७ मंसिर २०८१, शुक्रबार
,
तपाईं के खोज्दै हुनुहुन्छ ?

वेबसाइटमा बढ्दो साइबर आक्रमण र सुरक्षाका उपायहरु



representative photo
अ+ अ-

काठमाडौँ । विसं २०७९ माघ १४ र १५ गते शनिबार र आइतबारका दिन नेपाल सरकारका चार सयभन्दा बढी सरकारी वेबसाइट एकाएक बन्द भयो । केन्द्रीय डाटा सेन्टरमा डिडस साइबर आक्रमण हँुदा अत्यधिक ट्राफिक देखिइ कुनै पनि आइएसपिका साइटहरुबाट नेपाल सरकारका वेबसाइट खुल्न सकेन । त्यसको २३ दिनपछि अर्थात् २०७९ फागुन ८ गतेका दिन त्रिभुवन अन्तर्राष्ट्रिय विमानस्थलको अध्यागमन विभागको वेबसाइट डाउन भयो । यसले गर्दा कैयौँ अन्तर्राष्ट्रिय उडान रोकिए भने यात्रुहरु अलपत्र पर्न गए ।

त्यस्तै २०८० पुस १५ र १६ गतेका दिन पुन: नेपाल सरकारको वेबसाइटहरु अवरुद्ध भयो । यो श्रृङखला चलिरहेको नै छ । साइबर आक्रमणकारीहरुले सरकारी साइटहरु, वेब एप्लिकेसन र सर्भरमा आक्रमण गर्ने र आफ्ना उद्देश्य प्राप्त गर्न खोज्नु नेपालमा मात्र होइन, विश्वका विकसित देशहरुमा पनि यस्ता घटना भइरहन्छन् । तर ती देशहरुमा यस्ता घटनालाई राज्यले प्राथमिकतामा लिएर किन, कसले र कुन उद्देश्यले साइबर हमला भइरहेको छ भनी निरन्तर अध्ययन गरी सुरक्षाको नयाँ र सशक्त उपायहरु प्रयोगमा ल्याइन्छ । हाम्रो देशमा त्यो किसिमको प्राथमिकतामा पर्न सकेको देखिदैन ।

सरकारी निकायलाई लक्षित गरी भएका घटनाहरु बढ्दो क्रममा छन् । विभिन्न मितिमा प्रधानमन्त्री कार्यालयका कर्मचारीहरुको इमेल ह्याक भएका छन् । शिक्षा मन्त्रालयको वैदेशिक अध्ययन अनुमति शाखाको सर्भर डाउन भएको छ । त्यस्तै सङ्घीय संसद्को वेबसाइट केही घण्टा अवरुद्ध भएका खबर सेलाउन पाएको छैन । हालै २०८० माघ १५ गतेका दिन त्रिभुवन विश्वविद्यालयको परीक्षा नियन्त्रण कार्यालय (पनिका) ले आफ्ना विद्यार्थीहरुलाई अनलाइनमार्फत कार्यालयमा नआई शैक्षिक प्रमाणपत्र, ट्रान्सक्रिप्ट, प्रोभिजन, नम्बर पुनरावेदन र अन्य सुविधाहरु दिन सकिने गरी विश्वविद्यालयका उपकूलपति र पनिकाका प्रमुखले वेबसाइट उद्घाटन गरेका थिए । त्यसको साँझ नै कक्षा १२ का एक छात्रले सामाजिक सञ्जालबाट आफूले ह्याक गरेको सूचना सार्वजनिक गरे । माथिका यी केही प्रतिनिधि घटनाहरु हन् । यी बाहेक कैयांै साइबर अपराधका घटनाहरु बाहिर आएका छैनन् । समयमै सुरक्षाका उपायहरुको खोजी नगर्ने हो भने नेपाल सरकारको डाटा सेन्टर र वेबसाइटहरुमा भइरहेका साइबर हमला फेरि पनि नहोलान् भन्न सकिन्न ।

