• ११ मंसिर २०८१, मङ्गलबार

साइबर सुरक्षाका जोखिम

blog

नेत्र सुवेदी ‘प्रयास

साइबर अपराध इन्टरनेट र कम्प्युटर उपकरण वा प्रणालीको दुरुपयोग गरी हुने विशिष्ट प्रकृतिको अपराध हो । यस खाले अपराधमा न हतियारको आवश्यकता पर्छ न त कुनै देशको सीमाले नै छेक्छ । कम्प्युटर र इन्टरनेटको साथमा पछिल्लो समय प्रयोगमा आएका स्मार्ट मोबाइल तथा ट्याब्लेटसम्ममा पनि साइबर अपराध हुने स्पेसको कभरेज पुगेको छ । 

सन् १९८१ मा क्याप्टेन ज्याक भनिने इयान मर्फीले अमेरिकाको एटी एन्ड टी नामक टेलिफोन कम्पनीको बिलिङ प्रणाली ह्याक गरेको घटनालाई पहिलो साइबर अपराध मानिन्छ । तत्पश्चात् दिनहुँजसो फरकफरक खालका साइबर आक्रमण तथा अपराधका घटना घटिरहेको हामी सुन्छौँ, पढ्छौँ । इन्टरनेट र कम्प्युटरको बढ्दो प्रयोगसँगै साइबर अपराधको परिधिसमेत बढेर गएको छ । साथसाथै साइबर अपराधबाट पर्न जाने असुरक्षा, क्षति वा नोक्सानी पनि बढ्दै गएको हुँदा राज्य सञ्चालनमै एउटा गम्भीर चुनौतीका रूपमा साइबर स्पेसलाई सुरक्षित बनाउने विषय परेको छ । 

अमेरिकी डिपार्टमेन्ट अफ जस्टिसले गरेको परिभाषाअनुसार कम्प्युटरको सहायताले सूचनाको सिर्जना, वितरण, हेराफेरी, चोरी, गलत प्रयोग वा नष्ट गर्ने कार्य, साइबर स्पेसको म्यानिपुलेसन (नोट : इन्टरनेट र कम्प्युटर सञ्जालसहितको अनलाइन विश्वलाई साइबर स्पेस भनिन्छ)जस्ता घटना साइबर अपराधमा पर्छन् । यस खाले अपराध पीडितको रुचि र भौतिक बलको प्रयोगबिनै सम्भव हुन्छ । साइबर जोखिम बढेर जानुमा खासगरी सजिला र दोहोरिरहने खालका पासवर्ड प्रयोग हुनु, म्याद गुज्रेका र पुरानो खालको सफ्टवेयर वा हार्डवेयर प्रयोगमा ल्याउनु, सामान्य सचेतनाको समेत कमीलगायतका कारण रहेको पाइएको छ ।

साइबर अपराधको वर्गीकरण

भारतको सूचनाप्रविधि ऐन र अन्य उपलब्ध साहित्यको आधारमा उल्लेख गर्नुपर्दा साइबर अपराधलाई व्यक्तिविरुद्ध, व्यक्तिगत सम्पत्तिविरुद्ध, समाजविरुद्ध र सरकारविरुद्ध गरी चार वर्गमा बाँडेर विश्लेषण गर्न सकिन्छ । व्यक्तिविरुद्ध हुने साइबर आपराधिक घटनामा इमेल हैरानी वा ठगी, अश्लील सामग्री फैलाउनु, गालीबेइज्जति, ह्याकिङ, क्र्याकिङ, एसएमएस ठगी वा धम्की, प्रोनोग्राफीलगायत पर्छन् । 

