close

नागरिकको डेटा सुरक्षित नभए असफल मात्र हैन, निकै महँगो साबित हुनसक्छ डिजिटल नेपाल

विजय लिम्बु विजय लिम्बु

चैत १८, २०८२ ९:२१

नागरिकको डेटा सुरक्षित नभए असफल मात्र हैन, निकै महँगो साबित हुनसक्छ डिजिटल नेपाल

मैले वर्षौंदेखि दक्षिण एसियाका सरकारले डिजिटल रूपान्तरणका लागि देखाएको हतारो नजिकबाट नियालिरहेको छु । खासगरी यसमा के देखिन्छ भने नयाँ पोर्टलहरू लन्च हुन्छन्, मन्त्रीहरूले गर्वका साथ ड्याशबोर्ड देखाउँछन् र यसैमा नागरिक खुसी हुन्छन् । तर त्यसको ६ महिना नबित्दै कतै न कतै डेटा ब्रिच हुन्छ । कुनै ह्याकर फोरममा नागरिकका संवेदनशील विवरण विक्रीका लागि राखिन्छन् । 

सरकारी अधिकारीले ‘हामी यसलाई गम्भीरताका साथ लिइरहेका छौँ’ भन्ने एउटा बेतुकको विज्ञप्ति निकाल्छन् । त्यसपछि परिस्थिति फेरि जस्ताको तस्तै रहन्छ । यस पटक नेपालको हकमा स्थिति फरक हुनेछ भन्ने मलाई आशा छ । तर वर्तमान अवस्था हेर्दा म त्यति ढुक्क हुन सकिरहेको छैन ।

सपना ठुलो छ, तर उत्तिकै जोखिम पनि

प्रधानमन्त्री बालेन्द्र शाह (बालेन) को १०० बुँदे ‘शासकीय सुधार कार्यसूची’ मा समावेश एजेन्डा नेपालको इतिहासकै सबैभन्दा साहसिक कदममध्ये एक हो । सरकारी कार्यालय धाउनु नपर्ने गरी फेसलेस राहदानी वितरण, एउटै राष्ट्रिय परिचयपत्रबाट सबै सरकारी सेवाको पहुँच, नागरिकको आर्थिक सम्पत्तिको डिजिटल अभिलेख, सबै सरकारी अस्पतालमा इलेक्ट्रोनिक स्वास्थ्य रेकर्ड र १७ वटै मन्त्रालयलाई प्रधानमन्त्री कार्यालयसँग प्रत्यक्ष जोड्ने एउटै केन्द्रीकृत प्लेटफर्म बनाउने योजना कार्यसूचीमा अटाएका छन् ।

यो पक्कै पनि प्रभावशाली छ । उत्तिकै आवश्यक पनि हो । तर यसको जग भने सन् २००८ मा लेखिएको साइबर सुरक्षा कानुनको फ्रेमवर्कमा आधारित छ ।

यसको अर्थ के हो भने नेपालको आधारभूत साइबर कानुन ‘विद्युतीय कारोबार ऐन २०६३’ को मस्यौदा आईफोन बन्नुभन्दा अघि नै तयार पारिएको थियो । यो कानुन क्लाउड कम्प्युटिङ र र्‍यान्समवेयर जस्ता आधुनिक डिजिटल जोखिम देखा पर्नुभन्दा पहिले नै लागु भएकाले यसले अहिलेका यस्ता समस्यालाई पर्याप्त रूपमा सम्बोधन गर्न सकेको छैन । 

गोपनीयता ऐन २०७५ र राष्ट्रिय परिचयपत्र सम्बन्धी ऐन २०७६ जस्ता नयाँ कानुन त आए । तर ती सबै टुक्रा-टुक्रामा छन् । तिनले एउटा पूर्ण डिजिटल गभर्नेन्स प्रणालीलाई समेट्न सकेका छैनन् । 

चर्चा नभएको राष्ट्रिय परिचयपत्रको समस्या 

मलाई सबैभन्दा बढी चिन्ता लाग्ने विषय नै यही हो । सम्पूर्ण १०० बुँदे सूचीभित्रका डिजिटल एजेन्डा एउटै कुरामा टिकेका छन् । त्यो हो, हरेक सरकारी सेवा प्राप्त गर्नका लागि राष्ट्रिय परिचयपत्रलाई एकमात्र सर्वमान्य आधार मानिनु । यो सिङ्गो देशको लागि एउटा यस्तो जोखिमपूर्ण विन्दु हो, जहाँ केही गडबड भयो भने सम्पूर्ण प्रणाली नै ध्वस्त हुन सक्छ ।

