काठमाडौं । यस हप्ता हामीले धुमधामका साथ पाँचौं राष्ट्र्रिय सूचना प्रविधि २०७९ दिवस मनायौं । ‘गुणस्तरीय एवम् सुरक्षित सूचना प्रविधि विस्तार’को प्रमुख नारा रहेको सो दिवसलाई सरकार तथा निजी क्षेत्रले पनि निकै महत्वका साथ मनायो ।
नेपालमा पनि साइबर सुरक्षाको विषयले पछिल्लो समय खूब महत्व पाउँदै आएको छ । हाल १ दर्जन भन्दा धेरै साइबर सुरक्षा सेवाप्रदायक कम्पनी सञ्चालनमा छन् । यसले साइबर सुरक्षाको क्षेत्र नेपालमा फैलिदैँ गएको देखाउँछ ।
तर निजी क्षेत्र यसरी अगाडी बढिरहँदा, समग्र मुलुकका प्रणालीलाई आफ्नो हातमा लिएको र यस क्षेत्रको भविष्य सुनिश्चित गर्ने सरकारी निकायको अवस्था साइबर सुरक्षामा के छ त ?
मन्त्री ज्ञानेन्द्र कार्कीले आईसीटी दिवसको अवसरमा आयोजित कार्यक्रममा डिजिटल नेपाल तथा सुरक्षित साईबरका लागि सरकारले सुरु गरेको विभिन्न पहलको फेहरिस्त पनि सुनाए ।
सोही कार्यक्रमको दुई दिन अगाडी मात्र सञ्चार तथा सूचना प्रविधि मन्त्रालयले आफ्नो मन्त्रालयभित्र रहेको राष्ट्र्रिय साइबर सुरक्षा अनुगमन केन्द्रका लागि देशकै अग्रणी साइबर सुरक्षा सेवाप्रदायक ईमिनेन्स वेज र अर्को सेवाप्रदायक कम्पनीको संयुक्त उपक्रमलाई परामर्शदातामा नियुक्त गरेको छ ।
यससँगै नेपाल सरकारको सम्पूर्ण प्रणालीहरुको सुरक्षा अनुगमन गर्ने उक्त केन्द्र अबबाट २४ सैं घण्टा नियमित सक्रिय रहनेछ । अनुगमन केन्द्रले राष्ट्र्रिय सूचना प्रविधि केन्द्र एनआईटीसीमा अवस्थित डेटा सेन्टरभित्र रहेका सम्पूर्ण निकायहरुको सर्भर तथा प्रणालीको अनुगमन गर्नेछ । ती सिस्टमहरुको लग केन्द्रको मोनिटरिङ सिस्टमसँग आवद्ध हुन्छन् र सोही लगलाई ‘एनालिसिस’ गरी परामर्शदाताले २४ घण्टै त्यसको निगरानी राख्ने छन् ।
पहिलो चरणमा परामर्शदाताले सरकारको अति नै संवेदनशिल ३३ ओटा प्रणालीको लग केन्द्रमा आवद्ध गरी अनुगमन गरिरहेका छन् । जसमध्ये एउटा नागरिक एप पनि रहेको छ । यी बाहेकका अन्य सबै प्रणालीलाई विभिन्न चरणमा तिब्रताका साथ आवद्ध गर्दै लैजाने केन्द्रको तयारी छ ।
उक्त केन्द्रले ती सिस्टममा कति र कस्ता खतरा आईरहेका छन् भन्ने कुराको नियमित अनुगमन गर्दछ ।
यसअघि उक्त केन्द, मन्त्रालयकै कर्मचारीबाट सञ्चालन हुँदै आईरहेको थियो । तर मन्त्रालयका कर्मचारीहरुमा साइबर सुरक्षा सम्बन्धि ज्ञान नभएको हुँदा केन्द्रबाट प्रभावकारी रुपमा काम हुन सकेको थिएन ।
