सन् २०२२ मा गत वर्षभन्दा साइबर आक्रमणका घटनाहरू ३८ प्रतिशतले वृद्धि भएको कुरा साइबर सुरक्षामा काम गर्ने अमेरिकी कम्पनी चेक पोइन्ट रिसर्चको प्रतिवेदनमा उल्लेखित छ । मुख्यत: यस्ता आक्रमणहरू सरकारी सेवा र स्वास्थ्य सेवाका अनलाइन प्रणालीलाई लक्षित गरेर भएको देखिन्छ ।
कोभिड -१९ को महामारीसँगै विकसित अनलाइन लर्निङ प्लेटफर्महरू र शिक्षासँग सम्बद्ध अन्य प्रणालीहरू पनि नयाँ निशाना बनेको कुरा प्रतिवेदनमा उल्लेख छ । सार्वजनिक सेवा प्रवाह गर्ने प्रणालीहरूलाई अवरुद्ध गर्नु पनि ह्याकरहरूको उद्देश्य रहेको देखिन्छ ।
गत वर्ष फेब्रुअरीदेखि निरन्तर जारी रुस युक्रेन युद्धमा साइबर आक्रमण पनि निरन्तर जारी छ र यसले सूचना सञ्चार तथा व्यवस्थापन प्रणालीलाई ‘प्यारालाइज्ड’ गर्ने काम गरेको तथा युद्धका लागि आवश्यक सूचना संकलन गरेको कुरा सार्वजनिक भएका छन् ।
युरोपियन पार्लियामेन्ट्री रिसर्च सर्भिसको जून २०२२ को प्रतिवेदनमा रुसले युक्रेनलाई सन् २०१४ देखि निरन्तर गरेका साइबर हमलाको वृत्तान्त उल्लेख छ । उत्तर अमेरिकी देश कोस्टारिकाले गत वर्षको अप्रिलमा हप्तौँसम्म निरन्तर साइबर हमला भएपछि सङ्कटकालको घोषणा गर्नुपरेको थियो ।
गत माघ १४ गते राष्ट्रिय सूचना प्रविधि केन्द्रमा होस्ट भएका नेपाल सरकारका वेबसाइटहरूमाथि साइबर आक्रमण हुँदा सम्पूर्ण सरकारी वेबसाइटहरू घन्टौँसम्म डाउन भएका थिए । जसका कारण त्रिभुवन अन्तर्राष्ट्रिय विमानस्थलको सेवा समेत अवरुद्ध हुँदा यात्रुहरू घन्टौँसम्म अलपत्र परे । त्यसपछि पनि केही आक्रमणहरू जारी छन्, जसका कारण केही वेबसाइटहरू अझै पनि नियमित हुन सकेका छैनन् ।
मुख्यत: यस्ता साइबर आक्रमणमा सेवा अवरुद्ध गर्ने तथा डेटा आफ्नो कब्जामा लिई फिरौती मान्ने गरिन्छ । यस आलेखमा साइबर आक्रमणका कारण नेपाललाई सम्भावित जोखिम के छ, कानूनी तथा संस्थागत संरचना र यस्ता घटनालाई न्यूनीकरण गर्न के गर्नु पर्छ भन्ने विषयमा चर्चा गर्दैछौँ ।
किन हुन्छन् साइबर आक्रमण ?
