के हो साइबर सेक्युरिटि ? हाम्रा बैंक कति सुरक्षित ?
बिद्युतिय अथवा प्रविधिको माध्यमबाट प्रविधिमै निर्भर रहने सिस्टम्स, नेटर्वकस, प्रोग्राम्समा मानबिय त्रुटी/अज्ञानता/अचेतना अथवा प्रविधि भित्रको छिद्रको सहयाताले अनधिकृत रुपमा गरिने आक्रमणलाई साइबर अट्याक भन्न सकिन्छ । यसरी सिस्टम्स, नेटवर्कस र प्रोग्राममा हुन सक्ने आक्रमणबाट जोगाउन अपनाईने प्रविधि तथा मानविय चेतनालाई साईबर सेक्युरिटि भनिन्छ । प्रविधिको प्रयोगबाट हुन सक्ने आक्रमणलाई प्रविधिकै प्रयोग गरेर रोक्नु मात्र साईबर सेक्युरिटि होइन दोहो¥याएर पढ्नुहोस् प्रविधिको प्रयोगबाट हुन सक्ने आक्रमणलाई प्रविधिकै प्रयोग गरेर रोक्नु मात्र साईबर सेक्युरिटि होइन । यसले बिभिन्न उपकरण तथा पक्षबाट संकलन गरिएको लग तथा अलर्टको विश्लेषण गरी आवश्यक कदम चाल्न सक्ने क्षमतालाई समेत जनाउदछ र साईबर सेक्युरिटि शब्दले प्रविधिको प्रयोग गर्ने व्यक्तिको सूचना प्रविधि प्रयोग सम्बन्धि चेतना, ज्ञान, बोध आदी समेतलाई समेटदछ ।
साईबर अट्याक मूलत अनधिकृत रुपमा कुनै सिस्टम्स, नेटर्वकस र प्रोग्राम भित्र छिर्न, त्यहाँ रहेको डाटा परिवर्तन गर्न तथा भएको डाटालाई हटाउन बिगार्न तथा कुनै संस्थाले प्रदान गर्ने सेवा, सुविधा, सुचना अवरुद्ध गरि संस्थाको ख्याति बिगार्न तथा सो समायवधिमा प्राप्त हुने आम्दानीलाई गुमाइदिन समेत प्रयोग गरिन्छ । बेला बखत प्रचलित तथा सामान्य मानिषका सामाजिक सञ्जाल तथा इमेल ह्याक सँग सम्बन्धित समाचार आईरहेका हुन्छन् त्यसबाट जोगिनु जोगाउनु पनि साइबर सेक्युरिटि हो ।
हाम्रै देशमा भर्खरै बिभिन्न बैंकको एटीएम र नेप्स (नेपाल पेमेन्ट गेटवे सिस्टम्स) को बीचमा बसेर म्यान इन द मिडल अट्याकको माध्यमबाट ऐटिएम सिस्टमलाई पंगु बनाई एटिएम सिस्टम्स ह्याक गरि चिनिया ह्याकरहरुले रकम चोरी गरेको घटना सार्वजनिक भएसँगै साईबर अट्याकको माध्यमबाट हुने रकम चोरीको सन्दर्भमा भने हामी नजिकबाट जानकार नै छौँ ।
साईबर अट्याककै कारण अमेरिकाको पछिल्लो राष्ट्रपतिको निर्वाचन मतपरिणाम प्रभाबित भएको बिबादास्पद समाचार तथा विश्लेषणहरु समेत आईरहेकोले यसले देशको सार्वभौमिकता, राष्ट्रियता समेतलाई असर गर्ने मत समेत प्रकट भएको देखिन्छ ।
इन्टरनेटमा बिद्युतीय उपकरणहरु जस्तै मोबाईल, ल्यापटप, कम्प्युटर, सर्भर, राउटर, फाएरवाल, स्वीच आदी एक आपसमा संसारको जुनसुकै कुनामा भएपनि वायरलेस, इथरनेट, फाइबर या अन्य कुनै माध्यबाट एक आपसमा जोडिने भएकोले यसको सञ्जाल व्यापक त छदैछ साथै व्यक्ति बिभिन्न उत्प्रेरणा र उदेश्यले यस संजालमा जोडिन आउने भएकोले यसको सुरक्षा चुनौती पनि दिन प्रतिदिन बढ्दै गईरहको छ । बिभिन्न रिपोर्टले भन्छ विश्वमा मानिसको संख्या भन्दा बढी डिभाइसेसहरु एक आपसमा जोडिएका छन् ।
साईबर सेक्युरिटि बहुआयामिक छ । साईबर सुक्युरिटि प्राप्त गर्न कुनै एक अंशमा मात्र ज्ञान भएर वा कुनै एउटा अंशमा मात्र ध्यान दिएर वा लगानी गरेर सम्भब छैन । यसलाई समग्रतामा बुझ्न जरुरी छ र साईबर सेक्युरिटिलाई फराकिलो कोणबाट हेर्न जरुरी छ ।