अब परामर्शदाता नियुक्ती पछि केन्द्रले पूर्णरुपमा आफ्नो काम पुरा गर्नसक्ने मन्त्रालयको साइबर सुरक्षा शाखाका प्रमुख उपसचिव इन्द्र प्रसाद मैनाली बताउँछन् ।
यसबाहेक नेपाल सरकारले गत वर्ष मात्र साइबर सुरक्षाको क्षेत्रलाई नियमन तथा निर्देशन गर्ने पहिलो साईबर सुरक्षा नीति २०७८ तयार गर्यो । उक्त नीतिको मस्यौदा भर्खरै मन्त्री कार्कीले क्याबिनेटमा पेश गरेका छन् ।
साथै सोही नीतिलाई सहयोग गर्न त्यसै बमोजिम सरकारले अर्को साईबर सुरक्षा ऐनको मस्यौदा पनि नेपाल दूरसञ्चार प्राधिकरणको माध्यमबाट तयार गराईरहेको छ । उक्त मस्यौदा एक महिनाभित्रै तयार हुने नेपाल दूरसञ्चार प्राधिकरणको अनुगमन शाखाका निर्देशक तथा साइबर सेक्युरिटी टास्कफोर्सका संयोजक विजय कुमार राय बताउँछन् ।
मन्त्रालयले राष्ट्र्रिय सर्ट निर्माणका लागि सूचना प्रविधि आकस्मिक साहयता समूह सञ्चालन तथा व्यवस्थापन निर्देशिका २०७५ सालमै तयार गरिसकेको छ । हाल मन्त्रालयसँग आफ्नै नेश्नल सर्ट एनटर्ट क्रियाशिल छ । एनटर्ट साइबर सुरक्षा क्षेत्रका विज्ञहरुको एउटा समिति हो जसले यस विषयमा छलफल तथा निर्देशन दिने गर्दछ ।
नेश्नल सर्टले अन्य क्षेत्रगत सर्टहरुको स्थापनाका लागि पनि समन्वय तथा निर्देशन दिने गर्दछ ।
मन्त्रालयको एनटर्टले भर्खरै वित्तिय क्षेत्रका लागि फिन सर्ट बनाउन अर्थमन्त्रालयलाई निर्देशन दिएको छ भने दूरसञ्चार प्राधिकरणले पनि टेलिकम तथा इन्टरनेट सेवाप्रदायक कम्पनीहरुका लागि आफ्नै छुट्टै सर्ट निर्माण गर्ने तयारी गरिरहेको छ ।
‘नेश्नल सर्टले क्षेत्रगत सर्टहरुलाई पनि समन्वय गर्ने र आवश्यक परेको अवस्थामा सहायता समेत गर्ने संरचना विकासको हाम्रो सोच हो ।’ मैनालीले भने ।
साथै मन्त्रालयले हाल साइबर सुरक्षाको अग्रणी निकाय ‘राष्ट्र्रिय साइबर सुरक्षा केन्द्र’ स्थापनाका लागि पनि पहल थालेको छ । गत वर्ष मन्त्रालयले विस्तृत परियोजना प्रतिवेदन डीपीआर तयार गर्न टेण्डर आह्वान गरेको थियो तर कुनै कम्पनी छनौट हुन सकेनन् । यस वर्ष पनि डीपीआरलाई कार्यक्रममा समेटिएको थियो तर विविध कारणले त्यो पुरा हुन नसकेको शाखा प्रमुख उपसचिव मैनाली बताउँछन् ।
भर्खरै डिजिटल नेपाल फ्रेमवर्कका केही पहलहरुको कार्यन्वयनमा सहयोग गर्न विश्व बैंकसँग भएको सम्झौता अन्तर्गत साइबर सुरक्षा केन्द्रको स्थापनालाई पनि एउटा पहलको रुपमा राखिएको मैनालीले जानकारी दिए ।
