गत वर्षको माघ १४ र १५ मा नेपाल सरकारका चार सयभन्दा बढी सरकारी वेबसाइट एकाएक बन्द भए । केन्द्रीय डाटा सेन्टरमा डिडस साइबर आक्रमण हुँदा अत्यधिक ट्राफिक देखिइ कुनै पनि आइएसपिका साइटबाट नेपाल सरकारका वेबसाइट खुल्न सकेन । त्यसको २३ दिनपछि अर्थात् २०७९ फागुन ८ गतेका दिन त्रिभुवन अन्तर्राष्ट्रिय विमानस्थलको अध्यागमन विभागको वेबसाइट डाउन भयो । यसले गर्दा कैयौँ अन्तर्राष्ट्रिय उडान रोकिए भने यात्रुहरू अलपत्र पर्न गए । 

त्यस्तै २०८० पुस १५ र १६ गतेका दिन पुनः नेपाल सरकारको वेबसाइटहरू अवरुद्ध भयो । यो श्रृङखला चलिरहेको नै छ । साइबर आक्रमणकारीले सरकारी साइट, वेब एप्लिकेसन र सर्भरमा आक्रमण गर्ने र आफ्ना उद्देश्य प्राप्त गर्न खोज्नु नेपालमा मात्र होइन, विश्वका विकसित देशमा पनि यस्ता घटना भइरहन्छन् । तर, ती देशमा यस्ता घटनालाई राज्यले प्राथमिकतामा लिएर किन, कसले र कुन उद्देश्यले साइबर हमला भइरहेको छ भनी निरन्तर अध्ययन गरी सुरक्षाको नयाँ र सशक्त उपाय प्रयोगमा ल्याइन्छ । हाम्रो देशमा त्यो किसिमको प्राथमिकतामा पर्न सकेको देखिँदैन । 

सरकारी निकायलाई लक्षित गरी भएका घटनाहरू बढ्दो क्रममा छन् । विभिन्न मितिमा प्रधानमन्त्री कार्यालयका कर्मचारीहरूको इमेल ह्याक भएका छन् । शिक्षा मन्त्रालयको वैदेशिक अध्ययन अनुमति शाखाको सर्भर डाउन भएको छ । त्यस्तै सङ्घीय संसद्को वेबसाइट केही घण्टा अवरुद्ध भएका खबर सेलाउन पाएको छैन । हालै २०८० माघ १५ गतेका दिन त्रिभुवन विश्वविद्यालयको परीक्षा नियन्त्रण कार्यालय (पनिका) ले आफ्ना विद्यार्थीहरूलाई अनलाइनमार्फत कार्यालयमा नआइ शैक्षिक प्रमाणपत्र, ट्रान्सक्रिप्ट, प्रोभिजन, नम्बर पुनरावेदन र अन्य सुविधा दिन सकिने गरी विश्वविद्यालयका  उपकूलपति र पनिकाका प्रमुखले वेबसाइट उद्‍घाटन गरेका थिए । त्यसको साँझ नै  कक्षा १२ का एक छात्रले सामाजिक सञ्जालबाट आफूले ह्याक गरेको सूचना सार्वजनिक गरे । माथिका यी केही प्रतिनिधि घटनाहरू हन् ।  यी बाहेक कैयाैँ साइबर अपराधका घटनाहरू बाहिर आएका छैनन् । समयमै सुरक्षाका उपायहरूको खोजी नगर्ने हो भने नेपाल सरकारको डाटा सेन्टर र वेबसाइटहरूमा भइरहेका साइबर हमला फेरि पनि नहोलान् भन्न सकिन्न । 

सरकार डिजिटल नेपाल, डिजिटल फ्रेमवर्क र विद्युतीय सुशासनको अभियानमा अगाडि बढिरहेको अवस्थामा भइरहेका यस्ता साइबर अपराधका घटनाले जनमानसमा विचलन र अविश्वास सिर्जना गर्न सक्ने भएकाले गम्भीररूपमा लिनु पर्ने देखिन्छ । सरकारका पदाधिकारी र जिम्मेवार निकायले साइबर अपराधका विषयमा मिडिया र सार्वजनिक स्थानहरूमा आफ्ना विचार व्यक्त गर्दा थप सजगता र गाम्भीर्यताका साथ प्रस्तुत हुन आवश्यक छ । अन्यथा डिजिटल नेपालको अभियानप्रति नागरिकमा पैदा हुने शङ्काका कारण थप चुनौतीपूर्ण हुन सक्छ । सरकारका निकाय, सरकारी अभियान, सर्वसाधारणको चाहना, विश्व परिस्थिति, लागत, सहजता, प्रतिस्पर्धात्मक क्षमताको विकास, समयको बचत र विविध सुविधाको कारण राज्य र नागरिक प्रविधिको प्रयोगका लागि इच्छुक हुनु स्वाभाविक हो । तर बढ्दो प्रविधिको प्रयोग र न्यून साक्षरताको कारण साइबर अपराधको घटनाको ग्राफ बढ्दो छ । 