सरकार डिजिटल नेपाल, डिजिटल फ्रेमवर्क र विद्युतीय सुशासनको अभियानमा अगाडि बढिरहेको अवस्थामा भइरहेका यस्ता साइबर अपराधका घटनाहरुले जनमानसमा विचलन र अविश्वास सिर्जना गर्न सक्ने भएकाले गम्भीर रुपमा लिनु पर्ने देखिन्छ । सरकारका पदाधिकारीहरु र जिम्मेवार निकायले साइबर अपराधका विषयमा मिडिया र सार्वजनिक स्थानहरुमा आफ्ना विचार व्यक्त गर्दा थप सजगता र गम्भीर्यताका साथ प्रस्तुत हुन आवश्यक छ । अन्यथा डिजिटल नेपालको अभियानप्रति नागरिकमा पैदा हुने शङ्काका कारण थप चुनौतीपूर्ण हुन सक्छ । सरकारका निकाय, सरकारी अभियान, सर्वसाधारणको चाहना, विश्व परिस्थिति, लागत, सहजता, प्रतिस्पर्धात्मक क्षमताको विकास, समयको बचत र विविध सुविधाको कारण राज्य र नागरिक प्रविधिको प्रयोगका लागि इच्छुक हुनु स्वभाविक हो । तर बढ्दो प्रविधिको प्रयोग र न्यून साक्षरताको कारण साइबर अपराधको घटनाको ग्राफ बढ्दो छ ।

नेपाल प्रहरिको साइबर ब्यूरोको तथ्याङ्कअनुसार गत आर्थिक वर्ष २०७९/८० मा छ हजारभन्दा बढी साइबर अपराधका घटनामा संलग्नहरुलाई कारबाही गरिएको थियो । यस आर्थिक वर्ष २०८०/८१ को माघ २३ गतेसम्मको तथ्याङ्क हेर्दा साइबर अपराधमा कानुनी उपचारको लागि साइबर ब्यूरो भोटाहिटी र देशभरका प्रहरी कार्यालयहरुमा गरी १३ हजार तीन सय ३० भन्दा बढी उजुरी आइसकेको अवस्था छ । नेपाल प्रहरीको पुस मसान्तसम्मको प्रगति प्रतिवेदन हेर्दा कात्तिक १ गतेदेखि पुस २९ गते सम्ममा सामाजिक सञ्जालसम्बन्धी उजुरीउपर चार हजार नौ सय ४० कारबाही गरिएको छ । यस आर्थिक वर्षको सात महिनाको अवधिमा साइबर अपराधमा मुद्दा चलेकामध्ये हालसम्म ५१ जना व्यक्तिहरुलाई साइबर ब्युरोबाट पक्राउ गरिएकोे छ ।

नेपालमा टेलिघनत्व ११९.३६ प्रतिशत र ब्रोडब्याण्ड डाटा सेवाको कूल घनत्व १३५.५० प्रतिशत रहेको दूरसञ्चार प्राधिकरणको आव २०७९/८० को प्रतिवेदनमा प्रकाशन भएको छ । यसले नागरिकको प्रविधिसँगको पहुँच सहज बन्दै गएको देखाउँछ । तर साक्षरतामा भने कुनै सुधार हुन सकेको छैन । यसरी प्रविधिको उपलब्धतासँगै बढेको अपराधको ग्राफले व्यक्तिलाई मात्र नभई सरकार र सरकारी निकायहरुमा पनि साइबर अपराधीका निसाना लक्षित हुने निश्चित छ । साइबर अपराधीहरुले सरकारी वेबसाइट र डाटा सेन्टरहरुमा आक्रमण गर्नुका विभिन्न कारणहरु रहेका छन् । साथै, यस्ता वेबसाइट र डाटा सेन्टरहरु डाउन हुनुमा विविध परिस्थितिहरु समेत जोडिएका छन् ।

व्यक्तिव्यक्ति बीच फरकफरक कारणले सरकारी वेबसाइटहरुमा आक्रमण गर्ने गरेको देखिन्छ । पहिलो व्यक्ति जो सिकारु छ जो साइबर आक्रमणको क्षेत्रमा नयाँ छन् उनीहरुले आफ्नो रहर र सीप परीक्षण तथा लोकप्रिय भइन्छ भन्ने भ्रमका कारण सरकारी साइटहरुमा आक्रमण गर्ने गरेको देखिन्छ । दोस्रो व्यक्ति जो व्यवसायी छ, जो साइबर आक्रमणको क्षेत्रमा अपराधिक मानसिकता बोकेर हिड्छ, उसले एकै पटक धेरै डेटा पाउन, सेवा प्रभावित पारेर दु:ख दिन तथा सर्भर नै डाउन गरी मोटो रकम असुल्ने नियतले सरकारी साइटमा हमला गर्ने गरेको देखिन्छ । त्यस्तै अर्को खालको व्यक्ति जो कुनै राज्यले नै संरक्षण दिएर परिचालन गरिएको हुन्छ । यिनीहरुले आफूलाई संरक्षण दिएको राज्यको लागि काम गर्ने गर्दछन् । यस्ता अपराधीहरुले आफूलाई सञ्चालन गर्ने सरकारको हित र सुविधाको लागि अन्य राज्य वा सरकारका गोप्य रणनीति, सूचना, तथ्याङ्क र कागजपत्रहरु चोरी गर्न र थप दबाब बढाउन साइबर आक्रमण गर्ने गर्दछन् ।

