अरुण खत्री
नेपाल टेलिकमको एमआइएस रिपोर्टका अनुसार नेपालमा इन्टरनेट प्रयोगकर्ताको संख्या २०७६ असार अन्त्यमा आइपुग्दा ६५.८५ प्रतिशत पुगेको छ। इन्टरनेट चलाउनु भनेको आफ्नो व्यक्तिगत विवरण गोप्य र सुरक्षित राख्दै पब्लिक नेटवर्कसम्म पहुँच पु¥याउनु हो। अहिले हामी हरेक कुरा इन्टरनेटमा गर्ने गर्छौं– सामाजिक सञ्जालदेखि बैंकिङ कारोबार र अनलाइन सपिङसम्म। तर हामी हाम्रो संवेदनशील विवरणको सुरक्षाप्रति सचेत छौं त ?
अहिले बैंक तथा वित्तीय संस्था आफ्ना ग्राहकलाई अनलाइन तथा डिजिटल सेवा प्रदान गर्न द्रुत गतिमा लागिपरेका देखिन्छन्। तर यसो गर्दै गर्दा संस्था तथा सेवाग्राहीको गोप्य राख्नुपर्ने डाटा सुरक्षित छन् त ?
महानगरीय अपराध अनुसन्धान केन्द्रका अनुसार आर्थिक वर्ष २०७४÷०७५ को अघिल्लो ११ महिनाभित्र करिब १२ सय साइबर अपराधका उजुरी परेका छन्, जसमध्ये ७२ वटा मुद्दा अदालतमा दर्ता भएका थिए।
साना वित्तीय संस्थादेखि वाणिज्य बैंकसम्म सबै साइबर सेक्युरिटी मामिलामा परिपक्व देखिँदैनन्।
साना वित्तीय संस्थादेखि वाणिज्य बैंकसम्म सबै साइबर सेक्युरिटीको मामिलामा त्यति परिपक्व देखिँदैनन्। चाहे बैंकको सर्भर सिस्टम ह्याक गर्ने कुरा होस्, चाहे एटिएमबाट पैसा चोर्ने कुरा नै किन नहोस्, साइबर अपराधीहरूले इमेल, मोबाइल, वेब एप्लिकेसनजस्ता कमजोर कडीहरूलाई आफ्नो हतियार बनाइरहेका छन्।
नेपालको सन्दर्भमा यी विषय गहिरिएर बुझ्न निम्न घटना चर्चा गरौं:
घटना–१
दुई वर्षअगाडि एनआइसी एसिया बैंकमा तिहार बिदाको मौका पारेर वैदेशिक बैंकहरूसँग कारोबार गर्ने सिस्टम(स्विफ्ट)मा हमला गरी साइबर अपराधीहरू करोडांै लुट्न सफल भए। त्यो घटनाले देशव्यापी रूपमा सेवाग्राहीदेखि सेवाप्रदायक संस्थाहरूलाई नै सशंकित बनायो।
घटना–२
हालै केही चिनियाँ ह्याकरले नेपालमा रहेको नेप्स(नेपाल इलेक्ट्रोनिक पेमेन्ट सिस्टम), जुन संस्थाले वाणिज्य बैंकहरूलाई भिसा कार्डको सेवा–सुविधा दिन्छ, को सिस्टम ह्याक गरी नक्कली एटिएम कार्ड बनाएर विभिन्न बैंकको एटिएम बुथबाट डेढ करोड रुपैयाँ चोरी गरे। यो ह्याकरले लुट्ने अहिलेसम्मकै नौलो तरिका मानिएको छ। जसअन्तर्गत बैंकको सिस्टममा आक्रमण नगरी नेप्सको सिस्टम ह्याक गरेर एटिएम बुथमा राखिएको पैसा मात्र चोरियो। भलै, बैंकको मोटो रकम चोरी हुनबाट जोगिए पनि नेपालमा रहेका वित्तीय संस्था तथा तिनलाई सेवा दिने संस्थाहरूमा साइबर सुरक्षासम्बन्धी कमजोरी पर्दाफास भएका छन्।
यी घटनाले वाणिज्य बैंकहरूको सिस्टमको सुरक्षादेखि एटिएम बुथ, एटिएम कारोबार प्रणाली र एटिएम कार्ड सुविधा दिने संस्थाको सुरक्षा प्रणालीसम्म प्रश्न उठाएका छन्। नेपालमा साइबर सेक्युरिटी बलियो बनाउनुपर्ने कुरा करिब एक दशक अघिदेखि नै उठेको हो। तर अहिलेसम्म सुधार हुन सकेन। अब यसबारे गम्भीर भएर गृहकार्य गर्ने तथा त्यसलाई व्यवहारमा कार्यान्वयन गर्नैपर्ने अवस्था आएको माथि प्रस्तुत विशाल दुई घटनाले पाठ सिकाएको हुनुपर्छ।
