close

साइबर सुरक्षा विधेयकको मस्यौदाः लाइसेन्स बिना साइबर सुरक्षाको काम गर्न नपाइने ? 

टेकपाना टेकपाना

जेठ ३१, २०७९

साइबर सुरक्षा विधेयकको मस्यौदाः लाइसेन्स बिना साइबर सुरक्षाको काम गर्न नपाइने ? 

काठमाडौं । साइबर सुरक्षा गर्ने सम्बन्धमा बनेको विधेयक मस्यौदा सार्वजनिक भएको छ । नेपाल दूरसञ्चार प्राधिकरणले सोमबार विधेयक उपरको छलफल तथा अन्तरक्रिया कार्यक्रम मार्फत मस्यौदा सार्वजनिक गरेको हो ।

विज्ञ तथा सरोकारवालाहरूले उक्त विधेयकको मस्यौदाले साइबर सुरक्षा र कानूनी मान्यतालाई नै आत्मसाथ गर्न नसकेको प्रतिक्रिया दिएका छन् । विधेयकले कम्प्युटर प्रणालीलाई मात्र केन्द्रित हुँदा अहिलेको विश्वमा इन्टरनेटमार्फत हुने साइबर आक्रमण र त्यस उपरको साइबर असुरक्षालाई समेट्न सकेको छैन ।

परिभाषा खण्डमा “साइबर सुरक्षा भन्नाले कम्प्युटर वा कम्प्युटर प्रणालीलाई अनधिकृत पहुँच वा आक्रमणबाट सुरक्षित राख्न सकिने अवस्थालाई सम्झनु पर्छ” भनिएको छ । जुन परिभाषा अपुरो र वर्तमान साइबर संसारका लागि अर्थहीन तुल्य भएको सरोकारवालाको टिप्पणी थियो ।

नेपाल प्रहरीका पूर्व डीआईजी राजीव सुब्बाले इन्टरनेटको पाटो छुटाएर बनाइएको विधेयकलाई साइबर सुरक्षा विधेयक भन्नै नसकिने बताए ।

“विधेयक मस्यौदा जति विस्तृत किसिमले आउनु, त्यसरी तयार हुनै सकेको देखिएन । यदि स्थानीय कम्पनीहरूलाई जिम्मेवार बनाउन खोजिएको हो भने अहिले विद्यमान कानून नै पर्याप्त छन्, त्यसका लागि छुट्टै विधेयक आवश्यक नै छैन,” उनले भने ।

“साइबर आक्रमण इन्टरनेटमार्फत हुने विषय हो । त्यसैले बाह्य आक्रमण र अन्तर्राष्ट्रिय स्तरमा मुद्दा चलाउनेसम्मका विषयवस्तु यसमा समेट्नुपर्ने हुन्छ ।” सञ्चार तथा सूचना प्रविधि मन्त्री ज्ञानेन्द्रबहादुर कार्कीले सूचना प्रविधिको विकासले विश्व नै गाउँमा रूपान्तरित भएको बेला साइबर सुरक्षालाई बेवास्ता गरेर सुरक्षित रहन नसकिने बताए ।

“यो बम बारुदबाट प्रभाव जमाउने भन्दा पनि साइबर आक्रमण गरेर प्रभाव जमाउने बेला हो, ” उनले भने । त्यस्तै रक्षा मन्त्रालयकी कानून उपसचिव कल्पनाकुमारी खतिवडाले विधेयक कानूनको आधारभूत संरचनामा समेत नभएको टिप्पणी गरिन् ।

“यो विधेयक कानूनको मान्छेले बनाएको जस्तो देखिँदैन,” उनले भनिन्, “सायद कानून पढेको तर कानूनमा काम नगरेका व्यक्तिहरूले यो मस्यौदा तयार पारेको जस्तो देखिन्छ ।” आईटी विज्ञ विवेक राणाले साइबर सुरक्षाको क्षेत्रमा काम गर्न लाइसेन्स अनिवार्य गर्ने कुरा उचित नभएको प्रतिक्रिया दिए ।

“साइबर सुरक्षाको अडिटिङ गर्ने कार्य पेसा हो । यदि व्यवसायको रूपमा गर्ने हो भने त्यसका लागि लाइसेन्स लिनुपर्ने व्यवस्था ठिकै हुन्छ,” उनले भने, “तर पेसाकै लागि लाइसेन्स लिने भन्ने कुरा ठीक होइन ।”