साइबर आक्रमण फरक फरक प्रकृतिका हुन्छन् । कुनै घटनाहरू व्यक्तिको व्यक्तिगत सूचनासम्म मात्र पहुँच राख्ने गरी गरिएका हुन्छन् भने कुनै आक्रमण प्रणाली भित्रका सम्पूर्ण डेटामा पहुँच राख्ने तथा पूरै सफ्टवेयर प्रणाली आफ्नो कब्जामा राख्ने गरी गरिएको पाइन्छ ।
मुख्यत: आर्थिक र राजनीतिक लाभ लिने उद्देश्यले यस्ता कामहरू भइरहेको देखिन्छ । सन् २०१६ मा अमेरिकी राष्ट्रपतिय चुनावका सन्दर्भमा डेमोक्रेटिक पार्टीको तर्फबाट गठित डेमोक्रेटिक नेसनल कमिटीका ईमेल तथा सोही ईमेलमा भएका अट्याचमेन्टहरू चोरी भए ।
सुरुमा ती ईमेलमा कुनै ह्याकरले पहुँच स्थापित गरि सम्पूर्ण ईमेल र अट्याचमेन्ट आफूसँग लिएको र पछि जुलाई २०१६ मा डीसी लिक्स र विकिलिक्सले सार्वजनिक गरेपछि त्यसले डेमोक्रेट्सहरूलाई ठूलो धक्का दिएको विश्लेषण गरिन्छ । लिक भएका ईमेल र डकुमेन्टहरू हेर्दा राष्ट्रपतिय निर्वाचनमा डेमोक्रेटिक पार्टीको नेसनल कमिटीले राष्ट्रपति उम्मेदवार बर्नि स्याण्डर्स भन्दा उनका प्रतिस्पर्धी हिलारी क्लिन्टनको पक्ष लिएको र सहयोग गरेको देखिन्छ ।
उक्त कुराले पनि पछि राष्ट्रपतिको आमनिर्वाचनमा हिलारी क्लिन्टनलाई घात भएको र उनका प्रतिस्पर्धी रिपब्लिकन पार्टीका डोनाल्ड ट्रम्पलाई सहयोग पुगेको विश्लेषण छ । यस्तै ‘अप्रेसन क्लिभर’ नामक साइबर हमलाको बारेमा सन् २०१४ मा कुनै एक अमेरिकन कम्पनीले प्रतिवेदन बनाएको र अमेरिकाको फेडरल ब्यूरो अफ इन्भेस्टिगेसनले अनुमोदन गरेको थियो ।
उक्त हमला इरानले गराएको आरोप एफबीआईले लगाएको छ भने इरानले आफू उक्त घटनामा संलग्न नभएको आधिकारिक रूपमा जनाइसकेको छ । उक्त साइबर हमलामा अमेरिका, जर्मनी, चीन, इजरायल, भारत, साउदी लगायत १४ देशका विभिन्न क्षेत्रहरू जस्तै सैन्य, ग्यास, ऊर्जा, यातायात, स्वास्थ्य, उद्योग लगायतका प्रणालीहरूमा आक्रमण गरेको देखिन्छ । यी केही प्रतिनिधिमूलक घटनाहरू भए ।
यस्ता घटनाहरू घट्ने प्रवृत्ति पछिल्लो समय ठूलो मात्रामा बढेका तथ्याङ्कहरूबाट पुष्टी हुन्छ । उच्च राजनीतिक क्षेत्र होस् वा व्यवसायिक क्षेत्र नै किन नहोस्, निर्णय प्रक्रियामा सूचना र तथ्याङ्कको मद्दतबाट कृत्रिम बौद्धिकता प्रयोग गर्ने प्रवृत्ति निकै बढेको छ । आफ्नो मात्र नभएर आफ्ना प्रतिस्पर्धीको सामर्थ्य र कमजोरी विश्लेषण गर्न सूचना तथा तथ्याङ्कको प्रयोग गरिन्छ ।
घटनाहरूबाट तथ्याङ्कमा आफ्नो पहुँच नभएको अवस्थामा कुनै प्रणालीहरू दुरुपयोग गरेर वा ह्याकरहरू मार्फत त्यस्ता सूचना तथा तथ्याङ्कहरूमा पहुँच स्थापित गरेको देखिन्छ । सन् २०२२ को मुख्य साइबर हमलाको रुपमा रेन्समवेयर (फिरौती उठाउने ) हमला भएको देखिएको छ । यस्ता रेन्समवेयर हमलामा कुनै हानिकारक लिङ्कहरू ईमेलमार्फत वा कुनै एपमार्फत पठाइन्छ । ती लिङ्कहरूमा क्लिक गरेपछि मालवेयर स्वतः कम्प्युटर वा सर्भरमा डाउनलोड भइदिन्छ ।
