सरकारी कर्मचारीका लागि आएको साइबर सुरक्षा एड्भाइजरी कत्तिको व्यवहारिक ?

नेपालमा साइबर सुरक्षाको जोखिम बढ्दो छ । यसै सन्दर्भमा राष्ट्रिय साइबर सुरक्षा केन्द्रले सरकारी कर्मचारीका लागि हालै साइबर सुरक्षा एड्भाइजरी (मार्गदर्शन) जारी गरेको छ । साइबर सुरक्षा सम्बन्धी अनुसन्धान तथा विकास, साइबर सुरक्षा प्रवर्द्धन गर्ने मुख्य ध्येयका साथ स्थापना भएको यस केन्द्रले जारी गरेको एड्भाइजरीले सरकारी कार्यालयको पेनड्राइभदेखि पासवर्डको सुरक्षासम्मका विषय समेटेको छ ।

एड्भाइजरीको विस्तृत विश्लेषण गर्दा भने विभिन्न समस्या र चुनौती देखापरेका छन् । राष्ट्रिय साइबर सुरक्षा नीति, २०८० लगायत सूचना तथा सञ्चार प्रविधि प्रणालीको सुरक्षालाई संस्थागत गर्ने उद्देश्यले यो एड्भाइजरी आएको हो । यसले साइबर सुरक्षा अनुसन्धान, विकास, प्रवर्द्धन, पूर्वतयारी, रोकथाम, पहिचान, प्रतिकार्य र पुन:लाभका लागि २४सै घण्टा सम्पर्क निकायको रूपमा काम गर्ने, डिजिटल फरेन्सिक अनुसन्धान गर्ने तथा साइबर सुरक्षासँग सम्बन्धित निकायको नियमनकारी निकायको रूपमा समेत काम गर्ने विषयलाई समेटेको छ ।

यो एड्भाइजरी सरकारी कर्मचारीलाई लक्षित गरी जारी गरिए पनि विस्तृत विश्लेषण गर्दा केही चुनौती देखिएका छन् । एड्भाइजरीमा उठाइएका विषय र यसको कार्यान्वयन पक्षलाई लिएर थप छलफल र सुधारको आवश्यकता देखिन्छ ।

क.   सरकारी कार्यालयको वेबसाइट, एप्लिकेसन, सर्भर र स्टोरेज तथा नेटवर्क सुरक्षा सम्बन्धी

सरकारी कार्यालयले आफ्नो वेबसाइट, एप्लिकेसन, सर्भर, स्टोरेज तथा नेटवर्कको सुरक्षामा ध्यान दिनु आवश्यक छ । यसका लागि एड्भाइजरीको बुँदा नं. १ र ८ मा वेबसाइट सेक्युरिटी अडिट (Website Security Audit) गर्न सुझाव दिइएको छ । सरकारी कार्यालयको वेबसाइट निर्माण सम्बन्धी निर्देशिका, २०७८ को दफा (८) अनुसार वार्षिक रूपमा सेक्युरिटी अडिट गर्नुपर्ने व्यवस्था छ । साथै दफा (९) मा उल्लेख भए अनुसार यस्तो परीक्षणका लागि सूचना प्रविधि विभागबाट आवश्यक प्राविधिक सहयोग लिन सकिनेछ ।

एकीकृत डेटा व्यवस्थापन केन्द्रमा कुनै पनि सूचना प्रविधि प्रणाली होस्ट गर्नु परेमा सूचना प्रविधि विभागबाट सुरक्षा परीक्षण गराउनुपर्ने व्यवस्था छ । यद्यपि सुरक्षा परीक्षण गर्ने निकाय सूचना प्रविधि विभागबाटै हुने भएकाले यस कार्यमा ढिलासुस्ती हुने गरेको छ । यो समस्या समाधानका लागि सूचना प्रविधि विभाग वा राष्ट्रिय साइबर सुरक्षा केन्द्रले कार्यविधि वा मापदण्ड बनाई बैंकहरूमा भए जस्तै तेस्रो पक्ष (कुनै निजी कम्पनी) बाट समेत निष्पक्ष रूपमा सेक्युरिटी अडिट गर्ने व्यवस्था मिलाउनु आवश्यक देखिन्छ । हालको अवस्थामा यो विषय एड्भाइजरीमा मात्र सीमित छ, यसलाई कार्यान्वयनमा ल्याउन जरुरी छ।