लाइसेन्स अनिवार्य गर्दा अन्तर्राष्ट्रिय रूपमा ख्यातिप्राप्त तथा लोकप्रिय सफ्टवेयर तथा टुलहरू नेपालमा प्रयोग गर्ने सन्दर्भमा समेत समस्या आउन सक्ने उनको चिन्ता छ । 

साइबर सुरक्षा केन्द्रको व्यवस्थाः 

विधेयकमा देशभित्र रहेका कम्प्युटर वा कम्प्युटर प्रणालीलाई साइबर सुरक्षा प्रदान गर्न सोसँग सम्बन्धित अन्य कार्य गर्न राष्ट्रिय साइबर सुरक्षा केन्द्रको स्थापना गरिने व्यवस्था विधेयकमा प्रस्ताव गरिएको छ ।

विधेयकअनुसार स्वशासित संस्थाको रूपमा रहने यस्तो केन्द्रले साइबर सुरक्षाको निरीक्षण तथा अनुगमन, साइबर प्रतिरक्षा, साइबर सुरक्षा मापदण्ड बनाउने, कम्प्युटर हार्डवेयर तथा सफ्टवेयरको मापदण्ड निर्धारण गर्ने, जनचेतना अभिवृद्धि गर्ने लगायतका कामहरू गर्नेछ ।

सञ्चारमन्त्रीको अध्यक्षतामा राष्ट्रिय साइबर सुरक्षा समितिको गठनः राष्ट्रिय साइबर सुरक्षा केन्द्रको उद्देश्य प्राप्ति तथा केन्द्रको समग्र काम कारबाही सञ्चालन, रेखदेख र प्रबन्ध गर्न सञ्चार तथा सूचना प्रविधि मन्त्रीको अध्यक्षतामा राष्ट्रिय साइबर सुरक्षा समितिको प्रस्ताव गरिएको छ ।

स्वशासित रहने भनिएको केन्द्रको सञ्चालक समिति नै मन्त्रीको अध्यक्षतामा रहने व्यवस्था आफैँमा विरोधाभाषपूर्ण छ । नौ सदस्यीय हुने भनिएको यो समितिमा आठ जना पदेन र तीन जना साइबर सुरक्षा सम्बन्धी सेवाप्रदायक संस्थाबाट सरकारले मनोनयन गर्ने उल्लेख छ । 

केन्द्रको सीईओ हुन ४० वर्ष पूरा गरेकै हुनुपर्ने

साइबर सुरक्षाको क्षेत्र कम उमेरका युवाहरूको संलग्नता र विज्ञता रहने क्षेत्र हो । तर राष्ट्रिय साइबर सुरक्षा केन्द्रको प्रमुख कार्यकारी अधिकृत (सीईओ) का लागि भने ४० वर्ष पूरा गरेका व्यक्तिले मात्र योग्यता राख्ने व्यवस्था प्रस्तावित छ ।

अवकास प्राप्त सचिव तथा सहसचिवहरूलाई जागिर खुवाउने जस्तो गरी केन्द्रको सीईओ तथा सदस्यको योग्यता निर्धारण गरिएको पूर्व डीआईजी तथा इन्फो डेभलपर्सका सीओओ डा राजीव सुब्बाको टिप्पणी छ । “यदि साइबर सुरक्षाकै लागि हो भने उमेरहद ४० माथि होइन, ३० माथि राख्नुपर्ने हुन्छ,” उनले भने । 

साइबर सुरक्षाको सेवा दिन अनिवार्य लाइसेन्स लिनुपर्ने

विधेयकले साइबर सुरक्षा सम्बन्धी सेवा उपलब्ध गराउन राष्ट्रिय साइबर सुरक्षा केन्द्रबाट अनिवार्य रूपमा अनुमतिपत्र लिनुपर्ने व्यवस्था गरेको छ ।

जसअनुसार अनुमतिपत्र नलिएको व्यक्तिले अर्को व्यक्तिको कम्प्युटर वा कम्प्युटर प्रणालीको साइबर सुरक्षा जोखिमको स्तर पत्ता लगाउने प्रयोजनका लागि त्यसमा भण्डारण गरिएको, प्रशोधन गरिएको वा प्रसारण गरिएको कुरा प्राप्त, पहिचान वा स्क्यान गरी अनुगमन गर्ने सेवा दिन पाउने छैन ।

साथै कम्प्युटर वा कम्प्युटर प्रणालीको साइबर सुरक्षा कमजोरी निर्धारण, परीक्षण वा मूल्याङ्कन गर्न प्रदान गरिने अडिटिङ सेवाका लागि समेत लाइसेन्स अनिवार्य गरिएको छ ।  

संवेदनशील सूचना पूर्वाधारमाथिको छेडखानी मात्रै साइबर अपराध ?