उक्त मालवेयर रन भएपछि सम्पूर्ण डेटालाई इङ्क्रिप्ट गर्छ र प्रयोगकर्ताले डाटाहरू प्रयोग गर्न खोज्दा फिरौती रकम पठाउने तरिका सहितको सन्देश दिन्छ । सामान्यतया निश्चित समय अवधिभित्र फिरौती आइसक्नु पर्ने अन्यथा सम्पूर्ण डेटाहरू डिलिट गरिदिने धम्कीपूर्ण सन्देशहरू प्रवाह गरिन्छन् । प्रायजसो रेन्समवेयर हमलामा फिरौती रकम बिट क्वाइन जस्ता क्रिप्टो करेन्सी मार्फत तिर्न भनिएको हुन्छ ।
कम्प्युटर निर्माणकर्ता कम्पनी "यसर"ले सन् २०२१ मा "रेबिल ह्याकर ग्रुप " नाम मार्फत गरिएको रेन्समवेयर आक्रमणको फिरौती रकम मात्र ५० मिलियन डलर बिट क्वाइन मार्फत तिरेको थियो । सन् २०२२ मा मात्रै करोडौंको सङ्ख्यामा रेन्समवेयर आक्रमणहरू भएका छन् र अरबौं रुपयाँ फिरौतीको रुपमा तिरिएको छ । आर्थिक लाभ वा राजनीतिक उद्देश्यले गरिएका आक्रमणहरू मात्र नभएर कतिपय अवस्थामा अरुको बारेमा द्वेष फैलाउन र चरित्रहत्या गर्न पनि साइबर हमलाहरू हुने गरेको पाइन्छ । कति घटनाहरू विद्रोहको स्वरूपमा पनि देखा परेका छन् । कति घटना स्वयम् आक्रमणकारी समूहको पहिचान स्थापित गर्नका लागि भनी गरिएको देखिन्छ।
समस्या र चुनौती
नेपाल दूरसञ्चार प्राधिकरणले असोज २०७९ मा प्रकाशित गरेको प्रतिवेदन अनुसार नेपालमा जम्मा मोबाइल प्रयोगकर्ता कूल जनसङ्ख्याको १३८ प्रतिशत रहेको छ । त्यसैगरी ब्रोडब्याण्ड सेवा पनि कूल जनसङ्ख्याको १३१.५ रहेको र सामाजिक सञ्जाल प्रयोगकर्ता झण्डै ३५ प्रतिशत देखिन्छन् ।
बैङ्क, अस्पताल, सरकारी सेवा लगायतका सेवामा अनलाइन सेवा प्रयोगकर्ता पनि बढिरहेका छन् । यस्ता अनलाइन सेवा प्रयोगकर्ताहरूमा व्यक्तिगत डेटाको प्रयोगको सम्बन्धमा ज्ञान नहुँदा यस्ता माध्यमबाट डेटाहरू चोरी हुने सम्भावना अधिक देखिन्छ ।
धेरैजसो प्रयोगकर्ताले जथाभावी एपहरू डाउनलोड गर्ने र आफ्नो कन्ट्याक्ट, डकुमेन्ट, लोकेसन, क्यामेरा आदिमा पहुँच उपलब्ध गराउँदा यस्ता एपले प्रयोगकर्ताको मात्र नभएर उसको मोबाइलमा रहेको अन्य व्यक्तिको समेत सूचना चोरी गर्ने डर हुन्छ । हामीले अस्पताल, बैङ्क वा अन्य कुनै ठाउँमा हाम्रो व्यक्तिगत विवरण जस्तै जन्म मिति, नागरिकता नम्बर, लाइसेन्स नम्बर, फिङ्गरप्रिन्ट आदि सूचनाहरू तिनीहरूको प्रयोग तथा प्रयोजन नबुझेरै उपलब्ध गराइरहेका हुन्छौँ ।
त्यस्ता सूचना तथा तथ्याङ्कहरू दुरुपयोग हुने सम्भावना अधिक रहन्छ । जुन प्रयोजनका लागि व्यक्तिगत सूचना संकलन गरिएको हो, त्यो भन्दा भिन्न प्रयोजनमा पनि ती सूचना प्रयोग भइरहेका हुन्छन् । आफ्ना व्यक्तिगत सूचनाको गोपनीयताको बारेमा मानिसहरूमा खासै जनचेतना देखिँदैन भने स्पष्ट कानूनी प्रावधान नहुँदा ती सूचनाहरू दुरुपयोग भइरहेको अवस्था छ ।