एड्भाइजरीको बुँदा नं. १० मा निकायमा प्रयोग भइरहेका ईमेल लगायतका सूचना प्रविधि प्रणालीहरूमा मल्टी-फ्याक्टर अथेन्टिकेसन (Multi-Factor Authentication) को प्रयोगलाई प्रोत्साहन गर्न सुझाव दिइएको छ । तर, सूचना प्रविधि विभाग निर्माण भई कार्यान्वयनमा आएको वर्षौं भइसकेको छ । नेपालका सबै सरकारी कार्यालयले आधिकारिक ईमेल आदानप्रदानका लागि प्रयोग गर्ने केन्द्रीकृत ईमेल प्रणाली (Centralized Email System) मा समेत हालसम्म मल्टी-फ्याक्टर अथेन्टिकेसन (Multi-Factor Authentication) को इन्टिग्रेसन (Integration) गरिएको छैन । यसले गर्दा एउटा सरकारी निकायले निर्देशन दिने र अर्को निकायले त्यसलाई आत्मसात् नगरेको जस्तो देखिन्छ ।

एड्भाइजरीको बुँदा नं. ११ मा ईमेल सर्भिस प्रोभाइडर (Service Provider) ले प्रदान गरेको सेक्युरिटी फिचर (Security Feature) लाई इनेबल (Enable) गर्ने भनी सुझाव दिइएको छ । तर, ईमेल सर्भिस प्रोभाइडर भन्नाले जिमेल (Gmail), आउटलुक (Outlook) लाई मान्ने कि नमान्ने भन्ने स्पष्ट पारिएको छैन । साथै जिमेल, आउटलुक जस्ता ईमेल सर्भिस प्रोभाइडरको प्रयोगमा रोक लगाई सरकारी प्रणालीको उचित व्यवस्थापन गर्दै सरकारी प्रणालीलाई नै प्रयोग गर्नुपर्ने विषयमा केही नखुलेको हुँदा यो बुँदा अस्पष्ट र अपूर्ण रहेको देखिन्छ ।

ख. पासवर्ड व्यवस्थापन तथा सुरक्षा सम्बन्धी

एड्भाइजरीको बुँदा नं. ७ मा पासवर्ड अरू कसैलाई नदिई गोप्य राख्न र पासवर्डलाई सामाजिक सञ्जाल वा अन्य माध्यमबाट आदानप्रदान नगर्न सुझाव दिइएको छ । तर, सरकारी कार्यालयमा प्रयोग हुने विभिन्न सूचना प्रणालीमा नयाँ कर्मचारी आउँदा नयाँ प्रयोगकर्ता थप गर्ने, पासवर्ड बिर्सिँदा पासवर्ड रिसेट गर्नुपर्ने अवस्था हुन्छ । यस एड्भाइजरीमा त्यसरी नयाँ प्रयोगकर्ता बनाउँदा वा पासवर्ड रिसेट गर्दा कुन माध्यम प्रयोग गरी कसरी पासवर्ड हस्तान्तरण गर्ने भन्ने बारेमा कतै पनि सुझाव दिइएको छैन ।

पासवर्ड व्यवस्थापन तथा सुरक्षा सम्बन्धी खण्डमा स्पष्ट नपारिएको तर सरकारी निकायमा हालसम्म चलिरहेको मुख्य समस्या भनेको आईटी एड्मिनिस्ट्रेटर (कम्प्युटर सम्बन्धी काम गर्ने कर्मचारी) ले नै सबै सूचना प्रणालीको अकाउन्ट बनाउने र पासवर्ड पनि आफैँसँग राख्ने चलन हो । यसले गोपनीयता, डेटा सुरक्षामा जोखिम र प्रणालीको दुरुपयोगको सम्भावना बढाउँछ ।

