• ७ मंसिर २०८१, शुक्रबार

डाटा सुरक्षामा कानुनी अड्चन

blog

डा. शैलेन्द्र गिरी 

अहिले नेपालमा डाटा सुरक्षा र कानुनी अड्चनका बारेमा दिनहुँजसो चिया गफ हुने गर्छ । साथै स्कुल, कलेज र सरकारी कार्यालयमा पनि यसैको चर्चा छ । अबको बहुमूल्य सम्पत्ति भनेकै डाटा हो भन्ने कुरा विश्वले स्वीकार गरिसकेको छ र त्यसतर्फ उनीहरूले ठूलो मात्रामा लगानीसमेत बढाइसकेका छन् । नेपालमा सरकार र निजी क्षेत्रबाट डाटा सङ्कलन र भण्डारणको कार्य तीव्र रूपमा भइरहेको छ । 

डाटा भण्डारण केन्द्र अर्थात् सर्भरमा आउने अनेक भौतिक, प्राविधिक समस्या, संस्थाभित्र वा बाहिरबाट हुने साइबर हमलाबारेमा सरकार र निजी क्षेत्रको पनि चासो र चिन्ता बढेको छ । साइबर सुरक्षा, डाटा र क्लाउन्ड सुरक्षा, इन्टरनेट सुरक्षा, नेटवर्क सुरक्षा, सफ्टवेयर सुरक्षा, अनलाइन न्युज पोर्टल सुरक्षा, सोसल मिडिया र सरकार तथा निजी क्षेत्रले बनाएर प्रयोगमा ल्याएका विभिन्न विषयसँग सम्बन्धित एप्सहरूको व्यवस्थापन, अनुगमन, नियन्त्रण र सुरक्षाको विषयमा सबैको चासो र चिन्ता हुनु स्वाभाविकै हो ।

डाटा उत्पादन र भण्डारण

नेपालमा ल्याइएको पहिलो कम्प्युटर आईबीएम १४०१ थियो; जुन सरकारले वि.सं. २०२८ को जनगणनाका लागि अमेरिकाबाट भाडामा ल्याएको थियो । पछि पुनः वि.सं. २०३८ सालको जनगणनाका लागि आईसीएल २९५०÷१० नामको कम्प्युटर बेलायतबाट भाडामा ल्याएको थियो । सरकार र निजी क्षेत्रले सार्वजनिक सेवा प्रवाहमा कम्प्युटर प्रयोग गर्न थालेपछि छापा मिडियाहरूले कम्प्युटर प्रयोग गर्न थालेका थिए । त्यस बेलादेखि नेपालमा कम्प्युटरमा डाटा भण्डारण हुन सुरु गरेको होे । त्यो बेला अहिलेजस्तो डाटा सुरक्षाको जोखिम भने थिएन ।

नेपालमा सङ्घ, प्रदेश र स्थानीय सरकार मातहतका कार्यालयहरू, निजी क्षेत्र र एनजीओ÷आईएनजीओमार्फत डाटाको उत्पादन र भण्डारण कार्य भइरहेका छन् । यसरी भण्डारण गरिएका डाटाको बीचमा इन्ट्रिग्रेसन र इन्टरचेन्जका लागि कुनै कानुनले सम्बोधन गरेको अवस्था नहँुदा डाटा विद्युतीय माध्यमबाट इन्ट्रिग्रेसन र इन्टरचेन्ज हुन सकेको छैन । जसको कारण एक पटक बायोमेटिक दिएर पुग्नेमा कामैपिच्छे पटक पटक डाटा दिनुपर्ने अवस्थामा हामी छौँ र नचाहेर पनि दिइरहेका छौँ । डाटा सरक्षाको विषय कतै उल्लेख छैन ।

डाटा केन्द्रको हालको अवस्था 

राष्ट्रिय जनगणना, २०७८ को प्रतिवेदनअनुसार ३७.८ प्रतिशत अर्थात् २५ लाख १४ हजार ५१० परिवारमा इन्टरनेट पुगेको देखिएको छ । इन्टरनेट सुविधा पुग्ने नगरपालिकाको सङ्ख्या ४५.७ प्रतिशत रहेको छ भने गाउँपालिकाको सङ्ख्या २१.५ प्रतिशत छ । त्यस्तै ७३ प्रतिशत नेपाली परिवारमा स्मार्टफोनको पहुँच पुगेको छ भने साधारण मोबाइल फोनको पहुँच भने ७३.३ प्रतिशत परिवारमा पुगेको छ । हालसम्म १५ प्रतिशत परिवारमा कम्प्युटर र ल्यापटप पुगेको छ । स्थानीय तहअनुसार १९.९ प्रतिशत नगरपालिका र ४.९ प्रतिशत गाउँपालिकामा कम्प्युटर र ल्यापटपको पहुँच पुगेको उक्त प्रतिवेदनमा उल्लेख छ ।

