निर्देश सेढाईंको पक्राउपछि नेपाल टेलिकम र सेवा प्रदायकहरूबाट मोबाइल नम्बर बाहिरिएको आशंका बढेको छ, सुरक्षा कमजोरी र नियमनको कमजोरी पनि उजागर भएको छ ।
What you should know
काठमाडौँ — कुनै एक व्यक्तिले स्थान विशेषलाई लक्षित गरेर लाखौँ एसएमएस सजिलै पठाएको घटनाले नेपालको दूरसञ्चार क्षेत्रमा प्रयोगकर्ताहरूका अतिव्यक्तिगत विवरणहरू कतिसम्म जोखिममा छन् भन्ने उजागर गरेको छ । बारम्बार दोहोरिने डेटा ब्रिच र दुरुपयोगका घटनामा नियमनकारी र सेवा प्रदायकहरू गोलमटोल उत्तर दिएर पन्छिने गरेका छन् ।
निर्देश सेढाईँको नामबाट ‘संघीयताविरोधी प्रदर्शनमा बालुवार आउन’ भन्दै ५० लाखभन्दा बढी एसएमएस पठाइएको घटनामा नेपाल प्रहरीले सेढाईंलाई पक्राउ गरेको छ । तर, सन्देश पठाउनेलाई मात्र नभएर उनलाई यत्तिका नम्बर उपलब्ध गराउने चाहिँ मुख्य दोषी भएकाले अनुसन्धान त्यता मोडिनुपर्ने विज्ञहरूले औँल्याइरहेका छन् ।
काठमाडौँ उपत्यका अपराध अनुसन्धान कार्यालयका प्रवक्ता प्रहरी उपरीक्षक काजी कुमार आचार्यका अनुसार सेढाईंले कुल १ करोड एसएमएस पठाएकोमा ५० लाख वटा एसएमएस ‘डेलिभर’ भएको प्रारम्भिक अनुसन्धानबाट देखिएको छ । ‘एटी अलर्टबाट ७० लाख र एसआई अलर्टबाट ३० लाख एसएमएस पठाइएको रहेछ,’ प्रवक्ता आचार्यले भने, ‘सेढाईंले ५०-६० लाखवटा मोबाइल नम्बर १० वर्ष लगाएर आफैँले संकलन गरेको दाबी गरेका छन् । त्यो सम्भव हुने कुरा होइन ।’
सेढाईंले ५०-६० लाखवटा मोबाइल नम्बर १० वर्ष लगाएर आफैँले संकलन गरेको दाबी गरेका छन् । त्यो सम्भव हुने कुरा होइन ।नेपाल टेलिकमभित्रै कसैले प्रभावमा परेर यी नम्बरहरू उपलब्ध गराएको हुनसक्ने प्रहरीको आशंका छ । यो घटनाले नेपाल टेलिकमको डेटा सुरक्षामा रहेको कमजोरी र ‘इन्साइडर थ्रेट’को जोखिमलाई सतहमा ल्याएको प्रहरीको प्रारम्भिक विश्लेषण छ ।
‘यी एसएमएसहरू जथाभावी नभई योजनाबद्ध रूपमा उपत्यकाभित्रका मानिसहरूलाई लक्षित गरेर पठाइएको संकेत देखिएको छ,’ प्रहरी उपरीक्षक आचार्यले भने, ‘उपत्यका बाहिरका नम्बरहरूमा यो एसएमएस निकै कम गएका छन् । यो कार्यले गम्भीर सुरक्षा जोखिम निम्त्याएको छ । यस्तो संयन्त्र प्रयोग गरेर जातजाति वा धर्मका विषयमा उत्तेजक सन्देश पठाइएको भए अहिले देशमा ठूलो संकट आउने जोखिम हुन्थ्यो ।’ प्रहरीले सेढाईँलाई पक्राउ गरी सार्वजनिक शान्तिविरुद्धको कसुरमा अनुसन्धान अगाडि बढाए पनि यसमा दूरसञ्चार सेवा प्रदायक र एसएमएस गेटवे प्रदायकहरूको कमजोरी खुल्दै गएको छ ।
बारम्बर डेटा ब्रिच
यसअघि गत चैतमा पनि आकास टेकको सेन्डर आईडी ‘एटी अलर्ट’ बाटै डिजिटल वालेट ‘ईसेवा’को नाममा शंकास्पद र हानिकारक एसएमएस पठाइएको थियो । ईसेवाका ग्राहकहरूलाई ‘तपाईंको खातामा असामान्य गतिविधि देखिएको’ भन्दै दिइएको लिंकमा क्लिक गरेर समस्या समाधान गर्न भनिएको थियो । लिंक गर्ने ग्राहकको खातामा पहुँच पुर्याई स्क्यामरले रकम चोरी गर्न खोजेका थिए । आकास टेकका अनुसार त्यो बेला स्क्यामरहरूले सरकारी निकायका पोर्टलहरूमा अनधिकृत पहुँच बनाई ‘एटी अलर्ट’ लगायतका आईडीहरूबाट एसएमएस पठाएका थिए ।