साथै व्यक्तिगत सम्पत्तिविरुद्धका आपराधिक कार्यमा कम्प्युटर सिस्टम ह्याकिङ, साइबर भेन्डालिज्म, भाइरस पठाउने, इन्टरनेटमार्फत चोरी, बौद्धिक सम्पत्तिसम्बन्धी अपराधलगायत पर्छन् । समाजविरुद्ध हुने साइबर अपराधका उदाहरणमा अनलाइन हिंसा, एटीएम चोरी, बालप्रोनोग्राफी, साइबर ट्राफिकिङलाई लिन सकिन्छ । त्यस्तै सरकारविरुद्धको साइबर अपराधमा साइबर स्पेस प्रयोग गरेर हुने आतङ्क, अनधिकृत सूचनाको भण्डारण, पाइरेटेड सफ्टवेयर वितरण, साइबर वारफेयरजस्ता विषय पर्छन् । 

विश्वव्यापी सूचकमा नेपालको स्थान

विश्वव्यापी साइबर सुरक्षा सूचकले समेटेका स्तम्भका आधारमा भन्नुपर्दा साइबर सुरक्षाका लागि मूलतः कानुनी, सङ्गठनात्मक, प्राविधिक, क्षमता विकाससम्बन्धी र आपसी सहयोग गरी पाँच विषय महìवपूर्ण रहन्छन् । सन् २०२० मा भएको मूल्याङ्कनले नेपालको स्कोर १०० मा ४४.९९ र स्थान १८२ देशमध्ये ९४ देखाएको छ । सो को दुई वर्षअघि नेपालको स्थान १०६ थियो । 

छिमेकी देश भारतको स्थान राम्रा १० वटा देशमध्ये नै परेको छ र अङ्क ९७.५ देखाएको छ । प्रश्नावलीमा आधारित अनलाइन सर्भेको नतिजाका आधारमा यो सूचक गणना गरिन्छ र पुष्ट्याइँका आधार आवश्यक पर्छ । विश्वव्यापी साइबर सुरक्षा मूल्याङ्कन गर्ने संस्था अन्तर्राष्ट्रिय दूरसञ्चार सङ्घ (आईटीयू) संयुक्त राष्ट्रसङ्घीय विशिष्टीकृत संस्था हो; जसले सूचना तथा सञ्चार प्रविधिमा नवप्रवर्तनकारी भूमिका निर्वाह गरेको हुन्छ । यसमा १९३ देशका अलावा ९०० जति कम्पनी, विश्वविद्यालय र अन्य अन्तर्राष्ट्रिय तथा क्षेत्रीय सङ्गठन आबद्ध छन् ।

नेपालको साइबर स्पेस असुरक्षित रहेको विभिन्न घटनाक्रमले पुष्टि गरेका छन् । इन्टरनेटको प्रयोग र खासगरी डिजिटल सेवाको विस्तारसँगै एकाउन्ट ह्याकिङको प्रयास, साइबर बुलिङ, तथ्याङ्कको चोरी, बैङ्किङ घोटालाजस्ता घटना बढ्न जानु राम्रो होइन । महिला, मिडिया र सूचनाको क्षेत्रमा कार्यरत मिडिया एड्भोकेसी ग्रुपले सन् २०२२ मा छापा, विद्युतीय तथा अनलाइन मिडियामा कार्यरत २८१ जना महिला पत्रकारको सहभागितामा गरिएको अध्ययनको निष्कर्षअनुसार ८८.६ प्रतिशत महिला पत्रकारले आफ्नो जीवनकालमा अनलाइन हिंसा भोगेको देखिएको छ । यस खाले हिंसालाई सम्बोधन हुने गरी नीतिगत सुधार र स्पष्ट कानुनी व्यवस्था गर्नुपर्ने कुरासमेत उक्त अध्ययनले औँल्याएको छ । 

