट हेरेर यकिन गर्न नै दुई–तीन दिन लाग्ने गरेको पाइएको छ। 

‘सरकारी धेरै वेबसाइट पूर्णरूपमा भेन्डरमा निर्भर छन्। समस्या परे उनीहरू आउँदा ढिला हुन्छ। हाम्रा मान्छेलाई चलाउन आउँदैन’, कर्ण भन्छन्, ‘हाम्रा कर्मचारीलाई ज्ञान दिएनौं।’ भेन्डरमा बढी भर पर्दा पनि सिस्टम होल्ड हुने, आक्रमणमा पर्ने गरेको उनी बताउँछन्। 

छैन जनशक्ति

सरकारी संयन्त्रमा दक्ष जनशक्ति नहुँदा पनि साइबर सुरक्षाको जोखिम बढ्दो छ। केन्द्र र हेटौंडामा प्राविधिक र प्रशासनिक गरी ५३ जना मात्रै कर्मचारी छन्। सरकारले हालै विद्युतीय सुशासन आयोग गठन गरेको छ। आयोगका प्रमुख कार्यकारी विष्ट कर्मचारी नहुँदा काम गर्न समस्या परेको बताउँछन्। ‘आयोगमा पनि कर्मचारी नियुक्त गर्न ढिलाइ भइरहेको छ। यहाँ पर्याप्त जनशक्ति छैनन्’, उनी भन्छन्। 

डाटा सेन्टर नै कमजोर 
झन्डै १ हजार ५ सय वेबसाइटको डाटा सेन्टर सिंहदरबारभित्र छ। डिजास्टर ब्याकअप हेटौंडामा छ। सम्बन्धित निकायले ब्याकअप र डाटा सेन्टर नराख्दा बेला–बेला समस्या आउने गरेको छ। 

राष्ट्रिय सूचना प्रविधि केन्द्रका सहायक निर्देशक रमेश पोखरेल सातै प्रदेशमा डाटा सेन्टर राख्ने तयारी रहेको बताउँछन्। ‘नेपालभरिका साइट यहाँ राखेको डाटा सेन्टरले धान्दैन’, पोखरेल भन्छन्, ‘निजी क्षेत्रको अर्कै छ। डाटा सेन्टर एउटा मात्र होइन, धेरै चाहिन्छ।’ उनका अनुसार सरकारी अरू पनि डाटा सेन्टर चाहिन्छ। सरकारी वेबसाइट व्यवस्थित भएपछि मात्रै निजी क्षेत्रको पनि राख्ने उनको भनाइ छ। ‘अहिले दुइटा सेन्टर मात्रै छन्। हेटौंडामा ब्याकअप मात्रै हुन्छ। यो डाउन भएपछि त्यो चल्ने बनाएका छैनौं’, उनी भन्छन्। 

---

पछिल्लो घटनाबाट पाठ सिक्नुपर्ने पोखरेल बताउँछन्। ‘एयरपोर्टमा छुट्टै अप्टिकल फाइबर जोडेर इन्टरनेटबाटै चल्ने बनाइएको छ। हाम्रो डाउन भए पनि अब त्यहाँ रोकिँदैन’, उनी भन्छन्।  

डिजिटल नेपालमा डाटा सेन्टर बनाउने, एप्लिकेसन रिनरमेन्ट गर्ने काम सुरु भइसकेको उनको भनाइ छ। ‘यसो भए सबैलाई कभर गर्छ। एप्लिकेसन डाटा सेन्टरमा राखिन्छ। त्यसपछि सबै सेवा अनलाइनबाट हुन्छ’, उनी भन्छन्। 

निजी क्षेत्रले पनि छुट्टै डाटा सेन्टर राख्न थालेका छन्। डाटा सेन्टरले एसी, विद्युत्, सुरक्षा, फायरवाल दिन्छ। हेटौंडामा ब्याकअप हुन्छ। त्यसबाट मिररिङ हुन्छ। एन्टी भाइरसले काम नगर्दा सिस्टम डाउन हुने गरेको छ। 

