सरकारको विद्युतीय खरिद प्रणाली असुरक्षित रहेको प्रति एडीबीको गम्भीर चासो, प्रयोग गर्न अस्वीकार

काठमाडौँ । नेपाल सरकारले सार्वजनिक खरिदलाई पारदर्शी बनाउन प्रयोग गर्दै आएको विद्युतीय खरिद प्रणाली (ई-जीपी सिस्टम) को सुरक्षामा गम्भीर प्राविधिक कमजोरी देखिएको छ । सरकारी प्रविधिको सुरक्षालाई लिएर प्रमुख दातृ निकाय एसियाली विकास बैङ्क (एडीबी) ले गम्भीर चासो व्यक्त गर्दै आफ्नो लगानीमा सञ्चालित आयोजनाहरूमा उक्त प्रणालीको प्रयोगमा रोक लगाएको हो ।

महालेखापरीक्षकको ६३ औँ वार्षिक प्रतिवेदनको सारांशले सरकारी सूचना प्रविधि प्रणालीको सुरक्षा अवस्थामाथि गम्भीर प्रश्नचिह्न खडा गर्दै यो तथ्य सार्वजनिक गरेको छ । प्रतिवेदनका अनुसार एडीबीको सहायतामा सञ्चालित आयोजनाहरूको खरिद प्रक्रियाका सम्बन्धमा विद्युतीय खरिद प्रणालीको सुरक्षा तथा जोखिम परीक्षण (Security and Risk Assessment) गरिएको थियो । उक्त परीक्षणका क्रममा प्रणालीको सुरक्षामा गम्भीर कमजोरीहरू औँल्याइएको थियो ।

हालको असुरक्षित प्रणालीको प्रयोग गर्दा सम्भावित दुरुपयोग र अनियमितता हुन सक्ने उच्च जोखिम रहेको एडीबीको निष्कर्ष छ । सोही जोखिमलाई मध्यनजर गर्दै सम्बन्धित कार्यालयबाट प्रणालीको सुरक्षामा आवश्यक सुधार नभएसम्मका लागि एडीबीले आफ्नो सहायतामा सञ्चालित आयोजनाहरूको खरिद प्रक्रियामा यो विद्युतीय खरिद प्रणालीको प्रयोग पूर्ण रूपमा स्थगन गरेको हो ।

खर्बौँ रुपैयाँको सार्वजनिक खरिद हुने राष्ट्रिय प्लेटफर्ममै सुरक्षा चुनौती देखिनु र दातृ निकायले नै अविश्वास गरेर प्रयोग गर्न अस्वीकार गर्नुले सरकारी डिजिटल पूर्वाधारको सुरक्षा संयन्त्रमाथि ठुलो चुनौती देखाएको छ ।

यस गम्भीर विषयलाई सम्बोधन गर्न महालेखापरीक्षकको कार्यालयले सार्वजनिक खरिद अनुगमन कार्यालय (पीपीएमओ) तथा अन्य जिम्मेवार निकायहरूलाई तत्काल छानबिन गर्न निर्देशन दिएको छ । प्रणालीमा सुधार गरी विश्वसनीयता कायम नगरेसम्म अन्य दातृ निकायहरूले पनि यस्तै कदम चाल्न सक्ने जोखिम बढेको छ ।

एकातिर दातृ निकायले प्रणाली असुरक्षित भन्दै प्रयोग गर्न अस्वीकार गरिरहेको बेला अर्कोतिर सोही प्रणाली ह्याक गरी अर्बौँका सरकारी ठेक्कामा चलखेल र क्रिप्टोकरेन्सीमार्फत घुस लेनदेन भएको गम्भीर घटना सतहमा आएको छ ।

एडीबीको सुरक्षा चासोलाई शतप्रतिशत सही साबित गर्ने गरी भर्खरै ई-जीपी प्रणालीमा भएको एक सङ्गठित साइबर अपराधको पर्दाफास भएको हो । बोलपत्र पेस गर्ने अन्तिम समय सकिएपछि पनि प्रणालीमा अनधिकृत पहुँच बनाएर ठेक्काको रकम र छुट प्रतिशतमा फेरबदल गर्ने गरिएको सीआईबीको अनुसन्धानका क्रममा पाइएको छ ।

