साइबर सुरक्षा रणनीति

नेपाल सरकारले साइबर सुरक्षा क्षेत्रलाई अझै सुरक्षित र सशक्त रूपले अगाडि बढाउँदै छ । यसका लागि डाटा सेन्टर र साइबर सुरक्षाका लागि ‘हाइब्रिड मोडेल’ सहितको संयन्त्र निर्माण अन्तिम चरणमा पुगेको छ । यस्तो संयन्त्रमा सरकार, विज्ञ टोली (परामर्शदाता) र निजी क्षेत्रको प्रत्यक्ष सहभागिता रहने ‘हाइब्रिड मोडेल’ तयार गरिने छ । राष्ट्रिय साइबर सुरक्षा नीति, २०८० साउन २३ गते मन्त्रीपरिषद्को निर्णयबाट पारित भई कार्यान्वयनमा आएको छ । सञ्चार तथा सूचना प्रविधि मन्त्रालयले साइबर सुरक्षाका साथै विभिन्न नीति, ऐन र कानुन जारी गरेको छ । साइबर हाइजिनसम्बन्धी एडभाइजरी, २०२३ जारी भएको छ ।

सञ्चार तथा सूचना प्रविधि मन्त्रालयका प्रवक्ता नेत्र सुवेदीले साइबर सुरक्षालाई उच्च प्राथमिकता दिएको वर्तमान सरकारले साइबर सुरक्षाका लागि ‘हाइब्रिड मोडेल’ तयार गर्ने जानकारी दिनुभयो । उहाँका अनुसार कतिपय साइबर सुरक्षा नीति, नियम, ऐन र कानुन निर्माण भइसकेको र केही निर्माण तथा तयारीको चरणमा छन् । कानुन निर्माण र केन्द्र स्थापनाका लागि तयारीका कामहरू भइरहेका छन् । त्यसो त साइबर सुरक्षाका लागि सेक्युरिटी अपरेसन सेन्टर पनि मन्त्रालयभित्र सातै दिन, चौबिसै घण्टा सञ्चालनमा छ । प्रवक्ता सुवेदीले सरकारी वेबसाइट र सूचना प्रविधि प्रणालीहरूमा देखिन सक्ने साइबर सुरक्षासम्बन्धी जोखिमको निगरानी, प्रविधिगत रूपमै अनुगमन गरी जोखिम देखापरेमा सोको समाधानको पहल गर्ने कार्य यो सेन्टरले गरिरहेको जानकारी दिनुभयो । उहाँले साइबर सुरक्षा केन्द्र सञ्चालनमा आएपछि यसको काम पनि सोही केन्द्रमा समायोजन हुने बताउनुभयो । 

“साइबर सुरक्षा ‘इको सिस्टम’ बनाउने कुरा एक/दुई वटा कामले मात्र बन्ने होइन । यस विषयमा विश्लेषण हुनु जरुरी छ,” उहाँले भन्नुभयो, “सूचना प्रविधि विभागको प्रत्यक्ष सुपरिवेक्षणमा एनआइटिसी चल्छ । नयाँ संरचना पारित भएर आयो भने एनआइटिसी सूचना प्रविधि विभागको अम्ब्रेला (छाता) भित्र रहन्छ ।” यसका लागि सङ्गठन तथा व्यवस्थापन सर्वेक्षण (ओएनएम) भएर अर्थ मन्त्रालय पुगेको भन्दै उहाँले अर्थ मन्त्रालयले हुन्छ भन्नेबित्तिकै मन्त्रीपरिषद्ले पारित गर्ने बताउनुभयो । “हाम्रो सोच के हो भने एनआइटिसीमा जोडिएका व्यक्ति र उपकरण अहिलेभन्दा राम्रो गराउन खोजिएको हो । त्यसैले अब त्यहाँ ‘हाइब्रिड स्टक्चर’ का जनशक्ति हुन्छन् । सरकारी र बाहिरी मार्केटको मान्छे पनि हुन्छन्,” प्रवक्ता सुवेदीले भन्नुभयो, “अब यसमा बजारका विज्ञ पनि ल्याउने र सरकारी जनशक्ति पनि राख्ने गरी नयाँ ओएनएम गरिएको हो । त्यसैले सरकारले यी दुई संस्थाको पुनर्संरचना गर्न खोजेको हो ।” 

उहाँले भन्नुभयो, “पहिलो सूचना प्रविधिको हार्डवेयर र सफ्टवेयर क्वालिटीको हुनुपर्‍यो । त्यसको मापदण्ड गराउन यी कुरा पनि समेटेर सूचना प्रविधि विधेयक मस्यौदा गरिरहेका छौँ । अलग अलग गराउनुभन्दा सबैलाई सूचना प्रविधि विधेयकमा पार्न खोजिएको हो ।” उहाँका अनुसार डाटा सुरक्षा पछिल्लो समय अलि बलियो भएको छ । यसको निगरानी (सर्भिलेन्स) बढेको छ । मन्त्रालयमा चौबिसै घण्टा बस्ने सर्भिलेन्स टिम पनि छ । सो टिमले रियल टाइममा निगरानी गर्ने गरेको छ । यति गर्दागर्दै पनि ह्याकिङको कुरा यसै भन्न सकिँदैन, सुरक्षा बढाइएको छ । सर्भिलेन्स टिममा छ/सात जनाकै टोली छ । यो टोली दिन रात आलोपालो गरेर बस्ने गरेको छ । चौबिसै घण्टा सेक्युरिटी अपरेसन सेन्टर (एसओसी) सञ्चालनमा छ । 

