विसं २०७९ माघ १४ र १५ गते शनिबार र आइतबारका दिन नेपाल सरकारका चार सयभन्दा बढी सरकारी वेबसाइट एकाएक बन्द भयो । केन्द्रीय डाटा सेन्टरमा डिडस साइबर आक्रमण हँुदा अत्यधिक ट्राफिक देखिइ कुनै पनि आइएसपिका साइटहरुबाट नेपाल सरकारका वेबसाइट खुल्न सकेन । त्यसको २३ दिनपछि अर्थात् २०७९ फागुन ८ गतेका दिन त्रिभुवन अन्तर्राष्ट्रिय विमानस्थलको अध्यागमन विभागको वेबसाइट डाउन भयो । यसले गर्दा कैयौँ अन्तर्राष्ट्रिय उडान रोकिए भने यात्रुहरु अलपत्र पर्न गए ।
त्यस्तै २०८० पुस १५ र १६ गतेका दिन पुनः नेपाल सरकारको वेबसाइटहरु अवरुद्ध भयो । यो श्रृङखला चलिरहेको नै छ । साइबर आक्रमणकारीहरुले सरकारी साइटहरु, वेब एप्लिकेसन र सर्भरमा आक्रमण गर्ने र आफ्ना उद्देश्य प्राप्त गर्न खोज्नु नेपालमा मात्र होइन, विश्वका विकसित देशहरुमा पनि यस्ता घटना भइरहन्छन् । तर ती देशहरुमा यस्ता घटनालाई राज्यले प्राथमिकतामा लिएर किन, कसले र कुन उद्देश्यले साइबर हमला भइरहेको छ भनी निरन्तर अध्ययन गरी सुरक्षाको नयाँ र सशक्त उपायहरु प्रयोगमा ल्याइन्छ । हाम्रो देशमा त्यो किसिमको प्राथमिकतामा पर्न सकेको देखिदैन ।
सरकारी निकायलाई लक्षित गरी भएका घटनाहरु बढ्दो क्रममा छन् । विभिन्न मितिमा प्रधानमन्त्री कार्यालयका कर्मचारीहरुको इमेल ह्याक भएका छन् । शिक्षा मन्त्रालयको वैदेशिक अध्ययन अनुमति शाखाको सर्भर डाउन भएको छ ।
त्यस्तै सङ्घीय संसद्को वेबसाइट केही घण्टा अवरुद्ध भएका खबर सेलाउन पाएको छैन । हालै २०८० माघ १५ गतेका दिन त्रिभुवन विश्वविद्यालयको परीक्षा नियन्त्रण कार्यालय (पनिका) ले आफ्ना विद्यार्थीहरुलाई अनलाइनमार्फत कार्यालयमा नआई शैक्षिक प्रमाणपत्र, ट्रान्सक्रिप्ट, प्रोभिजन, नम्बर पुनरावेदन र अन्य सुविधाहरु दिन सकिने गरी विश्वविद्यालयका उपकूलपति र पनिकाका प्रमुखले वेबसाइट उद्घाटन गरेका थिए ।
त्यसको साँझ नै कक्षा १२ का एक छात्रले सामाजिक सञ्जालबाट आफूले ह्याक गरेको सूचना सार्वजनिक गरे । माथिका यी केही प्रतिनिधि घटनाहरु हन् । यी बाहेक कैयांै साइबर अपराधका घटनाहरु बाहिर आएका छैनन् । समयमै सुरक्षाका उपायहरुको खोजी नगर्ने हो भने नेपाल सरकारको डाटा सेन्टर र वेबसाइटहरुमा भइरहेका साइबर हमला फेरि पनि नहोलान् भन्न सकिन्न ।
सरकार डिजिटल नेपाल, डिजिटल फ्रेमवर्क र विद्युतीय सुशासनको अभियानमा अगाडि बढिरहेको अवस्थामा भइरहेका यस्ता साइबर अपराधका घटनाहरुले जनमानसमा विचलन र अविश्वास सिर्जना गर्न सक्ने भएकाले गम्भीर रुपमा लिनु पर्ने देखिन्छ । सरकारका पदाधिकारीहरु र जिम्मेवार निकायले साइबर अपराधका विषयमा मिडिया र सार्वजनिक स्थानहरुमा आफ्ना विचार व्यक्त गर्दा थप सजगता र गम्भीर्यताका साथ प्रस्तुत हुन आवश्यक छ ।