इन्जिनियरिङमा ‘कहिल्यै पनि सिङ्गल पोइन्ट अफ फेलियर नबनाउनु’ भन्ने नियम छ । तर, नेपालले ३ करोड जनताका लागि ठ्याक्कै त्यही गरिरहेको छ । यदि एउटा मात्र प्रणालीमा गल्ती भयो वा डेटा चोरी भयो भने देशको पुरा सिस्टम नै ठप्प हुन सक्छ । त्यसैले राष्ट्रिय परिचयपत्र जोखिम मात्र नभई टिकिङ क्लक (जुनसुकै बेला निम्तिन सक्ने सङ्कट) पनि हो ।

यसको व्यवहारिक अर्थ के होला, एक पटक सोच्नुस् त । यदि कसैले राष्ट्रिय परिचयपत्रको डेटाबेस ब्रिच गर्‍यो भने (म यहाँ ‘यदि’ भन्दा पनि ‘कुनै दिन’ भन्न खोजिरहेको छु किनभने ढिलो-चाँडो हरेक ठुला डेटाबेसमाथि आक्रमणको प्रयास हुन्छ नै) उनीहरूले कुनै एक प्रकारको डेटा मात्र चोर्दैनन् । उनीहरूले तपाईंको स्वास्थ्य विवरण, आर्थिक विवरण, नागरिकताका कागजात र यदि तपाईं सरकारी कर्मचारी हुनुहुन्छ भने तपाईंको रोजगारीको विवरणमा पहुँच पाउने मास्टर कि (स्केलेटन की) नै पाउँछन् । अर्थात् तपाईंसँग जोडिएका सबैथोकको एक्सेस उनीहरूसँग हुन सक्छ ।

नेपालमा पहिचान व्यवस्थापन र गोपनीयता सम्बन्धी कानुन नभएका होइनन् । तर, यसमा स्पष्ट प्राविधिक र सञ्चालन मापदण्ड तोक्ने विस्तृत कानुनी संरचनाको भने अभाव छ । जसले निम्न कुराहरूलाई समेट्न सकोस्:

  • डेटा स्टोरेज र इन्क्रिप्सन

  • एक्सेस कन्ट्रोल र अथेन्टिकेसन

  • बायोमेट्रिक डेटा प्रोटेक्सन

  • इन्सिडेन्ट रेस्पोन्स र सिस्टम कम्प्रोमाइज

राष्ट्रिय परिचयपत्र तथा पञ्जीकरण ऐन, २०७६ ले कसलाई परिचयपत्र वितरण गर्ने भन्ने खुलाएको छ । तर डेटा सङ्कलन गरिसकेपछि त्यसलाई कसरी सुरक्षित राख्ने भन्ने विषयलाई भने यसले नजरअन्दाज गरेको छ । यो मस्यौदाको कमजोरी मात्र नभई डिजाइनकै कमजोरी हो । तीन करोड नागरिकको कहिल्यै प्रतिस्थापन गर्न नमिल्ने बायोमेट्रिक डेटाको व्यवस्थापन गर्ने सन्दर्भमा यो भिन्नताले अत्यन्तै ठुलो अर्थ राख्छ ।

भारतले ‘आधार’ जस्तै मिल्दोजुल्दो एकल-पहिचान प्रणाली निर्माण गर्‍यो र त्यो लागु भएपछि देखिएका सुरक्षा कमजोरी समाधान गर्न वर्षौं समय खर्चियो । इस्टोनियाको डिजिटल आईडी प्रणालीलाई प्रायः सबैभन्दा उत्कृष्ट नमुना मानिन्छ । तर त्यसलाई पनि हालको सुरक्षा परिपक्वताको स्तरमा पुग्न करिब दुई दशक लाग्यो । यता नेपालले भने आवश्यक कानुनी तथा प्राविधिक सुरक्षा संरचना स्थापना नै नगरी राष्ट्रिय परिचयपत्रलाई तुरुन्तै विभिन्न प्रणालीको मेरुदण्ड बनाउने प्रस्ताव गरिरहेको छ ।

डेटा सुरक्षा निकायको अभाव

गोपनीयता ऐन २०७५ ले नागरिकको जानकारी अनिवार्य रूपमा सुरक्षित राख्नुपर्ने व्यवस्था गरेको छ । तर, गोपनीयताका यी नियम कार्यान्वयन गर्ने, डेटा चोरीको अनुसन्धान गर्ने, दोषीलाई दण्ड दिने वा नागरिकको आफ्नो व्यक्तिगत डेटामाथिको अधिकारलाई सुरक्षित गर्ने एउटा छुट्टै ‘डेटा प्रोटेक्सन अथोरिटी’ (डेटा सुरक्षासम्बन्धि प्राधिकरण) नेपालमा छैन ।