नेपाल दूरसञ्चार प्राधिकरणले साइबर सुरक्षा विनियम, २०२० प्रयोग गर्दै आएको छ । उक्त विनियमले टेलिफोन र इन्टरनेट सेवा प्रदायकले साइबर सुरक्षा जोखिम सम्बद्ध सूचना आदान प्रदान गर्ने प्लेटफर्म प्रयोगमा ल्याउनुपर्ने व्यवस्था गरेको छ । हालसम्म नेपालमा साइबर सुरक्षासम्बन्धी नीति तर्जुमा भएको छैन । प्राधिकरणले विज्ञमार्फत प्रारम्भिक मस्यौदा गरी सरोकारवालाबीच छलफलसमेत भएको राष्ट्रिय साइबर सुरक्षा नीति जारी हुन सकेमा साइबर सुरक्षाको विषयले विधिवत् प्रवेश पाउने छ । नीति लागू भएपश्चात् सुरक्षित र समुत्थानमूलक साइबर स्पेस निर्माणका लागि व्यक्ति, व्यवसाय र सरकारले झेल्नुपर्ने साइबर जोखिमको सम्बोधन हुने अपेक्षा लिइएको छ । कानुन र मापदण्डको तर्जुमा गर्दा वा संस्थागत र साङ्गठनिक प्रारूपको प्रयोग गर्दा अन्तर्राष्ट्रिय अभ्यासबाट समेत सिकाइ आदान–प्रदान हुनु जति आवश्यक छ, त्योभन्दा पनि बढी आवश्यकता स्वदेशी विज्ञको सहयोग प्राप्त गर्नु तथा संलग्न जनशक्तिको क्षमता विकास गर्नु छ । यसको साथसाथै साइबर सुरक्षालाई बलियो तुल्याउन सक्षम र सुरक्षित प्रविधिका अलावा उपयुक्त पूर्वाधार र प्रक्रियामा समेत जोड दिनुपर्छ । 

नेपालको साइबर सुरक्षासम्बन्धी केही सन्दर्भ

डिजिटल फुटप्रिन्ट बढेसँगै स्वाभाविक रूपमा योसँग सम्बन्धित जोखिम पनि बढेर गएको छ । साइबर सुरक्षाको विषय सन् २०१३ ताका पहिलो पटक नेपाल भित्रिएको मानिन्छ । उक्त वर्ष नेपाल प्रहरीमा १९ वटा सोसल मिडिया सम्बन्धित अपराधका उजुरी परेका थिए । निजी क्षेत्रमा साइबर सुरक्षाका लागि लगपोइन्ट नेपाल प्राइभेट लिमिटेड नामक कम्पनीले पहिलो पटक सेक्युरिटी इन्फर्मेसन एन्ड इभेन्ट म्यानेजमेन्ट (क्क्ष्भ्ः) नामक सुरक्षित साइबर स्पेसका लागि लक्षित प्रणाली प्रयोगमा ल्याएको हो भने इमिनेन्स वेज र रिगो टेक्नोलजी पनि अग्रणी सेवा प्रदायक कम्पनी मानिन्छन् । 

हाल आएर भैरव टेक, क्रिप्टोजेन नेपाल, थ्रेटनिक्स, वनकभर प्राइभेट लिमिटेड, रेन्डाबिज सर्व र साइनिकल टेक्नोलजीजस्ता संस्था साइबर सुरक्षाका क्षेत्रमा क्रियाशील छन् । साइबर सुरक्षाको विषयमा अन्तर्राष्ट्रिय तहमा नै नाम कमाउन सफल नेपालका व्यावसायिक व्यक्ति र इथिकल रिपोर्टरको सङ्ख्यासमेत बढिरहेको छ; जसमध्ये कतिपयले त फेसबुक, ट्विटर, माइक्रोसफ्टजस्ता संस्थाको हल अफ फेमका रूपमा समेत पहिचान पाएका छन् ।

