काठमाडौँ, वैशाख ११ गते । केही समयअघि मात्रै सिंहदरबारस्थित अर्थ मन्त्रालयमा एउटा गम्भीर साइबर सुरक्षा चुनौती आइपर्यो । एक विदेशी ह्याकरले मन्त्रालयको ल्यान्डलाइनमै फोन गरेर आफूले आन्तरिक सिस्टमबाट महत्त्वपूर्ण डेटा कब्जामा लिएको र मागेजति पैसा नदिए सबै विवरण सार्वजनिक गरिदिने धम्की दिए ।
‘ह्याकरलाई पैसा दिने कुरा त भएन, हामीले तत्काल राष्ट्रिय साइबर सुरक्षा केन्द्रको सह्योग माग्यौं,’ मन्त्रालयका एक अधिकारीले भने, ‘केन्द्रका इन्जिनियरहरूले ट्राफिक रि–रुटिङ गरेर सिस्टमलाई सुरक्षित बनाइदिनुभयो ।’
केन्द्रले मन्त्रालयको नेटवर्क र सर्भरलाई वैकल्पिक सुरक्षित सर्भरमा स्थानान्तरण गरेको ती अधिकारीले जनाए । ‘हामीले ह्याकरलाई कुनै पनि रकम भुक्तानी गरेनौं । तर यसरी सिस्टम ह्याक गरेको छु, यति पैसा नदिए डार्क वेबमा बेच्दिन्छु भनेर धम्क्याउने गतिविधि अन्य सरकारी निकायमा पनि बाक्लै आउन थालेको हामीले सुनेका छौं । यसले डिजिटल प्रणालीको सुरक्षा र सेवाको निरन्तरतामा समस्या उत्पन्न गरिरहेको छ ।’
पछिल्लो एक वर्षमा काजु, घुद्रा, मिडनाइट अप्स नेपाल, स्याडो लिक जस्ता आफूलाई ह्याकर समूह दाबी गर्नेले नेपाल प्रहरी, हेलो सरकार, निर्वाचन आयोग, राष्ट्रिय परिचयपत्र विभाग, नेपाल मेडिकल काउन्सिल जस्ता निकायका वेबसाइट र प्रणालीमा आक्रमणसँगै डेटा चोरी र बिक्रीको प्रयास गरे । सरकारी निकायसँगै कतिपय बैंक तथा अन्य संस्थाका सूचना प्रणालीबाट सेवाग्राहीका नागरिकता, पासपोर्ट, तस्बिर, फोन नम्बर, इमेल, ठेगाना जस्ता संवेदनशील विवरण चोरी भई ‘डार्क वेब’मा बिक्रीका लागि राखिएका थिए ।
गत वर्ष ‘काजु’ नाम गरेको ह्याकर समूहले नेपाल प्रहरीको मुख्य सर्भर र डेटाबेसमा पहुँच पाएको दाबी गर्दै २० लाखभन्दा बढी नेपालीको डेटा चोरी गरेको घोषणा गरेको थियो । ती डेटा फिर्ता गर्न वा सार्वजनिक नगर्नका ह्याकरले प्रहरीसँग फिरौती वा र्यानसम मागेको थिए । माग पूरा नभएपछि उनीहरूले ‘ब्रिज फोरम’ जस्ता डार्क वेब प्लाटफर्ममा ७ हजार अमेरिकी डलर मा ती सबै डेटा बिक्रीका लागि राखेका थिए ।
सरकारी वित्तीय प्रणालीमा देखिने प्राविधिक समस्या र साइबर सुरक्षाका जोखिमलाई सम्बोधन गर्न अर्थ मन्त्रालयले फागुनमा गरेको एक अध्ययनले सरकारी प्रणालीहरूमा गम्भीर कमजोरीहरू रहेको उजागर गरेको छ । यस विषयमा ‘अर्थ मन्त्रालय र अन्तर्गतका निकायमा सार्वजनिक वित्त व्यवस्थापनसँग सम्बन्धित प्रणालीगत सुधार सुझाव समिति’ले प्रतिवेदन नै तयार पारेको छ । त्यस अनुसार मन्त्रालय र मातहतका निकायमा प्रयोग भइरहेका कतिपय सूचना प्रविधि उपकरण र सुरक्षा संयन्त्रहरू ‘इन्ड अफ सपोर्ट’ वा ‘इन्ड अफ लाइफ’ को अवस्थामा पुगेकाले सेवाको निरन्तरता र सुरक्षामा जोखिम देखिएको हो ।
सफ्टवेयर र प्रणाली निर्माणमा बाह्य सेवा प्रदायकमाथिको अत्यधिक निर्भरता, प्रोप्राइटरी सफ्टवेयरको प्रयोग र ‘सोर्स कोड’ मा स्वामित्व नहुँदा सरकारी सूचना प्रविधि प्रणाली ‘भल्नरेबल’ अवस्थामा रहेको प्रतिवेदनले औंल्याएको छ । ‘तथ्यांक भण्डारण र भण्डारण गरिएका तथ्यांकको सुरक्षाका लागि फायरवाल लगायत साइबर सुरक्षा प्रणालीहरूको लाइसेन्स समयमै नवीकरण, उपकरणहरूको नियमित मर्मतसम्भार एवं प्रणाली स्वास्थ्य परीक्षण हुने गरेको देखिएन,’ प्रतिवेदनमा भनिएको छ, ‘यसले सूचना प्रणालीहरूको सुरक्षा, स्थायित्व तथा सेवा प्रवाहको विश्वसनीयतामा जोखिम उत्पन्न गरेको छ ।’
