असुरक्षित सरकारी सर्भर

अलीले यसमा ‘भर्चुअल प्राइभेट नेटवर्क (भीपीएन)’ प्रयोग गरिएको र ‘डाटा इन्क्रिप्ट’ हुने भन्दै यो प्रणाली पूर्णतः सुरक्षित भएको दाबी गरे । ‘सामान्य सुरक्षा कवचमा बसेर मन्त्रिपरिषद्जस्तो अत्यन्त संवेदनशील बैठक गर्न कोही नेपालीले आँट गर्न सक्दैन,’ उनको भनाइ छ, ‘यसलाई सामान्य स्काइप कल, फेसबुक लाइभ, युट्युब स्ट्रिमिङजस्तो गरी प्रचार गरेर भ्रम नफैलाउन अनुरोध छ ।’

उनले भिडियो बैठक पूर्णरूपमा सुरक्षित रहने दाबी गरे पनि सरकारी निकायहरूको समग्र डाटा सुरक्षाको अभ्यास हेर्दा विश्वस्त भइहाल्ने ठाउँ देखिन्न । नागरिकको विवरण र सरकारी कामकारबाहीको तथ्यांक सञ्चार तथा सूचना प्रविधि मन्त्रालयअन्तर्गत रहेको राष्ट्रिय सूचना प्रविधि केन्द्र (एनआईटीसी) मा रहन्छ । सबै सरकारी वेबसाइटको तथ्यांकहरू यसमै भण्डारण हुन्छ । केहीअघिसम्म सरकारी कार्यालयको वेबसाइट र तथ्यांकहरू निजी कम्पनीका सर्भरमा राख्ने गरिएको भए पनि अहिले सबै तथ्यांक केन्द्रमै रहन्छ । तर, एनआईटीसीको सर्भरमा जोडिएका सरकारी वेबसाइट र इमेल पटकपटक ह्याकरको निसानामा परेको खबर सुनेकाहरूले मन्त्रिपरिषद्को साइबर बैठकको सुरक्षामा प्रश्न उठाएका छन् । अध्ययनअनुसार सन् २०१७ मा १६० र सन् २०१८ मा सयवटा सरकारी वेबसाइटमा ह्याकरको पहुँच पुगेको थियो । साइबर सुरक्षामा काम गर्ने एक नेपाली कम्पनीले गरेको अध्ययनअनुसार एनआईटीसीको सर्भरमा ‘हर्टब्लिड’ नामक एक सुरक्षा कमजोरी छ ।

सूचना प्रविधि केन्द्रको सर्भर पछिल्लोपटक वैशाख २२ मा ह्याक भएको थियो । केन्द्रको सर्भर डाउन हुँदा करिब ५ घण्टा मालपोत, यातायात, राजस्व कार्यालयबाट दिइने सरकारी सेवाहरू प्रभावित भए । केन्द्रले चिनियाँ ह्याकरले आफ्नो सर्भर प्रभावित पारेको आशंका गरे पनि हालसम्म उक्त घटनाले के नोक्सानी भयो भन्ने सार्वजनिक गरिएको छैन ।

वेबसाइट र सर्भरको सुरक्षा अवस्थाको जाँच गरी सोहीअनुसार सुरक्षित बनाउन सुरक्षा अडिट गराउने प्रचलन भए पनि सरकारी वेबसाइट र सर्भरको हकमा भने यस्तो गर्ने गरिएको पाइन्न । एनआईटीसीको सर्भर सुरक्षित भए पनि वार्षिक रूपमा अन्तर्राष्ट्रिय विज्ञबाट ‘अडिट’ गराउन आवश्यक रहेको प्रधानमन्त्रीका सूचना प्रविधि सल्लाहकार अली केन्द्र स्विकार्छन् । ‘केन्द्रको सर्भर पूर्ण रूपमा सुरक्षित छ । यसमा अन्तर्राष्ट्रियस्तरको डिभाइस र प्रणाली जडान गरिएको छ,’ उनले भने, ‘तर हार्डवेयरहरूलाई निश्चित समयपछि परिवर्तन गर्ने अभ्यास र अन्तर्राष्ट्रिय स्तरको अडिट भने जरुरी छ ।’

सेवालाई प्रभावकारी बनाउने भन्दै केही वर्षयता धेरै सरकारी कार्यालयले अनलाइनबाट सेवा सुरु गरेका छन् । यस्ता निकायले अनलाइनबाट सेवा दिने मात्रै होइन, सेवाग्राहीको तथ्यांकसमेत भण्डारण गरिरहेका छन् । निर्वाचन आयोग, राहदानी विभाग, आन्तरिक राजस्व विभाग, मालपोत, वैदेशिक रोजगार विभाग, यातायात व्यवस्था कार्यालयलगायत झन्डै दर्जनजति निकायले सेवाग्राहीको तथ्यांक संकलन गर्दै सरकारी सर्भरमा भण्डारण गर्दै आएका छन् । साइबर सुरक्षासम्बन्धी काम गर्ने नेपाली कम्पनी थ्रेटनिक्सका संस्थापक सचिन ठकुरी सरकारले भण्डारण गरेको तथ्यांक सुरक्षित नभएको बताउँछन् । अनुसन्धानका क्रममा आफूले एक सरकारी निकायले भण्डारण गरेको नेपालीको तथ्यांक ‘डार्क वेब’ मा भेटेको उनले बताए । डार्क वेब विशेष सफ्टवेयर प्रयोग गरेर मात्रै पुग्न सकिने र प्रयोगकर्ताको पहिचान गोप्य रहने इन्टरनेटको एक स्थान हो ।

