२६.१२°C काठमाडौं
साइबर ड्रिलमा सरकारी आईटी जनशक्ति
काठमाडौँ — अमेरिकाका सर्वाधिक ५ सय ठूला कम्पनीसहित विश्वभरका करिब ३ हजार कम्पनी र अमेरिकी सरकारी कार्यालयहरूले प्रयोग गर्ने ‘सोलर विन्ड’को नेटवर्क मनिटरिङ प्रणालीमा सन् २०२० मा भएको साइबर आक्रमणलाई २१औं शताब्दीका ठूलामध्ये एक घटना मानिन्छ ।
सोलर विन्डको ‘ओरियन’ सफ्टवेयर अपडेटका लागि भन्दै प्रयोगकर्तालाई पठाइएको म्यालिसियस कोड (हानिकार सूचना) मार्फत ह्याकरले सिस्टममा पहुँच बनाई डेटा चोर्ने, सेवा अवरुद्ध गर्नेजस्ता काम गरेका थिए ।
सोलर विन्ड्स ह्याकका कारण अमेरिकाको आन्तरिक सुरक्षा मन्त्रालय, वित्त तथा उद्योग मन्त्रालयदेखि माइक्रोसफ्ट, इन्टेल, सिस्को जस्ता प्रविधि कम्पनीहरूका इमेललगायत महत्त्वपूर्ण विवरण हराएको बताइन्छ । यसले पारेको क्षतिबारे अझै पनि अध्ययन टुंगिएको छैन । सोही विख्यात साइबर आक्रमण घटनालाई सोमबार सिंहदरबारस्थित एकीकृत डाटा व्यवस्थापन केन्द्रको कार्यालयमा नेपाल सरकारका विभिन्न निकायका सूचना प्रविधि जनशक्तिले ‘केस स्टडी’ का रूपमा विश्लेषण गरे ।
‘प्रविधि वा डिभाइस जतिसुकै नयाँ वा रोबस्ट भए पनि त्यसको कन्फिगरेसन, इम्प्लिमेन्टेसन र त्यो चलाउने प्रयोगकर्ताको साक्षरता कमजोर भए जोखिम हुने रहेछ,’ अर्थ मन्त्रालयका कम्प्युटर इन्जिनियर धनबहादुर थापा मगरले भने, ‘सोलर विन्ड्स ह्याकलाई हामीले साइबर सुरक्षाका विभिन्न कोण र सैद्धान्तिक अवधारणाहरूका आधारमा विश्लेषण गर्दा एउटा मात्र पक्ष चुक्यो भने पनि सूचना प्रविधि प्रणालीमार्फत सघन क्षति हुने बुझ्यौं ।’ सञ्चार तथा सूचना प्रविधि मन्त्रालयले आयोजना गरेको राष्ट्रिय साइबर ड्रिल २०२४ कार्यक्रमको पहिलो दिन सोलर विन्ड्ससँगै देश–विदेशका विभिन्न साइबर आक्रमण घटनाहरूबारे अध्ययन गरिएको थियो ।
‘मलाई सुरुमा साइबर ड्रिल भनेको नै थाहा थिएन, आजको कार्यक्रमपछि हामी आईटी क्षेत्रका मान्छेको लागि यो अत्यन्तै जरुरी रहेछ भन्ने महसुस भयो,’ नेपाल राष्ट्र बैंकको सूचना प्रविधि विभागमा कार्यरत सहायक निर्देशक सलोनी शिखाले भनिन्, ‘बैंकिङ क्षेत्र आफैंमा संवेदनशील र त्यसमाथि केन्द्रीय बैंक भएकाले राष्ट्र बैंकको सूचना प्रविधि प्रणालीमा पनि विभिन्न खाले साइबर आक्रमणका प्रयास हुने गरेका छन् । धेरैजसो फिसिङ अट्याक हुन्छन्, जहाँ कर्मचारीहरूलाई नै विभिन्न तरिकाले झुक्याएर लिंकहरूमा क्लिक गर्न लगाउने, पासवर्ड, ओटीपी आदि फुत्काउन अनेक किसिमले पासोमा पार्ने काम गरिन्छ । साइबर ड्रिल अभ्यासले त्यस्ता कुनै पनि जोखिममा परेका प्रणालीलाई कसरी सुरक्षित रूपमा पुनःस्थापित गर्ने भन्ने सिक्ने मौका दियो ।’
