'साइबर सुरक्षा मागी खाने भाँडो बन्यो, काम केही भएन'

यिनै विषयहरूलाई नजिकबाट नियालिरहेका साइबर सुरक्षाविज्ञ विजय लिम्बू सेनिहाङसँग नेपालमा साइबर सुरक्षा व्यवस्थापन कसरी गतिलो बनाउन सकिन्छ भन्ने लगायत विषयमा कान्तिपुरका मणि दाहाल र सजना बरालले गरेको कुराकानीको सम्पादित अंश :

नेपालमा विभिन्न सरकारी तथा निजी स‌ंघ-संस्था र सेवा प्रदायकहरूका वेबसाइटहरू ह्याक भएका घटना समय-समयमा सुन्ने गरिएको छ । साइबर सुरक्षाको सन्दर्भमा नेपालको अवस्था कस्तो छ ?

सफ्टवेयर वा आईटी इन्डस्ट्रीमा कुनै पनि प्रणाली कार्यान्वयन गर्नुअघि सम्भावित जोखिमको राम्रो विश्लेषण गर्नुपर्छ । कार्यान्वयनपछि आउनसक्ने प्राविधिक समस्या, सञ्चालनको क्रममा देखिनसक्ने जोखिमहरू पहिले नै पहिचान गर्नुपर्छ । ती पहिचान गरेर अनुकुलन (मिटिगेसन) योजना पनि बनाउनुपर्छ । तर हामी कहाँ यस्ता योजना बनाउने वा विश्लेषण गर्ने चलन छैन । डिजाइनबिनै सिधै कार्यान्वयन हुन्छ । वित्तीय संस्थाहरूबाहेक अन्य क्षेत्र र विशेषत: सरकारी निकायले सूचना वा डेटा सुरक्षाका लागि खासै चासो दिएको देखिँदैन ।

अर्को विषय भनेको, हामी कहाँ कुन डेटा प्रकाशित गर्न हुन्छ र कुन हुँदैन भन्नेबारे अधिकांशलाई थाहा छैन । अस्ति नागरिक उड्डयन प्राधिकरणले प्लेन दुर्घटनामा परेका व्यक्तिहरूको नामदेखि पासपोर्ट नम्बरसम्म सार्वजनिक गरिदियो । प्राइभेसीको ख्यालै छैन । वैयक्तिक गोपनीयता सम्बन्धी ऐन छ तर यसबारे कतिलाई जानकारी होला ? सामान्य गुगल सर्च गर्ने हो भने नेपाली नागरिकता नम्बर, पासपोर्ट नम्बर सरकारी निकायका अनलाइन प्लाटफर्मबाटै प्राप्त गर्न सकिन्छ । ती जतिखेर पनि दुरुपयोग हुन सक्छन् ।

नेपालमा सीमकार्डको दुरुपयोग निकै छ । फर्जी विवरण दिएर सजिलै सीमकार्ड किन्न सकिन्छ । केवाईसी भन्ने चिज छैन । केवाईसीमा भरिएका विवरण सही हुन् कि झुठा भनेर जाँच्ने प्रणाली न टेलिकमहरूसँग छ न त बैंकसँग । नागरिक एप बनेको छ तर यो कार्यान्वयनमा छैन । यसलाई स्थापित गर्न सके कम्तीमा यो फलानो हो र जेन्युन हो भनेर चिन्न त सकिन्थ्यो ।

एकै व्यक्तिबाट २ सयवटा सीम भेटियो भन्ने समाचार बारम्बार आउँछन् । किर्ते गरेको नागरिकता नभइन्जेल २ सयवटा सीम त्यसै निकाल्न सकिँदैन । किर्ते नागरिकताका लागि सरकारी निकायका वेबसाइट र अनलाइन प्लाटफर्महरूमा भेटिने नागरिकता नम्बर, पासपोर्ट नम्बर प्रयोग हुन्छन् । निर्वाचनको समयमा व्यक्तिलाई टार्गेट गरेर उम्मेदवारहरूले पठाउने म्यासेज पनि सरकारी निकायबाट यसरी नै लिक भएका डेटाबाट आएका हुन् । साइबर सुरक्षाको सन्दर्भमा हाम्रो अवस्था र बुझाइ नाजुक छ ।

सरकारी निकायहरूमा रहेका हाम्रा वैयक्तिक सूचनाहरू निकै जोखिमपूर्ण अवस्थामा छन् भन्नु भएको हो ?