प्रवक्ता सुवेदीले सूचना प्रविधि विधेयकको मस्यौदा साइबर सुरक्षा, डाटा सेक्युरिटीलगायतका आधारभूत विषयसमेत समेटेर अन्तिम रूप दिने काम भइरहेको जानकारी दिनुभयो । “साइबर सुरक्षामा देशकै अवस्था जान्नका लागि ग्लोबल साइबर सेक्युरिटी इन्डेक्सको स्कोर हेर्न सकिन्छ,” उहाँले भन्नुभयो, “नेपालको स्कोर सन् २०२२ मा सयमा ४४.९९ छ भने राष्ट्रिय साइबर सुरक्षा नीति, २०८० ले आगामी १५ वर्षमा यो स्कोर ८० पुर्‍याउने महत्वाकाङ्क्षी लक्ष्य राखेको छ ।” गुणस्तर कायम गर्न र साइबर जोखिमलाई घटाउन सूचना प्रविधि प्रणालीको सुरक्षा जाँचसम्बन्धी सफ्टवेयर र हार्डवेयरको भेटिङसम्बन्धी कार्यलाई मापदण्ड बनाएर लागु गर्ने काम सुरु भएको उहाँले जानकारी दिनुभयो । 

राष्ट्रिय सूचना प्रविधि केन्द्रका कार्यकारी निर्देशक प्रदीप शर्मा पौडेलले हाल केन्द्रले करिब तीन हजार पाँच सय वेबसाइट होस्टिङ गरेको, एक हजार पाँच सय सरकारी निकायमा सूचना प्रविधिको पूर्वाधार प्रदान गरेको, दुई हजारभन्दा बढी डोमेन रजिस्टे«सन भएको र २० हजार सरकारी कार्यालय र कर्मचारीको इमेल अकाउन्ट सञ्चालनमा ल्याएको जानकारी दिनुभयो । उहाँले केन्द्रका सर्भरमा थ्री लेयर डिजिटल सेक्युरिटीको व्यवस्था गरेको बताउनुभयो । “डाटाको कुरा कस्तो हुन्छ भने एक ठाउँमा राखेर प्राविधिक रूपमा जति बलियो बनाए पनि त्यो सुरक्षित मान्न सकिन्न । फेसबुक जस्तो कम्पनीको डाटा सेन्टर चार/पाँच ठाउँ हुन्छ,” उहाँले भन्नुभयो । सबै सरकारी निकायका डाटा नहराओस् भनेर केन्द्रले हेटौँडाको डाटा सेन्टरमा अफलाइन ब्याकअप गर्ने गरेको जानकारी पौडेलले दिनुभयो । “यस केन्द्रले नेपाल सरकारको सम्पूर्ण कम्प्युटिङ प्रणाली धानेको छ । अहिले हामी यसलाई आइएसओ सर्टिफिकेसन गर्न लागेका छौँ । त्यसका लागि बजेट चाहिन्छ । केन्द्रमा बजेटको अभाव छ ।”

सूचना प्रविधि विभागका महानिर्देशक प्रेमशरण श्रेष्ठले सरकारी कार्यालयको वेबसाइट निर्माण तथा व्यवस्थापनसम्बन्धी निर्देशिका–२०७८ बमोजिम सबै सरकारी निकायको वेबसाइटबिच एकरूपता कायम गर्न, सूचना प्रविधि विभागले एकीकृत वेबसाइट व्यवस्थापन प्रणालीको विकास गरिएको छ । यस्तै सरकारी निकायका सूचना प्रविधि प्रणालीहरू सुरक्षित तवरले कम लागतमा साझा पूर्वाधारमार्फत सञ्चालनमा ल्याउन क्लाउड कम्प्युटिङको सुरुवात भएको छ । विभागका अनुसार हालसम्म जी–क्लाउडमा तीन सय १९ सरकारी निकायको सूचना प्रविधि प्रणालीलाई होस्ट गर्न सिपियु, र्‍याम र स्टोरेज उपलब्ध गराइएको छ । हालसम्म २४० वटा विभिन्न सरकारी निकायको तीन सय ५१ वटा प्रणालीको सेक्युरिटी अडिट गरी सुरक्षित बनाउन आवश्यक सुझावसहित प्रतिवेदन दिइएको छ । विभागका अनुसार आर्थिक वर्ष २०७९/८० मा ४४ निकायका ७१ वटा प्रणालीको सेक्युरिटी अडिट गरिएको छ ।  यस्तै विभागले वेबसाइट/एप्लिकेसन अनुगमन प्रणाली अन्तर्गत नेपाल सरकारले सञ्चालनमा ल्याएका विभिन्न वेबसाइट तथा वेब एप्लिकेसनलगायतका प्रणाली निरन्तर सञ्चालनको क्रममा हुने डाउन टाइम तथा प्रणालीको उपलब्धता अनुगमन गर्न, भिफेसमेन्ट र ब्रिचको अवस्था अनुगमन गर्न र सम्बन्धित निकायलाई जानकारी गराउन तथा सोको प्रतिवेदन तयार गर्न यस प्रणालीको विकास गरिएको जनाएको छ । महानिर्देशक श्रेष्ठले यो प्रणाली आव २०७८/७९ देखि सञ्चालनमा रहेको र दुई हजारभन्दा बढी सरकारी प्रणाली मनिटरिङ भइरहेको जानकारी दिनुभयो । 

