close

अनिवार्य भएपछि मात्रै साइबर सुरक्षा अडिट, कतिपय नियामक अझै बेखबर

टेकपाना टेकपाना

बैशाख ८, २०७८ ७:२७

अनिवार्य भएपछि मात्रै साइबर सुरक्षा अडिट, कतिपय नियामक अझै बेखबर

काठमाडौं । संवेदनशील निकाय तथा कम्पनीहरु अझै साइबर सुरक्षा अडिट बाहिर रहेको पाइएको छ । वित्तीय, बीमा र दूरसञ्चार क्षेत्रमा साइबर सुरक्षा अडिट अनिवार्य भए पनि अस्पताल, ईकमर्स, आईटी कम्पनीहरु भने यसको दायरामा आउन सकेका छैनन् ।

कोभिड १९ को महामारीले डिजिटल प्रविधि अपनाउनुपर्ने बाध्यतात्मक परिस्थिति निर्माण गरिदिएको छ । जसले गर्दा हरेक क्षेत्रमा सूचना प्रविधिको प्रयोग बढ्दै गएको छ । प्रविधिको प्रयोग बढ्दै जाँदा त्यसको सुरक्षाको चिन्ता समेत प्रमुख हुन थालेको हो ।  

साइबर सुरक्षा अडिट तथा सेक्युरिटी एसेसमेन्ट गराउने कार्यमा सार्वजनिक र सरकारी क्षेत्रको तुलनामा निजी क्षेत्र अझ पछाडि देखिएको छ । साइबर अपराधको शिकार भइसकेपछि मात्रै निजी क्षेत्रले यसप्रति चाँसो देखाउने गरेको विज्ञहरुको बुझाई छ । 

हाल नेपालमा क्षेत्रगत हिसाबले बैंक तथा वित्तीय क्षेत्र, बीमा र दूरसञ्चार तथा इन्टरनेट क्षेत्रमा मात्रै साइबर सुरक्षा अडिट अनिवार्य छ । नेपाल राष्ट्र बैंक, बीमा समिति र नेपाल दूरसञ्चार प्राधिकरणले लिएको अग्रसरताका कारण यतिसम्म सम्भव भएको हो । 

बैंक तथा वित्तीय क्षेत्रलाई स्वीफ्ट ह्याक तथा एटीएम ह्याक जस्ता घटनाले र दूरसञ्चार क्षेत्रलाई इन्टरनेट सेवाप्रदायक कम्पनी भायनेटमाथिको साइबर आक्रमणले साइबर सुरक्षा अडिटलाई अनिवार्य गराउन महत्वपूर्ण भूमिका खेलेको छ ।

नेप्सेले समेत साइबर सुरक्षा अडिटको काम सुरु गरिसकेको छ भने नेपाल विद्युत प्राधिकरण त्यसका  लागि टेन्डरको प्रक्रियामा छ । त्यस्तै सूचना प्रविधि विभागले सरकारी वेबसाइटदेखि सिस्टममा भीएपीटी (भल्नरेबिलिटी एसेसमेन्ट पेनिट्रेसन टेस्ट) अनिवार्य गरेको छ ।

अनिवार्य भनेर सर्कुलर गरेपनि धेरैजसो सरकारी कार्यालयहरु यसबाट बेखबर छन् । सरकारी निकायहरुले विभाग वा निजी फर्ममार्फत सेक्युरिटी अडिट गर्न सक्छन् । सरकारी निकायहरुका लागि भीएपीटी सम्बन्धि छट्टै निर्देशिका बनाइरहेको छ भने निजी क्षेत्रमा सचेतनाको रुपमा कार्यक्रम अगाडि बढाउने तयारी रहेको विभागका महानिर्देशक प्रेमशरण श्रेष्ठ बताउँछन् ।

समग्रमा पछिल्लो समय नेपालमा साइबर सुरक्षाको विषयलाई लिएर उल्लेखनीय रुपमा जागरुकता देखिएको साइबर सुरक्षा विज्ञ नारायण कोइरालाको बुझाई छ । ‘पछिल्लो समय नेपालमा साइबर सुरक्षा अडिट उल्लेख्य रुपमा अगाडि बढ्दै गएको देखिन्छ,’ उनी भन्छन् ।  

कोइरालाले स्थापना गरेको कम्पनी इमिनेन्स वेज नेपालमा साइबर सुरक्षा अडिट गर्ने सबैभन्दा पुरानो कम्पनी मध्येको एक हो । ‘हामीले साइबर सुरक्षा अडिटको काम गर्न थालेको ९ वर्ष भयो,’ उनी भन्छन्, ‘सुरुमा हामी आफैं जाँदा पनि यसमा लगानी गर्नुपर्छ भन्ने बुझाई नै थिएन । तर अहिले भने कम्पनी तथा संघसंस्थाहरु आफैं हामीलाई खोज्दै आउन थालेका छन् ।’