नेपाल प्रहरीको साइबर ब्यूरोको तथ्याङ्कअनुसार गत आर्थिक वर्ष २०७९/८० मा ६ हजारभन्दा बढी साइबर अपराधका घटनामा संलग्नलाई कारबाही गरिएको थियो । यस आर्थिक वर्ष २०८०/८१ को माघ २३ गतेसम्मको तथ्याङ्क हेर्दा साइबर अपराधमा कानुनी उपचारको लागि साइबर ब्यूरो भोटाहिटी र देशभरका प्रहरी कार्यालयमा गरी १३ हजार ३ सय ३० भन्दा बढी उजुरी आइसकेको अवस्था छ । नेपाल प्रहरीको पुस मसान्तसम्मको प्रगति प्रतिवेदन हेर्दा कात्तिक १ गतेदेखि पुस २९ गते सम्ममा सामाजिक सञ्जालसम्बन्धी उजुरीउपर ४ हजार ९ सय ४० कारबाही गरिएको छ । यस आर्थिक वर्षको सात महिनाको अवधिमा साइबर अपराधमा मुद्दा चलेकामध्ये हालसम्म ५१ जना व्यक्तिहरूलाई साइबर ब्यूरोबाट पक्राउ गरिएको छ  । 

नेपालमा टेलिघनत्व ११९.३६ प्रतिशत र ब्रोडब्याण्ड डाटा सेवाको कूल घनत्व १३५.५० प्रतिशत  रहेको दूरसञ्चार प्राधिकरणको आव २०७९/८० को प्रतिवेदनमा प्रकाशन भएको छ । यसले नागरिकको प्रविधिसँगको पहुँच सहज बन्दै गएको देखाउँछ । तर, साक्षरतामा भने कुनै सुधार हुन सकेको छैन । यसरी प्रविधिको उपलब्धतासँगै बढेको अपराधको ग्राफले व्यक्तिलाई मात्र नभइ सरकार र सरकारी निकायमा पनि साइबर अपराधीका निसाना लक्षित हुने निश्चित छ । साइबर अपराधीले सरकारी वेबसाइट र डाटा सेन्टरमा आक्रमण गर्नुका विभिन्न कारण रहेका छन् । साथै, यस्ता वेबसाइट र डाटा सेन्टर डाउन हुनुमा विविध परिस्थितिसमेत जोडिएका छन् । 

व्यक्तिव्यक्ति बीच फरकफरक कारणले सरकारी वेबसाइटमा आक्रमण गर्ने गरेको देखिन्छ । पहिलो व्यक्ति जो सिकारु छ जो साइबर आक्रमणको क्षेत्रमा नयाँ छन् उनीहरूले आफ्नो रहर र सीप परीक्षण तथा लोकप्रिय भइन्छ भन्ने भ्रमका कारण सरकारी साइटमा आक्रमण गर्ने गरेको देखिन्छ । दोस्रो व्यक्ति जो व्यवसायी छ, जो साइबर आक्रमणको क्षेत्रमा आपराधिक मानसिकता बोकेर हिँड्छ, उसले एकैपटक धेरै डेटा पाउन, सेवा प्रभावित पारेर दुःख दिन तथा सर्भर नै डाउन गरी मोटो रकम असुल्ने नियतले सरकारी साइटमा हमला गर्ने गरेको देखिन्छ । त्यस्तै अर्को खालको व्यक्ति जो कुनै राज्यले नै संरक्षण दिएर परिचालन गरिएको हुन्छ । यिनीहरूले आफूलाई संरक्षण दिएको राज्यको लागि काम गर्ने गर्दछन् । यस्ता अपराधीले आफूलाई सञ्चालन गर्ने सरकारको हित र सुविधाको लागि अन्य राज्य वा सरकारका गोप्य रणनीति, सूचना, तथ्याङ्क र कागजपत्र चोरी गर्न र थप दबाब बढाउन साइबर आक्रमण गर्ने गर्दछन् ।

