गत हप्ता नेपालमा साइवर सुरक्षासम्बन्धित दुई घटना भए। पहिलो घटनामा नेपाल प्रहरीको आन्तरिक सञ्चार प्रणाली ह्याक भएर संगठनभित्रको आन्तरिक सञ्चारसम्बन्धी ठूलो परिमाणको डेटा डार्क वेबमा उपलब्ध रहेको समाचार बाहिरियो। ह्याक भएका सामग्री रहेका वेबसाइटहरू नेपालबाट खुल्न नसकिने बनाए पनि ति सामग्रीअझै पनि इन्टरनेटमा उपलब्ध नै छन्।
दोस्रो घटनामा गत शनिवार डट जीओभी डट एनपी डोमेनमा रहेका नेपालको सरकारी निकायका वेबसाइटहरूमा डिस्ट्रिब्युटेड डिनायल अफ सर्भिस (डिडक्स) आक्रमण भई नेपाल सरकारका सम्पूर्ण वेबसाइट करिब पाँच घण्टा अवरुद्ध भए। करिब १५०० जति सरकारी वेबबाइटहरू बन्द भएको यो घटना सार्वजनिक विदाका दिन भएकाले अन्य क्षेत्रमा त्यति प्रभाव नपरे पनि अन्तर्राष्ट्रिय विमानस्थल, अध्यागमन कार्यालयमा सरकारी वेबसाइटहरू नचल्दा देशबाट बाहिरिने तथा देश भित्रिने सेवाग्राहीहरूले ठूलो समस्या भोग्नुपरेको थियो।
नेपालमा सरकारी वेबसाइटहरूविरुद्धको आक्रमणका यि घटना नयाँ भने होइनन्। विगतमा पनि यस किसिमका घटनाहरू भएका भए पनि त्यसको प्रभाव र जोखिम कम थियो। तर पछिल्लो चरणमा सरकारी सेवाहरूमा इन्टरनेटमा आधारित प्रणालीहरूको प्रयोग बढ्दै गैरहेको, सार्वजनिक सेवा प्रवाहका क्रममा वैयक्तिक तथा सार्वजनिक तथ्यांकहरू इन्टरनेटमा आधारित प्रणालीहरूमा संकलन, प्रशोधन, व्यवस्थापन गरिने क्रम बढेको, कतिपय सेवा प्रवाह प्रणाली नै पूर्ण रूपमा इन्टरनेट प्रणालीमा आधारित रहेको अवस्थामा यस प्रकारका आक्रमणले सूचना प्रणालीमै क्षति पुर्याउने, वैयक्तिक तथा सार्वजनिक तथ्यांकहरूको क्षति तथा दुरुपयोग र त्यसबाट सम्भावित आर्थिक, सामाजिक, राजनीतिक क्षतिको जोखिममा समेत व्यापक वृद्धि भएको छ।
साइबर आक्रमणमा यि घटनाहरूको विश्लेषण गर्दा देखिएको सबैभन्दा जोखिमपूर्ण पक्ष भने घटनामा संलग्न निकाय र यसका पदाधिकारीहरूको उदासिनता र घटनाको सामान्यिकरण हो। राष्ट्रिय सूरक्षा नीति २०७३ ले ‘देशका संवेदनशील निकायमा हुनसक्ने साइवर हमलालाई चुनौती र खतरा’ का रुपमा पहिचान गरेपनि, सबै सरकारी साइटहरूमा योजनाबद्ध रुपमा आक्रमण गरी पाँच घण्टासम्म ठप्प बनाउँदा पनि जिम्मेवार निकायले पछिल्लो घटनालाई ‘सर्भर डाउन’का रुपमा मात्र चित्रण गर्न खोजेको पाइयो भने प्रायजसो मुलधारे मिडियाले समेत यसलाई सामान्य सर्भर डाउन नै भनी समाचार बनाएको पाइयो। यसरी यस्ता गम्भिर घटनाहरूलाई पनि सामान्यिकरण गर्ने प्रवृत्तिले साइबर सूरक्षा अझै पनि हाम्रो प्राथमिकता बन्न नसकेको स्पष्ट छ।
