काठमाडौं। लाखौं नेपालीको बायोमेट्रिकसहितको संवेदनशील तथ्यांक रहेको राहदानी प्रणालीमा ‘मालवेयर’ छिर्दा अघिल्लो बुधबारदेखि सोमबारसम्म सेवा नै पूर्ण ठप्प भयो ।

नयाँ ठेक्का गर्ने कि चालु ठेक्का भेरिएसन गर्ने भन्नेबारे स्वार्थ समूहबीच कलह चर्किएका बेला भएको शंकास्पद साइबर हमलाले नेपालका महत्वपूर्ण सरकारी प्रणालीहरुको सुरक्षा पक्ष कति कमजोर छ भन्ने उदांगो भएको छ ।

फ्रान्सको आईडीईएमआईएले सम्हालेको विभागको प्रणालीमा भएको यो आक्रमण र त्यसको प्रभाव अझै निस्तेज भइसकेको छैन, अहिले पनि विभागले जिल्लास्थित प्रशासन कार्यालयहरु र विदेशस्थित नियोगबाट राहदानी सेवा पुनः सुरु गर्न सकेको छैन ।

कहिलेदेखि यो समस्या समाधान हुन्छ भन्ने निश्चित छैन भने सो आक्रमणका कारण तथ्यांकहरुमाथि क्षति पुगे/नपुगेकोबारे विभागले केही बताएको छैन ।

सरकारी प्रणालीमाथि भएको यो आक्रमण विरलै भएको घटना भने हैन । एक सातादेखि शिक्षा मन्त्रालय अन्तरगतको पाठ्यक्रम विकास केन्द्रको समकक्षताको प्रमाणपत्र दिने अनलाइन प्रणाली बन्द छ । ६ दिनसम्म वेबसाइट चलेको थिएन । अहिले बल्ल वेबाइसट चलाइए पनि अनलाइन प्रणालीले काम गरिरहेको छैन । यो प्रणाली पनि ह्याकरको सिकार भएको देखिन्छ ।

पटक–पटक साइबर आक्रमण भए पनि सुदूरपश्चिम प्रदेशको भूमि व्यवस्था, कृषि तथा सहकारी मन्त्रालय, उद्योग, पर्यटन, आन्तरिक मामिला तथा कानुन मन्त्रालय, सामाजिक विकास मन्त्रालय र वन तथा वातावरण मन्त्रालयको वेबसाइट नै चलेका छैनन् । यी मन्त्रालयको वेबसाइट नचलेपछि यीसँग जोडिएका प्रणालीहरु पनि अवरुद्ध छन् ।

अहिले पनि कयौं स्थानीय तह र सरकारी निकायका वेबसाइटहरु ह्याकरको निशाना बनेका छन्, त्यसैले उनहिरुको वेबसाइट नखुल्ने मात्रै हैन, वेबसाइटमा जोडिएका कतिपय अनलाइन सेवाहरु प्रभावित छन् ।

गत साउनमा राष्ट्रिय किताबखाना (शिक्षक) को प्रणालीमाथि भएको हमलादेखि गत वर्षहरुमा सरकारको केन्द्रीय सर्भरमाथि भएका पटक–पटकका साइबर आक्रमणहरुमा सरकारले विभिन्न निकायको महत्वपूर्ण तथ्यांकहरु गुमाएको थियो ।

अहिले पनि नेपाली नागरिकको औंठाछापसहित १८ थरिका अति वैयक्तिक विवरण राखिएको संवेदनशील राष्ट्रिय परिचयपत्र व्यवस्थापन सूचना प्रणाली पनि पटक–पटक साइबर आक्रमणको कारण देखाएर बन्द हुने गरेको छ ।

अहिले राष्ट्रिय परिचयपत्र तथा पञ्जीकरण विभागसँग अहिले पनि यो सिस्टमको ‘मेन सोर्स कोड’ (मुख्य स्रोत संकेत) छैन । प्रणालीको निर्माण, सूचीकरण, निर्देशन (कमान्ड), डिजाइन र लेआउटको कार्यक्रम विश्लेषण (प्रोग्राम एनालिसिस) रुपरेखालाई ‘सोर्स कोड’ भनिन्छ । यो कोड नपाएपछि प्रणाली सञ्चालन र मर्मतका लागि आफूसँग बलियो प्राविधिक टिम समेत नभएको विभाग ६ वर्षदेखि ठेकेदार कम्पनी आईडीईएमआईएमै निर्भर छ ।