सरकारी वेबसाइट निर्माण गर्दा सबै किसिमको सेक्युरिटी टेस्टिङ्ग नगरी लाइभ गर्ने गर्नु, डु अल इन्टरनेट कनेक्टिभिटी नहुनु, दक्ष जनशक्तिको अभाव हुनु, कमजोर सेक्युरिटी आर्किटेक्चर रहनु, विद्युतीय डिभाइस समयमै अद्यावधिक नगर्नु र म्यानुफ्याक्चर कम्पनीसँग डिजिटल उपकरण र सफ्टवेयरको लाइसेन्स नवीकरण नियमित हुन नसक्नुले पनि यस्ता अपराधहरू पटकपटक हुने गरेका छन् । नयाँ प्रविधि र प्रयोगसँगै साइबर अपराधका कारण पनि फेरिँदै र बदलिँदै गएको देखिन्छ । कतै सब सिस्टम धेरै भएकाले, कहिले डेटा माइग्रेसन गर्दा ध्यान नपुग्नाले, कैंयौ सरकारी वेबसाइटमा इनसेक्यूअर डिजाइन रहनाले र पनिकाजस्ता संस्थाहरूको प्रायः साइटहरूमा बग रिपोर्ट गर्ने जस्ता सामान्य फिचर नभएकाले सरकारी साइटमा साइबर आक्रमणका घटनाहरू बढेको देखिन्छ । यस्ता आक्रमणहरू किन, कसले र कहाँबाट भएका हुन् पहिचान गरी आवश्यक सुरक्षा अपनाउन टड्कारो आवश्यक देखिन्छ ।

साइबर सुरक्षाका उपाय 

–नीति, नियम र कानुनको व्यवस्था : राज्यले साइबर अपराधलाई नियन्त्रण गर्नको लागि समय सान्दर्भिक कानुनको निर्माण र कार्यान्वयन गनुपर्ने देखिन्छ । नेपालमा साइबर सुरक्षा ऐन र कानुन नभएकाले विद्युतीय कारोबार ऐन २०६३ अनुसार कारबाही गरिँदै आएको छ । अपराधीलाई न्यून सजाय भएकाले तत्काल साइबर सुरक्षा कानुन बनाउनु आवश्यक छ । हालै साइबर सुरक्षा नीति २०८० जारी गरिएको छ । 

– दक्ष जनशक्तिको व्यवस्था : नेपाल सरकारले साइबर अपराध अनुसन्धान, नयाँ प्रविधिको खोजी र साइबर सुरक्षामा सहभागी जनशक्तिलाई थप तालीम र अभ्यासको व्यवस्था गर्ने, नयाँ पुस्तालाई साइबर सुरक्षासम्बन्धी अध्ययन गर्न देशभित्रै वातावरण निर्माण गर्ने र आवश्यकताअनुसार सरकारी निकायहरूमा थप साइबरविज्ञ जनशक्ति उपलब्ध गराउने कार्य नेपाल सरकारले गर्नु पर्ने देखिन्छ ।

– पर्याप्त बजेटको व्यवस्था : बजेट अभावकै कारण कुनै पनि साइबर अपराधका घटना नघटून् भनेर नेपाल सरकारले साइबर सुरक्षाको लागि पर्याप्त बजेटको प्रबन्ध गर्नु पर्दछ । निर्माण कम्पनीबाट लाइसेन्स नवीकरण, विद्युतीय डिभाइस र सर्भरको अपडेट समयमा गर्न नसकिएका कारण साइबर अपराधका घटना भएको देखिन आएकाले समयमै बजेट उपलब्ध गरी समस्याको समाधान खोज्नु पर्ने देखिन्छ ।

– डाटा केन्द्र सञ्चालन मापदण्ड : नेपालको राष्ट्रिय एकिकृत डाटा केन्द्र र हेटौंडामा अवस्थित डिजास्टर रिकभरी केन्द्रलाई अन्तर्राष्ट्रिय मापदण्डअनुसार सञ्चालन गर्नुपर्ने देखिन्छ । डाटा सेन्टरको सुरक्षाको लागि फायरवाल, इन्क्रिप्सन, एक्सेस कन्ट्रोल र इन्स्ट्रक्सन डिटेक्सन सिस्टम (आइडिएस) आदिको प्रयोग गर्न सकिन्छ ।