‘सार्वजनिक गर्दा त्यो तथ्यांक झन् दुरुपयोग हुने डर हुन्छ,’ उनले भने, ‘त्यसैले सार्वजनिक रूपमा यसलाई खुलाउन मिल्दैन तर बेलाबेलामा नेपाल सरकारको सर्भरमा रहेको तथ्यांक चोरिएको भेटिनु सामान्य भइसक्यो ।’ थ्रेटनिक्सले दुई वर्षयता ‘थ्रेट रिपोर्ट’ नाम दिएर मुलुकको साइबर सुरक्षा अवस्थासम्बन्धी वार्षिक प्रतिवेदन सार्वजनिक गर्दै आएको छ । पछिल्लो पटक गत फागुनमा सार्वजनिक गरेको रिपोर्टअनुसार सरकारी इमेल र सर्भर नै सुरक्षित छैनन् । सन् २०१७ र २०१८ को प्रतिवेदनमा सरकारी तथ्यांक भण्डारण हुने एनआईटीसीको सर्भरमा हर्टब्लिक नामक सुरक्षा कमजोरी रहेको देखाइएको छ । यो कमजोरीले इन्क्रिप्ट भएको तथ्यांक, पासवर्ड र प्रयोगकर्ताको पहिचानमा पहुँच दिन्छ ।

सार्वजनिक रूपमा उपलब्ध हुने होस्ट, डिभाइस र डोमेनको परीक्षण तथा विश्लेषण गरी यो प्रतिवेदन तयार पारिएको हो ।

थ्रेटनिक्सले प्रकाशित गरेको सन् २०१८ को थ्रेट रिपोर्टअनुसार १० हजारभन्दा बढी इमेलहरू अरूको पहुँच पुग्ने अवस्थामा थिए भने तीमध्ये एक हजारभन्दा बढी इमेलहरू ह्याकरको पहुँचमा पुगेको भेटिएका थिए । निर्वाचन आयोग र नेपाल प्रहरीजस्ता सरकारी निकायले प्रयोग गर्ने इमेलबाट नै तथ्यांक चोरिएको अवस्थामा भेटिएको रिपोर्टमा जनाइएको छ ।

‘यी सरकारी इमेलहरू विभिन्न विभिन्न वेबसाइटमा व्यक्तिगत प्रोफाइल निर्माणको लागि प्रयोग गरेको भेटियो,’ प्रतिवेदनमा भनिएको छ, ‘केही सरकारी इमेल प्रयोग गरी पोर्न साइटमा समेत प्रोफाइल खोलेको भेटियो ।’ वैकल्पिक ऊर्जा प्रवर्द्धन केन्द्र, सशस्त्र प्रहरी बल, आन्तरिक राजस्व विभाग र नेपाल कृषि अनुसन्धान परिषद् गरी ५ वटा सरकारी इमेलबाट अश्लील वेबसाइटमा खाता खोलेको भेटिएको थियो । उक्त रिपोर्ट तयारीको क्रममा नेपालको साइबर सुरक्षासम्बन्धी अनुसन्धान गरेका ठकुरीका अनुसार सरकारी निकायले आफ्नो वेबसाइटमा राखेको नागरिकको प्रोफाइल गुगलमा सर्च गर्दा पनि भेटिने अवस्थामा छ । ‘सेवाग्राहीले सरकारी सेवा लिनका लागि अनलाइन फाराम भर्दा सरकारलाई दिएको विवरणहरू गोप्य रहनुपर्छ तर गुगलमा पनि भेटिने अवस्थामा छन्,’ उनले भने, ‘यो कमजोर सुरक्षा प्रणालीका कारण भएको हो ।’

सरकारले प्रयोग गरेको टेलिप्रिजेन्समा भीपीएन प्रयोग भएकाले सुरक्षित भएको दाबी गरिए पनि ठकुरी त्यसमा ढुक्क हुन नसकिने बताउँछन् । उनका अनुसार भीपीएनको प्रयोग गरी सुरक्षित पारिएको नेटवर्क पनि ह्याकरले निसाना बनाउने क्रम पछिल्लो समय बढेको छ । भीपीएन इन्टरनेट कनेक्सनलाई सुरक्षित बनाउने प्रविधि हो । ‘पछिल्लो एक महिनामा पल्स भीपीएन ह्याक हुने क्रम बढेको छ । यसले ठूला कम्पनीहरूलाई पनि दुःख दिएको छ,’ उनी भन्छन्, ‘भीपीएन प्रयोग गर्दैमा सुरक्षित भइन्छ भन्ने छैन ।’ पल्स भीपीएसन प्रयोग गरी सुरक्षित पारिएको भनिएका धेरै प्रणालीहरू पछिल्लो समय समस्यामा परेको उदाहरणहरू उनले दिए ।