विधेयक मस्यौदामा संवेदनशील सूचना पूर्वाधारको सूची नै तयार गरी त्यस उपरको छेडखानी तथा हानी नोक्सानीलाई मात्रै गम्भीर साइबर अपराधको मुद्दाको रूपमा व्याख्या गरेको छ । जसमा ऊर्जा, सूचना तथा सञ्चार, खानेपानी, स्वास्थ्य, बैंक तथा वित्त, सुरक्षा तथा आपतकालीन सेवा, नागरिक उड्डयन, सरकार सञ्चालन, सञ्चार माध्यम र डेटा सेन्टर समावेश गरिएको छ ।

यस्ता अत्यावश्यक कम्प्युटर वा कम्प्युटर प्रणाली अविच्छिन्न रुपमा अत्यावश्यक सेवा पुर्‍याउन आवश्यक रहेको र त्यसमा क्षति पुग्न गएमा वा कुनै किसिमको सम्झौता गरिएमा अत्यावश्यक सेवाको उपलब्धतामा प्रभाव पर्न सक्ने विधेयक मस्यौदामा उल्लेख छ । यस्ता संवेदनशील सूचना पूर्वाधार धनीहरूले केन्द्रले तय गरेका शर्त तथा मापदण्ड पालना गर्नुपर्ने, माग गरेको जानकारी उपलब्ध गराउनुपर्ने, साइबर सुरक्षाका घटनाको जानकारी दिनुपर्ने, साइबर सुरक्षा अडिट तथा जोखिम मूल्याङ्कन गराउनुपर्ने व्यवस्थाले विधेयक अधिकांश भाग समेटेको ।

साइबर सुरक्षा जोखिम तथा घटनाको प्रतिरक्षा सम्बन्धी व्यवस्थालाई छुट्टै परिच्छेदमा राखिएको छ । जसमा साइबर सुरक्षा जोखिम वा घटना सम्बन्धी जानकारी प्राप्त भएमा केन्द्रले त्यसको बारेमा समीक्षा वा मूल्याङ्कन गर्न साइबर सुरक्षा अधिकृत तोक्न सक्ने र गम्भिर प्रकृतिका साइबर सुरक्षाका घटना नियन्त्रणमा वरिष्ठ दर्जाको साइबर सुरक्षा अधिकृतलाई चेकजाँच तथा अनुसन्धानको जिम्मेवारी दिने व्यवस्था उल्लेख छ ।

त्यस बाहेक प्रयोगकर्ताको सुरक्षा, प्रयोगकर्ताको डेटा सुरक्षा, फिशिङ, डेटा चोरी, सामाजिक सञ्जालमार्फत गरिने चरित्र हत्या, व्यक्तिगत उपकरणमाथिको अनधिकृत पहुँच रोकथाम लगायतका महत्त्वपूर्ण विषयहरू भने विधेयकले समेट्न सकेको छैन ।

नेपाल दूरसञ्चार प्राधिकरणका निर्देशक विजयकुमार रोयले विधेययमाथिको छलफल तथा अन्तरक्रिया कार्यक्रममा स्वागत मन्तव्य दिँदै विश्वभर, स्पाम, फिशिङ, सोसल इन्जिनियरिङ, सामाजिक सञ्जालबाट हुने चरित्रहत्या, गाली गलौच आदि जस्ता घटना बढेको दृष्टान्त दिएका थिए ।

तर त्यस्ता घटनालाई विधेयक मस्यौदाले भने सम्बोधन गरेको छैन ।  छुटेका विषयहरू समेट्दै जाने उद्देश्यले नै छलफल तथा सुझाव लिन थालिएको निर्देशक रोयले बताए । “सबै कुराहरू विधेयकले मात्रै नसमेट्न सक्छ,” उनले भने, “यस्तोमा हामीले विभिन्न नियमावली तथा निर्देशिका समेत बनाउनुपर्ने हुन्छ ।”