नेपालमा सफ्टवेयर बनाएर विदेशमा सेवा बेच्ने वातावरण बनाइयोस्
काठमाडौँ — हाल साइबर सुरक्षा भनेको इन्टरनेट सेवा प्रदायक (आईएसपी), टेलिकम र बैंकलाई मात्रै हो भन्ने बुझिएको छ । तर नागरिकको डाटा आईएसपी, टेलिकम र सरकारसँग मात्र हुँदैनन् । त्यसैले सुरुमा त नागरिकको डाटा कहाँ–कहाँ छ, यसलाई पहिचान गर्नुपर्छ । त्यसपछि साइबर सुरक्षाका दृष्टिकोणले जटिल पूर्वाधारहरु (विश्वविद्यालय, खानेपानी संस्थान, बैंक, हस्पिटल टेलिकम) कुन–कुन हुन्, यसको पहिचान गर्न जरुरी छ ।
मेरो भनाइमा, बैंकको डाटा ‘लिक’ भयो भने ठूलो विषय होइन । तर अस्पतालको डाटा नै ‘लिक’ भयो भने जटिल हुन्छ । अस्पतालको डाटा गलत रुपमा प्रयोग गरियो भने नागरिकको ज्यान जान सक्छ । त्यसैले डाटालाई वर्गीकरण गरेर चिनौं र पूर्वाधार जानौं । हाम्रो मुलुकको संविधानमा समेत राष्ट्रिय सुरक्षाका विषय समेटिएको छ । त्यसमै ‘राष्ट्रिय साइबर सुरक्षा’ भन्ने शब्द जोड्ने पो हो कि! अहिले भएका पूर्वाधारमा सुरक्षा दिन नीति नियमको अभाव छ ।
पहिले त साइबर सुरक्षासम्बन्धी ‘म्यान्डेट’ गरिनुपर्छ । दोस्रोमा साइबर क्राइमलाई काउन्टर गर्ने युनिट चाहिन्छ । तर अहिले हामीसँग साइबर ब्युरो मात्रै छ । तेस्रोमा साइबर ‘इन्टेलिजेन्स’ चाहिन्छ । आक्रमण भनेको जनताको पैसा चोर्नका लागि मात्रै हुँदैन, मुलुकका जटिल र संवेदनशील डाटा चोर्नलाई पनि हुन्छ । चौथोमा ‘साइबर क्राइसिस म्यानेजमेन्ट टिम’ पनि चाहिन्छ । हालै सरकारी वेबसाइट ह्याक भयो, त्यो साइबर क्राइसिस हो । त्यस्तो हुँदा कसले म्यानेज गर्ने ? पाँचौमा साइबर सुरक्षाको गभर्नेन्स र कूटनीति चाहिएको छ । अहिले सबैभन्दा गाह्रो भनेकै कूटनीति हो । अन्तर्राष्ट्रिय स्तरमा समन्वय गर्नुपर्दा हाम्रो मुलुकको कूटनीति नै छैन ।
हाल साइबर सुरक्षाको फ्रेमवर्क नीति बनेको छ । तर हामीलाई नीति होइन, ऐन चाहिएको छ । डाटा प्रोटेक्सन ऐन, इन्फर्मेसन सेक्युरिटी म्यानेजमेन्टको ऐन चाहिएको छ । अहिले सरकारी तहमा भएको साइबर आक्रमणबारे कतै उजुरी भएको हुँदैन । त्यस्ता आक्रमणलाई कानुनी दायरामा ल्याउन ऐन चाहिएको हो । संघीयता लागू भइसकेकाले स्थानीय तहसम्म ऐनहरु चाहिएको छ । ऐन पर्याप्त नबनाई पूर्वाधार तथा डाटा सुरक्षातर्फका काम गर्न गाह्रो हुन्छ । जबसम्म कानुनी रुपमा हामीलाई काम गर्ने वातावरण बन्दैन, तबसम्म प्रविधिले सुरक्षा दिन सक्दैन । हाम्रो संस्था भैरव टेक्नोलोजीले नेसनल साइबर थ्रेट रिपोर्ट २०२० निकालेको थियो, जसले अवस्था भयावह रहेको देखाएको छ ।
मेरो करिअर नै नेपालमा रहेका बैंकहरुको साइबर सुरक्षा अडिटबाट सुरु भएको हो । नेपालमा साइबर सुरक्षाको अडिट गर्नुपर्छ भनेर पहिलो निर्देशन दिने नै राष्ट्र बैंक हो । जुन आइटी गाइडलाइन २०१२ ले पनि भन्छ । त्यहीं कार्यविधिमा टेकेर पीएसओ, पीएसपी सबैले अडिट गर्नैपर्छ । बर्सेनि सम्बद्ध निकायमा सेक्युरिटी अडिट रिपोर्ट बुझाउनु पर्छ । केही क्षेत्रमा यसको थालनी ५/६ वर्षदेखि भइरहेको छ । अन्य उद्योगको तुलनामा बैंकिङ तथा फाइनान्सियल क्षेत्र यस मामलामा अगाडि छ । २०१५ देखि २०१७ को बीचमा धेरै आक्रमण भएकाले पनि बैंक, पीएसओ, पीएसपी सबैले साइबर सुरक्षामा राम्रै लगानी गरेका छन् । मुलुकमा अहिले एनएफसी, क्यूआरजस्ता पेमेन्ट प्रणाली भित्रिएका छन् । नयाँ प्रविधि भित्रँदा जोखिम र कमजोरी पनि आउने भएकाले त्यसको सुरक्षित प्रयोगमा ध्यान दिनैपर्छ ।