नेपालको सन्दर्भमा साइबर आक्रमणको हिसाबले २०१७ लाई खराब वर्षका रूपमा चित्रित गरिन्छ । सन् २०१७ को जुन १७ का दिन पासपोर्ट विभागको आधिकारिक वेबसाइट तुर्किस ह्याकरले ह्याक मात्र गरेनन्, सरकारी तथ्याङ्क बाहिर ल्याउने धम्कीसमेत दिए । जुलाई २५ का दिन प्याराडोक्स साइबर घोस्ट नामक समूहले नेपाल सरकारका ५८ वटा वेबसाइट ह्याक गरे । अक्टोबर २३ का दिन अपरिचित ह्याकरले एनआईसी एसिया बैङ्कको स्विफ्ट प्रणाली ह्याक गरे । एउटा व्यक्तिको खाताबाट ठूलो रकम छ देशका विभिन्न व्यक्तिको नाममा ट्रान्सफर गरियो । उक्त रकमको केही अंश फिर्ता नै भएन । नोभेम्बर २८ का दिन अनलाइन खबरको पोर्टलमा तेस्रो पक्षले मोनेरो नामक क्रिप्टोकरेन्सी उत्खनन गर्ने गरी जाभास्क्रिप्ट इन्स्टल गर्ने काम भयो । 

साइबर सुरक्षामा नेपाल प्रहरी

साइबर अपराध सचेतना, साइबर सुरक्षा र साइबर अपराध अनुसन्धानसमेतको कार्य गर्नका लागि नेपाल प्रहरीको साइबर ब्युरोले २०७५ जेठ २७ देखि काठमाडौँ भोटाहिटीमा अलगै साइबर ब्युरो स्थापना गरेर काम गरिरहेको छ । ब्युरोको काम, कर्तव्य र अधिकारमा कानुनद्वारा निर्दिष्ट साइबर कसुरको अनुसन्धान गर्ने, साइबर अपराधको बदलिँदो चरित्रको अध्ययन, अनुसन्धान र सूचना विश्लेषण गर्ने, साइबर अपराध अनुसन्धानमा राष्ट्रिय एवं अन्तर्राष्ट्रिय निकाय, सङ्घसंस्थासँग समन्वय र सहकार्य गर्ने, साइबर अपराधसम्बन्धी जनचेतना अभिवृद्धि गराउनेलगायत छ । नेपाल प्रहरीको साइबर ब्युरोमा आ.व. २०७६/७७, २०७७/७८ र २०७८/७९ मा क्रमशः ४३, ७६ र १०६ वटा मुद्दा दायर भएको अभिलेखबाट देखिन्छ । यसबाट पनि साइबर अपराधसम्बन्धी समस्या बढ्दै गएको पुष्टि हुन्छ । 

सजग बन्नु जोखिम न्यूनीकरणको उपाय

कम्प्युटर र इन्टरनेट प्रयोगकर्ताले नै सजगता अपनाउनु साइबर अपराध नियन्त्रणको सकारात्मक उपाय हो । प्रयोगकर्ताले खासगरी नयाँ ठेगानाबाट प्राप्त भएको वा अरू कसैको ठेगानाबाट सेयर भएको लिङ्क, सन्देश वा इमेल कस्तो हो, कहाँबाट आएको हो भन्ने पहिचान गरेपछि मात्र खोल्ने र अन्यथा नखोल्ने गर्नुलाई आधारभूत सजगता मान्न सकिन्छ । योबाहेक फरक एकाउन्टमा फरक र मापदण्डअनुसार बलियो पासवर्डको प्रयोग गर्नु र निश्चित समायावधिपछि परिवर्तन गर्नु पनि न्यूनतम सजगतामै पर्छ । हालसालै मोबाइलमा नेपालगर्ल, नेपालस्टकजस्ता फेक र घातक मेसेज आउने गरेको जानकारीमा आएको छ । यी खालका मेसेज खोल्नु भनेको जोखिममा पर्नु र साइबर अपराधरूपी घटनालाई निम्त्याउनु हो । 

