चिरञ्जिवी अधिकारी
डिजिटल युगको तीव्र प्रवाहसँगै नेपालमा सूचना प्रविधिको प्रयोग द्रुत गतिमा बढिरहेको छ । तर, निजी तथा सरकारी संस्थाहरूले व्यक्तिगत डेटा संरक्षणमा आवश्यक सतर्कता नअपनाउँदा ठूलो जोखिम देखा परिरहेको छ । हालै सार्वजनिक अध्ययन र साइबर सुरक्षाविद्हरूको मूल्यांकन अनुसार, नेपालका धेरै संघ–संस्थाहरू डेटा सुरक्षा अभ्यासमा कमजोर देखिएका छन् ।
नेपालमा प्रस्तावित व्यक्तिगत डेटा संरक्षण विधेयक अझै कार्यान्वयनको चरणमै छ, तर यसबारे संस्थागत तयारी न्यून देखिन्छ । नेपालमा पछिल्ला वर्षहरूमा बढ्दो साइबर आक्रमण ले सर्वसाधारणदेखि ठूला कम्पनीहरूमा समेत त्रास फैलाएको छ ।
नेपालका संस्थाहरूको डेटा सुरक्षा अवस्थाः १५ प्रमुख कमजोरीहरू
१. डेटा सुरक्षा अधिकारी (DPO) को अभावः अधिकांश संस्थामा डेटा सुरक्षाको लागि जिम्मेवार व्यक्ति तोकिएको छैन ।
२. कानूनी ज्ञानको कमीः राष्ट्रिय तथा अन्तर्राष्ट्रिय डेटा संरक्षण कानुनबारे संस्थाहरूलाई जानकारी छैन ।
३. डेटा वर्गीकरण नहुनु: संवेदनशील डेटा छुट्याएर राख्ने अभ्यास छैन ।
४. स्वीकृति व्यवस्थापन कमजोर: ग्राहक वा प्रयोगकर्ताको स्पष्ट स्वीकृति नलिई डेटा प्रयोग गरिन्छ ।
५. साइबर सुरक्षामा लगानीको कमी: आवश्यक सुरक्षात्मक उपकरण जस्तै फायरवाल (Firewal), एन्टिभाइरस (Antivirus) को प्रयोग निकै कम छ ।
६. नियमित अडिटको अभाव: डेटा सुरक्षाको नियमित परीक्षण गर्ने चलन छैन ।
७. घटना व्यवस्थापन योजना नबनाइने: डेटा चुहावट भए कसरी प्रतिकार गर्ने भन्ने योजना नै छैन ।
८. असुरक्षित सञ्चार माध्यमको प्रयोग: व्यक्तिगत म्यासेज एप वा इमेलबाट संवेदनशील जानकारी पठाइन्छ ।
९. कर्मचारी तालिमको अभावः सूचना सुरक्षाबारे कर्मचारीहरूलाई तालिम दिइँदैन ।
१०. क्लाउड सेवामा जोखिम मूल्याङ्कन नगर्ने: सेवा प्रदायकसँग सम्झौता गर्दा सुरक्षा शर्तहरू नहेरी सम्झौता गरिन्छ ।
११. कमजोर पासवर्ड नीति: कमजोर पासवर्ड र एकै पासवर्ड सबै प्रणालीमा प्रयोग गरिन्छ ।
१२. डेटा मेटाउने नीति नहुनुः अनावश्यक डेटा कहिले हटाउने भन्ने नीति छैन ।
१३. सुरक्षामा प्रविधिको प्रयोग नगर्नुः DLP, SIEM जस्ता प्रविधिको प्रयोग छैन ।
१४. बैंक र टेलिकम क्षेत्र अलिकति सचेतः नियामक निकायको कारण तुलनात्मक रूपमा सुरक्षामा अघि छन् ।