राहदानी र पञ्जीकरण विभागको यो प्रणाली उदाहरण मात्रै हो, सरकारका थुप्रै प्रणालीहरु अहिले पनि सफ्टवेयर निर्माण र आपूर्ति गर्ने ठेकेदार र परामर्शदाता (भेन्डर) कम्पनीको नियन्त्रणमा छन् । उनीहरुले आफूअनुकूल निर्णय नहुँदा प्रणालीको सुरक्षामा गम्भीर भएर काम नगर्नेदेखि नियोजित रुपमा प्रणाली बन्द गरिदिनेसम्मका हर्कत गर्ने गरेका छन् । यस्तो समस्याबाट कति निकाय पीडित छन् भन्ने यकिन छैन ।

काठमाडौंस्थित राहदानी विभागमा सेवा लिन पुगेका सेवाग्राहीहरू
सरकारी सफ्टवेयर र सूचना प्रणालीहरुको तथ्यांक राख्ने र त्यसलाई व्यवस्थापन र नियमनको व्यवस्था गर्ने जिम्मा सूचना प्रविधि विभागलाई छ । तर, अहिलेसम्म सरकारी निकायहरुसँग कति सफ्टवेयरहरु प्रयोगमा छन् र त्यसको सञ्चालन, व्यवस्थापन कसरी भइरहेको छ भन्नेबारे विभागमा एकीकृत तथ्यांक छैन ।

अहिलेसम्म प्रणाली निर्माण र खरिद गर्नुभन्दा पहिले अनुमति लिनुपर्ने वा प्रयोग भएका प्रणालीको जानकारी विभागमा दिनुपर्ने व्यवस्था नै छैन ।

प्रणालीहरुलाई आफ्नै नियन्त्रणमा राख्न सरकारी सफ्टवेयर र सूचना प्रणालीको सोर्स कोड आफूसँगै राख्न सरकार उदासीन छ भने प्रणालीका तथ्यांकहरुको सुरक्षा अवस्था जाँच गर्न चासो नदिंदा सरकारी प्रणालीहरु उच्च जोखिममा छन् ।

धेरै सरकारी सफ्टवेयरका भेन्डरहरु सोर्स कोड नै नदिई हिँडेको गुनासो विभागमा आउने गरेको छ । त्यसो हुँदा सरकारका सूचना र तथ्यांकको सुरक्षामै समस्या आइरहेको छ ।

सरकारी सफ्टवेयरको निर्माण, सुरक्षण, नियन्त्रण, सञ्चालन, व्यवस्थापन र मर्मतसम्भारमा यस्ता अनेकन् कमजोरीहरु हुने गरेका छन् । प्रणाली खरिदको सम्झौता गर्दा नै सरकारलाई सोर्सकोड प्राप्त हुने प्रत्याभूति नगर्ने सरकारी प्रवृत्ति छ ।

प्रणालीको निर्माण वा विकासअघि सम्झौताकै बेला सफ्टवेयर र त्यस प्रणालीमा रहने सूचना तथा विवरण सुरक्षित रहने शर्त नराख्ने गर्दा समस्या बढ्दै गएको छ । यसले गर्दा खरिद गरिएको प्रणाली कार्यालयको नियन्त्रणमा नरहने र लिन खोज्दा बौद्धिक सम्पत्ति दाबी गर्दै थप रकम माग गर्ने अवस्था विद्यमान छ ।

सूचना प्रविधि विभागका अनुसार जथाभावी ढंगले प्रणाली विकास गर्ने, अरुको लाइसेन्स लिएर चलाउने र भेन्डरमार्फत नै यसको व्यवस्थापकीय काम गर्ने गर्दा सरकारसँग रहेका तथ्यांकहरु नै सुरक्षा जोखिममा छन् । फरक–फरक सरकारी प्रणालीहरुलाई एकआपसमा आवद्ध गर्नेतर्फ पनि विचार नगरी प्रणाली विकास गर्ने र चलाउने प्रवृत्ति कायम रहेको विभागका अधिकारीहरु बताउँछन् ।