सन् २०२६ भइसक्यो, तर त्यस्तो ‘प्राधिकरण’ अझै स्थापना हुन सकेको छैन । यसैबिच, सरकारले नेपालको इतिहासमै पहिलो पटक नागरिकका धेरैभन्दा धेरै डेटालाई केन्द्रीकृत गर्नेतर्फ कदम चालिरहेको छ । स्वास्थ्य विवरण, आर्थिक विवरण, गुनासो, निजामती कर्मचारीको कार्यसम्पादन विवरण; यी सबै सरकारी प्रणालीमा भण्डारण भइरहेका छन् । तर, यी डेटा कसरी भण्डारण गरिन्छ, यसमा कसले पहुँच पाउँछ वा डेटा चुहावट हुँदा त्यसको व्यवस्थापन कसरी गरिन्छ भनेर अनुगमन गर्ने कुनै स्वतन्त्र नियामक निकाय छैन ।

यो सामान्य प्रशासनिक कमजोरी मात्र नभई नेपालको डिजिटल सुशासन संरचनाकै एउटा संस्थागत कमजोरी हो । ‘डेटा संरक्षण प्राधिकरण’ स्थापना गर्न नयाँ डेटा संरक्षण कानुन बनाएर वा विद्यमान कानुनमा संशोधन गरेर स्पष्ट कानुनी व्यवस्था गर्नुपर्ने हुन्छ । हरेक ठुला डिजिटल प्रणाली जिम्मेवारपूर्ण डेटा व्यवस्थापनमा नै निर्भर हुने भएकाले यसलाई दीर्घकालीन सुधारको विषयको रूपमा नभई तत्कालको प्राथमिकताका रूपमा लिइनुपर्छ ।

यदि केही गलत भइहाल्यो भने के हुन्छ ?

आज नभए भोलि, कुनै न कुनै प्रणालीमा समस्या अवश्य आउँछ । यो निराशावादभन्दा पनि जटिल प्रणालीको प्रकृति नै यस्तै हुन्छ । त्यसपछि के हुन्छ त ? मुख्य प्रश्न नै यही हो ।

हाल नेपालमा डेटा चुहावट हुँदा अनिवार्य रूपमा जानकारी गराउनुपर्ने (breach notification) स्पष्ट र विस्तृत कानुनी संरचना छैन । उदाहरणका लागि यदि डिजिटल स्वास्थ्य विवरण प्रणाली कम्प्रोमाइज (ह्याक) भयो भने प्रभावित बिरामीलाई निश्चित समयभित्र जानकारी दिनैपर्ने कुनै ठोस कानुनी बाध्यता छैन । त्यसैगरी यदि कुनै आर्थिक वा प्रशासनिक डेटाबेसको डेटा ब्रिच भयो भने समयमै नियामक निकाय वा सर्वसाधारणलाई जानकारी गराउनुपर्ने कुनै मापदण्डसहितको कानुनी दायित्व हामीकहाँ छैन ।

यो कुनै काल्पनिक चिन्ता होइन । सार्वजनिक सेवाका पोर्टल र प्रशासनिक डेटाबेस लगायतका सरकारी प्लेटफर्ममा डेटा बाहिरिने र सिस्टम कम्प्रोमाइज हुने थुप्रै घटना नेपालले पहिले नै भोगिसकेको छ । यस्ता घटनामा प्रायः एउटै प्रवृत्ति देखिन्छ । त्यो हो, डेटा ब्रिच हुन्छ, एउटा सामान्य विज्ञप्ति जारी गरिन्छ । तर, त्यसपछि कुनै व्यवस्थित अनुगमन नै हुँदैन । स्पष्ट कानुनी दायित्वको अभावले नै यस प्रकारको प्रवृत्तिलाई प्रश्रय दिइरहेको देखिन्छ ।

अन्य देशले स्पष्ट कानुनी व्यवस्था मार्फत यो कमजोरीलाई सम्बोधन गरिसकेका छन् । उदाहरणका लागि युरोपेली सङ्घको ‘जनरल डेटा प्रोटेक्सन रेगुलेसन’ (जीडीपीआर) ले निश्चित प्रकारका डेटा ब्रिचका घटनालाई ७२ घण्टाभित्र रिपोर्ट गर्नुपर्ने बाध्यकारी व्यवस्था गरेको छ । अस्ट्रेलिया जस्ता देशहरूले डेटा ब्रिचका घटना भोगे पछि अनिवार्य रूपमा जानकारी दिनुपर्ने प्रणाली लागु गरेका छन् ।

यस विपरीत नेपालसँग भने योसँग तुलना गर्न योग्य कुनै कानुनी संयन्त्र अझै बन्न सकेको छैन ।

त्यसोभए नेपालले अझै के सुधार्न सक्छ ?