नयाँ अकाउन्ट बनाउनुपर्ने वा पासवर्ड रिसेट गर्नुपर्ने अवस्थामा सम्बन्धित आईटी एड्मिनिस्ट्रेटरले हरेक नयाँ अकाउन्ट बनाइसकेपछि पहिलो पटक लगइन गरेपछि अनिवार्य रूपमा उक्त अकाउन्टको पासवर्ड एक पटक खोल्ने बित्तिकै परिवर्तन गर्नैपर्ने बनाएमा मात्र त्यसरी प्रणालीको दुरुपयोग र डेटा सुरक्षा जोखिम न्यून हुन्छ । तर यस एड्भाइजरीले नयाँ अकाउन्ट बनाउँदा वा पासवर्ड रिसेट गर्दा अपनाउनुपर्ने व्यवस्थाको विषयमा कुनै सुझाव दिएको छैन ।

ग. इन्टरनेट ब्राउजिङ सुरक्षा सम्बन्धी

एड्भाइजरीको बुँदा नं. ४ मा ब्राउजरमा कुनै पनि युजरनेम र पासवर्ड सेभ नगर्ने र बुँदा नं. ५ मा ब्राउजरमा कुनै पनि भुक्तानी सम्बन्धित जानकारी सेभ नगर्ने भनी सुझाव दिइएको छ । तर यी बुँदाले आजकाल गुगल क्रोम, मोजिला फायरफक्स जस्ता ब्राउजरमा नै रहने इन-बिल्ट पासवर्ड म्यानेजरको मात्र नभई कुनै पनि पासवर्ड म्यानेजरको बारेमा केही नसुझाएको हुँदा पासवर्ड म्यानेजर सम्बन्धी अन्योलता मात्र थप्ने देखिन्छ ।

पासवर्ड म्यानेजर मुख्यतः सुरक्षित रूपमा पासवर्ड व्यवस्थापन गर्न, बलियो पासवर्ड सिर्जना एवं पासवर्ड सुरक्षित रूपमा राख्ने कामका लागि प्रयोग गरिन्छ । त्यसैले पासवर्ड म्यानेजरको उचित प्रयोग सम्बन्धी व्यवस्था समेत यस एड्भाइजरीले नगरेको हुँदा सो व्यवस्थालाई समेत यस एड्भाइजरीमा थप गर्नुपर्ने देखिन्छ ।

एड्भाइजरीको बुँदा नं. १० मा संक्षिप्त यूआरएल (Short URL) लिङ्कमा फिसिङ लिङ्क, मालवेयर टुल वा अन्य हानिकारक वेबसाइटमा रिडाइरेक्ट गर्न सक्ने समस्यालाई मध्यनजर गर्दै सावधानी अपनाउन सुझाव दिइएको छ । तर, हाल नेपाल सरकारका विभिन्न निकायका अधिकांश प्रयोगकर्ताले कुनै पनि लिङ्क कसले हेरे, कतिले प्रयोग गरे भन्ने तथ्याङ्क सङ्कलनका लागि शर्ट यूआरएल प्रयोग गर्छन् । र, उक्त लिङ्क बनाउन यूआरएल सर्टनर टूल (Shortener Tool) को प्रयोग गरिरहेका छन् ।

यसरी यो तथ्याङ्क सङ्कलन गर्न सरकारी निकाय स्वयंले कुनै यूआरएल सर्टनर टूल निर्माण गरी अथवा अन्य प्रिभेन्टिभ मेजर (Preventive Measure) को प्रयोग गरी कार्यान्वयनमा ल्याउन सकेमा यस्तो सर्ट यूआरएल लिङ्कको निषेधको सट्टा राम्रो वैकल्पिक प्रयोग हुन सक्छ ।

घ.  ईमेल तथा फिशिङ अट्याक सम्बन्धी सुरक्षा सम्बन्धी

एड्भाइजरीको बुँदा नं. १, २ र ३ मा अपरिचित व्यक्ति तथा संस्थाको ईमेल नखोल्ने, एट्याचमेन्ट नखोल्ने, स्पाम रिपोर्ट गरी डिलिट गर्ने भनिएको छ । यो एकदमै उचित व्यवस्था हो । तर, हालसम्म नेपालमा अधिकांश सरकारी निकायले जिमेलले प्रदान गर्ने निःशुल्क ईमेल सेवा नै प्रयोग गरिरहेका छन् । यसरी आफ्नो कार्यालयको आधिकारिक डोमेन नेम (जस्तैः सरकारी निकायको लागि [email protected]) सहितको ईमेल एड्रेस नै प्रयोग नहुने अवस्थामा अन्तर निकाय वा अन्य कुनै संस्थासँग ईमेल आदानप्रदान गर्न कुन ईमेल एड्रेस आधिकारिक एवं परिचित हो भनी प्रयोग गर्ने भन्ने नै अस्पष्ट देखिन्छ ।

