काठमाडौँ — केही समयअघि मात्रै सिंहदरबारस्थित अर्थ मन्त्रालयमा एउटा गम्भीर साइबर सुरक्षा चुनौती आइपर्‍यो । एक विदेशी ह्याकरले मन्त्रालयको ल्यान्डलाइनमै फोन गरेर आफूले आन्तरिक सिस्टमबाट महत्त्वपूर्ण डेटा कब्जामा लिएको र मागेजति पैसा नदिए सबै विवरण सार्वजनिक गरिदिने धम्की दिए ।

‘ह्याकरलाई पैसा दिने कुरा त भएन, हामीले तत्काल राष्ट्रिय साइबर सुरक्षा केन्द्रको सह्योग माग्यौं,’ मन्त्रालयका एक अधिकारीले भने, ‘केन्द्रका इन्जिनियरहरूले ट्राफिक रि–रुटिङ गरेर सिस्टमलाई सुरक्षित बनाइदिनुभयो ।’ 

केन्द्रले मन्त्रालयको नेटवर्क र सर्भरलाई वैकल्पिक सुरक्षित सर्भरमा स्थानान्तरण गरेको ती अधिकारीले जनाए । ‘हामीले ह्याकरलाई कुनै पनि रकम भुक्तानी गरेनौं । तर यसरी सिस्टम ह्याक गरेको छु, यति पैसा नदिए डार्क वेबमा बेच्दिन्छु भनेर धम्क्याउने गतिविधि अन्य सरकारी निकायमा पनि बाक्लै आउन थालेको हामीले सुनेका छौं । यसले डिजिटल प्रणालीको सुरक्षा र सेवाको निरन्तरतामा समस्या उत्पन्न गरिरहेको छ ।’ 

पछिल्लो एक वर्षमा काजु, घुद्रा, मिडनाइट अप्स नेपाल, स्याडो लिक जस्ता आफूलाई ह्याकर समूह दाबी गर्नेले नेपाल प्रहरी, हेलो सरकार, निर्वाचन आयोग, राष्ट्रिय परिचयपत्र विभाग, नेपाल मेडिकल काउन्सिल जस्ता निकायका वेबसाइट र प्रणालीमा आक्रमणसँगै डेटा चोरी र बिक्रीको प्रयास गरे । सरकारी निकायसँगै कतिपय बैंक तथा अन्य संस्थाका सूचना प्रणालीबाट सेवाग्राहीका नागरिकता, पासपोर्ट, तस्बिर, फोन नम्बर, इमेल, ठेगानाजस्ता संवेदनशील विवरण चोरी भई ‘डार्क वेब’मा बिक्रीका लागि राखिएका थिए । 

गत वर्ष ‘काजु’ नाम गरेको ह्याकर समूहले नेपाल प्रहरीको मुख्य सर्भर र डेटाबेसमा पहुँच पाएको दाबी गर्दै २० लाखभन्दा बढी नेपालीको डेटा चोरी गरेको घोषणा गरेको थियो । ती डेटा फिर्ता गर्न वा सार्वजनिक नगर्नका ह्याकरले प्रहरीसँग फिरौती वा र्‍यानसम मागेको थिए । माग पूरा नभएपछि उनीहरूले ‘ब्रिज फोरम’ जस्ता डार्क वेब प्लाटफर्ममा ७ हजार अमेरिकी डलर मा ती सबै डेटा बिक्रीका लागि राखेका थिए । 

सरकारी वित्तीय प्रणालीमा देखिने प्राविधिक समस्या र साइबर सुरक्षाका जोखिमलाई सम्बोधन गर्न अर्थ मन्त्रालयले फागुनमा गरेको एक अध्ययनले सरकारी प्रणालीहरूमा गम्भीर कमजोरीहरू रहेको उजागर गरेको छ । यस विषयमा ‘अर्थ मन्त्रालय र अन्तर्गतका निकायमा सार्वजनिक वित्त व्यवस्थापनसँग सम्बन्धित प्रणालीगत सुधार सुझाव समिति’ले प्रतिवेदन नै तयार पारेको छ । त्यसअनुसार मन्त्रालय र मातहतका निकायमा प्रयोग भइरहेका कतिपय सूचना प्रविधि उपकरण र सुरक्षा संयन्त्रहरू ‘इन्ड अफ सपोर्ट’ वा ‘इन्ड अफ लाइफ’ को अवस्थामा पुगेकाले सेवाको निरन्तरता र सुरक्षामा जोखिम देखिएको हो । 

सफ्टवेयर र प्रणाली निर्माणमा बाह्य सेवा प्रदायकमाथिको अत्यधिक निर्भरता, प्रोप्राइटरी सफ्टवेयरको प्रयोग र ‘सोर्स कोड’मा स्वामित्व नहुँदा सरकारी सूचना प्रविधि प्रणाली ‘भल्नरेबल’ अवस्थामा रहेको प्रतिवेदनले औंल्याएको छ । ‘तथ्यांक भण्डारण र भण्डारण गरिएका तथ्यांकको सुरक्षाका लागि फायरवाल लगायत साइबर सुरक्षा प्रणालीहरूको लाइसेन्स समयमै नवीकरण, उपकरणहरूको नियमित मर्मतसम्भार एवं प्रणाली स्वास्थ्य परीक्षण हुने गरेको देखिएन,’ प्रतिवेदनमा भनिएको छ, ‘यसले सूचना प्रणालीहरूको सुरक्षा, स्थायित्व तथा सेवा प्रवाहको विश्वसनीयतामा जोखिम उत्पन्न गरेको छ ।’ 

