कस्तो हुनुपर्छ राष्ट्रिय साइबर सुरक्षा नीति ?

सरोकारवाला पक्षहरुले साइबर सुरक्षाको महत्व भएको र नेपालले साइबर सुरक्षाको विषयमा कुनै ठोस नीति धारण नगरेको भनी सदैव सरकारलाई झक्झक्याई रहेको परिवेशमा ढिलै भएतापनि नेपाल सरकार सञ्चार तथा सूचना प्रविधि मन्त्रालयले राष्ट्रिय साइबर सुरक्षा नीति, २०७८ को मस्यौदा तयार गरी उक्त मस्यौदामा राय, सुझाव, पृष्ठपोषण उपलब्ध गराउन अनुरोध गरेको छ ।

नीति मस्यौदा गर्ने कार्य र सरोकारवालासँग राय, सुझाव माग भएको कार्य प्रशंसायोग्य नै रहेको छ । सरकारले सरोकारवालासँग सार्वजनिक राय माग गरेको अवस्थामा कुनै राय नदिने र नीतिले पूर्णता पाइसकेपश्चात यो भएन र त्यो भएन भन्नुभन्दा सरकारले माग गरेको बेला आफ्ना सरोकार व्यक्त गर्नु नै नागरिकको कर्तव्य हो भन्ने ठानी प्रस्तुत सुझाव दिएको छु ।

समाजको परिवर्तनसँगै सरकारले यो नीति आवश्यक रहेको छ भनी मस्यौदा तयार गरी अन्तिम रुप दिएको कार्य सराहनीय रहेको छ र यो मस्यौदा हेर्दा यसका मस्यौदाकारहरुले विभिन्न मुलुकको ‘बेस्ट प्राक्टिसेस’ हरुलाई समेत सुक्ष्म अध्ययन गरी मस्यौदा तयार गरिएको छ, जुन स्वागतयोग्य रहेको छ । नीति आफैैंमा सबै कुरा होइन । यसमा सबै कुरा समेटिएको हुँदैन ।

यसबाट सारवान र कार्यविधिगत व्यवस्थाको अपेक्षा गर्नु गलत नै हो । साइबर सुरक्षा नीतिले नेपाल सरकारले भोलिको दिनमा साइबर सुरक्षाको क्षेत्रमा काम गर्दा वा बजेट विनियोजन गर्दा एउटा मार्गदर्शनको रुपमा मात्र काम गर्ने हो । यो नीतिले कुनै पनि सारवान हक, अधिकार, कर्तव्यको कुरा नगरी सरकारले अवलम्बन गर्ने मार्ग के हुने भन्ने मात्र प्रश्नको उत्तर दिन्छ ।

नीति मस्यौदाको सम्बन्धमा मेरो निम्न बमोजिम धारणालाई राय, सुझाव, पृष्ठपोषण रहेका छन् :

? यो मस्यौदा नीतिलाई सूचना सुरक्षा नीति नभनी साइबर सुरक्षा नीति भन्नु को कारण के हो ? यसमा रहेका कतिपय नीति त तथ्यांक, सूचना लगायतका सूचना सुरक्षाका यावत पक्षको बारेमा विस्तृत कुरा गरेको छ ।

? यो नीतिले नेपालको बदलिएको संरचनालाई किन उपेक्षा गरेको ? स्थानीय र प्रदेश सरकार बारे किन मौन ? संविधानअनुसार सुरक्षा, विज्ञान तथा प्रविधि, अनुसन्धान भनेको साझा सूचीमा रहेको विषय भएतापनि संरचनामा रहेको मौनता को औचित्य देखिएन ।

? यो राष्ट्रिय नीति हो । कुनै निकायले कुनै विशेष व्यवसायको सुरक्षालाई जारी गरिएको नीतिलाई उल्लेख गर्नु के जरुरी ? दुरसञ्चार प्राधिकरणको नियमावलीलाई Recognize दिनुपर्ने र नेपाल राष्ट्र बैंक वा बीमा समितिले गरेको कार्यलाई उपेक्षा गर्नुपर्ने कारण के हो ?

? नीतिमा धेरै सरोकार राख्नुपर्ने विषय समावेश गरिएको भएतापनि यो नीतिले राष्ट्रिय सुरक्षा र राष्ट्रिय प्रतिरक्षाको विषयमा मौन रहेको छ । साइबर सुरक्षा भनेको राष्ट्रिय सुरक्षाको विषय वा राष्ट्रिय प्रतिरक्षाको विषय हो भन्न नेपाल सरकार नीतिगत रुपमा तयार नरहेको हो वा यो आवश्यक होइन ?