सरकारी वेबसाइट निर्माण गर्दा सबै किसिमको सेक्युरिटी टेस्टिङ्ग नगरी लाइभ गर्ने गर्नु, डु अल इन्टरनेट कनेक्टिभिटी नहुनु, दक्ष जनशक्तीको अभाव हुनु, कम्जोर सेक्यूरिटी आर्किटेक्चर रहनु, विद्युतीय डिभाइसहरु समयमै अध्यावधिक नगर्नु र म्यानुफ्याक्चर कम्पनीसँग डिजिटल उपकरणहरु र सफ्टवेयरको लाइसेन्स नवीकरण नियमित हुन नसक्नुले पनि यस्ता अपराधहरु पटकपटक हुने गरेका छन् । नयाँ प्रविधि र प्रयोगसँगै साइबर अपराधका कारणहरु पनि फेरिदै र बदलिदै गएको देखिन्छ । कतै सब सिस्टम धेरै भएकाले, कहिले डेटा माइग्रेसन गर्दा ध्यान नपुग्नाले, कैंयौ सरकारी वेबसाइटमा इनसेक्यूअर डिजाइन रहनाले र पनिकाजस्ता संस्थाहरुको प्राय: साइटहरुमा बग रिपोर्ट गर्ने जस्ता सामान्य फिचर नभएकाले सरकारी साइटहरुमा साइबर आक्रमणका घटनाहरु बढेको देखिन्छ । यस्ता आक्रमणहरु किन, कसले र कहाँबाट भएका हुन् पहिचान गरी आवश्यक सुरक्षा अपनाउन टड्कारो आवश्यक देखिन्छ ।

साइबर सुरक्षाका उपायहरु

–नीति, नियम र कानुनको व्यवस्था : राज्यले साइबर अपराधलाई नियन्त्रण गर्नको लागि समय सान्दर्भिक कानुनको निर्माण र कार्यान्वयन गनुपर्ने देखिन्छ । नेपालमा साइबर सुरक्षा ऐन र कानुन नभएकाले विद्युतीय कारोबार ऐन २०६३ अनुसार कारबाही गरिदै आएको छ । अपराधीलाई न्यून सजाय भएकाले तत्काल साइबर सुरक्षा कानुन बनाउनु आवश्यक छ । हालै साइबर सुरक्षा नीति २०८० जारी गरिएको छ ।

– दक्ष जनशक्तिको व्यवस्था : नेपाल सरकारले साइबर अपराध अनुसन्धान, नयाँ प्रविधिको खोजी र साइबर सुरक्षामा सहभागी जनशक्तिलाई थप तालीम र अभ्यासको व्यवस्था गर्ने, नयाँ पुस्तालाई साइबर सुरक्षासम्बन्धी अध्ययन गर्न देशभित्रै वातावरण निर्माण गर्ने र आवश्यकताअनुसार सरकारी निकायहरुमा थप साइबरविज्ञ जनशक्ति उपलब्ध गराउने कार्य नेपाल सरकारले गर्नु पर्ने देखिन्छ ।

– पर्याप्त बजेटको व्यवस्था : बजेट अभावकै कारण कुनै पनि साइबर अपराधका घटना नघटुन् भनेर नेपाल सरकारले साइबर सुरक्षाको लागि पर्याप्त बजेटको प्रबन्ध गर्नु पर्दछ । निर्माण कम्पनीबाट लाइसेन्स नवीकरण, विद्युतीय डिभाइस र सर्भरहरुको अपडेट समयमा गर्न नसकिएका कारण साइबर अपराधका घटना भएको देखिन आएकाले समयमै बजेट उपलब्ध गरी समस्याको समाधान खोज्नु पर्ने देखिन्छ ।

– डाटा केन्द्र सञ्चालन मापदण्ड : नेपालको राष्ट्रिय एकिकृत डाटा केन्द्र र हेटौंडामा अवस्थित डिजास्टर रिकभरी केन्द्रलाई अन्तर्राष्ट्रिय मापदण्डअनुसार सञ्चालन गर्नुपर्ने देखिन्छ । डाटा सेन्टरको सुरक्षाको लागि फायरवाल, इन्क्रिप्सन, एक्सेस कन्ट्रोल र इन्स्ट्रक्सन डिटेक्सन सिस्टम (आइडिएस) आदिको प्रयोग गर्न सकिन्छ ।