यसका लागि सम्पूर्ण सरकारी निकायले आफ्नो डोमेन नेम सहितको ईमेल एड्रेस अनिवार्य प्रयोग गरी एड्भाइजरीमा समेत उक्त व्यवस्था थप गर्नुपर्ने देखिन्छ । यसरी सरकारी निकायले आफ्नो डोमेन नेम सहितको ईमेल एड्रेस प्रयोग नगर्दा पत्राचार तथा सूचना आदानप्रदान गर्ने क्रममा अथोराइजेसन (Authorization), अथेन्टिकेसन र डेटा इन्टिग्रिटीको जाँच/रुजु गर्न कठिन बनाउँछ र यसले फिसिङ, स्पूफिङ जस्ता आक्रमणको जोखिम समेत बढाउन सक्छ ।

एड्भाइजरीको बुँदा नं. ८ मा रिमोटली कम्पनीको ईमेल खोल्दा सिक्युर्ड भीपीएन (Secured VPN) को प्रयोग गरी सुरक्षित तवरले खोल्ने सुझाव दिइएको छ । तर, यस बुँदामा सिक्युर्ड भीपीएन भनेको कस्तो भीपीएनलाई भन्न खोजिएको हो, स्पष्ट पारिएको छैन । यसका साथै नेपालमा अधिकांश कार्यालयले जिमेल जस्ता निःशुल्क ईमेल सेवाहरूलाई नै आधिकारिक ईमेल एड्रेसका रूपमा प्रयोग गरिरहेका छन् ।

केहीले मात्र नेपाल सरकारद्वारा निर्माण भई कार्यान्वयनमा आएको सेन्ट्रलाइज्ड ईमेल सिस्टम (Centralized Email System) (केन्द्रीकृत ईमेल प्रणाली) प्रयोग गरिरहेका छन् । संगठित संघ संस्था र सुरक्षा निकाय बाहेक अन्य निकायले आफ्नै ईमेल सर्भर प्रयोग गर्ने अवस्था अत्यन्तै न्यून छ । यस्तो अवस्थामा उल्लेखित केन्द्रीकृत ईमेल प्रणालीको लागि हालसम्म एड्मिनिस्ट्रेटर बाहेक अन्य अकाउन्टका लागि समेत न भीपीएन एक्सेस अनिवार्य गरिएको छ न त उपलब्ध नै । यस्तोमा केन्द्रीकृत ईमेल प्रणालीमा पहुँचको लागि भीपीएन अनिवार्य नगर्दा फिसिङ, स्पूफिङ, तथा म्यान-इन-द-मिडल अट्याकको जोखिम समेत बढ्न सक्छ । त्यसैले राष्ट्रिय साइबर सुरक्षा केन्द्रले यो एड्भाइजरी कार्यान्वयनमा ल्याउने पहल गर्ने हो भने सुरुमा सूचना प्रविधि विभाग लगायत सरोकारवालासँगको समन्वयमा केन्द्रीकृत ईमेल प्रणालीको प्रयोगको लागि भीपीएन अनिवार्य गर्नुपर्ने देखिन्छ ।

एड्भाइजरीको बुँदा नं. ९ मा सार्वजनिक स्थानमा राखिएका कम्प्युटरबाट ईमेल लगइन गर्दा उक्त कम्प्युटरमा भएको की लगर (Keylogger) को प्रयोग गरी युजरनेम तथा पासवर्ड चोरी हुन सक्ने भएकाले त्यस्ता कम्प्युटरमा सकेसम्म लगइन नगर्ने, गर्नै परे अन-स्क्रिन किबोर्ड (On-Screen Keyboard) (OSK) को प्रयोग गर्ने भनिएको छ । तर, सार्वजनिक स्थलमा राखिएका त्यस्ता कम्प्युटरमा की लगर मात्र नभई अन्य मालिसियस मनिटरिङ टूल (Malicious Monitoring Tool), ब्राउजर एक्सटेन्सनले (Browser Extension) अन-स्क्रिन किबोर्ड नै प्रयोग गरे पनि लगइन क्रेडेन्सियल (Login Credential) लगायत विवरण चोरी हुन सक्ने सम्भावना हुन्छ ।