मेरो विचारमा यो एजेन्डा अगाडि बढाउनु एकदमै सही छ । नेपाललाई यसको आवश्यकता पनि छ । बालेन शाहलाई सत्तामा पुर्‍याउन महत्त्वपूर्ण भूमिका खेलेको ‘जेन-जी’ पुस्ताले वास्तवमै काम गर्ने सरकार धेरै लामो समयदेखि पर्खिरहेको छ ।

तर गलत तरिकाले गरिएको डिजिटल रूपान्तरण असफल हुने मात्र नभई निकै महँगो साबित हुन्छ । सार्वजनिक रूपमा उदाङ्गो हुन्छ र यसले वर्षौंसम्म जनताको विश्वास गुमाउने वातावरण सिर्जना गर्छ । मैले अन्य देशमा पनि यस्तो परिस्थिति सिर्जना भएको देखेको छु । वास्तवमा सरकारी प्रणालीबाट आफ्नो डेटा चोरी हुँदा नागरिक ह्याकरसँग रिसाउँछन् नै साथसाथै समग्र डिजिटल सरकारप्रतिकै विश्वास पनि गुम्न पुग्छ । एक पटक त्यस्तो अविश्वासको खाडलमा परिसकेपछि त्यहाँबाट बाहिर निस्कन सकस हुन्छ ।

राम्रो कुरा के हो भने नेपालसँग अझै पनि यसको जग बलियो बनाउने समय बाँकी नै छ । सबै प्रणाली पूर्ण रूपमा सञ्चालनमा आइसकेका छैनन् । राष्ट्रिय परिचयपत्र अझै पनि हरेक ठाउँमा अनिवार्य सर्वमान्य आधार बनिसकेको छैन । आर्थिक अभिलेख प्रणाली पनि पूर्ण रूपमा सञ्चालनमा आइसकेको छैन । हामीसँग अझै सम्भवतः ६० देखि ९० दिनको समय छ । यो अवधिमा कानुनी पूर्वाधार र सुरक्षा परीक्षणमा सही लगानी गर्न सकियो भने, घटना भइसकेपछि मर्मत गर्नुको सट्टा यी प्रणालीलाई कसरी सुरक्षित रूपमा निर्माण गर्ने भनेर सुरुमै सही दिशा दिन सकिन्छ ।

नेपाल सरकारले के गर्नुपर्छ ?

१) विस्तृत डेटा संरक्षण कानुन लागु गर्ने: वैयक्तिक गोपनीयता सम्बन्धी ऐन, २०७५ लाई आधार मान्दै र थप सुदृढ गर्दै एउटा विस्तृत ‘डेटा संरक्षण कानुन’ ल्याउने । यसले डेटा प्रशोधन, प्रयोगकर्ताका अधिकार (पहुँच, सच्याउने र मेटाउने), मन्जुरी, जवाफदेहिता र सीमापार डेटा सुशासन सम्बन्धी स्पष्ट सिद्धान्त स्थापित गर्न सकोस् ।

२) स्वतन्त्र डेटा संरक्षण प्राधिकरण गठन गर्ने: सार्वजनिक र निजी दुवै क्षेत्रमा डेटा संरक्षणको कायम गर्न र पालनाको अनुगमन गर्न वैयक्तिक गोपनीयता सम्बन्धी ऐन, २०७५ ले परिकल्पना गरेअनुरूप पर्याप्त कानुनी अधिकार, स्रोतसाधन र स्वायत्ततासहितको एक स्वतन्त्र ‘डेटा संरक्षण प्राधिकरण’ गठन गर्ने ।