? कानुन निर्माण गर्ने र कानुन परिमार्जित गर्नुपर्छ भन्ने विषयमा नीति केन्द्रित रहेको भएता पनि हालको समस्या र चुनौतीको विषयमा वर्तमान अवस्थामा कानुन अपुग रहेको वा कानुनी रुपमा चुनौती रहेको छ भनी उल्लेख गर्न नीति मस्यौदाकारले कन्जुस्याई गरेका छन् ।

? यो नीति भावी पुस्ताको लागि इतिहास हो । यो दस्तावेज सरकारले ल्याउनुपर्ने आधार कारणबारे भावी पुस्ताले यो दस्तावेज हेरेर थाहा जानकारी पाउनुपर्दछ । यो नीति किन निर्माण गरियो ? समाजमा समस्या भएर आवश्यकता भएर हो वा भोलि समाजमा आउने समस्यालाई सम्बोधन गर्न अग्रिम तयारीको रुपमा हो ? के को लागि वा कस्ता समस्या आइपरेर यो नीति निर्माण गरिएको हो सोको जानकारी दिन सक्नुपर्दछ ।

? Confidentiality, Integrity, Availability and Authenticity त उल्लेख भयो, तर non-repudiation and accountability को कुनै उल्लेख भएन । non-repudiation and accountability प्रत्याभूत गर्न सकिएन वा प्रत्याभूत गर्न नीति लिइएन भने सबैले अरुलाई दोषारोपण गर्ने र समस्या समाधान नहुने अवस्थाको विद्यमनता हुन्छ ।

? दीर्घकालिन सोचबारेमा नेपाललाई अन्तराष्ट्रिय समुदायका लागि भरपर्दो, सुरक्षित एवम् लचिलो साइबर स्पेस बन्ने सोच राख्न किन कन्जुस्याईं ?

? लिइएको लक्ष्यप्राप्तिको समय अत्यन्त धेरै भयो । कानुन बनाउन तीन वर्षको समय किन र कस्तो मापदण्डको आधारमा उल्लेख गरिएको हो ? कानुन बनाउन पाँच वर्ष नभई तीन वर्ष नै किन ? नीतिमा उल्लेख भएका हरेक कुराको औचित्यता पुष्टि हुनुपर्दछ ।

? रणनीतिमा धेरै कुरा उल्लेख भएतापनि पहिलो र सबैभन्दा महत्वपूर्ण रणनीती मौजुदा कानुनी व्यवस्था कार्यान्वयन गर्ने नीति रणनीति र कार्यनीतिको रुपमा लिनुपर्दछ । हालको विद्युतीय कारोबार ऐनले परिकल्पना गरेको सूचना प्रविधि न्यायाधीकरण, पुनारेवदन न्यायाधीकरण र वैयक्तिगत गोपनीयता कायम गर्ने ऐनले परिकल्पना गरेको तोकिएको निकाय वा अधिकारीको विषय कार्यान्वयन गरिएको छैन ।

विद्युतीय कारोबार ऐनले उक्त ऐनअन्तर्गतको कसुरको अनुसन्धानमा अनिवार्य विज्ञको परामर्श लिनुपर्ने व्यवस्था गरेको छ । यी कानुनी व्यवस्थाहरु कार्यान्वयन भएको छैन । कार्यान्वयन नहुँदा कानुनी व्यवस्था र कानुनले परिकल्पना गरेको भन्दा विल्कुल फरक कुरा भइरहेको छ । यी मौजुदा कानुनी व्यवस्था कार्यान्वयन गर्नुपर्ने कार्यनीति लिन किन कन्जुस्याई ?

? तथ्यांकहरुको संकलन, प्रशोधन, प्रयोग तथा भण्डारणबारे नीतिले रणनीति लिएको भएतापनि सूचना मेटाउने, सूचना त्याग्ने लगायतका विषयमा मौन ।

? नीतिको विभिन्न विषयमा साइबर जोखिमबाट सुरक्षित रहन तथा जोखिमलाई न्यूनीकरण गर्न राष्ट्रिय तथा अन्तर्राष्ट्रिय समुदायसँग सहकार्य गर्ने उल्लेख भएतापनि सहकार्य जोखिममा मात्र सीमित नभई साइबर आक्रमण पूर्व तथा पश्चातको सम्पूर्ण अवस्था (पूर्व तयारी, प्रतिरक्षागत तयारी, प्रमाण संकलन, प्रमाण आदान प्रदानसमेत) मा सहकार्य जरुरी रहेको छ ।