यस्तो हुँदा सार्वजनिक स्थलमा राखिएका कुनै पनि कम्प्युटरमा केही पनि लगइन नगर्दा नै उपयुक्त हुन्छ । यसरी नै ईमेल वा अन्य कुनै प्रणालीमा लगइन गर्दा आफ्नै कम्प्युटर वा अन्य कुनै डिभाइस प्रयोग गरी निःशुल्क इन्टरनेट (Wi-Fi) प्रयोग गर्दा समेत हाम्रो डेटा चुहावट हुने अवस्था हुन सक्छ । त्यसैले निःशुल्क वा सार्वजनिक इन्टरनेटको समेत प्रयोग नगर्ने र सार्वजनिक कम्प्युटर अथवा इलेक्ट्रोनिक उपकरणको प्रयोग गरी कुनै पनि सूचना प्रणालीमा लगइन नै नगर्ने व्यवस्था हुनुपर्नेमा यस बुँदामा अन्यथा देखिन्छ ।

बुँदा नं. १३ मा औपचारिक सञ्चारका लागि कुनै पनि अनधिकृत वा बाह्य ईमेल सेवा प्रयोग नगर्ने सुझाव दिइएको छ । तर, अनधिकृत वा बाह्य ईमेल भनेर के बुझ्ने भन्ने कुरा यस एड्भाइजरीमा कतै पनि खुलाइएको छैन । हाल नेपालमा अधिकांश कार्यालयले जिमेलमा दर्ता गरी कार्यालयको ईमेल एड्रेस प्रयोग गरी त्यसैलाई आधिकारिक ईमेल एड्रेस जसरी प्रयोग गरेको देखिन्छ (जस्तैः [email protected]), जुन आधिकारिक ठेगाना भन्न मिल्दैन ।

त्यसैले आधिकारिक ईमेल एड्रेस भनेर आधिकारिक डोमेन नेम (Domain Name) सहितको ईमेल एड्रेसलाई आधिकारिक भन्न खोजिएको हो कि कार्यालयले प्रयोग गर्ने जुनसुकै ईमेल ठेगानालाई आधिकारिक भनिएको हो, र कर्मचारीको व्यक्तिगत ईमेल एड्रेसलाई बाह्य भन्न खोजिएको हो नै स्पष्ट देखिएको छैन । जसले गर्दा यस एड्भाइजरीले अन्योलता मात्र थपेको छ ।

बुँदा नं. १४ मा आर्थिक प्रतिवेदन/बजेट डिटेल्स/पासवर्ड/कर्मचारी विवरण आदि ईमेल मार्फत पठाउनै पर्ने हुँदा ईमेललाई पीजीपी (PGP) (प्रिटी गुड प्राइभेसी) वा डिजिटल सर्टिफिकेट (Digital Certificate) प्रयोग गरी इन्क्रिप्ट गरी पठाउने सुझाव दिइएको छ । तर हालको मौजुदा कानुन अनुसार हरेक सरकारी निकायले स्वतः प्रकाशनमा समेत संलग्न गरी आर्थिक/वित्तीय प्रतिवेदन एवं बजेट सम्बन्धी सम्पूर्ण विवरण तीनै तहका सरकारले बजेट पेश, पास लगायतका विवरण एवं आवधिक रूपमा अनिवार्य आय-व्यय विवरण सार्वजनिक गर्नैपर्ने व्यवस्था रहेको छ । इन्क्रिप्सन प्रयोग गरी पठाउँदैमा कुनै प्रतिकूल असर नपरे तापनि इन्क्रिप्ट गर्नुपर्ने मुख्य कारण केही चुहावट वा छेड्खानी नहोस् भन्ने प्रयोजनका लागि रहेको हुँदा यो एड्भाइजरी हालका कानुनसँग मेल नखाएको समेत देखिन्छ ।