१५. डिजिटल रूपान्तरणले सचेतना बढाउँदै: कोभिडपछि केही संस्थाहरू डेटा सुरक्षातर्फ केन्द्रित हुन थालेका छन् ।
सुधारका लागि १० बुँदे सिफारिस
१. म्एइ नियुक्त गर्नुपर्छः डेटा सुरक्षाको जिम्मेवारी लिने योग्य व्यक्ति तोकिनु जरुरी ।
२. डेटा सुरक्षा नीति बनाउनुपर्छः संकलनदेखि नष्ट गर्ने प्रक्रिया स्पष्ट हुनुपर्छ ।
३. कर्मचारी तालिम अनिवार्य: साइबर सुरक्षा चेतना अभिवृद्धि गर्न प्रशिक्षण कार्यक्रम आवश्यक ।
४. संवेदनशील डेटा वर्गीकरण र इन्क्रिप्सन: महत्वपूर्ण जानकारी सुरक्षित राख्नुपर्छ ।
५. एक्सेस नियन्त्रण कडा बनाउनुहोस्: रोल–आधारित पहुँच र दुई–तह प्रमाणीकरण अनिवार्य ।
६. नियमित अडिट र निगरानी गर्नुहोस्: डेटा प्रयोगको अनुगमन आवश्यक छ ।
७. डेटा चुहावट प्रतिक्रिया योजना बनाउनुहोस्: घटना भए तत्काल प्रतिक्रिया दिन योजना बनाइनुपर्छ ।
८. सुरक्षित सञ्चार माध्यम प्रयोग गर्नुहोस् : इन्क्रिप्टेड इमेल, क्लाउड सेवा प्रयोगमा ल्याउनुपर्छ ।
९. डेटा राख्ने र मेट्ने नीति बनाउनुहोस् : अनावश्यक डेटा समयमै हटाउनुपर्छ ।
१०. अन्तर्राष्ट्रिय मापदण्डमा आधारित अभ्यास: GDPR, ISO/IEC २७००१ वा नेपालको कानुन अनुसार काम गर्नुपर्छ ।
११. साइबर आक्रमणको बढ्दो जोखिम: नेपाली संस्थाहरू संकटमा
नेपालमा हालसालै भएका विभिन्न साइबर आक्रमणले सबै क्षेत्रका व्यवसायलाई प्रभावित पारेका छन् । वित्तीय संस्थादेखि स्वास्थ्य सेवा प्रदायकसम्म आक्रमणको लक्ष्य बन्न थालेका छन् । विश्वव्यापी रूपमा खर्बौं डलरको क्षति गराउने साइबर आक्रमण अब नेपालमा पनि नियमित चुनौती बनेको छ ।
साइबर आक्रमणका मुख्य ५ तरिका
१. वेब सफ्टवेयरमा कमजोरी: SQL Injection, Remote File Inclusion, XSS आदि आक्रमणमार्फत डाटा चोरी ।
२. नेटवर्क तहको कमजोरी: Wi–Fi jf LAN को माध्यमबाट पासवर्ड चोरी (Man–in–the–Middle) ।
३. सिस्टम सफ्टवेयर वा इक् मा कमजोरी: पुराना वा अपडेट नगरेका सिस्टमहरूमा Ransomware आक्रमण ।
४. हार्डवेयर स्तरको कमजोरी: यन्त्रकै त्रुटिबाट डेटा चुहावटको सम्भावना ।
५. सोसल इन्जिनियरिङ (Social Engineering): प्रयोगकर्तालाई झुक्याएर मालवेयर इन्स्टल गराउने प्रयास ।
साइबर आक्रमणको दोष कसको ?