नेपाल सरकार मातहतका निकायको केन्द्रीकृत डाटा भण्डारण केन्द्र हालसम्म छैन । सङ्घ, प्रदेश र स्थानीय तहबाट उत्पादन हुने डाटाहरू अलग अलग स्थानमा भण्डारण हुने हुँदा डाटा सुरक्षाको जोखिम उच्च छ । त्यसमा पनि बैङ्किङ क्षेत्र, ई–कर्म क्षेत्र, प्राइभेट क्षेत्रबाट उत्पादन गरिएका डाटाहरू सरकारको साइबर र डाटा सुरक्षा मापदण्डबिना नै भण्डारण गरिएको सत्य हो । 

एनजीओ र आईएनजीओमार्फत उत्पादन गरिएका डाटाहरूको भण्डारण कहाँ गरिएको छ, त्यसमा सरकारको चासो र चिन्ता हुनुपर्छ । यातायात विभाग, राहदानी विभाग, अध्यागमन विभागलगायत कार्यालयका सर्भरहरू प्रायः डाउन भएको समाचार आइरहेका हुन्छन् । यो डाटा सुरक्षाको हिसाबले त्यति शुभ होइन । अहिले इन्टरनेट प्रदायक संस्थाहरूले पनि ठूलो लगानीमा डाटा भण्डारण केन्द्र सञ्चालनमा ल्याएका छन् । हामीकहाँ डाटा केन्द्रहरूमा साइबर आक्रमण, बैङ्क ह्याक गरी करोडौँ चोरी भएका घटना कुनै नयाँ भने होइनन् । त्यसको सुरक्षा र जोखिमको विषयमा सरकारको ध्यान जानु आवश्यक छ ।

भौतिक र प्राविधिक अवस्था 

साइबर र डाटा सुरक्षाका लागि भौतिक र प्राविधिक अवस्थाका बारेका चर्चा गर्दा हार्डवेयर र सफ्टवेयरबीचको अन्तरसम्बन्ध भनेर बुझ्दा उत्तम हुन्छ । सरकारी डाटा सेन्टरमा काम गरेका पूर्वकर्मचारीका अनुसार डाटा सेन्टरमा प्रयोग भएका 

हार्डवेयर संयन्त्र कमजोर छैनन् तर केही प्रयोगविहीन भने छन् । प्रयोग नै नगर्ने हो भने कराडौँ खर्च गरेर किन किनेको हो ? प्रश्न खडा भएको छ । 

डाटा सुरक्षाका लागि प्रयोग हुने विश्वमा अत्यन्त सुरक्षित सफ्टवेयरहरू उपलब्ध छन्, नारायण कोइराला भन्नुहुन्छ “तर हामीकहाँ त्यसको प्रयोग अत्यन्त कमजोर छ ।” सुरक्षित सफ्टवेयर प्रयोग गर्न उहाँको सुझाव छ । डाटा सुरक्षा मानवीय सुरक्षासँंग जोडिएको हुनाले यसको संवेदनशीलतालाई पनि सरोकारवालाले ध्यान दिनुपर्छ । केही दिनअघि मात्र नेपाली सेनाको सर्भरमा साइबर आक्रमण भएको भनिएको समाचार बाहिर आएको थियो । यसले के देखाउँछ भने नागरिकका डाटा पूर्ण रूपमा सुरक्षित छन् भन्ने होइन । 

जनशक्तिको अवस्था

सूचना प्रविधिसंँग सम्बन्धित स्वीकृत दरबन्दी ज्यादै न्यून छ । उक्त दरबन्दीबमोजिमको जनशक्तिसमेत पूर्ण रूपमा पदपूर्ति भएको अवस्था छैन । नेपाल सरकारले हालै गरेको एक अध्ययनअनुसार अहिले सरकारमातहत सूचना प्रविधिसंँग सम्बन्धित राजपत्राङ्कित प्रथम श्रेणी तीन, रा.प. द्वितीय श्रेणी २९, रा.प. तृतीय श्रेणी ४०२ जना रहेका छन् । सञ्चार तथा सूचना प्रविधि मन्त्रालयको सूचना प्रविधि महाशाखाअन्तर्गत साइबर सुरक्षा शाखामा उपसचिव (प्रा.) एक, कम्प्युटर इन्जिनियर दुई जना रहेका छन् । 