हो । भोलिको दिनमा नेसनल आईडीको डेटा कसैले कसलाई भित्रभित्रै पेनड्राइभमा हालेर बाँडिदियो भने त्यसलाई कसरी ट्र्याक गर्ने ? जिम्मेवारी कसले लिने ? सम्बन्धित निकायको मानिसलाई सोध्दा उत्तर पाइँदैन । महालेखाको प्रतिवेदनमा भनिएको छ- एउटा कार्डले सरकारको सूचना बैंक वा केन्द्रीय डेटा सेन्टर (जीआईडीसी) मा प्रवेश पाउन र जहाँ पनि छिर्न मिल्छ ।

त्यस्तो संवेदशनील ठाउँमा कति सजिलो पहुँच ! डेटा सेन्टर फिजिकल्ली नै सुरक्षित छैन, साइबर अट्याक त झन् सजिलो भयो नि । हामी कहाँ बारम्बार अचम्मको समाचार आउँछ, डेटा सेन्टरमा जेनेरेटर नभएर सर्भर डाउन भएको भनेर । सरकारको डेटा सेन्टरमा बिजुली नहुने, जेनेरेटरले काम नगर्ने भन्नु त सार्‍है लाजलाग्दो र अचम्मको कुरा होइन ?

बिजुलीको समस्याबाहेक हाम्रा सरकारी निकायका सर्भर बारम्बार डाउन हुनुका अन्य कारण के हुन् ? निर्वाचनका बेला निर्वाचन आयोगको, राहदानी, यातायात सबै निकायमा सर्भर डाउन हुने समस्या छ । यस्तो किन हुन्छ ?

सिस्टमले कतिसम्म धान्न सक्छ, कति जनाले एकैपटक रिक्वेस्ट गर्न सक्छन्, यसबारे सिस्टम लागू गर्नुअघि नै विश्लेषण गरिनुपर्छ । मानौं, एकपटकमा एक हजार रिक्वेस्ट धान्न सक्ने क्षमता छ तर एकैपटक दस हजार रिक्वेस्ट आए भने के गर्ने ? त्यही अनुपातमा कसरी क्षमता बढाउँदै लैजाने भन्ने विषयको योजना बनाउनुपर्छ । हाम्रो देशमा यस्ता कुनै विश्लेषण र योजनाबिनै, होडबाजीमा, नाम कमाउनका लागि नयाँ सिस्टम बनाउने वा किन्ने चलन छ । उचित योजनाबिना नै सिस्टम स्थापना गरिन्छ, त्यसपछि सञ्चालनमा जाँदा जोखिम देखिन्छ अनि ‘ए ! यस्तो पो हुँदै रहेछ, थाहै थिएन’ भन्ने गरिन्छ ।

सरकारी निकायहरूले कुनै तयारी, अध्ययन, योजना नगरीकन सिधै सिस्टम ल्याएर राख्ने हुन् । कसरी राख्ने र कसरी सञ्चालन गर्ने वा सिस्टमको सुरक्षालाई के-के व्यवस्था गर्ने र कसरी कार्यान्वयन गर्ने भन्ने विषयमा हामीकहाँ कुनै गाडइलाइन छैन । सफ्टवेयर विकासका लागि भने अलिअलि गाइडलाइन छन् तर त्यो पर्याप्त छैन ।

गाइडलाइनमा टेकेर काम गरेको छ कि छैन भन्ने विषयमा अनुगमन गर्ने कुनै निकाय छैन । प्रहरी प्रशासन, मन्त्रालय वा विभागहरूका सिस्टम कस्ता छन्, सुरक्षाको दृष्टिले ती बलिया छन् कि छैनन्, असुरक्षित भए के गर्ने भन्ने विषयमा अनुगमन गर्ने को त ? अस्ति डेटा सेन्टरको सर्भर डाउन भयो, त्यसको अनुमगन कसले गर्ने ? सरकारी निकायका सर्भर के कारणले डाउन भए भनेर कसलाई सोध्नु ? एउटाले अर्कोलाई देखाउँछ, पन्छिन्छ । जवाफदेही हुनुपर्ने को हो ? यसको उत्तर छैन किनभने साइबर सुरक्षा हेर्ने जिम्मा र अधिकार प्राप्त कुनै निकाय हामीकहाँ छैन ।

सम्बन्धित निकायले जवाफ दिए पर्याप्त हुँदैन र ?