? पारस्परिक कानुनी सहायता, सुपुर्दगी सम्बन्धी सन्धि सम्झौता, अन्तर्राष्ट्रिय सन्धि सम्झौताको पक्ष राष्ट्र हुने ।

? अन्तर्राष्ट्रिय दस्तावेजको रुपमा युरोपियन युनियनको हाल अन्तर्राष्टिय दस्तावेज रहेको, सँगै रुसले छुट्टै कानुनको निर्माण गरिरहेको, र सँगै संयुक्त राज्य अमेरिकाले समेत अन्तर्राष्ट्रिय दस्तावेज निर्माण गर्न लागिरहेको अवस्थामा विरोधाभाषपूर्ण अन्तर्राष्ट्रिय सन्धिहरु रहेको अवस्थामा कुन चाँहिको पक्ष नेपाल हुने वा पक्ष राष्ट्र हुँदा के मा विचार गर्ने नीति धारण गर्ने हो भन्ने नीतिमा स्पष्ट व्यवस्था गरिनुपर्दछ ।

? साइबर सुरक्षा तथा डिजिटल फरेन्सिकको विषय नीतिमा राखिएको छ । यो फोरेन्सिक विषय नीतिमा राख्नु जरुरी छ र ? यदि छ भने डिजिटल फोरेन्सिकको प्रोटोकोल निर्माण गर्ने छ भन्ने नीति लिन जरुरी रहेको छ । प्रोटोकोल निर्माण गर्ने नीति लिनु आवश्यक रहेको छ । विगतमा सुरक्षा निकायले कुनै पनि रोकावट बिना नागरिकको फोनको कलडिटेल लिइन्थ्यो । त्यो कार्यलाई अदालतले हस्तक्षेप गरेर एककिसिमको प्रोटोकोल निर्माण गरिदियो । हाल वैयक्तिक गोपनियता कायम गर्ने ऐन नै आयो ।

डिजिटल फोरेन्सिकलाई प्रबद्र्धन गर्दै जाँदा यदि कुनै सीमितता नहुने हो भने अनुसन्धानकर्तालाई फोरेन्सिकमा के नियमन गर्ने ? फोरेन्सिक अनुसन्धानको कार्यमा हुने अवैध कार्य के ले नियमन गर्ने ? फोन कल डिटेल हेर्न अदालतको अनुमति चाहिने, कुनै घटनास्थल मुचुल्का तयार गर्न जाँदा स्थानीय प्रतिनिधि वा बद्र भलाद्दमी राख्नु पर्ने तर प्रतिवादी पक्राउ गर्नासाथ डिभाइस सिज गरेर डिभाइस मा अनुसन्धान गर्न वा फोरेन्सिक अनुसन्धान गर्दा केहि गर्नु नपर्ने ? सबै गर्ने नीतिले त होइन । तर प्रोटोकलचाँहि बनाउन परिकल्पना गर्नुपर्छ ।

? साइबर सुरक्षाको विषय पाठ्यक्रममा समावेश गर्ने भनी उल्लेख गरिएको भएतापनि कुन तहका विद्यार्थीलाई हो ? माध्यमिक विद्यालय कि उच्च माध्यमिक तहका विद्यालय ? विद्यार्थीलाई सडकमा कसरी सुरक्षित हुने भन्ने कुरा सिकाइन्छ, हिँड्दाको न्युनतम सुरक्षा बारे सिकाइन्छ, बाटो काट्दा दायाँ बाँया हेरेर काट्नु पर्दछ भनी सिकाइन्छ भने साइबर स्पेसमा कसरी सुरक्षित हुने भन्ने सिकाउन जरुरी छ ।

? साइबर सुरक्षाको विषयमा पाठ्यक्रम विकास सँगै साइबर कानुन, साइबर अनुसन्धान, साइबर प्रतिरक्षा र साइबर डिफेन्समा समेत पाठ्यक्रम विस्तार जनशक्ति विकास गर्नुपर्दछ ।

? सुरक्षा परिक्षण (Security Audit) गर्नुपर्छ भन्ने नीति लिइएकोमा सो नीतिको कार्यान्वयन Formalistic नहोस् भन्नको लागि सुरक्षा परीक्षणको मापदण्ड समेत तोकिने नीति धारण गर्नुपर्ने हो कि ? नभए सुरक्षा परिक्षण गर्नुपर्ने भन्ने व्यवस्था गरिन्छ र हालको बैंकले गरे जस्तो परिक्षण हुन्छ, गरियो ? भन्दा गरेँ ।