साइबरसम्बन्धी अपराधको अनुसन्धान र अभियोजन सम्बन्धमा साबिकमा केही सार्वजनिक (अपराध सजाय) ऐन, २०२७ अनुसार हेरिँदै आएकोमा विद्युतीय कारोबार ऐन, २०६३ लागू भएपछि साइबर अपराधसम्बन्धी मुद्दाको दायरी, कारबाही र किनारासमेत यही कानुनअनुसार हुँदै आएको छ । विषयगत हिसाबले भन्नुपर्दा विद्युतीय कारोबार ऐनले विद्युतीय सञ्चार माध्यमबाट हुने कारोबारलाई प्रमाणीकरण र नियमित गर्ने उद्देश्य राखेको प्रतीत हुन्छ । साइबर अपराधजस्तो गतिशील अपराधको अनुसन्धान र अभियोजनको विषय यो ऐनको कार्यक्षेत्रभन्दा पनि छुट्टै साइबर सुरक्षा ऐनको कार्यक्षेत्रमा पर्नु उपयुक्त हुने देखिन्छ । 

कानुन निर्माणमा विचार पु-याउनुपर्ने विषय 

सूचना र सूचना प्रणालीलाई सुरक्षित बनाउने नाममा संविधानप्रदत्त मौलिक हकको प्राप्तिमा अङ्कुश लगाउनु हुँदैन । त्यस्तै विद्युतीय सुशासनको बृहत् पारिस्थितिक प्रणालीका एकाइमध्ये साइबर सुरक्षाको विषय पनि महìवपूर्ण पक्ष भएकाले यसलाई अन्तिम रूप दिनुअघि प्रत्यक्ष सरोकारवाला जस्तो कि नागरिक समाजका संस्थाका प्रतिनिधिलाई संवादका क्रममा र कार्यान्वयनका क्रममा समेत सहभागी गराउनु उपयुक्त हुन्छ । भावी दिनमा साइबर सुरक्षा सुनिश्चित गर्दै जानका निम्ति सूचना तथा तथ्याङ्कको बीमा गर्नु पनि राम्रो उपाय हुन सक्छ । सार्वजनिक वा निजी क्षेत्रमा सञ्चालनमा रहेका डाटा सेन्टरलाई सुरक्षित बनाउने प्रविधि र सुरक्षा रणनीतिको प्रयोग आवश्यक छ । यसका लागि जुनसुकै डाटा सेन्टरको पनि समय–समयमा अन्तर्राष्ट्रिय मापदण्डअनुसार प्राविधिक परीक्षण गरी गुणस्तर निर्धारण तथा नियन्त्रण गरिनुपर्छ । त्यसैगरी वेबसाइट निर्माण र प्रयोग गर्दा साइबर सुरक्षालाई प्राथमिकतामा राख्नुपर्छ । हालसालै सूचना प्रविधि विभागले विकसित गरेको वेबसाइट जुन कुनै सरकारी निकायले प्रयोग गर्न सक्ने र सो को जोखिम अनुगमन गर्ने प्रणालीसमेत सँगसँगै अघि बढाएको विषय सकारात्मक छ । 

निष्कर्ष

अन्य देशमा जस्तै नेपालको सन्दर्भमा पनि साइबर स्पेस फराकिलो हुँदै गएसँगै साइबर आक्रमण वा साइबर अपराधका घटना घटित हुने क्रम पनि बढ्दै गएको छ । साइबर स्पेसमा हुने आपराधिक घटना बढ्न नदिन स्वयं कम्प्युटर वा इन्टरनेट प्रयोगकर्ता सजग र सचेत हुन जरुरी छ । शिक्षा र सचेतनाका माध्यममा समेत साइबर सुरक्षाका उपाय सम्बन्धमा खुला छलफल हुनुपर्छ । यसका साथसाथै सामान्य दुःख, हैरानीदेखि राष्ट्रिय सुरक्षामा समेत धावा बोल्न सक्ने साइबर असुरक्षाबाट बच्नका लागि राज्यका तर्फबाट समयानुकूल नीति कानुन लागू गर्न ढिलाइ गर्नु हुँदैन । प्रविधिको सदुपयोगबाट मात्र मानव सभ्यता अघि बढ्छ, रूपान्तरण सम्भव हुन्छ ।

लेखक सञ्चार तथा सूचना प्रविधि मन्त्रालयका सहसचिव हुनुहुन्छ ।