शनिबारकै घटनालाई उदहारणका रूपमा हेर्दा, सरकारले आजसम्म पनि लिखित रूपमा यसबारे केही भनेको छैन । राष्ट्रिय सूचना प्रविधि केन्द्रका प्रवक्त्ताले केही बोलेको देखियो । तर, केन्द्रका तर्फबाट यसबारे के, कसो, कसरी भएको हो भनेर कुनै आधिकारिक जानकारी दिइएको छैन । यस्तो घटना हुँदा ‘इन्सिडेन्ट रेस्पोन्डर’ का रूपमा संस्थाले गर्नुपर्ने केही काम हुन्छन् । जस्तै: त्यो कुन प्रकारको आक्रमण थियो, पत्ता लगाइ त्यसलाई वर्गीकरण गर्नुपर्छ । डीडस आक्रमणको कुरा गर्नु भएको छ । त्यसका लागि उहाँहरूको आपत्कालीन रेस्पोन्स मेकानिज्म के हो ? सुरुमा आक्रमणको न्युट्रलाइजेसन र त्यसपछि सरोकारवालाहरूलाई जानकारी गराउनुपर्ने हो ।

आगामी दिनमा यस प्रकारको घटना नदोहोरिनका लागि हाम्रोतर्फ यस प्रकारको मिटिगेसन योजना छ भनेर पनि जानकारी गराउनु पर्ने हो । उहाँहरू त सरकारी निकाय हो नि, आफूमाथि भएको आक्रमणबारे सबै पक्षलाई भन्नुपर्थ्यो । निजी भएको भए नभन्दा पनि केही फरक पर्दैनथ्यो होला तर सरकारले जनता वा कुनै पनि सरोकारवाला वा सञ्चारकर्मीहरूले तपाईंहरूको मिटिगेसन योजना के हो भन्दा जवाफ दिनुपर्ने हुन्छ । तर, अहिलेसम्म दिनु भएको छैन । यसको अर्थ कुन घटनालाई कसरी ट्याकल गर्ने भन्ने विषयमा उहाँहरूसँग उचित योजना नै छैन ।

भर्खरै माइक्रोसफ्ट पनि डाउन भएको थियो । माइक्रोसफ्टले रेस्पोन्ड गर्ने जुन प्रक्रिया हुन्छ त्यसबारे पल-पलमा जानकारी गराइरह्यो । उनीहरूले आफ्नो सामाजिक सञ्जालमा पहिलो चरणमा यस्तो गर्‍यौं, दोस्रो चरणमा यो-यो काम गर्‍यौं, तेस्रो चरणमा यस्तो गर्‍यौं भनेर भने । आगामी दिनमा यस्तो हुन नदिनका लागि विभिन्न चरणमा प्रयासहरू गरेको बताए । हाम्रो सरकार निकायले त्यस्तो गरेको देखिँदैन । गर भन्नलाई अधिकारप्राप्त निकाय पनि छैन ।

विद्युतीय सुशासन आयोग, नेसनल साइबर इमर्जेन्सी टिम (सर्ट), दूरसञ्चार प्राधिकरण, राष्ट्र बै‌ंकजस्ता नियामक निकाय र संरचनाहरू छन् नि ?

सर्ट छ तर निष्कृय छ । राष्ट्र बैंक र दूरसञ्चार प्राधिकरणले केही गर्न खोजेको देखिन्छ । तर, अन्य निकायले साइबर सुरक्षालाई ध्यान दिएका छैनन् ।

सरकारी निकायहरूले प्रयोग गर्ने सफ्टवेयर र अन्य डिजिटल डिभाइसहरू कस्ता छन् ?