केन्द्र स्थापना भएपछि नेपालको साइबर सुरक्षा हेर्ने प्रमुख निकायको रुपमा सो केन्द्र रहने र यसले साइबर सुरक्षाको क्षेत्रमा फड्को मार्न सरकारलाई सहयोग गर्ने मैनाली आशा प्रकट गर्छन् ।
हाल मन्त्रालय अन्तर्गत अन्य तीन निकायले पनि साईबर सुरक्षाका कार्यलाई समान्नतर रुपमा अगाडी बढाईरहेका छन् । जसमा एनआईटीसी, सूचना प्रविधि विभाग र दूरसञ्चार प्राधिकरण रहेका छन् ।
सरकारी निकायको सम्पूर्ण सर्भरलाई होस्ट गरिरहेको एनआईटीसीले डेटा सेन्टरमा फायरवाल लगायत सुरक्षा सिस्टमहरु जडान गरेको सुरक्षित राखेको केन्द्रका सूचना अधिकारी रमेश प्रसाद पोखरेल बताउँछन् ।
‘हामीले यहाँ होस्ट गर्ने सम्पूर्ण सिस्टमको पनि सुरुमै सुरक्षा अडिट गर्न सम्बन्धित संस्थाहरुलाई निर्देशन दिन्छौं,’ पोखरेल भन्छन्, ‘यति धेरै सुरक्षाभित्र राखिएको हाम्रो सम्पूर्ण सिस्टमलाई फेरी राष्ट्र्रिय साईबर सुरक्षा अनुगमन केन्द्रले पनि २४ घण्टै अनुगमन गर्छ ।’
यसैगरी सूचना प्रविधि विभागले पनि सम्पूर्ण सरकारी निकायहरुको वेबसाइट तथा एप्लिकेसनहरुको भीएपीटी अर्थात् भल्नरेबिलिटी पेनिट्रेट टेस्टिङ गर्दछ । साथै विभागले समय समयमा आफ्ना कर्मचारीहरु साइबर सुरक्षा प्रशिक्षण प्रदान गर्नका साथै सचेतना कार्यक्रमहरु पनि आयोजना गरिरहेको विभागका पूर्वाधार विकास, अनुसन्धान तथा सुरक्षा शाखाका निर्देशक शिवजी कुमार गुप्ता बताउँछन् ।
विभागले निर्माण गरेको जीईए अर्थात् गर्भमेन्ट इन्टरप्राइज आर्किटेक्चरका मापदण्डहरु पालना गरी सिस्टम विकास गरे पनि ‘डेभलपमेन्ट’ को तहबाट सिस्टममा सुरक्षा सुनिश्चितता गर्न सकिने निर्देशक गुप्ता बताउँछन् ।
जीईएलाई लागू गर्न विभागले यसअघि निर्देशिका २.० पनि तयार गरेको थियो । तर विभागले उक्त मापदण्डलाई अनिवार्यरुपमा कार्यान्वयन गराउन सकिरहेको छैन ।
‘सबै सरकारी निकायहरुले तोकिए बमोजिम मापदण्डको आधारमा सूचना प्रविधि प्रणाली विकास गर्न भनेर जीईए ल्याएका हौं, तर अहिले यसको कार्यान्वयन गराउन हामीसँग कुनै कानुनी आधार छैन । यसलाई बाध्यकारीरुपमा लागू गराउने सक्ने सूचना प्रविधि विधेयक पास नभएसम्म यो कार्यान्वयन गराउन सकिँदैन ।’
जीईए कार्यान्वयन नगर्ने संस्थाहरुलाई विभागको सिफारिसमा मन्त्रालयले कारावाही गर्नसक्ने व्यवसथा आईटी विधेयकमा छ ।