यी घटनाहरूलाई हामीले नीतिगत तहबाट पनि हेर्न जरुरी छ। हाल प्रचलनमा रहेको साइबर कानून भनिने लगभग १५ बर्ष पुरानो विद्युतिय कारोबार ऐनमा समयसापेक्ष संशोधन तथा परिमार्जन हुन सकेको छैन। उक्त ऐनमा यसबिचमा भएको एक मात्र संशोधन अनलाईन लैंगिक हिंसासँग सम्बन्धित विषयमा थियो। गएको संसदमा प्रस्तुत गरिएको सूचना प्रविधिसम्बन्धी विधेयक विवादास्पद प्रावधानहरूका कारण अगाडि बढ्न सकेन भने दुरसञ्चार प्राधिकरणले तयार गरेको साइवर अपराधसम्बन्धी कानूनको मस्यौदा पनि सार्वजनिक बहसका लागि बाहिर ल्याइएको छैन। दुई वर्ष अगाडि मस्यौदाका रुपमा सरकारले अगाडि बढाएको साइबर सुरक्षासम्बन्धी राष्ट्रिय नीति पनि हाल सरकारको प्राथमिकतामा रहेको देखिँदैन। हालसम्म पनि नेपालले सूचना प्रविधि सम्बन्धी कुनचाहिँ स्रोत र साधनहरू अत्यन्त महत्वपूर्ण पूर्वाधार (क्रिटिकल इन्फ्रास्ट्रक्चर) हुन् भनी परिभाषित सम्म गरेको छैन।
साइवर सूरक्षा सुनिश्चित गर्नका लागि गरिनुपर्ने आधारभुत कार्यहरू पनि सरकार र सरकारी निकायको प्राथमिकतामा पर्न नसक्नु अर्को दुःखद स्थिति हो। उच्चपदस्थ कर्मचारीहरूबाट समेत सरकारी र औपचारिक काम कारवाहीका लागि व्यवसायिक कम्पनीले निशुल्क रुपमा उपलब्ध गराएका जिमेल, याहु जस्ता इमेल सेवाको प्रयोग, सरकारी निकायमा कम्प्रमाइज, क्रयाक गरिएका वा पाइरेटेड अपरेटिङ्ग सिस्टम वा सफ्टवेयरहरूको प्रयोग, नियमित सुरक्षा परिक्षण (सेक्युरिटी अडिट) को अभाव, फायरवाल वा एन्टिवाइरस सफ्टवेयरहरू नियमीत रुपमा अपडेट वा अपग्रेड नगरिनु आदि पनि साइबर सुरक्षाको जोखिमका कारण हुन्। नेपाल सरकारको डेटा सेन्टरको रुपमा रहेको, सरकारी साइट र इमेलहरूको होस्टिङ्ग गर्ने नेसनल इन्फर्मेसन टेक्नोलोजी सेन्टरको वेबसाइटमा यो हप्ता भएको साइवर आक्रमणको समयसम्म पनि ट्रयान्सपोर्ट लेयर सेक्युरिटी (सेक्युर सकेट लेयर) नरहेको पाइएकाले सरकारी निकायहरू साइवर सुरक्षा प्रति कतिसम्म उदासिन रहेका छन् भन्ने देखाउँछ।
साइवर सुरक्षालाई प्राथमिकिकरण गर्नका लागि यस सम्बन्धमा भएका सरकारी अध्ययन, अनुसन्धानबाट आएका सुझावहरूलाई समेत सरकार र सरकारी निकायले नजरअन्दाज गरेको देखिएको छ। उदाहरणका लागि महालेखा परिक्षकको कार्यालयले वि.सं. २०७८ मा सूचना प्रविधि लेखा परिक्षण प्रतिवेदन तयार गर्दै राष्ट्रिय सूचना प्रविधि केन्द्रमा तथ्यांकको सुरक्षा सम्बन्धमा बहुपक्षीय विश्लेषण र समाधानको उपयुक्त संयन्त्र नहुँदा डाटा सेन्टरका तथ्यांकको पाइरेसी, ह्याकिङ, भाइरस, फिसिङ, मालवेयर जस्ता साइबर थ्रेटको जोखिम रहने र ‘केन्द्रमा रहेको तथ्याङ्क सुरक्षा प्रणाली डाटा सेन्टरको अन्तर्राष्ट्रिय मापदण्डबमोजिम सुरक्षित र भरपर्दो छ भनी आश्वस्त हुने आधार नरहेको’ भनी औंल्याएको थियो। महालेखाले दिएका सुझावहरूलाई हालसम्म पनि सरकारले कार्यान्वयनमा ल्याएको छैन।