यो विषयमा खासै कुरा बाहिर आएको छैन । महालेखापरीक्षणको प्रतिवेदनमा चाहिँ ती कमजोरी कस्ता प्रकारका छन् भनेर स्पष्ट लेखिएको छ । तीन महिनाजति अघि हामीले आफ्नै तरिकाले अध्ययन गरेर एउटा प्रतिवदेन निकालेका थियौं । हाम्रो अनुसन्धानमा पनि धेरै जस्तो सरकारी डेटा लिक भएको देखिन्छ । सरकारी कर्मचारीको इमेलका पासवर्डहरू लिक भएका छन् ।

इन्टर्नल सिस्टम कम्प्रोमाइज भएको छ । ६ महिनाअघि आन्तरिक राजश्व कार्यालयको सिस्टम कम्प्रोमाइज भएर डेटा लिक भएको थियो । स्थायी लेखा नम्बर (पान) मा दर्ता भएका सबैको जानकारी लिक भएर कुनै विदेशी अपराधीहरूको हातमा पुगेको छ । बोलपत्रको पनि त्यस्तै हालत छ । यसबाट के थाहा हुन्छ भने कसरी निश्चित प्रक्रिया बिना र सेक्युरिटी अडिट नगरिकनै सिस्टम राख्ने कामले गर्दा जनता मारमा परिरहेका छन् ।

सरकारी निकायहरूका दक्ष आईटी कर्मचारीले यसबारे किन केही गर्न नसकेका होलान् ?

सरकारी कार्यालयहरूको सूचना प्रणाली चुस्त नहुनुको एउटा कारण जनशक्ति अभाव हो । केन्द्रीयस्तरमै जनशक्तिको कमी छ भने प्रदेशस्तरमा झनै कति समस्या होला ! हाम्रो देशमा वर्षमा ६ हजारदेखि ७ हजार आईटी इन्जिनियरहरू पास आउट हुन्छ । त्यसमध्ये ६० प्रतिशत विदेश जान्छन् । बाँकी २-३ हजारजना निजी क्षेत्रमै काम गर्न थाल्छन् । सरकारीमा जाने चान्स नै हुँदैन । त्यसको ठूलो समस्या छ ।

एक/दुईवटा बाहेक कुनै पनि सरकारी निकायमा पर्याप्त दक्ष आईटी जनशक्ति छैनन् । लोकसेवामा कम्प्युटर इन्जिनियर, सिस्टम एड्मिनिस्ट्रेटर, नेटवर्क एड्मिनिस्ट्रेटर भन्ने दरबन्दी छैन । कम्प्युटर अपरेटरको दरबन्दी छ । कम्प्युटर अपरेटरले दैनिक रूपमा सानातिना काम गर्ने हुन् । एड्मिनिस्ट्रेटर भनेको उच्च तहमा काम गर्ने व्यक्ति हो । कार्यालयमा म्यानपावर नभएपछि निजी क्षेत्रको भर पर्नै पर्‍यो ।

निजीले सार्वजनिक खरिद प्रक्रियाअनुरुप काम लिने हुन् । हाम्रो देशको ठेक्का प्रणालीले राम्रो होइन सस्तो खोज्छ । सस्तोमा सेवा दिन जे पायो त्यही काम गरेर सल्टाउने गर्छन् । गुणस्तरीय सेवा प्राप्त गर्न खरिद कानुन संशोधन गर्नुपर्छ । पैसा सस्तो होइन, काम गर्ने टिम राम्रो हेर्नुपर्छ । निजीले कामै गरेन भन्छन् तर खरिद प्रक्रियामै सस्तो खोजेपछि राम्रो कहाँ पाइन्छ र हालै मात्र राष्ट्र बैंकले पहिलोचोटि एकजना साइबर सुरक्षा अधिकृत मागेको छ । सुरुवात भएको छ तर कर्मचारी आउने भनेको लोकसेवा पास गरेरै हो । सफ्टवेयर इन्जिनियर, साइबर सेक्युरिटीका लागि दरबन्दी नै छैन, कसरी जनशक्ति आउँछन् ?

अन्य देशले साइबर सुरक्षालाई राष्ट्रिय सुरक्षासँग जोडेर हेर्ने गर्छन् । हाम्रोमा कसरी लिने गरिएको छ ?