– भौतिक सुरक्षा : डाटा सेन्टर र यसमा भएका विभिन्न भौतिक सामग्री तथा उपकरणको भौतिक सुरक्षामा समेत चनाखो हुनु आवश्यक छ । विशेषत: यस्ता उपकरण महँगा हुने भएकाले चोरी हुने, नष्ट गर्न सक्ने भएकाले भर्चुअल र भौतिक सुरक्षा दुबैमा ध्यान दिन आवश्यक छ । साइबर विज्ञहरुमार्फत सेवा सञ्चालनसँगै २४ सै घण्टा सातै दिन अनुगमन/निरीक्षण/निगरानीको व्यवस्था गर्नु पर्ने हुन्छ ।

– जनचेतना अभिवृद्धि : नेपाली नागरिक र सरकारी निकायमा कार्यरत कर्मचारीहरुमा साइबर सुरक्षासम्बन्धी चेतनाको अभावको कारण समेत कतिपय घटनाहरु भएका छन् । यसको नियन्त्रण र रोकथामको लागि सर्वसाधारण नागरिकदेखि कर्मचारीहरुलाई साइबर सुरक्षा सचेतना अभिवृद्धि गर्न आवश्यक छ ।

– संरचनागत सुधार : साइबर सुरक्षा सुनिश्चितताको लागि नेपाल सरकारले सञ्चालनमा ल्याउने सबैखाले वेबसाइटहरुको सुरक्षा परीक्षणपछि मात्रै लाइभ गर्ने गर्नु पर्दछ । बिना परीक्षण हतारमा लाइभ गर्ने गर्नु हुँदैन । साथै प्रयोगमा रहेका तथा प्रयोगमा ल्याउन लागिएका प्रविधि, सर्भर र साइटहरुको सरकारी कार्यालयको वेबसाइट निर्माण तथा व्यवस्थापनसम्बन्धी निर्देशिका, २०७८ ले सरकारी कार्यालयले सूचना प्रविधि विभागबाट वेबसाइटको सुरक्षा र विश्वसनीयताको सम्बन्धमा वर्षको कम्तीमा एकपटक सुरक्षा परीक्षण गर्नुपर्ने भनेको छ । तर प्रभावकारी र नियमितरुपमा हुन सकेको छैन । तसर्थ नियमित साइबर सुरक्षा अडिट गर्न आवश्यक छ । यस्ता उपकरण र सफ्टवयरको प्राविधिक अडिट समेत गर्नका लागि आवश्यक संरचना तयार गर्नुपर्ने देखिन्छ ।

– ब्याकअप स् डाटा केन्द्रहरुमा भएका सम्पूर्ण उपकरण तथा सामग्रीहरुमा कुनै आक्रमण भएमा त्यसलाई तत्काल हटाएर नयाँ सामग्री जडान गर्नको लागि ब्याकअप हुन आवश्यक छ । यसरी साइबर आक्रमणमा परेका उपकरणहरु सङ्क्रमित हुने उच्च सम्भावना भएकाले त्यसैलाई प्रयोग गरिएमा साइबर अपराध हुने सम्भावना अत्याधिक रहन्छ । यसको लागि ब्याकअपको व्यवस्था गरिनु पर्दछ । यसको साथै नयाँ सर्भर खडा गरी सिङ्गो सर्भरको नै ब्याकअपको व्यवस्था गरिनुपर्छ । यसले गर्दा साइबर आक्रमण भई एउटा सर्भर डाउन भएर वेबसाइटहरु नचल्दा तत्काल अर्को सञ्चालनमा ल्याई सरकारी साइटहरु र डेटा सुरक्षित गर्न सकिन्छ ।

अन्त्यमा, बढ्दो डिजिटललाइजेशनसँगै बढेको साइबर अपराधका घटना सिङ्गो विश्व जगतको टाउको दुखाई बनेको छ । यस्ता अपराधीहरु आफ्नो पहिचान लुकाएर एउटा देशको सिमानाभित्र बसेर अर्कै देशमा अपराध कर्म सहजै गर्न सक्छन् । यस्ता व्यक्ति पहिचान जटिल हुने हुँदा कारबाहीको दायरामा ल्याउन निकै चुनौतीपूर्ण बनेको छ । यसैले नेपाल जस्तो विकासोन्मुख मुलुकले साइबर सुरक्षा कबजका रुपमा माथिका विविध पाटाहरुमा आफूलाई अब्बलरुपमा अगाडि लैजान आवश्यक छ । तसर्थ, नेपाल सरकार र नेपाली नागरिकले साइबर अपराधबाट बच्न बलियो पूर्वतयारी गर्नुको विकल्प छैन । (लेखक साइबर सुरक्षासम्बन्धी विषयका जानकार हुनुहुन्छ)