काठमाडौँ — सरकारी कार्यालयहरूका सूचना प्रणालीको पासवर्ड हरेक तीन महिनामा परिवर्तन गर्न, संवेदनशील छलफलमा सहभागी हुँदा मोबाइल फोन बाहिरै राख्न, कार्यालयका कम्प्युटरमा कुनै पनि गेम इन्स्टल नगर्न र सावधानीका अन्य विविध उपायसहित राष्ट्रिय साइबर सुरक्षा केन्द्रले एक ‘एड्भाइजरी’ जारी गरेको छ ।

केन्द्रले माघ ८ मा जारी गरेको एड्भाइजरीमा वेबसाइट, एप्लिकेसन, नेटवर्क, डेटा सुरक्षाका लागि अपनाउनुपर्ने कदमहरू समावेश छन् । सरकारी वेबसाइट, एप्लिकेसन, सर्भर, स्टोरेज, नेटवर्क, डेस्कटप, ल्यापटप र प्रिन्टरको सुरक्षादेखि पासवर्ड व्यवस्थापन, इमेल तथा फिसिङ आक्रमणबाट जोगिने उपाय, सामाजिक सञ्जाल र मोबाइलको सुरक्षालगायत विषय यसमा उल्लेख छन् ।

आठ पृष्ठ लामो एड्भाइजरीको खण्ड (क) मा सरकारी कार्यालयका वेबसाइटहरूमा सुरक्षा फ्रेमवर्क लागू गर्नुपर्ने, डेटाको नियमित ब्याकअप तथा आर्काइभ गर्नुका साथै बिजनेस कन्टिन्युटी प्लान लागू गर्नुपर्ने, वर्षको कम्तीमा एक पटक अनिवार्य सुरक्षा अडिट गर्नुपर्ने, सोर्स कोड अद्यावधिक गरी सुरक्षित राख्नुपर्ने, निकायमा प्रयोग भइरहेका इमेललगायत सूचना प्रविधि प्रणालीको सोर्स कोड अद्यावधिक गरी सुरक्षित राख्नुपर्ने उल्लेख छ ।

‘पासवर्ड राख्दा सहजै अनुमान गर्न नसकिने गरी नन–ट्रिभियल पासवर्ड पोलिसीअनुसार राख्ने,’ एड्भाइजरीमा भनिएको छ, ‘तीन–तीन महिनामा परिवर्तन गर्नुपर्ने गरी प्रणालीमा व्यवस्था गर्ने ।’ महत्त्वपूर्ण डेटा र सेवाहरूसँग सम्बन्धित सर्भर र अन्य नेटवर्क उपकरणहरूलाई सुरक्षित बनाउन नेटवर्क सेग्मेन्टेसन लागू गर्न, वेबसाइट तथा एप्लिकेसनहरूमा अनिवार्य रूपमा एसएसएल सर्टिफिकेट इन्स्टल गर्ने व्यवस्था मिलाउन, डेटा सेन्टर र सर्भर रुममा एक्सेस कन्ट्रोल र डोर लक सिस्टम, आईपी क्यामरा जडान गर्न भनिएको छ । 

खण्ड (ख) मा कार्यालयमा रहेका डेस्कटप/ल्यापटप र प्रिन्टर सुरक्षासम्बन्धी दिशानिर्देश दिइएको छ । यी उपकरणहरूको सुरक्षित प्रयोग र साइबर आक्रमणबाट जोगिन अपनाउनुपर्ने उपायमा जेन्युइन लाइसेन्स भएका अपरेटिङ सिस्टम र सफ्टवेयर मात्रै प्रयोग गर्न, अपरेटरिङ सिस्टम र बायोस फर्मवेयरलाई नियमित अपडेट गर्न, एन्टिभाइरस प्रयोग गर्न, डेस्कटप र ल्यापटप प्रयोग नगर्दा अनिवार्य लक गरेर राख्न, जीपीएस, ब्लुटुथ, एनएफसी र अन्य सेन्सरहरू आवश्यक पर्दा मात्रै अन गर्न र अन्यथा बन्द राख्न, साझा प्रिन्टरहरूमा युनिक पासवर्ड सेट गर्न र प्रिन्टरलाई इन्टरनेटमा नजोड्न केन्द्रले आग्रह गरेको छ । 

‘डेटा सेन्टरमा रहेका प्रविधि र पूर्वधारसँग रिमोट एक्सेस गर्न हार्डवेयर भीपीएन वा सफ्टवेयर भीपीएन प्रयोग गर्ने,’ केन्द्रले भनेको छ, ‘आन्तरिक सरकारी दस्ताबेजहरू स्क्यान गर्न क्याम स्क्यामरजस्ता कुनै पनि बाह्य मोबाइल एपमा आधारित स्क्यानर सेवा प्रयोग नगर्ने ।’