सरकारी सूचना प्रणालीहरूमा समय–समयमा साइबर आक्रमण हुने गरेको र यसले ती प्रणालीको नियमित सञ्चालनमा अवरोध आउने अवस्थासमेत सिर्जना भएको छ प्रतिवेदनमा उल्लेख छ । अर्थ मन्त्रालय र अन्तर्गतका निकायहरूमा सूचना प्रविधि प्रणालीहरूको विकास, सञ्चालन, मर्मत-सम्भार तथा स्तरोन्नतिका लागि बाह्य सेवा प्रदायक अर्थात् भेन्डर वा कन्सल्टेन्सीमाथि अधिक निर्भरता देखिनुलाई प्रतिवेदनले चुनौती मानेको छ ।
‘सरकारी संस्थाहरूमा नेटवर्क एड्मिनिस्ट्रेसन, डेटाबेस म्यानेजमेन्ट, साइबर सुरक्षा जस्ता क्षेत्रमा विशिष्टीकृत जनशक्तिको अभाव देखिएको छ,’ प्रतिवेदनमा भनिएको छ, ‘सरकारी संस्थाहरूमा विकास साझेदारको सह्योगमा प्रोप्राइटरी सफ्टवेयर प्रणाली खरिद गरिएको पाइन्छ । ती प्रणाली सोर्स कोडबिना खरिद गरिएकाले परिमार्जन, अपग्रेड तथा ट्रबलसुटिङमा भेन्डरमाथि निर्भर हुनुपर्ने अवस्था छ ।’
यिनै विविध कारणले साइबर सुरक्षा चुनौती बढिरहेका बेला र अर्थ मन्त्रालयजस्ता निकायमा देखिएका जोखिमलाई ध्यानमा राखेर राष्ट्रिय साइबर सुरक्षा केन्द्रले यो साता ‘र्यानसमवेयर आक्रमणबाट जोगिन विशेष एड्भाइजरी’ जारी गरेको छ । त्यसमा हानिकारक सफ्टवेयरको प्रकृति, यसले पार्ने प्रभाव, आक्रमण हुने तरिका र बच्ने उपायबारेमा जानकारी दिइएको छ ।
‘हालका दिनहरूमा सूचना प्रविधि प्रणालीहरूमा र्यानसमवेयर आक्रमणका घटना उल्लेख्य रूपमा वृद्धि भइरहेका छन्,’ एड्भाइजरीमा भनिएको छ, ‘सर्वसाधारण नागरिकलाई यस प्रकारका आक्रमणबाट हुन सक्ने क्षतिबाट बच्न सचेत गराउने उद्देश्यले एड्भाइजरी जारी गरिएको हो ।’
चालु आर्थिक वर्षको बजेट कार्यक्रम अन्तर्गत त्रैमासिक रूपमा एड्भाइजरी जारी गर्ने योजना अनुरूप यो सार्वजनिक गरिएको साइबर सुरक्षा केन्द्रका प्रवक्ता राजकुमार महर्जनले बताए । तथापि र्यानसमवेयरका घटनाले सरकारी निकायसँगै निजी संस्था र सर्वसाधारणलाई पनि मर्कामा पारिरहेको उनले उल्लेख गरे ।
‘ह्याकरहरूले सर्वसाधारण व्यक्तिलाई समेत मालवेयर लिंक पठाएर उनीहरूको सामाजिक सञ्जाल ह्याक गर्ने र पैसा माग्ने गरेका छन्,’ केन्द्रका प्रवक्ता महर्जनले भने, ‘यस्ता आक्रमणबाट महत्त्वपूर्ण डेटा र संस्थागत सेवा अवरुद्ध हुने मात्र नभई संवेदनशील सूचना चोरी भई गोपनीयतामा गम्भीर असर पर्न सक्छ ।’
यसले प्रयोगकर्तालाई आर्थिक नोक्सानीसँगै ठूलो मानसिक तनाव दिने र कार्यालयहरूको दैनिक कार्य सञ्चालनमा बाधा पुर्याउने जोखिम रहेको महर्जनले बताए । ‘सामान्यतया इमेलमा आउने शंकास्पद अट्याचमेन्ट, सामाजिक सञ्जालमा आउने लिंक र असुरक्षित स्रोतबाट डाउनलोड गरिने पाइरेटेड सफ्टवेयरका कारण यस्तो आक्रमण हुने गर्छ,’ उनले भने, ‘अपरेटिङ सिस्टम लगायत प्रयोग गरिएका सफ्टवेयर नियमित अपडेट नगर्दा, एन्टि-भाइरस लगायत उपयुक्त सुरक्षा प्रणाली प्रयोग नगर्दा र्यानसमवेयरको निसानामा पर्न सकिन्छ ।’
अपरिचित स्रोतबाट आएका लिंक र फाइल नखोल्न, आधिकारिक स्टोर वा वेबसाइटबाट मात्र सफ्टवेयर डाउनलोड गर्न र नियमित रूपमा डेटाको ब्याकअप अफलाइन वा क्लाउडमा राख्न एड्भाइजरीमा सुझाव दिइएको छ । आक्रमणकारीले मागेको फिरौती रकम तिर्दैमा डेटा फिर्ता हुने कुनै ग्यारेन्टी नहुने प्रवक्ता महर्जनको भनाइ छ ।
बरु, यसले ह्याकरलाई थप प्रोत्साहन मिल्ने र भविष्यमा पुनः आक्रमणको जोखिम बढ्ने उनले बताए । यस्ता घटनाको रोकथामका लागि केन्द्र आगामी दिनमा साइबर हाइजिनसम्बन्धी कार्यक्रम गर्ने र प्राविधिक सहायता बढाउन गराउन तत्पर रहेको महर्जनले जनाए ।
– सजना बराल
What if you could work from Anywhere?
Explore More with something that can change your Life!
