काठमाडौँ, असार २९ गते । सूचना प्रविधिका लागि प्रयोग हुने कम्प्युटर, ल्यापटप, मोबाइल जस्ता विद्युतीय उपकरण विसर्जनमा गम्भीर सावधानी अपनाउनुपर्ने देखिएको छ। बिग्रेका वा काम नलाग्ने भनी त्यसै विसर्जन गर्न खोजिए तिनमा रहेका सूचना र डाटा पुनः प्राप्ति गरी दुरुपयोग हुन सक्ने सम्भावना रहेको छ।
विद्युतीय उपकरणमा मेटिएका पुराना डाटा पुनः प्राप्ति गर्न सकिन्छ भन्ने ताजा उदाहरण नक्कली भुटानी शरणार्थी प्रकरणमा पक्राउ परेकाको मोबाइलबाट भएको पुराना डाटा पुनः प्राप्ति हो। नेपाल प्रहरीले नक्कली भुटानी शरणार्थी प्रकरणमा पक्राउ परेका पूर्वगृहमन्त्री बालकृष्ण खाण र निलम्बित सचिव टेकनारायण पाण्डेलगायतको फम्र्याट गरेको मोबाइलबाट प्रहरीले सूचना लिएको थियो।
सरकारी निकायका पुराना विद्युतीय उपकरणमा रहने यस्ता डाटा तथा सूचना सही रूपमा विसर्जनका साथै नष्ट नगरी लिलामबाट बाहिरिने हुँदा सूचना चुहावट हुने खतरा बढेको यस क्षेत्रका विज्ञहरू बताउँछन्। सरकारी कामकाजमा प्रयोग भएका पुराना कम्प्युटर, ल्यापटप, क्यामरा तथा डाटा भण्डारण उपकरण विसर्जन गर्दा डाटा सुरक्षासम्बन्धी यथेष्ट सावधानी अपनाउनुपर्ने विश्वव्यापी मान्यता छ। यससम्बन्धी कानुनको अभावमा नेपाल सरकारका गोप्य सूचना तथा डाटा चुहावटको खतरा बढेको छ। डाटा सुरक्षाका लागि चाहिने सूचना तथा सञ्चार प्रविधि सम्पत्ति विसर्जनसम्बन्धी कानुन नेपालमा छैन।
सञ्चार तथा सूचना प्रविधि मन्त्रालय, सूचना प्रविधि महाशाखाका सहसचिव अनिलकुमार दत्तले ‘डिजिटल उपकरण लिलाममा बेच्दा तिनमा भएका डाटा मेटाउनुपर्छ’ भन्ने मान्यता सरकारी निकायमा रहेको तर त्यससम्बन्धी कानुन नभएकाले सबैले यसै गर्छन् नै भन्ने स्पष्ट नभएको बताउनुभयो। उहाँले भन्नुभयो, “विदेशमा आइटी वेस्ट म्यानेजमेन्ट पोलिसी, आइटी एसेट डिस्पोजल पोलिसीलगायतका कानुन हुन्छन्। कानुनले निर्देश गरे अनुसार डाटा मेटाएर वा मेमोरी उपकरण झिकेर मात्र पुराना डिजिटल उपकरण विसर्जन गरिन्छ।” सहसचिव दत्तले नेपाल सरकारले नेपाल दूरसञ्चार प्राधिकरणमार्फत यस्तो कानुनको मस्यौदाको काम अन्तिम चरणमा पुगेको जानकारी दिनुभयो।
सञ्चार तथा सूचना प्रविधि मन्त्रालय अन्तर्गत प्रमाणीकरण नियन्त्रकको कार्यालयका पूर्वनियन्त्रक तथा साइबर सुरक्षाविद् राजनराज पन्तका अनुसार कुनै पनि सरकारी वा निजी कार्यालयका कुरा चुहावट नहोस् भनेर विदेशमा स्थापित कम्पनीले हार्डडिक्स दिँदैनन्। “धेरैजसो कार्यालयले हार्डडिक्स वा यस्ता मेमोरी उपकरणलाई पूर्ण रूपमा नष्ट गर्छन्,” उहाँले भन्नुभयो, “तर कुनै कार्यालय वा कम्पनीले फ्याक्ट्री रिसेट गरेर दिन्छन्। जसबाट