हाल नेपालमा साइबर सेक्युरिटी अडिट गर्ने योग्य व्यक्ति वा संस्था तोक्ने संयन्त्र छैन । हालै त्रिभुवन अन्तर्राष्ट्रिय विमानस्थलको सिस्टममा ३० जीबीपीएसको डीडीओएस आक्रमण भयो । विश्वमा १ टीबीपीएसम्मका डीडीओएस आक्रमण हुन्छ भन्ने मान्यताअनुसार संयन्त्रहरु विकास भइसके । विश्वमा १०२४ जीबीपीएस डीडीओएस समेत आक्रमण हुन थालेको छ । तर विमानस्थलमा आएको सामान्य डीडीओएस आक्रमणले पनि ६ घण्टा अवरोध गर्यो । साइबर सुरक्षा अडिटरको रुपमा हेर्दा त्यो एक ‘डिजास्टर’ हो । हामीले २५ देखि ५० जीबीपीएसको डीडीओएस धान्न सक्ने पूर्वाधार समेत अझै बनाउन सकेका रहेनछौं । अन्य मुलुकमा त्यस्तो प्रकारको डीडीओएस आक्रमण २०१६ मा हुन्थ्यो ।
२०१६ को डीडीओएस आक्रमण २०२३ मा आउँदा धान्न नसक्ने हाम्रो संयन्त्रमा धेरै कमजोरी छ, भन्ने बुझ्नु पर्छ । डीडीओएस आक्रमण एउटा सर्भरमा लक्षित गरेर आउँदा तत्कालै हामीले अर्को सर्भरबाट सेवा दिनुपर्दथ्यो । त्यो संयन्त्र नहुँदा विमानस्थलको सेवा ६ घण्टा अवरुद्ध भयो । आधा वा एक घण्टामै समाधान गर्नुपर्नेमा ६ घण्टा लाग्नु भनेको लापरबाही नै हो । १० वर्षअघि इजरायलमा साइबर सुरक्षा उद्योग जीरो नै थियो । तर अहिले विश्वकै पावर हाउस बनेको छ । त्यसको मुख्य कारण सुरुमा इजरायल सरकारले साइबर सुरक्षाको टुल्स र प्रविधि स्थानीय कम्पनीहरुलाई बनाउन दिन्थे । देशको लागि बनाइएको साइबर सुरक्षाको टुल्स र प्रविधि पछि निर्यात गर्न थाले । अहिले त्यो मुलुकको साइबर सुरक्षा उद्योगबाट उठ्ने राजश्व नै वार्षिक ४ बिलियन अमेरिकी डलर छ । जबकि सम्पूर्ण रुपमा सो उद्योगमा लगानी भनेको ३ देखि ४ सय बिलियन डलर हो ।
नेपालले पनि यस्तो उद्योगबाट एक प्रतिशत मात्र राजश्व लिन सक्यो भने साउथ एसियामै उदाहरणीय बन्न सक्छौं । भैरवले विगत ४ वर्षदेखि विदेशी कम्पनीहरुलाई साइबर सुरक्षाबारे सेवा दिँदै आएको छ । भैरव बाहेक मुलुकमा १४/१५ वटा साइबर सुरक्षाका संस्थाहरु आइसकेका छन् । यी संस्था तीन तहकै सरकारको सहयोगबिना आएका हुन् । आईटी क्षेत्र र सफ्टवेयर उद्योगमा सरकारी निकायको सेवा सुविधा र सहयोग अहिलेसम्म छैन ।
अटोमोबाइल्स उद्योगमा राज्यले अरबौं खर्च गर्दा यो क्षेत्रमा २/३ करोड खर्च गर्यो भने एउटा कम्पनीले राम्रो उत्पादनसँगै निर्यात पनि गर्न सक्छ । तर नेपालमा सरकारी निकायबाट यसको लागि न सहयोग भएको छ न खर्च गरेको छ । त्यसका वावजुत पनि काम भइरहेको छ । उद्योगकै रुपमा आईटी, सफ्टवेयर क्षेत्र आइसकेको छ । आगामी दिनमा नेपालमै सफ्टवेयर बनाएर विदेशमा सेवा दिन सक्ने वातावरण सरकारले बनाओस् ।
(कान्तिपुर मिडिया ग्रुपद्वारा आयोजित 'साइबर सुरक्षा संवाद'मा भैरव टेक्नोलोजीका सीईओ तथा विज्ञ लिम्बुले राखेको मन्तव्यको संपादित अंश)