सरकारी र सार्वजनिक क्षेत्रमा साइबर सुरक्षा अडिटले केही हदसम्म प्राथिमिकता पाए पनि निजी क्षेत्र भने तुलनात्मक रुपमा निकै पछाडि रहेको विज्ञहरुको अनुभव छ । सामान्यतयाः साइबर सुरक्षाका लागि न्यूनतम पाँच लाख रुपैयाँदेखि एक करोडसम्म रुपैयाँसम्म खर्च लाग्ने गर्दछ । यसका लागि सरकारी तथा सार्वजनिक क्षेत्रमा निश्चित बजेट विनियोजन हुन थालेपनि निजी क्षेत्रले भने यसलाई अनावश्यक खर्चको रुपमा हेर्ने गरेको छ ।

अनिवार्य गरिएका क्षेत्रमा मात्रै साइबर सुरक्षा अडिटको काम बढेको साइबर सुरक्षा कम्पनी थ्रेटनिक्सका सेक्युरिटी इन्जिनियर सुयेश नेपाल बताउँछन् । तर त्यस बाहेकको क्षेत्रमा भने खासै परिवर्तन देखिएको छैन । ‘निजी क्षेत्रमा खर्च गर्न डराउने प्रवृत्ति छ,’ उनी भन्छन्, ‘यसको महत्व थाहा भए पनि उनीहरुको प्राथमिकतामा पर्न सकेको छैन । कुनै दुर्घटना नभई यसलाई आवश्यक नठान्ने समस्या हामीकहाँ छ ।’ 

नियमनकारी निकायले कडाई गरेपछि कारबाहीमा परिने डरले मात्र सेक्युरिटी अडिट गर्न तयार हुने प्रवृत्ति देखिएको छ । तर आफ्नै पहलमा भने सेक्युरिटी अडिट गर्ने संघसंस्थाहरु एकदमै थोरै रहेको विज्ञहरु बताउँछन् । 

साइबर सुरक्षाको टेस्टिङ केही हदसम्म हुने गरेको छ । त्यसमा फायरवाल लगाएपछि ढुक्क बस्ने चलन छ । यस्तोमा अट्याक नआई अडिट नगर्ने परिपाटी नै देखिएको हो ।

साइबर सेक्युरिटी फर्म बिजसर्भ आईटी संस्थापक अभय पौडेल नेपालमा साइबर सुरक्षा अडिटको अभ्यास ‘रेगुलेटर ड्रिभन’ मात्रै रहेको बताउँछन् । ‘यहाँ आफैं आवश्यकता महसुस गरेर अडिट गर्नेहरुको संख्या एकदमै थोरै छ,’ उनी भन्छन्, ‘केही आईटी कम्पनीहरुले एक हदसम्म सेक्युरिटी अडिट गर्ने गरेको भए पनि अन्य निजी क्षेत्रले भने चाँसो नै दिएका छैनन् । सायद इन्सिडेन्ट कम भएर पनि होला ।’

अर्को साइबर सुरक्षा कम्पनी भैरव टेक्नोलोजीका संस्थापक विजय लिम्बु सेक्युरिटीमा लगानी गर्नुपर्छ भन्ने बुझाई नै एकदमै कम रहेको बताउँछन् । उनी अगाडि भन्छन्, ‘संवेदनशील डेटा संकलन गरेर बसिरहेका कम्पनी तथा संघसंस्थाहरु नै यसप्रति सचेत छैनन् । आईटी कम्पनी, अस्पताल, ईकमर्स प्लेटफर्म जस्ता क्षेत्रका नियमनकारी निकायलाई नै त्यसको ज्ञान नभएजस्तो लाग्छ ।’  

त्यसो त नियमनकारी निकायले सेक्युरिटी अडिट अनिवार्य गरेकै क्षेत्रमा समेत समस्या रहेको लिम्बुको बुझाई छ ।  ‘कतिपय सरकारी निकायमा औपचारिकता पुरा गर्नकै लागि अडिट गर्ने प्रचलन छ,’ उनी भन्छन्, ‘मुख्य कुरा सिस्टमको सुरक्षा बढाउन अडिट गर्नुपर्ने हुन्छ । कसैलाई काम दिनुले मात्रै यस्तो उद्देश्य पुरा हुन सक्दैन ।’

अडिट मात्रै गरेर पर्याप्त नहुने भन्दै लिम्बुले सेक्युरिटीका लागि कम्पनी तथा संघ संस्थामा साइबर सेक्युरिटी हेर्ने आफ्नो छुट्टै टिम समेत हुनुपर्नेमा जोड दिए । ‘आफ्नै टिम बनाएर बाहिरबाट टेस्टिङ गराउँदा मात्रै सही प्रतिफल निस्किन सक्छ,’ उनी अगाडि भन्छन्, ‘समग्र रुपमा यसलाई गभर्नेन्सकै तहबाट हेर्न जरुरी छ ।’ 

सेक्युरिटी अडिट गर्नुमात्र ठूलो कुरा नभएको भन्दै विज्ञहरुले नियमनकारी निकायले स्पष्ट गाइडलाइन बनाउनुपर्ने र त्यसलाई पूर्ण रुपमा पालना गराउनुपर्नेमा जोड दिएका छन् । 

पछिल्लो अध्यावधिक: असोज २, २०७९ २२:३१