‘त्यो घटनापछि हामीले लिंकसहितका एसएमएसमा फिल्टर गर्ने र त्यस्ता शंकास्पद कुराहरू आएमा तुरुन्तै रोक्ने गरी प्रणालीलाई अझ कडा बनाएका छौं,’ कम्पनीका कोइरालाले भने, ‘अहिले निर्देश सेढाईंको घटनामा कुनै लिंक नभई राजनीतिक प्रकृतिको कन्टेन्ट मात्र भएकाले फिल्टर हुन पाएन । तर, उनले हामीसँगको सम्झौताविपरीत रातको समयमा एसएमएस पठाएको पाएपछि हामीले तुरुन्तै ब्लक गर्यौं । त्यतिबेलासम्म ५० लाखजति एसएमएस गइसकेछन् ।’
दूरसञ्चार क्षेत्रको नियामक नेपाल दूरसञ्चार प्राधिकरण भने यस घटनामा उति गम्भिर देखिँदैन । प्रयोकर्ताहरूले आफ्नो मोबाइल नम्बर दुरूपयोग भएको भन्दै सामाजिक सञ्जाल आवाज उठाएको यत्तिका दिन बितिसक्दा पनि प्राधिकरणले यसबारे अझै पनि नेपाल टेलिकम र एनसेल दुवै सेवा प्रदायकसँग सोधीखोजी गरिरहेको जनाएको छ । प्राधिकरणका प्रवक्ता मीनप्रसाद अर्यालले नम्बरहरू कसरी लिक भए भन्नेमा पहिचान गर्ने प्रयास भइरहेको बताए ।
‘प्राधिकरणले ५१ वटै भ्यालु एडेड सर्भिस प्रदायकहरूलाई यस्ता राजनीतिक प्रकृतिका सामग्री प्रवाह हुन नदिन निर्देशन जारी गरिसकेको छ,’ उनले भने, ‘बल्क एसएमएसमा नम्बरहरू कसरी छनोट भए वा डेटा कसरी बाहिरियो भन्नेबारे प्राधिकरणले नेपाल टेलिकमसँग बुझ्ने काम गरिरहेको छ र त्यहाँबाट जवाफ आएपछि थप तथ्य खुल्ने छ ।’
केही वर्षअघि खानासम्बन्धी एक इकमर्स प्लाटफर्म र इन्टरनेट सेवा प्रदायकले संकलन गरेका ग्राहकका डेटा ह्याक भएका थिए । ह्याकरले दुइटैको गरी करिब ८० हजार ग्राहकको नाम, ठेगाना, इमेल, फोन नम्बरलगायत विवरण चोरी गरेर केही विवरण सार्वजनिकसमेत गरिदिएका थिए । ती कम्पनीको लापरबाहीका कारण त्यस्तो भएको बताइए पनि नियामक दूरसञ्चार प्राधिकरणले तिनलाई सचेत गराउने औपचारिकताबाहेक कारबाही नगरेकोमा अझैसम्म प्रश्न उठ्ने गरेका छन् ।
साइबर सुरक्षाका विषयमा जानकार वरिष्ठ अधिवक्ता सतिशकृष्ण खरेलले हाल यति ठूलो संख्यामा मोबाइल नम्बरहरू बाहिरिनुलाई ‘डेटा ब्रिच’ को संज्ञा दिएका छन् । उनले सार्वजनिक सेवा प्रदायक, बैंकजस्ता निकायबाट विवरण चुवावट हुनु खतरनाक लक्षण भएको औंल्याए । ‘केही समयअघि बैँकका कर्मचारीहरूले नै कस्टमरहरूको डिटेल्स (नाम, नम्बर, इमेल, ठेगाना लगायत) सेयर गरेको सूचना मैले पाएको थिएँ,’ अधिवक्ता खरेल भन्छन्, ‘डेटा ब्रिचको घटना गम्भिर हो र छानबिन त्यतापट्टी हुनुपर्छ । अहिले एसएमएस पठाउनेलाई प्रहरीले पक्राउ गरेको छ । उनलाई नम्बर कसले दियो, त्यो चाहिँ छानबिन हुनुपर्ने हो ।’
नियमन कसरी ?