ङ. रिमुभेबल मिडिया सुरक्षा सम्बन्धी

रिमुभेबल मिडिया (Removable Media) सुरक्षा सम्बन्धी एड्भाइजरीमा कुनै पनि बुँदामा त्रुटि देखिँदैन । तर रिमुभेबल मिडिया (पेनड्राइभ, एसडी कार्ड) केही समयमा नै बिग्रिने हुँदा र संवेदनशील डेटाको चुहावट हुन सक्ने हुँदा त्यसलाई बिग्रेपछि समेत कार्यालय वा प्रयोगकर्ता कर्मचारी स्वयंले क्रस (Crush) अर श्रिड (Shred) (थिचेर वा भाँचेर) गरेर प्रयोग गर्न नमिल्ने बनाई मात्र फाल्ने व्यवस्था समेत यस एड्भाइजरीमा थप्नुपर्छ ।

यसका साथै पेनड्राइभ, एसडी कार्ड लगायत रिमुभेबल मिडियाको कार्यालयमा कति खरिद भई हाल कोसँग के प्रयोजनको लागि कति ओटा राखिएको छ भनी हालसम्म कुनै सरकारी निकायमा लगत राख्ने गरिएको छैन । त्यसैले कुन कर्मचारीले के प्रयोजनको लागि कति रिमुभेबल स्टोरेज डिभाइस (Removable Storage Device) प्रयोग गरिरहेका छन् सम्बन्धी लगत राख्नु समेत अत्यन्त जरुरी छ । यस्तो भयो भने डेटा सुरक्षा कायम गर्न र उपकरणको दुरुपयोग रोक्न सकिन्छ ।

च.  सामाजिक सञ्जाल सुरक्षा सम्बन्धी

एड्भाइजरीको बुँदा नं. ६ मा सरकारी ईमेल एड्रेसहरू सामाजिक सञ्जाल प्लेटफर्ममा शेयर नगर्न उल्लेख गरिएको छ । यो सम्भवतः स्प्याम (SPAM) बाट जोगिनका लागि दिइएको सल्लाह होला । तर, यसले सरकारी निकायलाई नागरिक तथा अन्य सरकारी निकायसँगको आवश्यक सम्पर्क तथा सूचनाको आदानप्रदानमा कठिनाइ उत्पन्न गराउन सक्छ ।

सरकारी ईमेल लुकाउँदा सार्वजनिक सरोकारवालाको पहुँचमा बाधा पुग्न सक्छ, जसले पारदर्शिता र जवाफदेहितामा नकारात्मक असर समेत पार्न सक्छ । यसको सट्टा कुनै पनि कार्यालयमा व्यक्तिगत ईमेल प्रयोग नगर्ने, कार्यालयको डोमेन सहितको ईमेल मात्र प्रयोग गर्दै उक्त ईमेल प्रणालीमा राम्रो स्प्याम फिल्टरिङ (SPAM Filtering) प्रणालीको उपयोग गर्न सकिन्छ ।

छ.   मोबाइल सुरक्षा सम्बन्धी एड्भाजरी

मोबाइल सुरक्षा सम्बन्धी एड्भाइजरीको बुँदा नं. १५ मा मोबाइल फोन हराएमा प्रि-सिलेक्टेड (Pre-Selected) नम्बरमा मेसेज आउने लगायतका सुविधासहितको ट्र्याकिङ फिचर (Tracking Feature) प्रयोग गर्ने भनिएको छ । यो बुँदामा त्रुटि नभए पनि थोरै समस्या के देखिन्छ भने सिम परिवर्तन वा हटाइएमा प्रि-सिलेक्टेड नम्बरमा स्वचालित एसएमएस पठाउने सुविधा पनि कुनै कुनै देशमा केही दूरसञ्चार कम्पनीले दिने गर्दछन् (नोटः नेपालमा यो सुविधा कतै विज्ञापन गरेको भेटिँदैन) । तर चोरले सिम हटाउने बित्तिकै तुरुन्तै फोन बन्द गरेमा एसएमएस पठाउन नमिल्ने हुनसक्छ र सङ्गठित चोरको समूह रहेमा उनीहरूले उक्त मोबाइललाई कि अन्य देश वा नेपालमा नै पनि पाटपुर्जाको लागि समेत बेच्न सक्छन् ।