साइबर सेक्युरिटी एक प्रणाली हो, जुन एक झट्कामा हासिल गर्न सकिने कुरा होइन। यसका चुनौती धेरै छन् र एकदमै जटिल पनि। त्यसैले साइबर आक्रमण पूर्ण रूपमा रोक्न सकिन्छ भन्ने सोच्नु दिवास्वप्न मात्रै हौ। तसर्थ पूर्वहोसियारी अपनाएर यसलाई न्यूनीकरण कसरी गर्ने ? सम्भावित ठूलो घटना हुनुअघि नै सुरक्षाका उपाय कसरी अवलम्बन गर्ने आदि बुझ्नु नै यसका आधारभूत कुरा हुन्।
साइबर सेक्युरिटीमा व्यक्ति, प्रणाली र प्रविधिको अवधारणालाई कडाइसाथ लागू गर्न सकिए साइबर आक्रमण धेरै हदसम्म न्यूनीकरण गर्न सकिन्छ। यस विषयमा हरेक सेयर होल्डर सचेत हुन ज्यादै जरूरी छ। साइबर सेक्युरिटी अत्यन्तै फराकिलो विषय भएकाले यसलाई संस्था तथा कार्यालयहरूले आआफ्ना व्यवहारअनुसार फरक–फरक ढंगले अपनाउनुपर्ने हुन्छ। त्यसैले हरेक कार्यालयले आफूलाई आउनसक्ने जोखिम मूल्यांकन गरी केही वर्षसम्मका लागि सुरक्षा रणनीति बनाउनु आजको आवश्यकता हो। यसका साथै साइबर सेक्युरिटीलाई प्राथमिकतामा राखी त्यसका लागि पर्याप्त लगानी गर्नुपर्छ। जुन लगानीलाई खर्च मात्र ठान्ने मानसिकता तुरुन्तै त्याग्न जरुरी छ। वास्तवमा साइबर सेक्युरिटीमा हामीले गरेको लगानी एकदमै न्यून देखिन्छ। जसरी हामी भोलिका दिनमा समस्या पर्ला भनेर जीवन तथा स्वास्थ्य बिमा गर्छौं, त्यसरी नै भोलि कुनै साइबर आक्रमणको सिकार हुन नपरोस् भनेर आजैदेखि साइबर सेक्युरिटीका लागि लगानी गर्न कञ्जुस्याइँ गर्न हुँदैन।
निम्न उपाय अपनायौं भने हामी साइबर आक्रमणबाट आफ्ना संस्थालाई केही हदसम्म टाढा राख्न सक्छौं ः
१. सबैभन्दा अत्यावश्यक कुरा हो– साइबर सेक्युरिटीसम्बन्धी सचेतना। सूचना प्रविधिमा काम गर्नेबाहेक अन्य व्यक्ति तथा संस्थाका कर्मचारीमा यसबारे एकदमै कम मात्र ज्ञान छ। ह्याकरहरूले पनि यही कमजोरी थाहा पाएर आक्रमण गर्छन्। त्यसैले सबैभन्दा पहिले आफ्नो संस्थाका कर्मचारीहरूबीच यससम्बन्धी चेतना फैलाउनुपर्छ। त्यसका लागि समय–समयमा सचेतना गोष्ठी, क्षमता बढाउने खालका तालिम सञ्चालन गर्नुपर्छ। साथै साइबर सेक्युरिटीसम्बन्धी आधारभूत शिक्षाका लागि परीक्षा तथा हाजिरीजवाफ प्रतियोगिताजस्ता क्रियाकलाप पनि सञ्चालन गर्न सकिन्छ।
२. हरेक संस्थाले सूचना प्रविधि विभागका अतिरिक्त उच्च तहको नेतृत्वमा साइबर सेक्युरिटीसम्बन्धी विभाग पनि बनाउन जरुरी छ। जसले सूचना प्रविधिसम्बन्धी कामलाई विशेष ध्यान देओस् र संस्थामा कहाँ–कहाँ, कुन–कुन काममा लगानी गर्न जरूरी छ, त्यसको मूल्यांकन गरोस्। यो विभागले संस्थाको उच्च तहमै रिपोर्टिङ गर्नुपर्छ र त्यसका लागि एकीकृत योजना र निर्णय लागू हुनुपर्छ। यो विषय अहिलेको माग नै बनिसकेको छ।
३. साइबर थ्रेट भनेको रुघाखोकीजस्तै हो। जसरी रुघाखोकीको भाइरस एक व्यक्तिबाट नजिक रहेका अरू व्यक्तिमा पनि तीव्र गतिमा सर्ने गर्छ, त्यसरी नै थ्रेट अर्थात् नेटवर्क भाइरस पनि एकबाट अर्काेमा द्रुत गतिमा सर्छ। त्यसैले आफू मात्र सुरक्षित भएर भएन, आफ्नो नेटवर्कमा जोडिएका नेटवर्क तथा संस्थाहरू पनि कति सुरक्षित छन् भन्ने ध्यान दिन जरुरी छ।