अन्यथा डिजिटल नेपालको अभियानप्रति नागरिकमा पैदा हुने शंकाका कारण थप चुनौतीपूर्ण हुन सक्छ । सरकारका निकाय, सरकारी अभियान, सर्वसाधारणको चाहना, विश्व परिस्थिति, लागत, सहजता, प्रतिस्पर्धात्मक क्षमताको विकास, समयको बचत र विविध सुविधाको कारण राज्य र नागरिक प्रविधिको प्रयोगका लागि इच्छुक हुनु स्वभाविक हो । तर बढ्दो प्रविधिको प्रयोग र न्यून साक्षरताको कारण साइबर अपराधको घटनाको ग्राफ बढ्दो छ ।
नेपाल प्रहरिको साइबर ब्यूरोको तथ्यांकअनुसार गत आर्थिक वर्ष २०७९/८० मा छ हजारभन्दा बढी साइबर अपराधका घटनामा संलग्नहरुलाई कारबाही गरिएको थियो । यस आर्थिक वर्ष २०८०/८१ को माघ २३ गतेसम्मको तथ्यांक हेर्दा साइबर अपराधमा कानुनी उपचारको लागि साइबर ब्यूरो भोटाहिटी र देशभरका प्रहरी कार्यालयहरुमा गरी १३ हजार तीन सय ३० भन्दा बढी उजुरी आइसकेको अवस्था छ । नेपाल प्रहरीको पुस मसान्तसम्मको प्रगति प्रतिवेदन हेर्दा कात्तिक १ गतेदेखि पुस २९ गते सम्ममा सामाजिक सञ्जालसम्बन्धी उजुरीउपर चार हजार नौ सय ४० कारबाही गरिएको छ । यस आर्थिक वर्षको सात महिनाको अवधिमा साइबर अपराधमा मुद्दा चलेकामध्ये हालसम्म ५१ जना व्यक्तिहरुलाई साइबर ब्युरोबाट पक्राउ गरिएको छ ।
नेपालमा टेलिघनत्व ११९.३६ प्रतिशत र ब्रोडब्याण्ड डाटा सेवाको कूल घनत्व १३५.५० प्रतिशत रहेको दूरसञ्चार प्राधिकरणको आव २०७९/८० को प्रतिवेदनमा प्रकाशन भएको छ । यसले नागरिकको प्रविधिसँगको पहुँच सहज बन्दै गएको देखाउँछ । तर साक्षरतामा भने कुनै सुधार हुन सकेको छैन । यसरी प्रविधिको उपलब्धतासँगै बढेको अपराधको ग्राफले व्यक्तिलाई मात्र नभई सरकार र सरकारी निकायहरुमा पनि साइबर अपराधीका निसाना लक्षित हुने निश्चित छ । साइबर अपराधीहरुले सरकारी वेबसाइट र डाटा सेन्टरहरुमा आक्रमण गर्नुका विभिन्न कारणहरु रहेका छन् । साथै, यस्ता वेबसाइट र डाटा सेन्टरहरु डाउन हुनुमा विविध परिस्थितिहरु समेत जोडिएका छन् ।
व्यक्तिव्यक्ति बीच फरकफरक कारणले सरकारी वेबसाइटहरुमा आक्रमण गर्ने गरेको देखिन्छ । पहिलो व्यक्ति जो सिकारु छ जो साइबर आक्रमणको क्षेत्रमा नयाँ छन् उनीहरुले आफ्नो रहर र सीप परीक्षण तथा लोकप्रिय भइन्छ भन्ने भ्रमका कारण सरकारी साइटहरुमा आक्रमण गर्ने गरेको देखिन्छ । दोस्रो व्यक्ति जो व्यवसायी छ, जो साइबर आक्रमणको क्षेत्रमा अपराधिक मानसिकता बोकेर हिड्छ, उसले एकै पटक धेरै डेटा पाउन, सेवा प्रभावित पारेर दुःख दिन तथा सर्भर नै डाउन गरी मोटो रकम असुल्ने नियतले सरकारी साइटमा हमला गर्ने गरेको देखिन्छ ।
त्यस्तै अर्को खालको व्यक्ति जो कुनै राज्यले नै संरक्षण दिएर परिचालन गरिएको हुन्छ । यिनीहरुले आफूलाई संरक्षण दिएको राज्यको लागि काम गर्ने गर्दछन् । यस्ता अपराधीहरुले आफूलाई सञ्चालन गर्ने सरकारको हित र सुविधाको लागि अन्य राज्य वा सरकारका गोप्य रणनीति, सूचना, तथ्यांक र कागजपत्रहरु चोरी गर्न र थप दबाब बढाउन साइबर आक्रमण गर्ने गर्दछन् ।