सरकारी सूचना प्रणालीहरूमा समय–समयमा साइबर आक्रमण हुने गरेको र यसले ती प्रणालीको नियमित सञ्चालनमा अवरोध आउने अवस्थासमेत सिर्जना भएको छ प्रतिवेदनमा उल्लेख छ । अर्थ मन्त्रालय र अन्तर्गतका निकायहरूमा सूचना प्रविधि प्रणालीहरूको विकास, सञ्चालन, मर्मतसम्भार तथा स्तरोन्नतिका लागि बाह्य सेवा प्रदायक अर्थात् भेन्डर वा कन्सल्टेन्सीमाथि अधिक निर्भरता देखिनुलाई प्रतिवेदनले चुनौती मानेको छ ।

 ‘सरकारी संस्थाहरूमा नेटवर्क एड्मिनिस्ट्रेसन, डेटाबेस म्यानेजमेन्ट, साइबर सुरक्षाजस्ता क्षेत्रमा विशिष्टीकृत जनशक्तिको अभाव देखिएको छ,’ प्रतिवेदनमा भनिएको छ, ‘सरकारी संस्थाहरूमा विकास साझेदारको सह्योगमा प्रोप्राइटरी सफ्टवेयर प्रणाली खरिद गरिएको पाइन्छ । ती प्रणाली सोर्स कोडबिना खरिद गरिएकाले परिमार्जन, अपग्रेड तथा ट्रबलसुटिङमा भेन्डरमाथि निर्भर हुनुपर्ने अवस्था छ ।’ 

यिनै विविध कारणले साइबर सुरक्षा चुनौती बढिरहेका बेला र अर्थ मन्त्रालयजस्ता निकायमा देखिएका जोखिमलाई ध्यानमा राखेर राष्ट्रिय साइबर सुरक्षा केन्द्रले यो साता ‘र्‍यानसमवेयर आक्रमणबाट जोगिन विशेष एड्भाइजरी’ जारी गरेको छ । त्यसमा हानिकारक सफ्टवेयरको प्रकृति, यसले पार्ने प्रभाव, आक्रमण हुने तरिका र बच्ने उपायबारेमा जानकारी दिइएको छ ।

‘हालका दिनहरूमा सूचना प्रविधि प्रणालीहरूमा र्‍यानसमवेयर आक्रमणका घटना उल्लेख्य रूपमा वृद्धि भइरहेका छन्,’ एड्भाइजरीमा भनिएको छ, ‘सर्वसाधारण नागरिकलाई यस प्रकारका आक्रमणबाट हुन सक्ने क्षतिबाट बच्न सचेत गराउने उद्देश्यले एड्भाइजरी जारी गरिएको हो ।’ 

चालु आर्थिक वर्षको बजेट कार्यक्रमअन्तर्गत त्रैमासिक रूपमा एड्भाइजरी जारी गर्ने योजनाअनुरूप यो सार्वजनिक गरिएको साइबर सुरक्षा केन्द्रका प्रवक्ता राजकुमार महर्जनले बताए । तथापि र्‍यानसमवेयरका घटनाले सरकारी निकायसँगै निजी संस्था र सर्वसाधारणलाई पनि मर्कामा पारिरहेको उनले उल्लेख गरे ।

‘ह्याकरहरूले सर्वसाधारण व्यक्तिलाई समेत मालवेयर लिंक पठाएर उनीहरूको सामाजिक सञ्जाल ह्याक गर्ने र पैसा माग्ने गरेका छन्,’ केन्द्रका प्रवक्ता महर्जनले भने, ‘यस्ता आक्रमणबाट महत्त्वपूर्ण डेटा र संस्थागत सेवा अवरुद्ध हुने मात्र नभई संवेदनशील सूचना चोरी भई गोपनीयतामा गम्भीर असर पर्न सक्छ ।’

यसले प्रयोगकर्तालाई आर्थिक नोक्सानीसँगै ठूलो मानसिक तनाव दिने र कार्यालयहरूको दैनिक कार्य सञ्चालनमा बाधा पुर्‍याउने जोखिम रहेको महर्जनले बताए । ‘सामान्यतया इमेलमा आउने शंकास्पद अट्याचमेन्ट, सामाजिक सञ्जालमा आउने लिंक र असुरक्षित स्रोतबाट डाउनलोड गरिने पाइरेटेड सफ्टवेयरका कारण यस्तो आक्रमण हुने गर्छ,’ उनले भने, ‘अपरेटिङ सिस्टमलगायत प्रयोग गरिएका सफ्टवेयर नियमित अपडेट नगर्दा, एन्टिभाइरसलगायत उपयुक्त सुरक्षा प्रणाली प्रयोग नगर्दा र्‍यानसमवेयरको निसानामा पर्न सकिन्छ ।’

अपरिचित स्रोतबाट आएका लिंक र फाइल नखोल्न, आधिकारिक स्टोर वा वेबसाइटबाट मात्र सफ्टवेयर डाउनलोड गर्न र नियमित रूपमा डेटाको ब्याकअप अफलाइन वा क्लाउडमा राख्न एड्भाइजरीमा सुझाव दिइएको छ । आक्रमणकारीले मागेको फिरौती रकम तिर्दैमा डेटा फिर्ता हुने कुनै ग्यारेन्टी नहुने प्रवक्ता महर्जनको भनाइ छ ।