प्रणालीको सर्भर व्यवस्थापनको जिम्मेवारी पाएको आईएमएस सफ्टवेयर प्रालिले २०८२ माघ २८ गते डेटा हब प्रालिको क्लाउड सर्भरमा अनधिकृत प्रवेश भएको भन्दै साइबर ब्युरोमा जाहेरी दिएपछि यो घटना बाहिर आएको हो । प्रहरीको प्राविधिक विश्लेषण अनुसार आक्रमणकारीले रिमोट डेस्कटप प्रोटोकल र भर्चुअल प्राइभेट नेटवर्क (भीपीएन) प्रयोग गरी सर्भरमा प्रवेश गरेका थिए र डेटाबेसमा रहेको वेब युजर्स टेबलमा हेरफेर गरी आफूलाई एडमिनको रूपमा स्थापित गराएका थिए । यसरी अनधिकृत पहुँच पुर्‍याउन धनकुटास्थित सघन सहरी तथा भवन निर्माण आयोजनामा कार्यरत कम्प्युटर अपरेटर दिवाकर देउजा बस्ने घरको इन्टरनेट प्रयोग भएको तथ्य अनुसन्धानबाट खुलेको छ ।

ह्याकरहरूको समूहले प्रणालीमा पहुँच बनाएपछि जीवन लिम्बु नामक छद्म ईमेल र ह्वाट्सएप खडा गरी ठेकेदारहरूलाई सम्पर्क गर्ने गरिएको थियो । उनीहरूले आफूलाई पीपीएमओको कर्मचारी बताएर ठेक्का पारिदिने भन्दै बार्गेनिङ गर्थे । बैङ्किङ प्रणालीबाट रकम लेनदेन गर्दा अनुसन्धानको दायरामा परिने डरले उनीहरूले क्रिप्टोकरेन्सीको प्रयोग गरेका थिए ।

अनुसन्धानका क्रममा सोली थुम्का निर्माण सेवाका सञ्चालक सञ्जय भट्टले ठेक्का पार्नका लागि जीवन लिम्बु भनिने व्यक्तिलाई अमेरिकामा रहेका साथीको सहयोगमा दुई किस्ता गरी २३ लाख रुपैयाँ बराबरको बिटकोइन पठाएको बयान दिएका छन् । वित्तीय सहजकर्ताको भूमिका निर्वाह गरेका भाष्करराज अर्यालले पनि अमेरिकामा रहेका साथीमार्फत उक्त रकम बराबरको बिटकोइन पठाएको र त्यसबापतको नेपाली रुपैयाँ नेपालमै बैङ्कमार्फत भुक्तानी गरिएको स्वीकार गरेका छन्।

यस अपराधमा नेपाल प्रहरीले अनुसन्धान पूरा गरी सरकारी वकिलको कार्यालयमार्फत काठमाडौँ जिल्ला अदालतमा अभियोगपत्र दायर गरेको छ । जसमा पूर्वमन्त्री एवं निर्माण व्यवसायी विक्रम पाण्डे, ७० वर्षीय निर्माण व्यवसायी ऋषिकेश गौली र सरकारी कर्मचारी दिवाकर देउजासहित २२ जनालाई प्रतिवादी बनाइएको छ ।

अनुसन्धानमा विक्रम पाण्डेको कालिका कन्स्ट्रक्सनको नाममा रहेको ठेक्का रकम ६७ करोड ५१ लाखबाट घटाएर प्रणाली भित्रैबाट ६० करोड ५४ लाख बनाइएको देखिएको छ । यद्यपि पाण्डेले यसमा आफ्नो संलग्नता अस्वीकार गर्दै आफ्नो कम्पनीलाई बदनाम गराउन आपराधिक समूहले यस्तो गरेको बयान दिएका छन् । मुख्य प्राविधिक योजनाकार मानिएका कम्प्युटर अपरेटर देउजा र अन्य निर्माण व्यवसायीहरूले पनि आफूहरूले अनधिकृत पहुँच नपुर्‍याएको दाबी गरेका छन् ।

सीआईबी र साइबर ब्युरोको संयुक्त अनुसन्धानले यो घटनालाई अत्यन्तै जटिल सङ्गठित साइबर अपराध मानेको छ । प्रतिवादीहरूमाथि विद्युतीय कारोबार ऐन, मुलुकी अपराध संहिता (क्रिप्टोकरेन्सी कारोबार) र सङ्गठित अपराध निवारण ऐन अन्तर्गत मुद्दा चलाइएको छ ।

खर्बौँ रुपैयाँको सार्वजनिक खरिद हुने राष्ट्रिय प्लेटफर्ममै यसरी बाहिरी हस्तक्षेप हुनु, ठेक्काको अङ्कमै हेरफेर गरिनु र दातृ निकायले नै अविश्वास गरेर प्रयोग गर्न अस्वीकार गर्नुले सरकारी डिजिटल पूर्वाधारको सुरक्षा संयन्त्रमाथि ठुलो चुनौती देखाएको छ । प्रणालीमा तत्काल प्राविधिक सुधार गरी विश्वसनीयता कायम नगरेसम्म अन्य दातृ निकायहरूले पनि यस्तै कदम चाल्न सक्ने उच्च जोखिम बढेको छ ।

पछिल्लो अध्यावधिक: जेठ ४, २०८३ ११:४२

टिप्पणीहरू