सरकारी वेबसाइट निर्माण गर्दा सबै किसिमको सेक्युरिटी टेस्टिङ्ग नगरी लाइभ गर्ने गर्नु, डु अल इन्टरनेट कनेक्टिभिटी नहुनु, दक्ष जनशक्तीको अभाव हुनु, कम्जोर सेक्यूरिटी आर्किटेक्चर रहनु, विद्युतीय डिभाइसहरु समयमै अध्यावधिक नगर्नु र म्यानुफ्याक्चर कम्पनीसँग डिजिटल उपकरणहरु र सफ्टवेयरको लाइसेन्स नवीकरण नियमित हुन नसक्नुले पनि यस्ता अपराधहरु पटकपटक हुने गरेका छन् ।
नयाँ प्रविधि र प्रयोगसँगै साइबर अपराधका कारणहरु पनि फेरिदै र बदलिदै गएको देखिन्छ । कतै सब सिस्टम धेरै भएकाले, कहिले डेटा माइग्रेसन गर्दा ध्यान नपुग्नाले, कैंयौ सरकारी वेबसाइटमा इनसेक्यूअर डिजाइन रहनाले र पनिकाजस्ता संस्थाहरुको प्रायः साइटहरुमा बग रिपोर्ट गर्ने जस्ता सामान्य फिचर नभएकाले सरकारी साइटहरुमा साइबर आक्रमणका घटनाहरु बढेको देखिन्छ । यस्ता आक्रमणहरु किन, कसले र कहाँबाट भएका हुन् पहिचान गरी आवश्यक सुरक्षा अपनाउन टड्कारो आवश्यक देखिन्छ ।
साइबर सुरक्षाका उपायहरु
नीति, नियम र कानुनको व्यवस्था: राज्यले साइबर अपराधलाई नियन्त्रण गर्नको लागि समय सान्दर्भिक कानुनको निर्माण र कार्यान्वयन गनुपर्ने देखिन्छ । नेपालमा साइबर सुरक्षा ऐन र कानुन नभएकाले विद्युतीय कारोबार ऐन २०६३ अनुसार कारबाही गरिदै आएको छ । अपराधीलाई न्यून सजाय भएकाले तत्काल साइबर सुरक्षा कानुन बनाउनु आवश्यक छ । हालै साइबर सुरक्षा नीति २०८० जारी गरिएको छ ।
दक्ष जनशक्तिको व्यवस्था: नेपाल सरकारले साइबर अपराध अनुसन्धान, नयाँ प्रविधिको खोजी र साइबर सुरक्षामा सहभागी जनशक्तिलाई थप तालीम र अभ्यासको व्यवस्था गर्ने, नयाँ पुस्तालाई साइबर सुरक्षासम्बन्धी अध्ययन गर्न देशभित्रै वातावरण निर्माण गर्ने र आवश्यकताअनुसार सरकारी निकायहरुमा थप साइबरविज्ञ जनशक्ति उपलब्ध गराउने कार्य नेपाल सरकारले गर्नु पर्ने देखिन्छ ।
पर्याप्त बजेटको व्यवस्था: बजेट अभावकै कारण कुनै पनि साइबर अपराधका घटना नघटुन् भनेर नेपाल सरकारले साइबर सुरक्षाको लागि पर्याप्त बजेटको प्रबन्ध गर्नु पर्दछ । निर्माण कम्पनीबाट लाइसेन्स नवीकरण, विद्युतीय डिभाइस र सर्भरहरुको अपडेट समयमा गर्न नसकिएका कारण साइबर अपराधका घटना भएको देखिन आएकाले समयमै बजेट उपलब्ध गरी समस्याको समाधान खोज्नु पर्ने देखिन्छ ।
डाटा केन्द्र सञ्चालन मापदण्ड: नेपालको राष्ट्रिय एकिकृत डाटा केन्द्र र हेटौंडामा अवस्थित डिजास्टर रिकभरी केन्द्रलाई अन्तर्राष्ट्रिय मापदण्डअनुसार सञ्चालन गर्नुपर्ने देखिन्छ । डाटा सेन्टरको सुरक्षाको लागि फायरवाल, इन्क्रिप्सन, एक्सेस कन्ट्रोल र इन्स्ट्रक्सन डिटेक्सन सिस्टम (आइडिएस) आदिको प्रयोग गर्न सकिन्छ ।