– भौतिक सुरक्षा : डाटा सेन्टर र यसमा भएका विभिन्न भौतिक सामग्री तथा उपकरणको भौतिक सुरक्षामा समेत चनाखो हुनु आवश्यक छ । विशेषतः यस्ता उपकरण महँगा हुने भएकाले चोरी हुने, नष्ट गर्न सक्ने भएकाले भर्चुअल र भौतिक सुरक्षा दुवैमा ध्यान दिन आवश्यक छ । साइबर विज्ञहरूमार्फत सेवा सञ्चालनसँगै २४ सै घण्टा सातै दिन अनुगमन/निरीक्षण/निगरानीको व्यवस्था गर्नु पर्ने हुन्छ ।

– जनचेतना अभिवृद्धि : नेपाली नागरिक र सरकारी निकायमा कार्यरत कर्मचारीहरूमा साइबर सुरक्षासम्बन्धी चेतनाको अभावको कारण समेत कतिपय घटनाहरू भएका छन् । यसको नियन्त्रण र रोकथामको लागि सर्वसाधारण नागरिकदेखि कर्मचारीहरूलाई साइबर सुरक्षा सचेतना अभिवृद्धि गर्न आवश्यक छ ।

– संरचनागत सुधार : साइबर सुरक्षा सुनिश्चितताको लागि नेपाल सरकारले सञ्चालनमा ल्याउने सबैखाले वेबसाइटहरूको सुरक्षा परीक्षणपछि मात्रै लाइभ गर्ने गर्नु पर्दछ । बिना परीक्षण हतारमा लाइभ गर्ने गर्नु हुँदैन । साथै प्रयोगमा रहेका तथा प्रयोगमा ल्याउन लागिएका प्रविधि, सर्भर र साइटको सरकारी कार्यालयको वेबसाइट निर्माण तथा व्यवस्थापनसम्बन्धी निर्देशिका, २०७८ ले सरकारी कार्यालयले सूचना प्रविधि विभागबाट वेबसाइटको सुरक्षा र विश्वसनीयताको सम्बन्धमा वर्षको कम्तीमा एकपटक सुरक्षा परीक्षण गर्नुपर्ने भनेको छ । तर प्रभावकारी र नियमितरूपमा हुन सकेको छैन । तसर्थ नियमित साइबर सुरक्षा अडिट गर्न आवश्यक छ । यस्ता उपकरण र सफ्टवयरको प्राविधिक अडिट समेत गर्नका लागि आवश्यक संरचना तयार गर्नुपर्ने देखिन्छ ।  

– ब्याकअप : डाटा केन्द्रहरूमा भएका सम्पूर्ण उपकरण तथा सामग्रीमा कुनै आक्रमण भएमा त्यसलाई तत्काल हटाएर नयाँ सामग्री जडान गर्नको लागि ब्याकअप हुन आवश्यक छ । यसरी साइबर आक्रमणमा परेका उपकरणहरू सङ्क्रमित हुने उच्च सम्भावना भएकाले त्यसैलाई प्रयोग गरिएमा साइबर अपराध हुने सम्भावना अत्यधिक रहन्छ । यसको लागि ब्याकअपको व्यवस्था गरिनु पर्दछ । यसको साथै नयाँ सर्भर खडा गरी सिङ्गो सर्भरको नै ब्याकअपको व्यवस्था गरिनुपर्छ । यसले गर्दा साइबर आक्रमण भई एउटा सर्भर डाउन भएर वेबसाइटहरू नचल्दा तत्काल अर्को सञ्चालनमा ल्याई सरकारी साइट र डेटा सुरक्षित गर्न सकिन्छ ।

अन्त्यमा, बढ्दो डिजिटललाइजेशनसँगै बढेको साइबर अपराधका घटना सिङ्गो विश्व जगतको टाउको दुखाई बनेको छ । यस्ता अपराधीहरू आफ्नो पहिचान लुकाएर एउटा देशको सिमानाभित्र बसेर अर्कै देशमा अपराध कर्म सहजै गर्न सक्छन् । यस्ता व्यक्ति पहिचान जटिल हुने हुँदा कारबाहीको दायरामा ल्याउन निकै चुनौतीपूर्ण बनेको छ । त्यसैले नेपाल जस्तो विकासोन्मुख मुलुकले साइबर सुरक्षा कबजका रूपमा माथिका विविध पाटाहरूमा आफूलाई अब्बलरूपमा अगाडि लैजान आवश्यक छ । तसर्थ, नेपाल सरकार र नेपाली नागरिकले साइबर अपराधबाट बच्न बलियो पूर्वतयारी गर्नुको विकल्प छैन । 

(लेखक साइबर सुरक्षासम्बन्धी विषयका जानकार हुन्)