अधिकांश सरकारी कार्यालयमा विशेषज्ञ कर्मचारी नभएकाले धेरै सरकारी निकायले महत्वपूर्ण तथ्यांक रहने प्रणालीहरुको जिम्मा भेन्डर कम्पनीलाई दिएर छाडेका छन् । प्रणाली खरिद गरेपछि निरन्तर सञ्चालन गर्ने, अद्यावधिक गर्ने र समस्या पर्दा तुरुन्तै समाधान गर्ने पक्षमा भेन्डरमै भर परिरहने प्रवृत्तिले गर्दा धेरै प्रणालीको सोर्सकोड सरकारी निकायको हातमा नआउने समस्या बढ्दो छ ।

धेरै सरकारी सफ्टवेयरका भेन्डरहरु सोर्स कोड नै नदिई हिँडेको गुनासो विभागमा आउने गरेको छ । त्यसो हुँदा सरकारका सूचना र तथ्यांकको सुरक्षामै समस्या आइरहेको छ ।
सरकारी निकायका डिजिटल डेटालाई सुरक्षित राख्न, प्रणालीमा रहेका जोखिम पहिचान गर्न, जोखिमको वर्गीकरण गरी ह्याक हुनबाट रोक्न र सम्भावित सुरक्षा जोखिम तथा खतरालाई न्यूनीकरण गर्न ‘सेक्युरिटी अडिट’ गर्नैपर्छ ।

प्रणाली सञ्चालन गर्ने कार्यालयसँग त्यो अडिट रिपोर्टको सिफारिस कार्यान्वयन गर्नसक्ने र प्रढााली आफ्नो नियन्त्रणमा राख्ने प्रणाली र जनशक्ति विकास गर्न जरुरी मानिन्छ । तर, सरकारी निकायबाट यस्तो प्रयत्न भएको नै छैन ।

अहिले सूचना प्रविधि विभागले सरकारी निकायहरुलाई ‘सूचना प्रविधि प्रणाली सुरक्षा परीक्षण सेवा’ दिन्छ । सामान्य साइबर सुरक्षाका प्रोटोकल पनि पूरा नगरेको वेबसाइट तथा प्रणालीहरुका लागि यो परीक्षण लाभदायक हुन्छ । तर, विभागले गत आर्थिक वर्ष २०८०/८१मा ६४ वटा निकायका ९० वटा प्रणालीको मात्रै परीक्षण गर्न सक्यो ।

‘यो परीक्षणको लागि प्रयोग गरिने टुल्सको लाइसेन्सको सीमा छ, हामीले चाहेर पनि धेरै प्रणालीको परीक्षण गर्न हामी पनि असमर्थ छौं,’ विभागका महानिर्देशक रमेश शर्मा पौडेलले भने,‘अहिले विभागमा धेरै सरकारी निकायले परीक्षणका लागि आवेदन दिनुभएको छ, तर हामीले हर्न पाएका छैनौं ।’

महानिर्देशक पौडेल अनुसार तथ्यांक सुरक्षाका लागि विभागले दिने परीक्षणको सुविधा मात्रै पर्याप्त हैन, सम्वेदनशील तथ्यांक राखिएका प्रणालीको सुरक्षा पक्ष मजबुत बनाउन सम्बन्धित सकारी निकायहरु आफैं सचेत भएर वृहत किसिमको साइबर सुरक्षा अडिट गराउनुपर्छ ।

साइबर सुरक्षाकर्मी नरेश लामगादे संवेदनशील र महत्वपूर्ण तथ्यांकहरु भएका सरकारी प्रणालीहरु ह्याक हुनु ज्यादै संवेदनशील विषय भएको बताउँछन् ।

यसकै कारण विभिन्न देशहरुले साइबर सुरक्षाका लागि कडा कानुनहरु बनाइरहँदा नेपाल बल्ल यो विषयमा प्रवेश गरेको उनको भनाइ छ । सरकारले साइबर सुरक्षा नीति ल्याएर हालसालै साइबर सुरक्षा केन्द्र खोलेको छ । तर, साइबर तथा तथ्यांक सुरक्षाबारे अहिलेसम्म नेपालले कुनै विशेष ऐन जारी गरेको छैन ।