मोबाइल सुरक्षा सम्बन्धी एड्भाइजरीको बुँदा नं. १५ मा मोबाइल हराएमा प्रि-सिलेक्टेड नम्बरमा म्यासेज आउने ट्र्याकिङ फिचर प्रयोग गर्ने भनिएको छ । यसमा एउटा समस्या के छ भने सिम परिवर्तन वा हटाइएमा प्रि-सिलेक्टेड नम्बरमा एसएमएस आउने सुविधा नेपालमा उपलब्ध छैन । सिम हटाउनासाथ फोन बन्द भएमा एसएमएस नजान सक्छ र संगठित चोरले मोबाइललाई पार्टपुर्जाको रूपमा बेच्न सक्छन् ।

थप समस्याः

यस एड्भाइजरीमा सुरक्षाका दृष्टिकोणले समस्यालाई समाधान गर्न उपाय समावेश भए तापनि केही समस्याका लागि भने अझै कमी नै देखिन्छ । जस अन्तर्गत देहाय बमोजिमका समस्या देखिन्छः

१. रिपोर्टिङ संयन्त्रको अस्पष्टता: 

यस एड्भाइजरीमा साइबर सुरक्षा सम्बन्धी विभिन्न सुझाव प्रदान गरिएको छ । तर, दुर्भाग्यवश साइबर सुरक्षासम्बन्धी कुनै घटना भइहालेमा कुन निकायलाई, कुन माध्यमबाट र कसरी रिपोर्ट गर्ने भन्ने बारेमा स्पष्ट निर्देशन दिइएको छैन । यसले गर्दा घटनाको तत्काल जानकारी सम्बन्धित निकायमा पुर्‍याउन कठिनाइ हुन सक्छ । यस विषयमा एड्भाइजरीले स्पष्ट व्यवस्था गर्नुपर्ने देखिन्छ ।

२. पासवर्ड म्यानेजरको बेवास्ता: 

यस डिजिटल युगमा हरेक सामाजिक सञ्जालदेखि राजश्व सङ्कलन गर्ने अनलाइन सरकारी सूचना प्रणालीसम्म पासवर्ड अनिवार्य भइसकेको छ । तर यस एड्भाइजरीमा पासवर्ड म्यानेजरको प्रयोगबारे कुनै सुझाव दिइएको छैन । पासवर्डको उचित व्यवस्थापन गर्न विश्वभर साइबर सुरक्षा सम्बन्धी कार्य गर्ने निकाय/संस्थाले कार्यान्वयनको लागि सल्लाह दिने पासवर्ड म्यानेजरको विषयलाई यस एड्भाइजरीमा समावेश नगरिनु एक गम्भीर त्रुटि हो । यसलाई तत्काल सुधार गरी पासवर्ड म्यानेजरको प्रयोगलाई प्रोत्साहन गर्नुपर्छ ।

३. ब्रिङ योर ओन डिभाइस (BYOD) नीतिको अभाव: 

यस एड्भाइजरीको मोबाइल सुरक्षा सम्बन्धी खण्ड वा अन्य कतै पनि कर्मचारीले आफ्नो व्यक्तिगत कम्प्युटर डिभाइस वा मोबाइल फोन प्रयोग सम्बन्धी नीति (ब्रिङ योर ओन डिभाइस - BYOD पोलिसी) बनाउने वा कर्मचारीलाई आफ्नै डिभाइसबाट कार्यालय सम्बन्धी काम गर्न दिने वा नदिने भन्ने विषयमा कतै पनि उल्लेख गरिएको छैन ।

बीवाईओडी नीति लागु गर्दा डेटा सुरक्षा, संवेदनशील विवरण वा जानकारीको पहुँच लगायत अन्य सम्भावित खतराहरू सम्बन्धी स्पष्ट निर्देशन आवश्यक पर्छ । त्यसैले कर्मचारीलाई आफ्नो व्यक्तिगत डिभाइ प्रयोग गर्दा पालना गर्नुपर्ने सुरक्षा उपायहरू समावेश गरी यस एड्भाइजरीले आवश्यक प्रावधान समावेश गरी बीवाईओडी नीति सम्बन्धी स्पष्ट व्यवस्था गर्नु आवश्यक देखिन्छ ।

४. कानुनी सङ्घीयता र केन्द्रीकृत सूचना प्रविधि प्रणाली: 