नागरिक एप

सरकारले अनलाइनबाट दिने सबै सेवालाई एकीकृत रूपमा उपलब्ध गराउन ल्याएको नागरिक एपका सव्रिmय प्रयोगकर्ता अहिले २० लाख पुगेको राष्ट्रिय सूचना प्रविधि केन्द्रले जनाएको छ । केन्द्रका अनुसार यो एप एपस्टोर, वेबसाइटलगायतका माध्यमबाट हालसम्म ४० लाखभन्दा बढी पटक डाउनलोड भएको छ । एप प्रयोग गर्न आफ्नो नाममा रहेको मोबाइल नम्बर हुनुपर्ने अनिवार्य गरिएको छ । प्रवक्ता सुवेदीका अनुसार यो एपमा हाल ६२ वटा सेवा सूचीकृत गरिएका छन् । ६१ मध्ये आधा जति अर्थात् ३१ वटा सेवा सञ्चालनमा रहेका छन् । 

केन्द्रका कार्यकारी निर्देशक पौडेलले नागरिकतामा अङ्ग्रेजी नामको स्पेलिङका कारण प्रमाणीकरण (भेलिडेसन) को समस्या देखिएको बताउनुभयो । “नागरिकले यो एप प्रयोग गर्न खोजे तर यसमा रहेका केही प्राविधिक त्रुटिका कारण समस्या देखिएको छ । नागरिकताको डाटा रुजु (भेरिफिकेसन) गृह मन्त्रालय अन्तर्गत पर्छ,” उहाँले भन्नुभयो, “सिटिजन म्यानेजमेन्ट सिस्टम गृह मन्त्रालय अन्तर्गत रहेको   छ । त्यसैले हामीले राष्ट्रिय परिचयपत्र नम्बरबाट नागरिक एपमा भेलिडेसन गर्दा सजिलो हुन्छ भनेर काम गर्न खोजेका हौँ । केही प्राविधिक कुराले यो कुरा अहिले रोकिएको छ ।” 

मन्त्रालयका प्रवक्ता सुवेदीले डेटा बेसलाई भेलिडेसनको आधार नागरिकतालाई मान्ने कि, राष्ट्रिय परिचयपत्रलाई मान्ने भन्ने कुरा टुङ्गो नलागेको बताउनुभयो । उहाँले भन्नुभयो, “हामीले हाम्रा सिस्टमहरू अलग अलग चलाउन चाहँदा रहेछौँ । सबै कुरालाई एकत्रित (इन्टिग्रेटेट) गर्ने कुरामा कमै चासो देखियो ।” उहाँले सञ्चार मन्त्रालयले पूर्वाधारजन्य काम गर्ने र समन्वयको काम प्रधानमन्त्री कार्यालयले गर्नुपर्ने बताउनुभयो । “सुरुवातमा घोषणा राम्रो भयो । अहिले फेरि केही राम्रो भएको छ । ट्राफिक चेकजाँचमा नागरिक एपलाई मान्यता दिने काम भएको छ,” उहाँले भन्नुभयो, “चालकको गल्ती तथा कमजोरी देखिएको छैन भने मोबाइलबाट एपमा रहेको लाइसेन्स देखाए पनि मान्यता पाउने कामको सुरुवात भएको छ ।” 

साइबर सुरक्षाविद् राजनराज पन्तले साइबर सुरक्षाका लागि सबैभन्दा पहिला डिजिटल साक्षरता बढाउनुपर्नेमा जोड दिनुभयो । उहाँले रियल टाइम मनिटरिङ, डाटा ब्रिज भएका डाटाको पहिचान, आएएसओ प्रमाणीकरण, प्रयोगकर्ताको डाटा सुरक्षालगायतका विषयमा लाग्न सरकारलाई आग्रह गर्नुभयो । “साइबर सुरक्षा केन्द्र स्थापना गर्ने सरकारको कदम स्वागतयोग्य छ । साइबर सुरक्षालाई बलियो बनाउन विज्ञ समूहबाट सरकारले काम लिने र सुझाव लिने भन्ने कुरा निकै राम्रो हो,” पन्तले भन्नुभयो, “साइबर हमला र थ्रेटहरू न्यूनीकरण गर्न कुनै पनि विश्वासिलो कम्पनीको प्लेटफर्मको सहयोग लिनु राम्रो हुन्छ ।”