गृह मन्त्रालयका तत्कालि सहसचिव डा. भिष्मकुमार भूसालको संयोजकत्वमा साइवर सूरक्षाका चुनौतिहरू एवं साइवर अपराध नियन्त्रणलाई प्रभावकारी बनाउन एक अध्ययन समिति बनाइएको थियो जसले २०७८ फागुनमा अध्ययन प्रतिवेदन सरकारलाई बुझायो। उक्त प्रतिवेदनले पनि नेपालमा साइबर सूरक्षाको स्थिति कमजोर रहेको औंल्याउदै ‘साइवर हमलाका विषयमा गम्भिर नहुने हो भने एकैपटक ठूलो जोखिमको सामना गर्नुपर्ने हुनसक्छ’ भन्नेमा जोड दिएको थियो। तथापि प्रतिवेदन प्राप्त गरेको एक वर्षसम्म पनि सरकारले यस विषयमा कुनै पनि प्रतिकार्य वा तयारी नगरेको हालको अभ्यासले देखाउँछ।
त्यसैगरी २०७८ पुषमा गृह मन्त्रालयका तत्कालि सहसचिव डा. भिष्मकुमार भूसालको संयोजकत्वमा साइवर सूरक्षाका चुनौतिहरू एवं साइवर अपराध नियन्त्रणलाई प्रभावकारी बनाउन एक अध्ययन समिति बनाइएको थियो जसले २०७८ फागुनमा अध्ययन प्रतिवेदन सरकारलाई बुझायो। उक्त प्रतिवेदनले पनि नेपालमा साइबर सूरक्षाको स्थिति कमजोर रहेको औंल्याउदै ‘साइवर हमलाका विषयमा गम्भिर नहुने हो भने एकैपटक ठूलो जोखिमको सामना गर्नुपर्ने हुनसक्छ’ भन्नेमा जोड दिएको थियो। तथापि प्रतिवेदन प्राप्त गरेको एक वर्षसम्म पनि सरकारले यस विषयमा कुनै पनि प्रतिकार्य वा तयारी नगरेको हालको अभ्यासले देखाउँछ। सेवा अवरुद्ध भएका अवस्थामा कसरी सेवा सञ्चालन गरिनेछ भन्ने न्युनतम विजनेस कन्टीन्युटी प्लानसम्म सरकारले तयार गरेको रहेनछ भने सरकारले गठन गरेको भनिएको तथाकथित Computer Emergency Response Team (CERT) पनि यस घटनामा कतै देखिएन।
नेपाल सम्भावित साइवर आक्रमणको जोखिममा छ भन्ने कुरा विभिन्न अध्ययनहरूले देखाइसकेको र कमजोर सूचना प्रविधि पूर्वाधार, दक्ष जनशक्तिको अभाव, सूरक्षित साइवर अभ्यासको कमिको अवस्थामा उक्त जोखिमहरू झनै गम्भिर रहको अवस्थामा हामीले साइवर सूरक्षालाई राष्ट्रिय सुरक्षाकै एक महत्वपूर्ण पक्षका रुपमा लिई सीघ्रताका साथ अत्यावश्यक कदमहरू चाल्न आवश्यक छ। त्यसअन्तरगत नीतिगत तथा कानूनी सुधार (राष्ट्रिय साइबर सूरक्षा नीति, सूचना प्रविधि कानून तथा साइवर अपराध कानूनको तत्काल अवलम्बन), सूचना प्रणालीहरूको नियमित सूरक्षा परिक्षण, अपडेट तथा अपग्रेड, साइबर आक्रमण वा हमलाका बखतमा तत्काल आवश्यक कदम चाल्नका लागि प्रतिकार्य समुह (रेस्पोन्स टिम)को व्यवस्था, कर्मचारीहरूको प्राविधिक क्षमता अभिवृद्धि, सरकारी निकाय तथा पदाधिकारीहरूमा सुरक्षित साइवर अभ्यासको बाध्यकारी व्यवस्था गरिनु पर्छ। यसका साथै साइबर अपराध वा साइबर आक्रमण प्रायःजसो अवस्थामा वर्हिदेशीय क्षेत्राधिकार (देश बाहिरका स्थानबाट) हुने भएकाले राष्ट्रिय सामथ्र्य वा क्षमताबाट मात्र यसको सम्बोधन हुन सक्दैन, यसका लागि अन्तरराष्ट्रिय सहकार्य र सहयोग पनि आवश्यक हुन्छ। त्यसका लागि सरकारले साइबर अपराधसम्बन्धी हालसम्मको एकमात्र प्रभावकारी अन्तर्राष्ट्रिय सन्धिका रुपमा रहेको बुडापेस्ट कन्भेन्सनको सदस्य राष्ट्र बन्ने तर्फ पनि ध्यान दिन जरुरी छ।
श्रोत: आइएनएस-स्वतन्त्र समाचार