काठमाडौं । बीमा क्षेत्रको नियामक नेपाल बीमा प्राधिकरणको वेब पोर्टलमा देखा परेको साइबर सुरक्षा कमजोरीले साइबर सेक्युरिटी कति फितलो छ भन्ने उदाङ्गो पारिदिएको छ।
प्राधिकरणले पोर्टलमा पहुँच तत्काल अवरूद्ध पारेपनि प्राधिकरणको सूचना प्रविधि नीति र यसको कार्यान्वयन कति फितलो छ भन्ने बलियो प्रमाण दिएको छ। इन्स्योरेन्स खबरमा समाचार सार्वजनिक भएपछि प्राधिकरणले पोर्टलको लिंक अस्थायी रूपमा हटाएको हो।
किन गरिएन छानबिन र कारवाहीः
यति संवेदनशील् विषयमा सुरक्षा कमजोरी कसबाट भएको हो ? किन यस्तो कमजोरीमाथि प्राधिकरणको सूचना प्रविधि शाखा र सो विभागको निगरानी गर्ने विभागबाट निगरानी गरिएन ? प्राधिकरणलाई सूचना प्रविधि सम्बन्धमा परामर्श दिने संस्था वा व्यक्तिले यस्तो संवेदनशील त्रुटीलाई किन पहिचान गर्न सकेन ? प्राधिकरणको सूचना प्रविधिको अडिट गर्ने संस्थाको भूमिका के रह्यो ? अडिटरले किन यो विषय नजर अन्दाज गर्यो ?
किन कम्तीमा एक तहको सुरक्षा पहिचान पुरा नगरी नै पोर्टलमा प्रवेश खुल्ला गरियो भन्ने विषयमा प्राधिकरणबाट छानबिन गरिएको छैन । छानबिन नहुँदा कारवाही वा चेतावनी पाउनुपर्नेले उन्मुक्ति पाएको छ। यो प्रकरणलाई एउटा सामान्य त्रुटीको रूपमा लिंदा प्राधिकरण मात्र नभएर नेपालको समग्र बीमा क्षेत्र नै ठूलो मूल्य चुकाउनुपर्ने हुनसक्छ।
आहालको भैंसी मात्रः
आहालमा बसेको भैंसीको पिठ्यूँ मात्र देखिए झैं यो प्रकरण पनि प्राधिकरणको सूचना प्रविधि प्रणालीभित्र रहेको ठूलो कमजोरीको संकेत पनि हो।
सूचना प्रविधि विज्ञहरूका अनुसार पोर्टलबाट केवल लिंक हटाउनु मात्र दीर्घकालीन समाधान होइन, प्राधिकरणको सम्पूर्ण वेब इकोसिस्टममै गम्भीर सुरक्षा जोखिम अझै कायम रहेको देखिन्छ।
बीमा क्षेत्रको डिजिटल नियमन गर्ने जिम्मेवारी पाएको प्राधिकरण आफैंको अनलाइन प्रणाली सुरक्षित हुन नसक्नुले नियामक क्षमतामाथि प्रश्न उठाएको छ। प्राधिकरणको आईटी विभागले वेबसाइट, वेब एप्लिकेसन तथा संवेदनशील डाटामा अनधिकृत पहुँच नहोस् भन्ने सुनिश्चित गर्नुपर्ने भए पनि पछिल्लो घटनाले सो जिम्मेवारी प्रभावकारी रूपमा निर्वाह हुन नसकेको देखिन्छ।
नियामक आफैं गैरजिम्मेवारः
रोचक पक्ष के छ भने,बीमा प्राधिकरणले जारी गरेको बीमकको सूचना प्रविधि निर्देशिका २०७५ मा बीमा कम्पनीहरूका लागि डिजिटल सुरक्षा तथा डाटा गोपनीयता सुनिश्चित गर्न वर्षमा कम्तीमा एक पटक सूचना प्रविधि प्रणाली र अनधिकृत पहुँच परिक्षण गराउनुपर्ने व्यवस्था गरेको छ। तर, प्राधिकरण आफैंले भने आफ्नै प्रणालीमा अनधिकृत पहुँच नियन्त्रण सम्बन्धि व्यवस्था कति प्रभावकारी रूपमा लागू भएको छ भन्ने पुरै बेवास्ता गरेको छ।
सूचना सुरक्षा विज्ञहरूका अनुसार, नियामक निकायको प्रणालीमा सम्झाैता हुनु केवल संस्थागत कमजोरी मात्र नभई समग्र बीमा क्षेत्रका तथ्याङ्क, सर्वेयर विवरण, कम्पनी र बीमितसँग सम्बन्धित संवेदनशील सूचनामाथि समेत जोखिम निम्त्याउने विषय हो। यदि यस्ता कमजोरी समयमै सम्बोधन नगरिए बीमा क्षेत्रप्रतिको जनविश्वासमा नकारात्मक असर पर्न सक्ने चेतावनी उनीहरूको छ।
यस घटनापछि बीमा प्राधिकरणले आफ्ना सबै डिजिटल प्लेटफर्ममा स्वतन्त्र साइबर सुरक्षा अडिट, नियमित अनधिकृत पहुँच परिक्षण, सुरक्षित कोडिङ अभ्यास, तथा वास्तविक समय निगरानी प्रणाली लागू गर्नुपर्ने आवश्यकता देखिएको छ। साथै, बीमा कम्पनीलाई कडाइका साथ डिजिटल सुरक्षा पालना गराउनुअघि नियामक आफैंले उदाहरण प्रस्तुत गर्नुपर्छ।