४. अर्काे महŒवपूर्ण कुरा हो– नेटवर्कका विभिन्न तहमा सुरक्षा प्रणाली स्थापना गर्नु। नेक्स्ट जेनेरेसन फायरवालदेखि सबैभन्दा महŒवपूर्ण तथा कमजोर पक्ष इमेलसँग सम्बन्धित सुरक्षा प्रविधि अपनाउनुप¥यो। यसका साथै विभिन्न वेब एप्लिीकेसन, जुन सीधै इन्टरनेटमा देखिएका हुन्छन्, तिनका लागि पनि उपयुक्त उपकरण प्रयोग गर्नुपर्ने देखिएको छ।
५. अर्काे आवश्यक कुरा हो– अनुगमन अर्थात् लगिङ एन्ड मोनिटरिङ। साइबर आक्रमण, जुन माथि नै भनियो– एक झट्कामा रोक्न सकिने कुरा होइन। तर भइहालेको खण्डमा त्यसको पूरा छानबिन गर्न सक्नु, कस्तो आक्रमण, कहाँबाट कसरी भयो भनेर थाहा पाउनु आगामी दिनका लागि निकै लाभदायी हुन्छ।
६. अहिलेको समयमा साइबर अपराधीहरूलाई ह्याक गर्न एकदमै सजिलो भनेको संस्थाका कर्मचारीहरूका उपकरण, जस्तै ः मोबाइल र ल्यापटप, जुन संस्थाको नेटवर्कमा जोडिएका हुन्छन्, तर व्यक्तिगत कामका लागि ती घरमा पनि प्रयोगमा आउँछन्, जसले गर्दा इन्फेक्ट गर्न सजिलो हुन्छ र संस्थाको नेटवर्कमा छिर्न पनि। त्यसैले यस्ता उपकरणको सुरक्षाबारे सोच्नु एकदमै आवश्यक छ।
७. कुनै पनि संस्थामा कुनै पनि सफ्टवेयर अथवा हार्डवेयर खरिद गर्ने प्रणालीमा साइबर सेक्युरिटी रिस्क पनि मूल्यांकनको आधार बनाउनुपर्छ। आफूले खरिद गरेका सामग्री आफंैमा कति सुरक्षित छन्, अन्तर्राष्ट्रिय सुरक्षा मापदण्ड पूरा भएका छन् कि छैनन्, सबै हेर्नुपर्ने हुन्छ। नत्र जति नै सुरक्षा अपनाए पनि सधैं जोखिममा रहिन्छ। साथै ती उपकरण बनाउने कम्पनीका विषयमा पनि बुझ्न जरूरी छ। साथै संस्थालाई उपकरण बेच्ने र स्थानीय रूपमा सपोर्ट गर्ने कम्पनीको क्षमता तथा त्यहाँ कार्यरत कर्मचारीको दक्षता एवं साइबर सेक्युरिटीमा उनीहरूको ज्ञानबारे पनि जानकारी लिनु अत्यन्तै आवश्यक छ।
८. अडिट र आफ्नो संस्थाको साइबर सेक्युरिटी टेस्टिङ अर्र्काे महŒवपूर्ण पक्ष हो। हरेक वर्ष तोकिएको समयमा सूचना प्रविधिको अडिट गर्नैपर्ने हुन्छ र त्यसबाट प्राप्त रिपोर्टअनुसार गर्नुपर्ने काम गर्नुपर्छ। साथै भल्नराबिलिटी असेस्मेन्ट एन्ड पेनेत्रेसन् टेस्टिङ र सर्भर हार्डेनिङजस्ता काम पनि सँगै गर्नुपर्ने हुन्छ। यसबाट संस्थामा कहाँ कमजोरी छ र त्यसका लागि के गर्ने भन्नेतर्फ ध्यान दिन सकिन्छ।
उल्लिखित कुराबाहेक साइबर सेक्युरिटीका लागि अपनाउनुपर्ने होसियारी अरू पनि धेरै छन्।
व्यक्तिगत रूपमा आफूलाई साइबर आक्रमणको सिकार हुन नदिन विभिन्न उपाय अपनाउन सकिन्छ। जस्तै ः बलियो पासवर्ड प्रयोग गर्ने, हरेक ठाउँमा एउटै पासवर्ड प्रयोग नगर्ने, समय–समयमा पासवर्ड परिवर्तन गर्ने, सामाजिक सञ्जालमा दखिने हरेक लिंक पछ्याउँदै त्यसमा आफ्नो व्यक्तिगत विवरण नराख्ने, आफ्ना डिजिटल विवरणको ब्याकअप राख्ने, आफूले प्रयोग गर्ने मोबाइल, कम्प्युटर तथा ल्यापटप सुरक्षित राख्ने, जहाँ पायो त्यहींको वाइफाई जडान नगर्ने।
प्रकाशित: ३० भाद्र २०७६ ०३:१२ सोमबार
.gif)