खरेलका अनुसार एसएमएसको कन्टेन्टमै आपराधिक विषय छ भने त्यो छुट्टै कुरा भयो तर धेरै संख्यामा एसएमएस पठाएकै आधारमा मुद्दा चलाउनु कानुनी व्यवस्थाको उपहास हो । ‘अनसोलिसिटेड म्यासेज पठाउन पाउने कि नपाउने भन्ने कुरामा, हाम्रो कानुनले रोकेको छैन,’ उनले स्पष्ट पारे, ‘कुनै मान्छेले एसएमएस धेरै नम्बरमा पठायो भनेर मुद्दा चलाउनु त अभिव्यक्ति स्वतन्त्रताको प्रतिकुल हुन जान्छ । तर, गम्भिर कुरा चाहिँ डेटा ब्रिच हो । यसमा सेवा प्रदायक र नियामकले जिम्मेबार कर्मचारीलाई कारबाही गर्नुपर्छ ।’ उनका अनुसार अनसोलिसिटेड वा अनावश्यक म्यासेज रोक्न दूरसञ्चार प्राधिकरणले अहिलेसम्म ठोस मापदण्ड नबनाउनु पनि ठूलो कमजोरी हो ।
नेपालको कानुनले व्यक्तिको मोबाइल नम्बरलाई अति संवेदनशील वैयक्तिक सूचनाको रूपमा परिभाषित गरेको छ । वैयक्तिक गोपनीयता सम्बन्धी ऐन, २०७५ को दफा २६ ले व्यक्तिको सहमतिबिना उसको वैयक्तिक सूचना उपयोग गर्न वा कसैलाई दिन निषेध गरेको छ । यो प्रावधान उल्लंघन गर्नेलाई तीन वर्षसम्म कैद वा तीस हजार रुपैयाँसम्म जरिवाना हुन सक्ने कानुनी व्यवस्था छ ।
यस्तै, विज्ञापन (नियमन गर्ने) ऐन, २०७६ को दफा १० ले पनि सम्बन्धित व्यक्तिको मञ्जुरीबिना मोबाइलमा एसएमएसबाट विज्ञापनमूलक सन्देश पठाउन नपाइने स्पष्ट पारेको छ । यो ऐन विपरित काम गर्नेलाई एक लाख रुपैयाँसम्म जरिवाना हुने व्यवस्था छ । सरकारी निकायले भने सम्बन्धित व्यक्तिको मन्जुरीबिना नै सार्वजनिक हितका लागि जानकारीमूलक सूचना प्रवाह गर्न वा विपद्को अवस्थामा पूर्वसूचना वा जानकारी पठाउन सक्ने त्यसमा भनिएको छ ।
दूरसञ्चार प्राधिकरणको ‘साइबर सुरक्षा विनियमावली २०७७’ ले ग्राहकको डेटा सुरक्षित राख्नुपर्ने र अनुमतिबिना कसैलाई बाँड्न नहुने सर्त राखेको छ । तथापि, प्रभावकारी कार्यान्वयनको अभावमा नागरिकको गोपनीयता बारम्बार जोखिममा पर्दै आएको छ । एसएमएस मात्रै नभएर प्रयोगकर्ताले ‘अप्ट इन’ वा मञ्जुरी निदइकनै इमेल क्याम्पेनहरूमा संलग्न गराउने, भाइबर/ह्वाट्एसएपका व्यावसायिक ग्रुप च्याटमा जोडिदिने र सरकारी तथा विभिन्न संस्थाको सेवा लिँदा आवश्यक नपर्ने स्थानमा पनि अतिव्यक्तिगत जानकारी संकलन गर्ने प्रचलन प्रवृत्तीले व्यक्तीगत पहिचान खुल्ने विवरण दुरुपयोगका घटना बढाइरहेको विज्ञहरूको विश्लेषण छ ।