यसैगरी दूरसञ्चार प्राधिकरणले पनि हाल क्षेत्रगत सर्ट निर्माणको तयारी गरिरहेको छ । यसका लागि टेल्कोसर्टको संरचना र स्वरुपको डिपिआर निर्माणका लागि परामर्शदाता पनि छनौट गरिसकेको निर्देशक रायले बताए ।
दूरसञ्चार तथा इन्टरनेट सेवाप्रदायकहरुको प्रणाली तथा सेवा सुरक्षालाई नियमन गर्न प्राधिकरिणले २०७७ मा साइबर सुरक्षा बिनियम पनि जारी गरेको छ । सोही बिनियम अन्तर्गत अहिले सेवाप्रदायकहरुले प्राधिकरणलाई अनिवार्यरुपमा सुरक्षा अडिट प्रतिवेदनहरु बुझाउँदै आईरहेको छ ।
प्राधिकरणले नेश्नल साइबर सेक्युरिटी रोडम्याप पनि बनाउन यस वर्ष कार्यक्रम राखेर अध्ययन तयारी गरेको रायले सुनाए ।
हाल प्राधिकरणको साइबर सेक्युरिटी ल्याबको निर्माणका लागि बिडरहरुको मूल्यांकन भईरहेको छ चाढै उक्त ठेक्का अवार्ड गरेर कामको थालनी गर्ने उनले बताए ।
प्राधिकरणले साइबर सुरक्षाका लागि साप्ताहिक जनचेतनामुलक कार्यक्रमहरु पनि गर्दै आईरहेको छ ।
जनशक्तिकै अभाव छ
मन्त्रालयमा राष्ट्र्रिय साइबर सुरक्षा अनुगमन केन्द्र स्थापना भएको लामो समय भयो । तर उक्त केन्द्रलाई यसअघिसम्म मन्त्रालयकै कर्मचारीहरुले सञ्चालन गर्दै आईरहेका थिए । साइबर जनशक्ति अभावका कारण केन्द्रको काम सन्तोषजनकरुपमा हुन नसकेको मैनाली स्विकार गर्छन् ।
‘यो सिस्टमले लग एनालिसिस गर्छ,’ उनी भन्छन्, ‘तर सिस्टम मात्र पर्याप्त हुँदैँन । मान्छेले पनि त्यसलाई मेनुअल्लीरुपमा सेटिङ गरी एनालिसिस गर्न पर्छ । आवश्यकता अनुसार सिस्टमलाई सेट गर्न हामीसँग जनशक्ति थिएन र काम हुन सकिरहेको थिएन । अनुगमन केन्द्र छ भन्ने मात्र थियो हामी सन्तुष्ट थिएनौं ।’ उनी भन्छन् ।
‘कतिपाय कमजोरी देखिँदा निजी क्षेत्रले पनि खबर गथ्र्यो र हामी सम्बन्धित निकायसँग कोअर्डिनेसन गरेर समाधानको उपाय खोज्थ्यौं । यसअगाडी काम नै हुन सकेको थिएन ।’
सरकारसँग साईबर सुरक्षा जानकार कर्मचारी एकजना पनि नहुनु ठूलो चुनौती रहेको मैनाली बताउँछन् । हाल निजामतिमा प्राविधिक तहमा मागिने कर्मचारी अधिकांश कम्प्युटर इन्जिनियरहरु मात्र हुन्छन् । उनीहरुमा साइबर सुरक्षाको विज्ञता हुँदैन जसले ग र्दा साइबर, नेटवर्क तथा डेटा जस्ता क्षेत्रमा काम गर्न आफूहरु पर्याप्त नहुने उनी बताउँछन् ।
निजामति सेवामा पनि अनिवार्य साइबर सुरक्षा सेवाको लागि छुट्टै कर्मचारी व्यवस्था हुनुपर्ने बताउँछन् । पछिल्लो समय सरकारी तहमा पनि साईबर सुरक्षाप्रतिको चेतना बढ्दै गईरहेको अवस्थामा यस्तो व्यवस्था बन्न सक्नेमा उनी आशावादी छन् ।