? यो नीतिमा फेक न्युज, उत्पिडन लगायतका विषय प्रस्तुत नीतिमा कुनै पनि रुपमा सान्दर्भिक छैनन् । सबै कुरा राख्ने हो भने अदालतले ‘हेट स्पिच’ मा पनि कानुन बनाउनु भनिएको छ । त्यलाई पनि नीतिमा राखौँ ।

? cyber attack resulting into child pornography, terrorism लगायत का विषयमा नीतिगत रुपमा सरकारले भिन्न नीति लिनुपर्दछ ।

? त्यसैगरी नीतिगत व्यवस्था गर्दा सामान्य पूर्वाधार र संवेदनशील पूर्वाधारलाई नीतिगत रुपमा छुट्याई हेर्नुपर्दछ ।

? नीतिले साइबर सुरक्षाको धेरै कुरा गरिएको भएतापनि प्रतिरक्षाको विषयमा मौन छ । नेपालले वा नेपाल सरकार अन्तर्गतका निकायले कुनै आक्रमण वा चुनौती निराकारण गर्न प्रतिरक्षाको कार्य गर्ने कि नगर्ने ? नीतिगत स्पष्टता आवश्यक रहेको छ ।

? बौद्धिक सम्पत्तिको छुट्टै नीति छ त, यो नीतिमा बौद्धिक सम्पत्तिलाई त्यस किसिमबाट राखिनुको औचित्य छैन । कि त सूचना प्रविधिको माध्यमा हुने बौद्धिक सम्पत्ति भनेर विशिष्टिकृत नीति अवलम्बन गर्नुपर्दछ ।

? कानुन र न्यायिक प्रणाली कुनै पनि नीति निर्माण र नीति कार्यान्वयनमा अत्यन्त महत्वपूर्ण रहन्छ । निर्देशक समिति र समन्वय समितिमा महान्यायाधिवक्ता कार्यालयको प्रतिनिधिलाई समेत राखिनुपर्दछ । कानुन कार्यान्वयन र अनुसन्धान गर्ने निकायको सुपरिवेक्षणको जिम्मेवारी रहेको महान्यायाधीवक्ता कार्यालयलाई समेत राख्न जरुरी हुन्छ । सो निकायलाई छुट्याउँदा कानुन कार्यान्वयन र अदालतमा उपचारको कार्यमा कमजोरी भइरहेको देखिएको छ ।

? निरन्तररुपमा भइरहेको आक्रमण र पीडित बनाईरहेको कार्यलाई तुरुन्त रोख्न आवश्यक पूर्वाधार, संरचना, कानुनी व्यवस्था लगातका कार्य गर्ने नीति अवलम्बन गर्नु आवश्यक रहेको छ ।

? यो नीतिसँग सम्बन्धित अन्य नीतिहरु के के छन् पहिचान गर्नु पर्दछ, जस्तै सूचना प्रविधि नीति, बाैिद्धक सम्पत्ति नीति, राष्ट्रिय सुरक्षा नीतिसँग समन्वय गरी नीति निर्धारण गर्नुपर्दछ ।

? यो नीतिले सार्वजनिक सुरक्षा, साइबर सुरक्षा, तथ्यांक सुरक्षा, सूचना आदानप्रदान, इन्टरनेट स्वतन्त्रता लगायतका आयामहरुसँग Balance गर्न आवश्यक रहेको छ ।

? नीतिमा उल्लेख भएको निर्देशक समिति र समन्वय समिति आवश्यक रहेतापनि सारभूत दायित्व र केही हदसम्म अधिकार समेतको रुपमा व्यवस्था गरिएको Working Group/NITERT को व्यवस्था गर्नु आवश्यक छ र ? नीतिले यस किसिमको सारवान व्यवस्था गरिँदैन । यसको व्यवस्था गरिनेछ भन्ने सम्म उल्लेख गरी सो सम्बन्धमा अन्य दस्तावेज ल्याउन आवश्यक रहेको छ ।

? अन्त्यमा, रहेको जोखिममा हाल देखिएको र माथि वर्णन गरिएको कानुन कार्यान्वयन नहुने जोखिमलाई समेत स्वीकार गर्नु पर्दछ । निर्माण र लागू गरिएको कानुन नै कार्यान्वयन नभएको अवस्था रहेको मा सो कुरालाई हृदयंगमन गर्नुपर्दछ ।

? यो नीति को कार्यान्वयन Prioritized Approach को तवरबाट गरिनुपर्ने नीति लिन आवश्यक छ ।

(लेखक सुवेदी अधिवक्ता हुन् ।)

पछिल्लो अध्यावधिक: असोज २, २०७९ २२:३१

टिप्पणीहरू