मोबाइल प्रयोगकर्तालाई बेलाबखत आफूले सब्स्क्राइब नै नगरेका सेवा, वस्तु, कार्यक्रमसम्बन्धी अनधिकृत म्यासेज आउने गरेका छन् । अझ निर्वाचनका बेला प्रयोगकर्ताको व्यक्तिगत मोबाइल नम्बरमा विभिन्न उम्मेदवारको नामबाट फोन, एसएमएस र अडियो रेकर्डिङ आउने क्रम बढ्ने धेरैको गुनासो छ । यस्तो हुनु भनेको प्रयोगकर्ताको डिजिटल आइडेन्टीटी (विद्युतीय पहिचान) र डिजिटल डेटा कहीँ न कहीँबाट चुहावट भएको र त्यसको दुरुपयोग भइरहेको डिजिटल अधिकारको पक्षमा वकालत गर्दै आएकाहरूले बताउने गरेका छन् ।
गत आमनिर्वाचनका बेला काठमाडौं-५ बाट प्रतिनिधिसभा चुनाव लडेकी रञ्जु दर्शनाले चुनावका क्रममा आफूलाई ‘म फलानो उम्मेदवार हुँ, मलाई भोट हाल्नुहोला’ भन्दै विभिन्न मोबाइल नम्बरबाट एसएमएस र श्रव्य सामग्री परिवारका सदस्यको मोबाइलमा आएको बताएकी थिइन् । ‘मैले चिनेका अन्यले पनि यस्तो गुनासो गर्नुभएको थियो, हामीले सब्स्क्राइब नै नगरेको ठाउँबाट यस्ता सन्देश कसरी आए ? कतै हाम्रो डेटा किनबेच त भइरहेको छैन ?’ उनले त्यो बेला कान्तिपुरसँग भनेकी थिइन् । आमचुनावमा मात्रै नभएर इन्जिनियर, वकिल, पत्रकारलगायत पेसागत संगठनका चुनावमा पनि यस्ता म्यासेज पठाउने गरिएको छ ।
अधिवक्ता खरेल यस विषयमा स्पष्ट कानुन नहुँदा नियमन चुनौतीपूर्ण रहेको औँल्याउँछन् । प्राधिकरणले ‘अनसोलिसिटेड’ वा नमागिएको सन्देशका विषयमा मापदण्ड बनाउनुपर्ने उनको सुझाव छ । ‘एकचोटीमा यतिभन्दा बढी पठाउन नपाउने भनिदिन सक्छ,’ खरेल भन्छन्, ‘मैले तपाईलाई कुनै एसएमएस पठाएँ भने, त्यो पठाएको आधारमा स्वीकृतिबिना किन पठायौ भनेर च्यालेन्ज गर्ने कानुन हामीकहाँ छैन । जसरी ह्वाट्सएपजस्ता माध्यमले एक पटकमा पठाउन मिल्ने सन्देशको संख्या सिमित गरेका छन्, प्राधिकरणले पनि बल्क एसएमएस पठाउने सीमा तोकिदिनुपर्छ ।’
बैंकहरूले विद्युतीय कारोबारका लागि सुरक्षा मापदण्ड तोकेझैँ दुरसञ्चार प्राधिकरणले पनि सेवा प्रदायकहरूको डेटा सुरक्षित राख्न र सूचना चुहावट हुन नदिन सुरक्षाको निश्चित मापदण्ड निर्धारण गर्नुपर्ने खरेलको सुझाव छ । सार्वजनिक सेवा प्रदायक संस्थाहरूबाट हुने डेटा ब्रिच वा सूचना चुहावटलाई बन्देज लगाउने र यस्तो कार्य गरेमा मुद्दा चलाउन मिल्ने गरी स्पष्ट कानुनी व्यवस्थाको अपरिहार्यता उनले औँल्याएका छन् । कुनै संस्था (जस्तै नेपाल टेलिकम) भित्रबाट कर्मचारीको मिलेमतोमा सूचना बाहिरिएको पुष्टि भएमा त्यस्ता कर्मचारीलाई कारबाही गर्नुपर्ने उनले बताए ।