सामान्य रूपमा पुराना डाटा पुनः निकाल्न नमिल्ने गरेर लिलामी गर्ने गरेको देखिन्छ।” पन्तले सामान्य कामका लागि प्रयोग भएका उपकरणका हार्डडिस्क वा मेमोरी कार्ड सामान्य रूपमा डाटा मेटाएर दिँदा फरक नपर्ने तर संवेदनशील रहेको भए हार्डडिक्स वा मेमोरी कार्ड निकालेर मात्र दिनुपर्नेमा जोड दिनुभयो। सरकारले केन्द्रीकृत डिस्पोजल पोलिसी बनाउनुपर्ने उहाँले सुझाव दिनुभयो।
राष्ट्रिय सूचना प्रविधि केन्द्रका सूचना अधिकारी सफल श्रेष्ठले भने आफूहरूले पुराना कम्प्युटर, ल्यापटप वा अन्य डिजिटल उपकरण लिलाम गर्दा हार्डडिक्स निकालेरै दिने गरेको बताउनुभयो। “नेपालको सन्दर्भमा पुराना यस्ता उपकरणबाट पुनः डाटा निकाल्ने भन्ने कुरा त्यति देखिएको पनि छैन र सहज पनि छैन,” उहाँले भन्नुभयो।
‘साइबर हाइजिन’ एड्भाइजरी जारी
यसैबिच विद्युतीय सामग्रीको उपयोग र उत्सर्जनबारे सरकारले साइबर स्वास्थ्य परामर्श ‘साइबर हाइजिन एड्भाइजरी’ जारी गरेको छ। सञ्चार तथा सूचना प्रविधि मन्त्रालयका सहसचिव अनिलकुमार दत्तले सञ्चार तथा सूचना प्रविधि मन्त्रालयले बिहीबार एड्भाइजरी जारी गरेको जानकारी दिनुभयो। “मन्त्रालयले जारी गरेको एड्भाइजरी यस्तो गर्दा राम्रो हुन्छ भन्ने हो, यो बाध्यकारी भने होइन,” उहाँले भन्नुभयो, “त्यसैले सरकारी उपकरण लिलाम गर्दा कसरी डाटा डिस्पोज गर्ने भन्ने निर्देशनसहितको कानुन आवश्यक हुन्छ।”
सरकारी कार्यालयका साथै गैरसरकारी तथा निजी सङ्घसंस्थालाई साइबर आक्रमणबाट जोगिन अपनाउनुपर्ने सावधानीसहितको २४ बुँदे एड्भाइजरी मन्त्रालयले जारी गरेको हो। एड्भाइजरीमा सूचना प्रविधिसम्बन्धी उपकरणको लिलाम गर्दा हार्डडिक्स, स्टोरेज, मेमोरी झिकेर मात्र लिलाम गर्न, उक्त हार्डडिक्स, स्टोरेज, मेमोरीलाई भौतिक रूपमा पूर्ण नष्ट गर्न, साइबर आक्रमणका कुनै घटना घटेमा वा कुनै शङ्कास्पद इमेल र लिङ्क र फाइल इमेलमार्फत प्राप्त भएमा सोको जानकारी राष्ट्रिय सूचना प्रविधि आकस्मिक सहायता समूहको आधिकारिक वेबसाइट https://nitert.gov.np मा गई रिपोर्ट गर्न सकिने उल्लेख छ।
यस्तै सेक्युरिटी अडिट गराउने, डेटा इन्क्रिप्सनको व्यवस्था मिलाउने, साइबर जोखिम र समाधानका सम्बन्धमा नियमित प्रशिक्षण दिने, धेरै तहको अनुमति व्यवस्था (मल्टी–फ्याक्टर अथेन्टिकेसन) प्रयोग गर्ने, बलियो पासवर्ड राख्ने, साइबर जोखिम मूल्याङ्कन तथा परीक्षण गर्ने, सोर्स कोड सुरक्षित राखी अद्यावधिक गर्ने, गोपनीयतासम्बन्धी नीति निर्धारण गरी लागु गर्ने, साइबर सुरक्षा उपकरण प्रयोग गर्ने, कार्यालयको इमेल आइडी व्यक्तिगत प्रयोजनका लागि प्रयोग नगर्नेलगायतका विषय एड्भाइजरीमा समेटिएका छन्।