कालान्तरमा यसरी बाहिरिएका सूचनाहरू साइबर हमलाको हतियार बन्न सक्दछन् । नेपाल सरकारका निकाय अन्तर्गत निर्माण हुने सफ्टवेयर तथा एपहरूमा सुरक्षा तथा गुणस्तर जस्ता पक्षहरू प्राथमिकतामा रहेको देखिदैन । प्रस्ताव आव्हान गरेका डकुमेन्टहरू हेर्दा प्रायजसो सफ्टवेयर निर्माण तथा परामर्श सेवामा गुणस्तरको जनशक्ति, मापदण्ड राखेको देखिँदैन । जसले गर्दा सुरक्षा कमजोरी हुने प्रसस्त सम्भावना रहन्छ ।
अन्तर्राष्ट्रिय दूरसञ्चार सङ्घ (आइटीयू ) ले साइबर सेक्युरिटी प्रतिवद्धताका आधारमा देशहरूलाई उच्च, मध्यम र न्यून प्रदिवद्धताको देशहरूमा वर्गीकरण गरेको छ । कानूनी, प्राविधिक, संगठनात्मक, क्षमता अभिवृद्धि र सहकार्य गरी पाँच ओटा पक्षलाई हेरेर प्रतिवद्धताको तह निर्धारण गरिन्छ । जसमध्ये हालसम्म नेपाल निम्न प्रतिवद्धता भएको देशको सूचीमा पर्दछ ।
कस्तो छ कानूनी तथा संरचनागत अवस्था ?
सूचना प्रविधि आकस्मिक सहायता समूह सञ्चालन तथा व्यवस्थापन निर्देशिका, २०७५ अन्तर्गत राष्ट्रिय साइबर सुरक्षा अनुगमन केन्द्र स्थापना भएको छ । तर केन्द्रले गरिरहेका कार्य र अनुगमन प्रतिवेदनहरू सार्वजनिक भएको देखिदैन ।
राष्ट्रिय साइबर सुरक्षा केन्द्र गठनको कुरा हालसम्म गफमा मात्र सीमित छ । त्यसको विस्तृत परियोजना प्रतिवेदन अझै सार्वजनिक भएको छैन । दूरसञ्चार तथा इन्टरनेट सेवा प्रदायकहरूको सूचना प्रविधि प्रणालीहरूलाई समेट्ने गरी नेपाल दूरसञ्चार प्राधिकरणले साइबर सुरक्षा विनियमावली, २०७७ जारी गरेको छ । साइबर अपराधको बढ्दो प्रवृत्तिलाई दृष्टिगत गर्दै छुट्टै साइबर नीतिको परिकल्पना गरेर सूचना तथा सञ्चार मन्त्रालयले राष्ट्रिय साइबर सुरक्षा नीति, २०७८ को मस्यौदा सार्वजनिक गरेको छ ।
त्यसो त विद्युतीय कारोबारलाई सुरक्षित, भरपर्दो तथा व्यवस्थित बनाउन विद्युतीय अभिलेखमाथि अनधिकृत व्यक्तिको पहुँचलाई नियन्त्रण गर्न भन्दै विद्युतीय कारोबार ऐन २०६३ तथा सो सँग सम्बद्ध नियमावली २०६४ जारी भई कार्यन्वयनमा छ ।
जति पनि कानून वा नीति बनेका छन्, ती कानून वा नीतिमा परिकल्पना गरिएका संस्थागत संरचना अझै बन्न सकेका छैनन् भने तिनीहरूको कार्यप्रगति विवरण प्रतिवेदनहरू सार्वजनिक नहुँदा ती संस्थाहरूको प्रभावकारिता देखिन सकेको छैन ।
नेपाल प्रहरीको साइबर ब्यूरोको तथ्याङ्क अनुसार आर्थिक वर्ष २०७७/७८ मा दर्ता भएका साइबर अपराधका ३९०६ मुद्दामा फेसबुक मार्फत भएका घटनाको सङ्ख्या मात्र ३५५१ छ । तर पनि नेपालमा सामाजिक सञ्जाल नियमन गर्ने कानूनी आधार स्पष्ट छैन र अनुगमनको कुनै प्रणाली छैन ।
के हुन सक्छ अबको बाटो ?