डिजास्टर रिकभरी भनेको जहाँ डिजास्टर भयो त्यसपछि खुल्नुपर्ने भए पनि त्यसो हुन सकेको छैन। त्रिभुवन अन्तर्राष्ट्रिय विमानस्थलमा आईटी प्रयोग फितलो छ।  आफ्नै अफिसमा, डिजास्टरमा पनि व्यापअप नभएकाले समस्या आइरहने गरेको जानकार बताउँछन्। आफैं लग इनगर्ने, एक्सेस गर्न जिम्मा दिँदा म्यानिपुलेट हुने संभावना रहने कर्ण बताउँछन्। 

कसले गर्ने नियमन ? 

एकीकृत कानुन नहुँदा साइबर सुरक्षामा जटिलता थपिएको छ। डाटा सेन्टर, ब्याकअप राख्ने विषयमा सरकारी निकायबीच अन्योल छ। धेरैले आफ्नै ब्याकअप राखेका छैनन्। कानुन नभएका कारण पनि सरकारी निकायमा मनपरी छ। 

विद्युतीय सुशासन आयोगका प्रमुख कार्यकारी विष्ट एकीकृत ऐन, नियम बनाउन लागिएको बताउँछन्। भन्छन्, ‘कसैले राख्ने, नराख्ने इच्छामा होइन, नियम बन्नुपर्छ। अब छिट्टै विद्युतीय सुसाशन आयोगले बनाउँदै छ।’ 

सञ्चार तथा सूचना प्रविधि मन्त्रालयले साइबार सुरक्षाबारे स्पष्ट गाइडलाइन दिन सकेको छैन। मन्त्रालयका प्रवक्ता नेत्रप्रसाद सुवेदी साइबर सुरक्षामा सरकार सचेत रहेको बताउँछन् । ‘साइबर सुरक्षाका सवालमा कमजोरी पत्ता लगाइ सुधार गर्नका लागि मन्त्रालयले आईटी हेर्ने सहसचिवको संयोजकत्वमा अध्ययन समिति बनाएको छ’, सुवेदी भन्छन्, ‘मन्त्रालयले फिल्डमै गई प्राविधिक समस्या हेर्न, वाच गर्ने र पोलिसी बनाउने काममा काम भइरहेको छ। 

कतिपयले नेपालको साइट परीक्षण गर्न अट्याक गर्ने प्रयास भइरहेको उनको भनाइ छ। ‘बढी जोखिम भएका वेबसाइट सटआउट गरी बन्द गर्न थालेका छौं’, सुवेदी भन्छन्, ‘सिस्टम बन्द हुँदा जोखिम हुन्छ।’ 

के गर्दै छ आयोग ?

सरकारले गत भदौ १६ गते राजपत्रमा प्रकाशन गरी आयोग गठन गरेको छ। सार्वजनिक सेवा प्रवाह तथा सरकारी कामकारबाहीमा विद्युतीय प्रणालीको प्रयोगलाई व्यवस्थित भरपर्दो र सुरक्षित बनाउन एवं साइबर सुरक्षाका सम्बन्धमा आवश्यक नीति निर्माण तथा कार्यान्वयन विद्युतीय सुशासन कायम गर्न आयोग स्थापना भएको हो। आयोगले सरकारी निकायमा सञ्चालन हुने विद्युतीय प्रणालीको स्थापना, सञ्चालन तथा साइबर सुरक्षासम्बन्धी एकीकृत नीति तर्जुमा गरी सरकारलाई सुझाव दिनेछ। 

एकीकृत डाटा सेन्टरको स्थापना, सञ्चालन र व्यवस्थापनको मापदण्ड बनाइ लागू गराउने प्रमुख कार्यकारी विष्ट बताउँछन्। जनशक्ति व्यवस्थापन तथा डेटा सेयरिङमा पनि काम गर्ने तयारी गरेको विष्ट बताउँछन्। सफ्टवेयर निर्यात व्यवस्थित गर्ने, बहुर्राष्ट्रिय कम्पनीसँग समन्वय र सहकार्यमा सहजीकरण गर्ने जिम्मा पनि आयोगको भएको विष्ट बताउँछन्।