साइबर सुरक्षाविज्ञ सरोज लामिछाने सरकारी निकायको साइबर सुरक्षाको अवस्था निकै निम्नस्तरको रहेको टिप्पणी गर्छन् । ‘नेपालको साइबर सुरक्षाको अवस्थालाई म १० मा २ नम्बर मात्रै दिन्छु,’ उनी भन्छन्, ‘५ वर्षअघि पहिचान भएको हर्टब्लिड जस्तो सामान्य कमजोरी अहिलेसम्म सुल्झाउन सकिएको छैन भने अरू नदेखिएको कति कमजोरी होलान् ?’ डेढ वर्षअघि नेपालको राहदानी लिएका व्यक्तिहरूको विवरण रहेको डाटासेट डार्क वेबमा भेटिएको उनले जानकारी दिए ।

सरकारी सेवामा सूचना प्रविधि प्रयोगसम्बन्धी विभिन्न नीति निर्माणमा संलग्न रहिसकेका सूचना प्रविधिसम्बन्धी उच्च स्तरीय आयोगका पूर्वउपाध्यक्ष मनोहर भट्टराईले अब नेपालमा पनि डाटा सुरक्षासम्बन्धी बहस गर्ने बेला भइसकेको बताए । ‘सरकारी कार्यालय अटोमेसनमा जानु आफैंमा नराम्रो होइन,’ उनी भन्छन्, ‘सरकारी कामलाई सहज बनाउने भनेर यसो गरिए पनि हरेक कार्यालयले छुट्टाछुट्टै अनलाइन प्रणाली बनाउँदा समस्या भएको छ । उनका अनुसार हरेक सरकारी कार्यालयले नागरिकको विवरण संकलन गर्नेभन्दा संकलित विवरणबाटै सेवाग्राहीलाई सेवा दिन सरकारले एउटा एकीकृत प्रणाली (होल अफ गभर्मेन्ट) बनाउन आवश्यक छ । ‘सेवालाई पारदर्शी र सहज बनाउन सुरु गरिएको सूचना प्रविधिको प्रयोग झन् झन्झटिलो हुनुहुन्न,’ उनी भन्छन्, ‘तथ्यांक सुरक्षामा सावधानी अपनाउनुपर्छ ।’

उपभोक्ताले बैंकमा खाता खोल्दादेखि डिपार्टमेन्टल स्टोरमा सामान किन्दासमेत उनीहरूको विवरण भण्डारण हुन थालेकाले सरकारले डेटा सुरक्षासम्बन्धी कानुन बनाउन आवश्यक भइसकेको उनको ठम्याइ छ । ‘तथ्यांक सुरक्षा मानिसको गोपनीयताको अधिकारसँग जोडिएको कुरा पनि हो,’ उनी भन्छन्, ‘यो सुरक्षित नहुँदा अनेकन जटिलता आउन सक्छ ।’

‘कसैको स्वास्थ्य विवरणको तथ्यांक इन्स्योरेन्स कम्पनीलाई काम लाग्न सक्छ,’ उनले भने, ‘एउटाको विवरण अर्कोका लागि स्रोत बन्न सक्छ ।’

प्रधानमन्त्रीका सूचना प्रविधि सल्लाहकार अली पनि सबै सरकारी निकायमा नागरिकको विवरण बुझाउनुपर्ने बाध्यता स्विकार्छन् । भन्छन्, ‘सरकारी कार्यालयमा विवरण बुझाएपछि अर्को सरकारी कार्यालयमा बुझाउन नपरोस् भनेर हामी काम गरिरहेका छौं ।’

सरकारले बजेटमा घोषणा गरेअनुसार नागरिक एप सार्वजनिक गर्न लागेको उनले बताए । नागरिक एपमा नागरिकले आफ्नो नाममा रहेको सिम प्रयोग गरी आफ्नो खाता खोल्न सक्ने र सोही एपबाट कुनै सरकारी सेवा लिनका लागि आवेदन दिन सक्ने उनले बताए ।

‘जसको नाममा सिम दर्ता छ सोही व्यक्तिले मात्र एकाउन्ट खोल्न सक्ने र एउटा मोबाइलमा खोलिएको एकाउन्ट अर्को मोबाइलमा नखुल्ने भएकाले यो सुरक्षित छ,’ अली भन्छन्, ‘सुरुमा ८ वटा सरकारी सेवा एपमार्फत लिन सक्ने बनाउने तयारी छ ।’

मोबाइल नम्बरबाट नै एपमा पहुँच हुने भएको भन्दै नेपाल दूरसञ्चार प्राधिकरणले आफ्नो नाममा रहेको बाहेक अन्य सिम प्रयोग नगर्न र आफ्नो नाममा दर्ता गरेर मात्रै प्रयोग गर्न सार्वजनिक सूचना जारी गरेको छ ।