सामाजिक सञ्जाल सुरक्षाका सन्दर्भमा सरकारी सूचना प्रविधि प्रयोगकर्ताहरूले व्यक्तिगत जानकारीको प्रयोग र प्रचार सीमित र नियन्त्रित रूपमा गर्नुपर्ने सुझाव दिइएको छ । फ्रेन्ड रिक्वेस्ट स्वीकार गर्नुअघि भेरिफिकेसन जाँच गर्न, सरकारी इमेल ठेगाना सामाजिक सञ्जालमा साझा नगर्न र आन्तरिक सरकारी जानकारी वा दस्ताबेजलाई सोसल मिडियामा पोस्ट वा सेयर नगर्न भनिएको छ । 

खण्ड (ग) मा पासवर्ड व्यवस्थापन तथा सुरक्षाका लागि ध्यान पुर्‍याउनुपर्ने विषय उल्लेख गरिएको छ । सजिलै अनुमान गर्न सकिने पासवर्डको सट्टा ठूला र साना अक्षर, अंक र विशेष चिह्नको संयोजन भएको पासवर्ड सेट गर्न भनिएको छ । एउटै पासवर्ड फरक–फकर सेवामा प्रयोग नगर्न र कुनै पनि प्रणालीमा डिफल्ट पासवर्ड नराख्न सुझाव दिइएको छ ।

‘संवेदनशील डेटा/सूचना रहने प्रणालीहरूमा पहुँचका लागि अनिवार्य रूपमा मल्टिफ्याक्टर अथेन्टिकेसनको प्रयोग गर्ने,’ एड्भाइजरीमा लेखिएको छ, ‘पासवर्ड बनाउँदा शब्दकोशमा भएका शब्दहरूको मात्र संयोजन गरी नबनाउने । सिस्टम, प्रिन्टर र वाइफाईको पासवर्ड कुनै पनि अनधिकृत व्यक्तिलाई सेयर नगर्ने । गुगल अथेन्टिकेटरजस्ता अफलाइन ओटीपी अथेन्टिकेटर एपको प्रयोग गर्ने ।’ 

त्यस्तै, एड्भाइजरीको खण्ड (घ) मा इन्टरनेट ब्राउजिङ सुरक्षासम्बन्धी ध्यान दिनुपर्ने बुँदाहरू समेटिएका छन् । सरकारी एप्लिकेसन, इमेल सेवा, बैंकिङ सेवा र महत्त्वपूर्ण डिजिटल प्रणाली प्रयोग गर्दा सधैं प्राइभेट ब्राउजिङ वा इन्कग्निटो मोड प्रयोग गर्नुपर्ने केन्द्रले जनाएको छ । वेबसाइट खोल्दा लिंक क्लिक नगरी ब्राउजरको एड्रेस बारमा वेबसाइटको डोमेन नाम आफैंले टाइप गरेर मात्र साइटमा प्रवेश गर्न, ब्राउजरमा कुनै पनि वेबसाइटको युजरनेम र पासवर्ड सेभ नगर्न भनिएको छ । नर्ड भीपीएन, एक्सप्रेस भीपीएन, टोरजस्ता थर्ड–पार्टी सेवा र डाउनलोड म्यानेजर, वेदर टुलबार, आस्क मी टुलबारजस्ता थर्ड पार्टी टुल प्रयोग नगर्न स्पष्ट निर्देश गरिएको छ ।

अज्ञात व्यक्तिबाट आएका इमेलहरू खोल्नु अघि सावधानी अपनाउनुपर्ने, इमेलभित्रका अट्याचमेन्ट खोल्नुअघि वा लिंक क्लिक गर्नुअघि त्यो सुरक्षित छ/छैन सुनिश्चित गर्नुपर्ने, गोप्य जानकारीहरू इमेलमार्फत आदानप्रदान नगर्ने विषयमा एड्भाइजरीको खण्ड (ङ) मा उल्लेख गरिएको छ ।

‘पुरस्कार, उपहार, चिठ्ठालगायत प्रलोभन देखाएर पठाइएको वा डर/धम्की दिई पठाइएको इमेल, सन्देश, फोन कललगायतलाई रिप्लाई र रेस्पन्स नगर्ने,’ थप भनिएको छ, ‘आर्थिक प्रतिवेदन, बजेट विवरण, पासवर्ड, कर्मचारी विवरण आदि इमेलमार्फत पठाउनुपरेमा इमेललाई पीजीपी वा डिजिटल सर्टिफिकेट प्रयोग गरी इन्क्रिप्ट गरी पठाउने ।’

खण्ड (ज) मा भने सरकारी सूचना प्रविधि प्रणाली प्रयोगकर्ताहरूले मोबाइल सुरक्षाका लागि गर्न हुने र गर्न नहुने बुँदाहरू उल्लेख छन् । गुगल प्ले स्टोर र एप्पल एप स्टोरजस्ता विश्वसनीय स्रोतबाट मात्रै एप डाउनलोड गर्न, अज्ञात स्रोतबाट आएका ब्लुटुथ पेयरिङ वा फाइल सेयरिङ अनुरोध स्वीकार नगर्न सुझाव दिइएको छ । ‘संवदेनशील छलफलमा सहभागी हुँदा मोबाइल फोन बन्द गर्ने वा सुरक्षित स्थानमा बाहिर राख्ने,’ एड्भाइजरीमा भनिएको छ, ‘आफ्नो फोनमा अटोम्याटिक डाउनलोड सुविधा निष्क्रिय राख्ने ।’