सूचना प्रविधिको विकाससँगै राज्य सञ्चालनका हरेक तह र अङ्गहरूमा योजना, सेवा प्रवाह, व्यवस्थापन र दैनिक कामकाज सञ्चालन लगायतका सम्पूर्ण काम सूचना प्रविधिमा निर्भर हुनुपर्ने अवस्था आएको छ । सार्वजनिक क्षेत्रमा सेवा प्रवाह गर्ने जतिपनि सूचना प्रविधिका प्रणालीहरू विकसित गरिन्छन्, तिनीहरूमा अनिवार्य गुणस्तर प्रत्याभूत हुनेगरी त्यसको जाँच तथा प्रमाणीकरण गर्ने व्यवस्था हुन जरुरी छ ।
जति पनि सूचना प्रविधि प्रणाली विकासका परियोजना हुन्छन्, त्यसमा आवश्यक जनशक्ति र बजेट समेटेर मात्र योजना गर्नु अत्यावश्यक छ । जसरी कमजोर संरचनाका कारण भूकम्पको जोखिम हुन्छ, त्यसरी नै कमजोर प्रणालीहरू बन्दा साइबर हमलाको जोखिम र त्यसबाट हुने क्षतिको मात्रा पनि त्यति नै गुणात्मक हुन जान्छ । जसरी साइबर अपराध, ह्याकिङ तथा साइबर हमलाको रोकथामका लागि नयाँ उपायहरू अवलम्बन गरिँदैछ र सोही अनुसार प्रविधिहरू विकास हुँदै छन्, ह्याकरहरूले त्योभन्दा अझ शसक्त उपाय तथा प्रविधिहरूको विकास तथा प्रयोग गरेको देखिन्छ ।
हाल नेपालको कानूनी तथा सांगठनिक संरचना हेर्दा सम्भावित जोखिमको आँकलन, अनुगमन र व्यवस्थापन तथा प्रतिक्रिया विकास गर्ने कार्यमा कुनै निकाय यसमा जिम्मेवार देखिदैन । सरकारले हालसम्म भएका कानूनी तथा नीतिगत व्यवस्थाको पुनरावलोकन गर्ने र थप शसक्त बनाउन, कानूनी प्रावधान अनुसारको संस्थागत विकास यथाशीघ्र गर्न, भएका व्यवस्थाहरूको प्रभावकारी कार्यन्वयनमा जोड दिन अनिवार्य छ ।
बढ्दो सूचना प्रविधिको प्रयोगले साइबर अपराध तथा आक्रमण पूर्ण रुपमा रोक्न नसकेपनि सूचना प्रविधिसँग सम्बन्धित संरचना निर्माण तथा सञ्चालनमा साइबर सुरक्षाको पाटो प्राथमिकतामा पर्नु पर्छ । सूचनाको महत्त्वको आधारमा प्रणालीहरूलाई वर्गीकरण गरी सार्वजनिक सेवा तथा आर्थिक कारोबार हुने प्रणालीको सुरक्षामा साइबर सुरक्षा उच्च प्राथमिकतामा राख्नु पर्छ । डिजिटाइजेसन र डिजिटलाइजेसनको कामहरू चलिरहेका छन् ।
सरकारका नीति तथा कार्यक्रममा सरकारी सेवा ‘क्याशलेस’ र ‘पेपरलेस’ गर्ने बारे कुरा आइरहँदा साइबर सुरक्षाको विषयलाई गौण राखियो भने निकट भविष्यमा साइबर हमलाका कारण ठूलो मूल्य चुकाउनुपर्ने अवस्था आउन सक्छ । तर यो जोखिमपूर्ण साइबर स्पेसलाई जोगाउने रणनीति, संरचना, जनशक्ति तथा कानूनी पक्षहरू हालसम्म अत्यन्तै कमजोर अवस्थामा छन् ।
(लेखक रिजाल इण्टिग्रेटेडआईसीटी प्रालिका प्रमुख कार्यकारी अधिकृत (सीईओ) हुन् ।)