हाम्रोमा यसलाई त्यति गम्भिरतापूर्वक लिइएको छैन । साइबर सुरक्षालाई गम्भिरतापूर्वक लिने हो भने हाम्रो संविधानमै यसबारे व्यवस्था गरिनुपर्छ । साइबर सुरक्षाको पाटो कसले हेर्ने हो, निकाय छुट्याइदिनुपर्छ । त्यो गर्न सकिँदैन भने बढीभन्दा बढी ऐनहरू ल्याउनुपर्छ । डेटा प्राइभेसी, डेटा राइट, साइबर सेक्युरिटी, साइबर क्राइमलाई बेग्लाबेग्लै कानुन चाहिन्छन । साइबर सेक्युरिटीलाई साइबर क्राइम एक्टअन्तरर्गत राख्नु गलत हो । डेटा ब्रिच नोटिफिकेसन एक्टको पनि उत्तिकै खाँचो छ । गत शनिबार हाम्रा सरकारी बेवसाइटहरु किन अचानक नचल्ने भए, कस्तो साइबर जोखिम आइपरेको थियो भन्नेबारे राष्ट्रिय सूचना प्रविधि केन्द्रले सूचना दिनुपर्थ्यो । अहिलेसम्म दिएको छैन ।

साइबर सेक्युरिटीको सन्दर्भमा भारत, बंगलादेश निकै अगाडि पुगिसकेका छन् । हामी निकै पछाडि छौं । हाम्रो सोच नै के छ भने हामीसँगै केही डेटा छैन, हामीलाई कसैले आक्रमण गर्दैन भन्ने छ । तर हाम्रा धेरैवटा बैंकका धेरैवटा एटीएम लुटिएको उदहारण सम्झिए मात्रै पनि हाम्रो देशको डेटा क-कसलाई चाहिन्छ भन्ने अनुमान लगाउन सकिन्छ ।

हाम्रो देशको डेटा कुन देशलाई उपयोगी छ भनेर हामीले क्वान्टिफिकेसन गरेका छैनौं । म एउटा सामान्य उदाहारण दिन्छु, अफ्रिकाको एउटा देशमा आतंकवादी समूह र सैनिकको भिडन्त हुँदा आतंकवादी समूहका एक ठूला नेता मारिए । त्यो बेला ती नेताको साथमा रहेको नेपाली पासपोर्ट भेटिएको थियो । यो कुरा नेपाल आइपुगुन्जेल सेलायो तर नेपाली पासपोर्ट त्यहाँसम्म कसरी पुग्यो भन्ने कुरा हाम्रा लागि महत्वपूर्ण छ । हाम्रो देशको डेटा, कहाँ कसरी प्रयोग हुन्छन्, यो कुरा केही निश्चित मानिसलाई मात्रै थाहा छ । तर कसैले यसलाई मुद्दाको रूपमा उठाएका छैनन् ।

विश्वमा साइबर वारफेयरका कुराहरू उठिरहेका छन् । हामीलाई दुरुपयोग गरेर कसैले यस्तो गर्ने संभावना छ कि छैन ?

सम्भावना मात्र होइन, यस्तो भई नै सकेको छ । हामीले गरेको एक अध्ययनमा नेपालका सातवटा सर्भरहरु रुस-युक्रेन युद्धमा प्रयोग भएको देखिएको थियो । रुसले युक्रेनको क्रिटिकल इन्फ्रास्ट्रक्चरमा डीडस एट्याक गरेर तीन दिनसम्म सबै प्रणाली नचल्ने बनाइदिएको थियो । त्यसमा ७ वटा सर्भर नेपालबाट प्रयोग भएका थिए । भाइरसटोटल भन्ने गुगलको सब्सिडिअरी कम्पनीले हालै प्रकाशन गरेको रिपोर्टले सरकारी डेटा सेन्टर अपराधीहरुले ह्याक गरेर त्यहाँभित्र शंकास्पद सफ्टवेयर राख्नेदेखि फिसिङ पेज होस्ट गरेर अरु देशलाई पनि टार्गेट गर्ने विश्वका देशको सूचीमा नेपाल सातौं/आठौं स्थानमा परेको उल्लेख गरेको छ । डीडसजस्ता जम्बी अट्याकका लागि अझै पनि हाम्रा सिस्टम उच्च जोखिममा छन् ।

तपाईंहरूको रिपोर्टले थप के फेला पारेको थियो ?