यस एड्भाइजरीले सूचना प्रविधि प्रणालीमा पासवर्ड सम्बन्धी मार्गदर्शन होस् वा मल्टि-फ्याक्टर अथेन्टिकेसन वा अन्य कुनै एड्भाइजरी लागु गर्न सुझाएको भए पनि, हालसम्म अधिकांश अनलाइन सूचना प्रणालीहरू सङ्घीय मन्त्रालय वा विभागबाट नै निर्माण भई कार्यान्वयनमा आएका छन् । त्यसैले स्थानीय तह वा प्रदेश सरकारले चाहँदैमा पनि परिवर्तन गर्न सक्ने अवस्था छैन । उदाहरणका लागि केन्द्रीकृत ईमेल प्रणालीमा हालसम्म न मल्टि-फ्याक्टर अथेन्टिकेसन अनिवार्य गरिएको छ न भीपीएन नै ।

यस्तो अवस्थामा स्थानीय तह वा प्रदेश वा सङ्घीय कुनै मन्त्रालयले चाहँदैमा मात्र परिवर्तन गर्न सक्दैनन्, त्यसका लागि सूचना प्रविधि विभाग, एकीकृत डेटा व्यवस्थापन केन्द्रको नै मुख ताक्न पर्ने अवस्था छ । यस एड्भाइजरीले यो विषयमा न कुनै स्पष्ट मार्गदर्शन प्रदान गरेको छ न त हालसम्म राष्ट्रिय साइबर सुरक्षा केन्द्रसँग यसको व्यवस्थापन गर्न पर्याप्त क्षमता नै छ । यसले गर्दा नामको र कानुनको सङ्घीयता देखिने परिप्रेक्ष्यमा, सूचना प्रविधि प्रणालीको प्रयोगमा भने पूर्ण रूपमा केन्द्रीकृत व्यवस्था रहेको स्पष्ट छ । यस्तै कारणले गर्दा हाल नेपालमा सुरक्षाको मात्र नभई, नेपाल सरकारले परिकल्पना गरेको ई-गभर्नेन्स तथा गभर्मेन्ट इन्टरप्राइज आर्किटेक्चर (Government Enterprise Architecture - GEA) समेत दिवा सपना मात्र देखिन्छ ।

यस एड्भाइजरीले साइबर सुरक्षाका आधारभूत उपायहरू समेटेको छ । यद्यपि, यसले मात्र सुरक्षित साइबर स्पेसको परिकल्पनालाई पूर्णता दिन सक्दैन । सूचना प्रविधि प्रणालीका प्रयोगकर्ता कर्मचारी मात्र नभई सम्पूर्ण कर्मचारी, पदाधिकारी एवं जनप्रतिनिधिलाई साइबर सुरक्षाको महत्व बुझाउन र नियमित तालिम दिनु आवश्यक छ ।

यस एड्भाइजरीलाई थप परिमार्जन गरी अनलाइन तथा अफलाइन दुवै माध्यममा सूचना प्रविधि सम्बन्धित प्रविधिको प्रयोग एवं सुरक्षा सम्बन्धी छुट्टै स्पष्ट कानुनी व्यवस्था गर्नुपर्ने देखिन्छ । साइबर सुरक्षाको सुनिश्चितताको लागि सबै एकजुट भएर लाग्नु आजको आवश्यकता हो ।

(यो लेख ऋषिङ्ग गाउँपालिका तनहुँमा आईटी अधिकृतका रूपमा कार्यरत सौगात तिमल्सिनाले साइबर अलर्ट नेपालको सहयोगमा तयार पारेका हुन् । साइबर अलर्ट नेपाल, साइबर सुरक्षामा काम गर्ने स्टार्टअप हो । यसले सूचना, सचेतना सन्देश दिनुका साथै व्यवसायलाई तालिम र मार्गदर्शन दिने गर्छ ।) 

सन्दर्भ सामग्री

राष्ट्रिय साइबर सुरक्षा केन्द्र

सरकारी कार्यालयको वेबसाइट निर्माण सम्बन्धी निर्देशिका 

सरकारी सूचना प्रविधि प्रणालीको प्रयोगकर्ताका लागि जारी गरिएको साइबर सुरक्षा

पछिल्लो अध्यावधिक: फागुन २४, २०८१ १८:४८

टिप्पणीहरू