काठमाडौं । साइबर सुरक्षा र नेटवर्किङ विज्ञका रुपमा परिचित छन्, चिरञ्जीवी अधिकारी। प्राविधिक रुपमा विभिन्न ग्लोबल सर्टिफिकेट प्राप्त गरेका अधिकारीले इन्फर्मेसन सेक्युरिटी, आईटी गभर्नेन्स, साइबर सेक्युरिटी, साइबर सेक्युरिटीमा एआई र इन्फर्मेसन सेक्युरिटी म्यानेजमेन्ट सिस्टमजस्ता महत्वपूर्ण विषयमा काम गरिरहेका छन्। चितवनको भरतपुरनिवासी अधिकारीले आईटीसम्बन्धी नीति निर्माणमा संस्थागत तथा व्यक्तिगत रुपमा योगदान गर्दै आएका छन्। विगत दुई दशकदेखि आईटी क्षेत्रमा सक्रिय अधिकारी कम्प्युटर एसोसिएसन महासंघ (क्यान महासंघ)का महासचिव छन्। उनी नेपाल चेम्बर अफ कमर्सको आईटी सफ्टवेयर तथा टेक्नोलोजी समितिको साइबर सुरक्षा सल्लाहकार पनि हुन्। सेन्टर फर साइबर सेक्युरिटी रिसर्च एन्ड इनोभेसनका निवर्तमान अध्यक्ष अधिकारी इन्फरमेसन सेक्युरिटी रेस्पोन्स टिम नेपालका अध्यक्ष छन्। अधिकारी नेपाल एकेडेमी अफ साइन्स एन्ड टेक्नोलोजीमा आईसीटी एक्सपर्टका रुपमा रहेका छन्। उनै अधिकारीसँग ‘इन्स्योरेन्स टक’मा नेपालमा आईटी र साइबर सेक्युरिटीको पछिल्लो अवस्थाबारे गरिएको कुराकानीको सारसंक्षेपः
साइबर सेक्युरिटीको संसार उच्च जोखिममा छ भन्ने भाष्य स्थापित छ। हामी बाँचिरहेको समाज त्यो जोखिमको कुन चरणमा छ ?
आईटी ग्लोबल भिलेजका रुपमा भएको छ। हामी ल्यान्डलक मुलुकबाट ल्यान्डली मुलुकमा पुगेका छौं। कुनै सीमा अहिले छैन। आईटीको डिजिटल इकोनोमीको पार्टमा सफ्टवेयर प्रडक्ट र सेवा निर्यातबाट मुख्य आम्दानी भइरहेको छ। यसको सम्भावना अहिले ज्यादै बढेको छ। विश्व अर्थतन्त्रमा पनि नेपालको अवस्था उदाउँदो छ। तर, कानुनी तथा विभिन्न नीतिगत समस्याहरुका कारण हामीले जुन हिसाबको प्रगति गर्न सक्छौँ, त्यो हिसाबले हुन सकेको छैन।
केही समयअघि माइक्रोसफ्टको सफ्टवेयर अपडेट गर्दा धेरै मुलुकको कम्प्युटरमार्फत हुने सेवा प्रभावित भयो। यसलाई हेर्दा नेपाल त्यो जोखिमको कुन राडारमा पर्छौं ?
हामीले प्रयोग गर्ने अधिकांश अपरेटिङ सिस्टम वा सफ्टवेयर बाहिरकै बढी छ। जसरी मेरो छोरो वा छोरी बिग्रियो भनेर कुनै पनि बुवाले भन्दैनन्, त्यसरी नै कुनै पनि क्षेत्रको सिस्टममा ह्याकिङ हुँदा उनीहरुले भन्दैनन्। यसको नेपालमा संस्कार नै विकास भइसकेको छैन। कम्पनीको आईटी टिमलाई पनि कतिपय थाहा हुँदैन। थाहा पाउनेले पनि लुकाउँछन्। त्यसकारण यस्ता समस्या धेरै भइरहे पनि बाहिर आएका छैनन्।
भनेपछि हामी जोखिमको सर्वाधिक सूचीमा पर्छौं ?
हो। नेपाल डेमो गर्ने वा परीक्षण गर्ने क्षेत्र हो भनेर विदेशका धेरै ह्याकरले भन्ने गरेका हुन्छन्। सरकारका वेबसाइट लगायतमा एट्याक्ट गरेर उनीहरुले एक्सपेरिमेन्ट गर्छन्। हामीले क्रिटिकल एसेस्ट भनेर परिभाषित वा पहिचान पनि गरेका छैनौँ। क्रिटिकल इन्फास्टक्चर जस्तो कि हार्डवयर वा सफ्टवेयर किन्दा त्यसलाई चलाउन जान्ने जनशक्तिमा हामीले लगानी गर्न सकेका छैनौँ।
यो जोखिमबाट बाहिर रहन वा सुरक्षित हुन क–कसले के–के गर्ने ?