सफ्टवेयर निर्माता, सेवा प्रदायक, कम्पनी कर्मचारी वा नेटवर्क प्रदायक सबैमा आंशिक दोष देखिन्छ । तर, सबैभन्दा प्रमुख कारण भनेको सुरक्षा अडिटको अभाव र जनचेतनाको कमी हो ।
साइबर आक्रमणबाट जोगिन प्रयोगकर्तालाई सुझावहरूः
– कडा पासवर्ड राख्नुहोस्अ: ल्फान्युमेरिक र विशेष चिह्न समावेश गरिएका पासवर्ड प्रयोग गर्नुहोस् ।
– दुई–तह प्रमाणीकरण (२FA) प्रयोग गर्नुहोस् : पासवर्ड बाहेक अर्को तह सुरक्षा प्रयोग गर्नुस् ।
– खुला Wi–Fi प्रयोग नगर्नुहोस् : सार्वजनिक Wi–Fi मा संवेदनशील कार्य नगर्नुहोस् ।
– फरक फरक पासवर्ड राख्नुहोस् : सबै खातामा एउटै पासवर्ड प्रयोग नगर्नुहोस् ।
– पासवर्ड चोरी भए/नभएको जाँच: httpsM//haveibeenpwned.com बाट जानकारी लिनुहोस् ।
– फायरवाल र एन्टिभाइरस प्रयोग गर्नुहोस् : सिस्टम सुरक्षाका लागि नियमित अपडेट गर्नुहोस् ।
– सफ्टवेयर अपडेट गर्दै जानुहोस्: ओएस (इक्) र एप्स सबै नियमित अपडेट गरिरहनुहोस् ।
– पासवर्ड गोप्य राख्नुहोस् : पासवर्ड कसैसँग पनि साझा नगर्नुहोस् ।
नेपाल डिजिटल युगमा प्रवेश गर्दै गर्दा डेटा सुरक्षा र साइबर सुरक्षा अत्यन्त महत्वपूर्ण विषय बनेका छन् । कानुनी रूपमा सुदृढ प्रणाली निर्माण, संस्थागत सुधार र आम नागरिकको सचेतना बिना सुरक्षित डिजिटल भविष्य सम्भव छैन ।
सेवा प्रदायकबाट नै डेटा लिक
डेटा प्रोटेक्सन र प्राइभेसीका कुरामा सरोकारवालाहरु र सेवाप्रदायक नै चुकेको देखिन्छ । उनीहरुबाट नै कतिपय अवस्थामा डेटा लिक हुने गरेको छ । यो विषय गम्भिर छ । जस्तैः आइएसपीहरुमा केवाइसी फर्म भनेर इन्टरनेट लिँदा भरिने डेटालाई आधार मानेर राति मोबाइलमा मेसेजहरु आउने गरेको छ । दूर सञ्चार प्राधिकरणले कडाईका साथ आइएसपीहरु र टेलिकम अपरेटरहरुलाई डेटा प्राइभेरी र डेटा करेक्सनमा कडाईका लागि निर्देशन दिन जरुरी छ । डेटा प्राइभेरीको आचारसंहिता बनाउन जरुरी छ ।
प्लस टु सकेका प्राय सबै विद्यार्थीलाई विभिन्न कलेजबाट फोन तथा मेसेजहरु आउने गरेका छन् । उनीहरुको डेटा पनि लिक भयो र सजिलै सबैको पहुँचमा पुग्यो । हस्पिटलमा पनि मानिसको मेडिकल रिपोर्ट सेन्सेटिभ हुन्छ । त्यहाँ पनि प्राइभेसी अपनाउनै पर्छ । बैंकहरुमा एउटा युवा खाता खोल्न जान्छ र फोनमा कुरा गर्दै विवरण भर्छ, जहाँ तेस्रो व्यक्तिले उसको गोप्य डाटा जानकारी पाउँछ । सबै बैंकलाई राष्ट्रबैंकले निर्देशन दिएर त्यहाँ पनि प्राइभेसी अपनाउनुपर्छ । ज्योतिष विज्ञानमा पनि ३ पुस्ते लिएर गएको हुन्छ । त्यहाँबाट पनि डेटा लिक हुनसक्छ । फोटोकपी सेन्टरमा इमेल गरेर प्रिन्ट गर्न जान्छन् । जहाँ आफ्नो फाइल डिलिट गर्नु भुल्नु हुँदैन । यस्ता विषयमा सम्बन्धित सबैको ध्यान जानुपर्छ । सरकार, निजी क्षेत्र लगायत सबै मिलेर अवारनेस बढाउन जरुरी छ ।
(लेखक क्यान महासंघका वरिष्ठ उपाध्यक्ष तथा साइबर सेक्युरिटी वानकभरका प्रमुख कार्यकारी अधिकृत हुन् ।)
Comments are closed.