३) छुट्टै साइबर सुरक्षा ऐन लागु गर्ने: विद्युतीय कारोबार ऐन, २०६३ र राष्ट्रिय साइबर सुरक्षा नीति, २०८० ले पूर्ण रूपमा समेट्न नसकेका कमीकमजोरीलाई सम्बोधन गर्दै साइबर अपराध रोकथाम, महत्त्वपूर्ण पूर्वाधारको संरक्षण र ‘इन्सिडेन्ट रेस्पोन्स’का लागि स्पष्ट कानुनी संरचना र संस्थागत अधिकार प्रदान गर्ने गरी एउटा छुट्टै ‘साइबर सुरक्षा ऐन’ लागु गर्ने ।

४) राष्ट्रिय परिचयपत्रका लागि साइबर सुरक्षा निर्देशिका बनाउने: संवेदनशील बायोमेट्रिक र पहिचान सम्बन्धी डेटा सुरक्षित राख्न राष्ट्रिय साइबर सुरक्षा नीति, २०८० को मर्म अनुरूप राष्ट्रिय परिचयपत्र प्रणालीका लागि एउटा विस्तृत साइबर सुरक्षा निर्देशिका तर्जुमा गर्ने ।

५) ‘डेटा ब्रिच नोटिफिकेन’लाई बाध्यकारी बनाउने: विद्यमान कानुनी संरचना (जस्तै: वैयक्तिक गोपनीयतासम्बन्धी ऐन, २०७५ र विद्युतीय कारोबार ऐन, २०६३) अन्तर्गत ‘अनिवार्य डेटा चुहावट जानकारी सम्बन्धी नियमावली’ जारी गर्ने । यसले डेटा चुहावट हुँदा सम्बन्धित निकाय र प्रभावित व्यक्तिलाई समयमै जानकारी गराउने कार्यलाई अनिवार्य गरोस् ।

६) ‘आईटीईआरटी’लाई सुधार र सुदृढ गर्ने: २०७५ को निर्देशिका अन्तर्गत स्थापना भएको ‘सूचना प्रविधि आकस्मिक सहायता समूह’ (Information Technology Emergency Response Team-ITERT) को स्पष्ट कार्यादेश, प्राविधिक क्षमता र सञ्चालन स्वायत्तता सुनिश्चित गर्दै यसलाई थप सुधार र सुदृढ गर्ने ।

७) राष्ट्रिय साइबर सुरक्षा केन्द्रको क्षमता अभिवृद्धि गर्ने: ‘डिजिटल नेपाल फ्रेमवर्क’ र ‘राष्ट्रिय साइबर सुरक्षा नीति, २०८०’ का लक्ष्य अनुरूप ‘राष्ट्रिय साइबर सुरक्षा केन्द्र’ को अधिकार, समन्वयकारी भूमिका र वित्तीय स्रोतमा वृद्धि गर्ने ।

निष्कर्ष

नेपालले यस्तो डिजिटल नेपाल पाउनुपर्छ, जसले काम मात्र नभई नागरिकको गोपनीयताको पनि रक्षा गरोस् । अहिले हाम्रो प्रविधिको रफ्तारभन्दा सुरक्षाका उपाय निकै सुस्त भइरहेका छन् । यो खाडललाई पुर्न अझै समय छ । तर, यो समय सधैँ रहने छैन।

(लेखक साइबर सुरक्षा विशेषज्ञ तथा उद्यमी हुन्।)

पछिल्लो अध्यावधिक: चैत १८, २०८२ ९:३२

टिप्पणीहरू
सम्बन्धित समाचार
डिजिटल नेपालको अर्को पाटो: किन चाहिन्छ अब डिजिटल मानवशास्त्र ?

डिजिटल नेपालको अर्को पाटो: किन चाहिन्छ अब डिजिटल मानवशास्त्र ?

‘हेलो सरकार’ मा प्राविधिक झमेला हटाउन आफ्नै एप र एआईको खाँचो

‘हेलो सरकार’ मा प्राविधिक झमेला हटाउन आफ्नै एप र एआईको खाँचो

बजेटले उत्साह: नेपाल टेलिकमका लागि ‘डिजिटल क्रान्ति’ को ऐतिहासिक प्रस्थानविन्दु

बजेटले उत्साह: नेपाल टेलिकमका लागि ‘डिजिटल क्रान्ति’ को ऐतिहासिक प्रस्थानविन्दु

'देशभित्रै जलविद्युत् खपत गर्न भुटानले जस्तै नेपालमा पनि नियन्त्रित क्रिप्टो माइनिङ खुलाउनु पर्छ'

'देशभित्रै जलविद्युत् खपत गर्न भुटानले जस्तै नेपालमा पनि नियन्त्रित क्रिप्टो माइनिङ खुलाउनु पर्छ'

ट्रेन्डिङ समाचार
पछिल्ला अपडेट