नेसनल साइबर सेक्युरिटी थ्रेट रिपोर्ट २०२२ प्रकाशित गरेपछि कतिपय सरकारी निकायले हामीलाई ‘किन यस्तो रिपोर्ट छापेको ? अर्कोपाली यस्तो निकाल्यौ भने कारबाही गर्छौं’ समेत भन्नुभयो । प्रयोगकर्ताका वैयक्तिक विवरणमा प्रतिकूल असर पर्ने गरी हाम्रा कयौं संघ-संस्थाका अनलाइन प्रणालीमा जटिल साइबर आक्रमण भएकोबारे रिपोर्टमा उल्लेख छ । ६० वटा सरकारी निकायको प्रणाली अधिक जोखिममा रहेका पाइएको थियो । हाम्रो साइबर सुरक्षा प्रणाली कमजोर छ भनिरहे तापनि खासमा कमजोर चाहिँ के हो त भनेर हामीले रिपोर्टमा देखाएका छौं । सार्वजनिक रूपमा उपलब्ध डेटाहरूलाई नै लिएर हामीले विश्लेषण गरेका थियौं ।

नेपाल सरकारका कम्प्रोमाइज्ड भएका डेटा विश्लेषण गर्दा हामीले २७५ मध्ये १०७ वटा निकायको कम्प्युटर नै ह्याक भएको पायौं । त्यसमा ६ हजार १ सय ६८ जना सेवाग्राहीको डेटा कम्प्रोमाइज भएको थियो । ६० वटा प्रभावित निकायको सूची रिपोर्टमा हेर्न सकिन्छ । साइबर सेक्युरिटीको नाममा सरकारी स्तरमा मनग्गे खर्च भइरहेको छ । खासमा यो मुद्दा मागी खाने भाँडो बनेको छ । तर, हाम्रो रिपोर्ट आएपछि यस क्षेत्रमा प्रभावकारी रूपमा काम नभएको देखियो । यसले गर्दा रिपोर्ट निकालेकोमा हामीलाई सरकारी स्तरबाट अप्रत्यक्ष रुपमा खबरदारी आयो । तर साइबर सुरक्षा ख्याल–ठट्टा होइन है भनेर देखाउन हामीले रिपोर्ट बनाएका थियौं । त्यसमा सबै विवरण प्रमाणसहित राखिएको छ ।

अधिकांश सरकारी निकायहरू साइबर सुरक्षाका मामिलामा कमजोर देखिन्छन् । बैंकिङ क्षेत्रमा भने प्रयोगकर्तामा कमजोरी छ । यसको अर्थ के हो भने डिजिटल बैंकिङका प्रयोगकर्ता डिजिटल्ली सचेत छैनन् । बैंकहरू सुरक्षित हुँदै गए पनि तिनका प्रयोगकर्तामा डिजिटल साक्षरता नभएसम्म समस्या ज्यूँकात्यूँ रहन सक्छ । बैैंकिङ क्षेत्र सुरक्षित हुँदै जानुमा नियामकका रूपमा राष्ट्र बैंक रहेर पनि हो ।

राष्ट्र बैंकले नियमित अडिट रिपोर्ट माग्छ । केही देखियो भने कारबाही गर्छ । सरकारी क्षेत्रमा नियमन र कारबाही गर्ने कोही छैन । नेपाल प्रहरीको डेटा लिक भयो भने उसलाई कसले कारबाही गर्ने ? उसले सबै मापदण्ड पालना गरेको छ कि छैन भनेर कसले नियमन गर्ने ? दूरसञ्चार प्राधिकरणले केही गर्न खोजिरहेको छ । तर यो काम उसको क्षेत्र अधिकारभित्र पर्दैन । अन्य निकायका नियामकले नियमन नगर्दा समस्या दोहोरिने गरेको हो । अहिले विद्युतीय सुशासन आयोग बनेको छ । तर त्यो कत्तिको प्रभावकारी हुने हो, हेर्नै बाँकी छ ।

साइबर सुरक्षाको सन्दर्भमा अन्य देशको अभ्यास कस्तो छ ? हामीले कसको अनुकरण गर्न सक्छौं ?