साइबर सुरक्षा प्रभावकारी बनाउन नियामक निकायहरुको भूमिका महत्वपूर्ण हुने भन्दै उनले सरकारी प्रणालीहरुको पनि अनिवार्य साइबर सेक्युरिटी अडिट गर्नुपर्ने व्यवस्था गर्न आवश्यक रहेको औंल्याए ।

‘यो गर्दा प्रणालीमाथिको जोखिम कम हुन्छ,’ साइबर सुरक्षाका जानकार लामगादेले भने,‘सेवा प्रवाहमा समस्या आउँदैन अनि नागरिकदेखि सकरारका महत्वपूर्ण तथ्यांकहरु सुरक्षित रहन्छन् ।’

सुरक्षालाई कत्ति पनि ध्यान नदिई वेबसाइट र प्रणालीहरु बनाउने गर्दा कमजोरी पत्ता लगाएर ह्याक हुने समस्या बढ्दो छ । प्रणाली कति सुरक्षित छ भनेर जाँच्नु पर्नेमा ध्यान नै नदिने प्रवृत्तिले बढी समस्या ल्याइरहेको उनको भनाइ छ ।

लामगादेका अनुसार अधिकांश सरकारी वेबसाइट तथा एप्लिकेसनहरु पनि डेभलपरले बनाउने र हस्तान्तरण गर्ने र साइबर सेक्युरिटी जाँच गर्ने अभ्यास देखिँदैन । प्रणाली निर्माण÷विकास एउटाले र सुरक्षाको काम अर्कोले गर्दा प्रभावकारी हुने भएपनि सरकारी निकाय प्रणाली विकासकर्ताको नै बढी भर पर्ने गरेको छ ।

‘अहिले पनि सफ्टवेयर बनाउने काम प्राथमिकतामा छ, सुरक्षित बनाउनेतर्फ कम छ । कतिपय संस्थाले सुरक्षित छ/छैन भनेर रिपोर्ट माग्दा सफ्टवेयर कम्पनीहरुले अटोमेसन स्क्यानर चलाएको रिपोर्ट ल्याएर बुझाएकोसम्म पाएको छु,’ उनी भन्छन् ।

अहिले नेपालभित्रै साइबर सेक्युरिटी कम्पनीहरु खुलिरहेका छन् । यस्तो तेस्रो पक्षबाट पनि सरकारी निकायले सफ्टवेयर सुरक्षा जाँच गराउन सक्छन् । तर, महत्वपूर्ण भएपनि यस्ता कामलाई सरकारी निकायले प्राथमितामा नराख्ने समास्या छ ।

सूचना प्रविधि विभागमा महानिर्देशक पौडेल भने गत जेठमा खुलेको राष्ट्रिय साइबर सुरक्षा केन्द्रले नै सरकारी प्रणालीहरुको सुरक्षाका लागि काम गर्ने बताउँछन् । त्यसका लागि केन्द्रलाई स्रोतसाधन सम्पन्न बनाएर सरकारी प्रणालीहरुलाई साइबर सुरक्षामा अब्बल बनाउनुपर्ने उनको मत छ ।

‘हाम्रो साइबर स्पेसलाई सुरक्षित बनाउन राष्ट्रिय साइबर सुरक्षा केन्द्र खुलिसकेको छ,’ उनले भने,‘अब हाम्रो आवश्यकताहरुलाई पहिचान गर्दै त्यसअनुसारको नीति, नियम कानुन र व्यवस्थाहरु गर्दै सरकारी प्रणालीलाई सहज, सुरक्षित र सेवाग्राहीमैत्री बनाउनुपर्छ ।’

तर, साइबर सुरक्षा केन्द्र भने आवश्यक कम्प्युटर, उपकरण, कार्यालय भवन समेत नभएर अलपत्र भएर बसेको छ । यसले गर्दा सरकारी प्रणालीहरु ह्याकरको चौतर्फी निसानामा छन् भने यसका विरुद्ध सरकारको प्रतिरक्षा भने निकै फितलो बन्न पुगेको छ ।