नेपालमा नेपाली विज्ञहरुलाई चिनिँदैन। राष्ट्रको साइबर सेक्युरिटी नीतिमा इथिकल ह्याकरहरुलाई सम्बोधन गर्नुपर्छ। इथिकल ह्याकर भनेको अनुमति लिएर ह्याक गर्ने ह्याकर हुन्। उनीहरुलाई साथमा लिएर सुरक्षाका लागि प्रोत्साहन नगरेसम्म साइबर सुरक्षामा हामी अगाडि बढ्न सक्दैनौँ। साइबर सुरक्षा, डेटा सुरक्षालगायतका नीति आजसम्म छैन। आगलागी हुँदा दमकल, मान्छे बिरामी हुँदा एम्बुलेन्स भनेजस्तै ह्याक भयो भने कम्पुटर इमर्जेन्सी रेस्पोन्स टिम नेपाल भनेर कार्यविधिमात्रै बनेको छ। ५ वर्षसम्म त्यसको कार्यान्वयन हुन सकेको छैन।
मानव संसाधनमा पनि त्यस्तै समस्या छ। साइबर सेक्युरिटीमा दख्खल भएकै मानिसलाई नियुक्त गर्न सक्नुपर्छ। साइबर ब्युरो हेर्नका लागि यसमा दख्खल भएकै हुनुपर्छ। तर, त्यस्तो छैन। आईटी सामान्य जानेको भरमा जिम्मा दिइएको छ। सूचना प्रविधि तथा सञ्चार मन्त्रालयका सचिवमा डोमेनकै मान्छे चाहिन्छ। त्यही विषय जानेको नेतृत्व नभएसम्म त्यसले मूर्त रुप पाउँदैन।
अर्को कुरा, आजसम्म सूचना प्रविधिलाई उद्योगका रुपमा मानिएको छैन। अन्य वर्गमा राखिएको छ। यस्ता धेरै कारणले समस्या सिर्जना भएको छ।
सरकारले बजेटमार्फत अलि–अलि काम गर्छु त भनेको छ, हैन ?
बैंक तथा वित्तीय संस्थामा अहिले पनि कोर बैंकिङ सफ्टवेयरहरु बाहिरकै प्रयोग गर्दै आएका छौँ, यहाँ भएकाहरुलाई विस्थापित गरिरहेका छौँ। हामी के चाहन्छौँ, बाहिरबाट बनाएकोलाई २ करोड रुपैयाँ तिर्न तयार हुन्छौँ तर यहीँ बनाएकालाई २० लाख रुपैयाँ तिर्न सक्दैनौँ। हामीले डेटाको पहुँच अरुलाई दिइरहेका हुन्छौँ। यसरी डेटामा ठूलो जोखिम हामीले मोलिरहेका छौँ। साइबर सेक्युरिटीको पाटो हाम्रो कमजोर भइरहेको छ। कुनै पनि बीमा कम्पनीमा इन्फर्मेसन टेक्नोलोजीमा डेडिकेटेड मानिस राखेको छैन। त्यो राख्नुपर्छ। बैंकको डेटा इन्स्योरेन्सले सुरक्षित राख्न सहयोग गर्ने हो।
बैंकिङ कारोबार, लाइसेन्स, नागरिक एप, राष्ट्रिय परिचयपत्रलगायतमा भएका डेटाहरु एकै पटक अरुको नियन्त्रणमा हुने उच्च जोखिम छ ?
पक्कै छ। अहिले गभर्मेन्ट डेटा सेन्टरमा कतिपय सफ्टवेयर तथा एप्लिकेसनहरु एक्सपायर भएर बसेका छन्। त्यसलाई रिन्यु गरिएको छैन। डेडिकेटेड कर्मचारी नहुँदा त्यहाँ काम हुन नसकेको हो। हामीले आईटीमा लगानी गर्न सकेको छैनौँ।
एउटा बैंकको डलर अकाउन्ट स्वाट्टै खाली भयो भने के हुन्छ ?
धेरै बैंकहरुले ह्याक भएको बताउने गरेका छैनन्। त्यो संस्कार नै छैन। इन्डियामा कसमस बैंक ह्याक भएको एक वर्षपछि उही प्याटर्नमा नेपालका बैंकमा ह्याक भयो। यदि त्यो हामीले सिकेको भए रोक्न सक्थ्यौँ। आईटीको सिस्टमलाई सुरक्षित गर्न र जोखिम न्यूनीकरण गर्न थ्रेट इन्टेलिजेन्स गेटवे राख्नुपर्छ। हाम्रो जति पनि ब्यान्डविथ मनिटरिङ पाटो बलियो हुनुपर्छ। बैंकहरुले चाहे भने यो व्यवस्थापन गर्न सक्छन्। डिजिटल अडिट ८० प्रतिशत बैंकहरुले बाध्यताले गर्छन्। राष्ट्र बैंकले गर्नु भनेको छ, त्यसैले गरेको भन्ने हुन्छ। २० प्रतिशतले मात्रै हामीलाई साँच्चै जोखिम छ, न्यूनीकरण गर्नुपर्छ भन्ने तरिकामा जान्छन्।
साइबर सेक्युरिटी रिस्कको बीमा पनि गरिन्छ। यसको अवधारणा कस्तो हो ?
साइबर इन्स्योरेन्स गर्नका लागि विगतमा साविक बीमा समितिमा धेरै छलफल भयो। तर, कम्पनीको व्यवस्थापनले त्यसलाई गम्भीरतापूर्वक लिएन। बीमाको व्यवसाय धेरै छ, जोखिम धेरै हुन्छ भन्ने मात्रै सोचियो। तर, कसरी व्यवस्थापन गर्न सकिन्छ भन्ने सोचिएन। त्यस डेटालाई कसरी सुरक्षित गर्ने भन्नेतर्फ सोच्न सकिएन। यसरी हेर्दा हाम्रो मुलुकमा डेटालाई महत्व अझै ठानिएको छैन। डेटाको मूल्य बुझिएको छैन। त्यसतर्फ हामीले ध्यान दिनुपर्ने आवश्यकता छ।