नेपाल प्रहरीको साइबर ब्युरोमा प्राविधिकतर्फ ३७ र अप्राविधिकतर्फ ३३ दरबन्दी रहेकोमा हाल कार्यरत जनशक्ति प्राविधिकतर्फ १५ र अप्राविधिकतर्फ ६२ रहेको छ । सूचना प्रविधिसंँग सम्बन्धित जनशक्ति नै न्यून रहेको अवस्थामा साइबर र डाटा सुरक्षाजस्तो सूचना प्रविधिको विशिष्टीकृत क्षेत्रका लागि आवश्यक पर्ने विशिष्टीकृत जनशक्ति सरकारी संयन्त्रमा प्रायः नगन्य नै रहेको अवस्था अध्ययनमा देखिएको छ । 

अन्तर्राष्ट्रिय अभ्यास

जेनेरल डाटा प्रोटेक्सन रेगुलेसन (जीडीपीआर) युरोपेली सङ्घमा डाटा गोपनीयता कानुनहरू अद्यावधिक र एकीकृत गर्ने कानुन हो । जीडीपीआर अप्रिल १४, २०१६ मा युरोपेली संसद्ले अनुमोदन गरेको थियो र मे २५, २०१८ मा लागू भएको थियो । यसको मुख्य उद्देश्य हरेक नागरिकको जीवन, कार्यक्षेत्र र घटनाक्रमसंँग सम्बन्धित विभिन्न डाटाको सुरक्षा गर्नु रहेको छ । साथै उक्त डाटा सङ्कलन गर्ने संस्थालाई समेत जिम्मेवार बनाई सुरक्षित डाटा सङ्कलन गर्न सुनिश्चित गर्नु हो । यसरी जीडीपीआरले व्यक्तिगत डाटाहरू सुरक्षित रूपमा राख्नसमेत सम्बन्धित संस्थालाई मार्गनिर्देशन गर्दछ । 

बहसको विषय

स्थानीय तहका डाटाहरू क्लाउडमा भण्डारण गरिएको त छ तर त्यसको वास्तविक सर्भर कुन देशमा छ ? के त्यो नेपालीको पहुँचमा छ ? त्यसको ब्याकअप सर्भर कहाँ छ ? डाटा र साइबर सुरक्षाको विषयमा किन अध्ययन र अनुसन्धान हुँदैन ? भएका अध्ययन र अनुसन्धानका प्रतिवेदनलाई किन कार्यान्वयनमा जाँदैनन् ? अब कार्यान्वयन पक्षमा ढिला गर्नु हुँदैन । डाटा सुरक्षाविज्ञ कुमार पुडासैनीका अनुसार डाटा सुरक्षाका लागि रणनीतिक उद्देश्यका साथ सरकारी डाटा सुरक्षा फ्रेमवर्क आवश्यक छ ।

संस्थागत पुनर्संरचनाको आवश्यकता 

निजामती कर्मचारीतर्फ सूचना प्रविधिको छुट्टै सेवा समूह नहुँदा प्रविधिकतर्फका कर्मचारी सधैँ प्रशासनको पेलानमा परेको र आफ्नो क्षमता देखाउन नपाएको उनीहरूको गुनासो छ । सरकारी डाटा सेन्टरमा कर्मचारी नटिक्नुका कारण केलाइनुपर्छ र उनीहरूलाई आकर्षक तलबसहित सरकारले स्थायी गर्नेतर्फ ध्यान दिनुपर्छ । सरकारी डाटा सेन्टरको पुनः सञ्चालन गर्नु आवश्यक छ । 

अहिलेकोजस्तो लथालिङ पाराले त्यो चल्दै चल्दैन । त्यो कसैका लागि जागीर खाने थलो त बन्ला तर त्यसले राष्ट्र हितमा काम गर्दैन । अतः डाटा सेन्टरलाई साइबर सुरक्षा ऐक्सिलेन्सीका रूपमा विकास गरिनुपर्छ । डाटा सुरक्षाका लागि अलग्गै सुरक्षा युनिट र आपत्कालीन टास्क फोर्स युनिट बनाउनुपर्छ । साथै त्यसले २४ घण्टा पहरा दिने गरी काममा खटाइनुपर्छ । भविष्यमा हुने साइबर आक्रमण र डिजयास्टर व्यवस्थापनका लागि सरकारले अहिलेदेखि नै पहल गर्नुपर्छ ।

लेखक ई–गभर्नेन्स र सूचना प्रविधिविज्ञ हुनुहुन्छ ।