गृह मन्त्रालय, अर्थ मन्त्रालय, शिक्षा, विज्ञान तथा प्रविधि मन्त्रालय, नेपाल राष्ट्र बैंक, नेपाल प्रहरी, नेपाली सेना, नेपाल दूरसञ्चार प्राधिकरण, साइबर सुरक्षा केन्द्र, एकीकृत डेटा व्यवस्थापन केन्द्र र सूचना प्रविधि विभागका गरी २७ जना सूचना प्रविधि जनशक्ति साइबर ड्रिलमा सहभागी छन् । पहिलो दिन सैद्धान्तिक र ‘टेबल टप एक्सरसाइज’मार्फत साइबर जोखिम प्रतिरक्षाबारे पूर्वाभ्यास गरिएको सञ्चार तथा सूचना प्रविधि मन्त्रालयका प्राविधिकतर्फका उपसचिव राजकुमार महर्जनले बताए ।
‘साइबर आक्रमण भइहालेमा त्यसको रेस्पन्स कसरी गर्ने वा सिस्टम रेस्टोर गर्न के–कस्ता प्रक्रिया अपनाउने भन्नेबारे मंगलबार दिनभर हामी अभ्यास गर्नेछौं,’ उनले भने, ‘त्यसका लागि सिमुलेटेड इन्भारोमेन्टमा साइबर आक्रमण गर्ने, सूचना प्रविधि प्रणालीमा अवरोध पुर्याउने र त्यसको रोकथाम गर्ने तरिकाहरू अभ्यास गर्नेछौं ।’
साइबर अट्याक सिमुलेसन अभ्यासअन्तर्गत आईटी कर्मचारीहरूलाई रातो र नीलो गरी दुई समूहमा विभाजन गरी एउटाले साइबर आक्रमण गर्ने र अर्कोले त्यसको प्रतिरक्षा एवं प्रणाली रेस्टोर गर्ने प्रतियोगितासमेत आयोजना हुने उपसचिव महर्जनले जानकारी दिए । ‘यसलाई हामीले क्याच द फ्ल्याग नाम दिएका छौं, जहाँ भर्चुअल रूपमा साइबर आक्रमण र रेस्पन्स एकसाथ हुन्छ,’ उनले भने, ‘जसरी प्रहरी र सेनाहरूले विपद् जोखिम न्यूनीकरणका लागि पूर्वाभ्यास गर्छन्, त्यसरी नै साइबर सुरक्षा जनशक्तीले पनि साइबर आक्रमणजस्तो विपद्को बेला कसरी काम गर्ने भनेर गरिने अभ्यास नै साइबर ड्रिल हो ।’
पछिल्लो समय हरेक काम अनलाइन वा इन्टरनेटमार्फत हुन थालेसँगै विश्वभर संवेदनशील सूचना प्रविधि पूर्वाधारमा आक्रमणबाट घटना पटक–पटक हुँदै आएका छन् । यस्ता जोखिम सूचना प्रविधि प्रणालीमा जुनसुकै बेला आइपर्न सक्ने भएकाले त्यसको पहिचान र प्रतिरक्षाका लागि सबै देशले सरकारी र निजी तवरका साइबर ड्रिल र डिजिटल साक्षरताका कार्यक्रम गर्ने गरेका छन् । नेपालमा ढिलो गरी २०७५ सालदेखि सरकारी तवरमा साइबर ड्रिल अभ्यास थालिए पनि यो नियमित रूपमा हुन सकेको छैन ।
प्रकाशित : जेष्ठ ८, २०८१ ०७:४०