भौतिक सुरक्षा: डाटा सेन्टर र यसमा भएका विभिन्न भौतिक सामग्री तथा उपकरणको भौतिक सुरक्षामा समेत चनाखो हुनु आवश्यक छ । विशेषतः यस्ता उपकरण महँगा हुने भएकाले चोरी हुने, नष्ट गर्न सक्ने भएकाले भर्चुअल र भौतिक सुरक्षा दुबैमा ध्यान दिन आवश्यक छ । साइबर विज्ञहरुमार्फत सेवा सञ्चालनसँगै २४ सै घण्टा सातै दिन अनुगमन/निरीक्षण/निगरानीको व्यवस्था गर्नु पर्ने हुन्छ ।
जनचेतना अभिवृद्धि: नेपाली नागरिक र सरकारी निकायमा कार्यरत कर्मचारीहरुमा साइबर सुरक्षासम्बन्धी चेतनाको अभावको कारण समेत कतिपय घटनाहरु भएका छन् । यसको नियन्त्रण र रोकथामको लागि सर्वसाधारण नागरिकदेखि कर्मचारीहरुलाई साइबर सुरक्षा सचेतना अभिवृद्धि गर्न आवश्यक छ ।
संरचनागत सुधार: साइबर सुरक्षा सुनिश्चितताको लागि नेपाल सरकारले सञ्चालनमा ल्याउने सबैखाले वेबसाइटहरुको सुरक्षा परीक्षणपछि मात्रै लाइभ गर्ने गर्नु पर्दछ । बिना परीक्षण हतारमा लाइभ गर्ने गर्नु हुँदैन ।
साथै प्रयोगमा रहेका तथा प्रयोगमा ल्याउन लागिएका प्रविधि, सर्भर र साइटहरुको सरकारी कार्यालयको वेबसाइट निर्माण तथा व्यवस्थापनसम्बन्धी निर्देशिका, २०७८ ले सरकारी कार्यालयले सूचना प्रविधि विभागबाट वेबसाइटको सुरक्षा र विश्वसनीयताको सम्बन्धमा वर्षको कम्तीमा एकपटक सुरक्षा परीक्षण गर्नुपर्ने भनेको छ । तर प्रभावकारी र नियमितरुपमा हुन सकेको छैन । तसर्थ नियमित साइबर सुरक्षा अडिट गर्न आवश्यक छ । यस्ता उपकरण र सफ्टवयरको प्राविधिक अडिट समेत गर्नका लागि आवश्यक संरचना तयार गर्नुपर्ने देखिन्छ ।
ब्याकअप : डाटा केन्द्रहरुमा भएका सम्पूर्ण उपकरण तथा सामग्रीहरुमा कुनै आक्रमण भएमा त्यसलाई तत्काल हटाएर नयाँ सामग्री जडान गर्नको लागि ब्याकअप हुन आवश्यक छ । यसरी साइबर आक्रमणमा परेका उपकरणहरु संक्रमित हुने उच्च सम्भावना भएकाले त्यसैलाई प्रयोग गरिएमा साइबर अपराध हुने सम्भावना अत्याधिक रहन्छ ।
यसको लागि ब्याकअपको व्यवस्था गरिनु पर्दछ । यसको साथै नयाँ सर्भर खडा गरी सिङ्गो सर्भरको नै ब्याकअपको व्यवस्था गरिनुपर्छ । यसले गर्दा साइबर आक्रमण भई एउटा सर्भर डाउन भएर वेबसाइटहरु नचल्दा तत्काल अर्को सञ्चालनमा ल्याई सरकारी साइटहरु र डेटा सुरक्षित गर्न सकिन्छ ।
अन्त्यमा, बढ्दो डिजिटललाइजेशनसँगै बढेको साइबर अपराधका घटना सिङ्गो विश्व जगतको टाउको दुखाई बनेको छ । यस्ता अपराधीहरु आफ्नो पहिचान लुकाएर एउटा देशको सिमानाभित्र बसेर अर्कै देशमा अपराध कर्म सहजै गर्न सक्छन् ।
यस्ता व्यक्ति पहिचान जटिल हुने हुँदा कारबाहीको दायरामा ल्याउन निकै चुनौतीपूर्ण बनेको छ । यसैले नेपाल जस्तो विकासोन्मुख मुलुकले साइबर सुरक्षा कबजका रुपमा माथिका विविध पाटाहरुमा आफूलाई अब्बलरुपमा अगाडि लैजान आवश्यक छ । तसर्थ, नेपाल सरकार र नेपाली नागरिकले साइबर अपराधबाट बच्न बलियो पूर्वतयारी गर्नुको विकल्प छैन ।
(लेखक साइबर सुरक्षासम्बन्धी विषयका जानकार हुन्)