साइबर सुरक्षाका लागि भारतले साइबर सेक्युरिटी वीङ बनाएको छ । बंगलादेशमा बीडी सर्ट भन्ने छ । उनीहरूको काम नै साइबर सेक्युरिटी हेर्ने हो । हामीकहाँ पनि साइबर सेक्युरिटी हेर्न डेडिकेटेड आयोग बनाइनुपर्छ । राष्ट्रियस्तरको नियामक निकायले साइबर सुरक्षासम्बन्धी नियमन गर्नुपर्छ । साइबर सेक्यूरिटी नीति र साइबर सेक्यूरिटी आयोग बनाइनुपर्छ । राष्ट्रिय साइबर सुरक्षा नीति आउँछ भनेको ४ वर्ष भइसक्यो तर आएको छैन । नेपालमा त भारतमा भन्दा अघि नै इन्टरनेट आएको थियो तर कुनै संरचना र नियमनबिना । त्यसपछि हेर र सिकको संस्कृति विकास भयो, सुरुमा झ्याप्पै हात हाल्ने अनि जब भताभुङ्ग वा गडबडी हुन्छ त्यसपछि टालटुल गर्न खोज्ने ।

सन् २०१२ देखि नै नेपालमा बीटक्वाइन प्रचलनमा आएको थियो तर वर्षौंसम्म राष्ट्र बैंकले हेरेर बस्यो । जब ठूलो समस्या आयो, राष्ट्र बैंकले क्रिप्टोकरेन्सीमा प्रतिबन्ध लगाइदियो । अहिले पनि हाम्रो सरकारको मानसिकता त्यस्तै छ । सबैतिर डिजिटल कनेक्सन गर्ने, भइरहेको ढड्डा प्रणालीलाई डिजिटलमा रुपान्तरण गर्ने भनिरहेको छ तर सेक्यूरिटीमा ध्यान दिइएको छैन । सबै खुला छ । केही समयपछि साइबर सेक्यूरिटीको नीति लागू गरिएला, त्यसले आवश्यक चिजमा बन्देज लगाउँदा समेत मानिसहरुबाट विरोध हुन्छ जुन स्वाभाविक हो । यो बाटो जानु हुन्छ, यो बाटो जानु हुँदैन भनेर अगाडिदेखि नै जानकारी दिए पो सेवाग्राही नजानुपर्ने बाटोतिर जाँदैनन् । दुई वर्षपछि एक्कासी बन्देज लगाएपछि विरोध भइहाल्छ ।

डिजिटल साक्षरताको विषयमा नेपालीहरूको अवस्था कस्तो छ ?

फेसबुक वा टिकटक भनेकै इन्टरनेट हो भन्ने जमातसमेत हामीकहाँ छन् । हामी जुन गतिमा डिजिटल सिस्टम लागू गर्न खोजिरहेका छौं, त्यही अनुपातमा युजर बिहाभियर परिवर्तन गर्ने कुनै काम गरेका छैनौं । ढड्डामा काम चलाइरहेको गाउँपालिकाको सबै प्रणाली एकैचोटी कम्प्यूटराइज गर्न खोजिएको छ । नलेज ट्रान्सफर, तालिम केही नगरी कम्प्यूटरमा जाँदा भद्रगोल, जोखिम सबै हुन्छ । कम्प्यूटर चलाउनु मात्रै ठूलो कुरा होइन, त्यसमा भएका टुलहरू पनि चलाउन सक्नुपर्छ । एक हप्ताको तालिम दियो, तयार भयो भनेर छोड्ने गरेका छन् ।

समस्या आयो भने कसलाई सम्पर्क गर्ने ? फेसबुक चलाउन आएन भने यसको सपोर्ट टिम, सपोर्ट सामग्री हुन्छ । टेलिकम, आईएसपीमा सपोर्ट टिम हुन्छ, सरकारमा चाहिँ सपोर्ट टिम को हो ? नागरिक एप मलाई चलाउन आएन भने यसबारे जानकारी दिने सपोर्ट टिम को हो ? राहदानीको अनलाइन फर्म भर्न आएन भने मलाई सिकाउने कसले ? नागरिक सहायताका लागि कोही छैन । लहडका भरमा डिजिटल क्रान्तिको कुरा गरिएको छ । आवश्यक प्रक्रियालाई बाइपास गरेर लगिएको छ । यस्तो प्रवृत्तिले डिजिटल रुपान्तरण संभव हुँदैन ।