जसरी व्यक्तिको उपचारको लागि दाँत देखी आँखा सम्म मस्तिष्क देखी मुटु सम्म छाला देखी फोक्सो सम्मको भिन्न भिन्न बिशेषज्ञ आवश्यक पर्न सक्छ त्यसरी नै साइबर सेक्युरिटि प्राप्त गर्न प्रयोग कर्ताको साईबर सेक्युरिटि सम्बन्धि चेतना, उपकरणहरुको भौतिक सुरक्षा, डिभाइसेसहरुको गुणस्तर तथा विश्वसनियता, सफ्टवेरको गुणस्तर, फार्मवेर, अपरेटिङ्ग सिस्टमको भर्सन तथा प्याचेज, नेटवर्कसको डिजाईन तथा कन्फिग्युरेसन, सिस्टमको डिजाईन तथा कन्फिग्युरेसन, सेक्युरिटि इन्फ्रास्ट्रक्चर तथा डिभाइसको सही स्थानमा सही कन्फिग्युरेसन, नियमित अनुगमन तथा लग तथा अलर्टको विश्लेषण सहीत तत्काल आवश्यक कदम चाल्न बिज्ञ को आवश्यकता पर्दछ ।
एउटा सानो उदाहरण हेरौँ । मानौ एबीसी नाम गरेको बैंकको शाखा कार्यालय धनकुटा हिलेमा छ । यसको प्रधान कार्यालय काठमाण्डौँ, दरबारमार्गमा रहेका छ । धनकुटा हिले शाखाबाट काठमाण्डौँ दरबारमार्गमा रहेको प्रधान कार्यालय बीच कारोबार गर्न अथवा भनौ सूचना आदान प्रदान गर्न यहाँ बिभिन्न पक्ष तथा उपकरणहरु प्रयोग गरिएको हुन्छ ।
सबैभन्दा पहिला शाखा कार्यालयमा कारोबार गर्ने युजर कर्मचारीको लागि कम्प्युटर हुने नै भयो । कम्प्युटर सँग सम्बन्धित सुरक्षा पनि साईबर सेक्युरिटिकै अंश हो । यसलाई भौतिक रुपमा सुरक्षित राख्नु पनि साईबर सेक्युरिटिकै अंश हो । साथै कम्प्युटरमा कुन अपरेटिङ्ग सिस्टम राखिएको छ ? अपरेटिङ्ग सिस्टम कतिको अपडेटेड छ? अपरेटिङ्ग सिस्टमको प्याचहरु इन्सटल गरिएको छ कि छैन ? अन्तिम युजर कर्मचारीलाई कम्प्युटरको एडमिनिस्टे«सन सँग सम्बन्धित अधिकार दिईएको छ कि छैन? त्यो कम्प्युटरमा कस्तो कस्तो एप्लिकेशन इन्सटल गरिएको छ? मालवेर तथा भाईरसलाई रोक्न त्यहाँ कस्तो एप्लिकेशन प्रयोग गरिएको छ ? साथै अन्तिम युजर कर्मचारीले आफ्नो कम्प्युटर को युजरनेम पावसर्ड अन्य कसै सँग शेयर गरेको छ कि छैन ? अन्तिम युजरलाई इन्टरनेटमा उपलब्ध कुन कुन साइटमा जान अनुमति दिइएको छ? अनुमति दिइएको बाहेक अन्यत्र जान सो कर्मचारीले प्रयास गरेको छ कि छैन ? संस्थाको व्यावसायिक प्रयोजनका लागि जानु पर्ने साइटहरु तथा इन्सटल गर्नु पर्ने एप्लिकेशन बाहेक अन्यत्र जान नदिन तथा अनावश्यक एप्लिकेशन इन्सट गर्न नदिन के कस्तो प्रविधि तथा चेतनाको प्रयोग गरिएको छ ? पेनड्राइभ, हार्डडिक्स तथा सिडि डिक्सको प्रयोग बाट अनाश्यक एप्लिकेशन इन्सट हुन नदिन तथा कम्प्युटरमा भएको डाटा पेनड्राइभ, हार्डडिक्स तथा सिडी आदीको माध्यमबाट लैजान नदिन के कस्तो सावधानि अपनाइएको छ ? यसलाई मनिटर गर्न तथा रोकथाम गर्न के कस्तो प्रविधि तथा तालिमको व्यवस्था गरिएको छ ? आदी साइबर सेक्युरिटि अन्र्तगत नै पर्दछ । दुःखका साथ भन्नुपर्छ क बर्गका सबै बैंक तथा केही ख, ग, घ बर्गका बित्तिय संस्थाबाहेक अन्य बित्तिय संस्था र अधिकांश सरकारी कार्यालयहरु जहाँबाट बित्तिय कारोबार समेत गरिदै आएको छ त्यहाँ कम्प्युटरलाई सुरक्षित राख्न अपनाउनु पर्ने सावधानि तथा प्रविधिमा चासो तथा लगानी गरिएको पाइदैन । साथै कम्प्युटर प्रयोग कर्तालाई साइबर सेक्युरिटि सँग सम्बन्धित तालिम तथा जानकारी दिने गरिएको पनि पाइदैन । मानबिय त्रुटी÷अज्ञानता साईबर अट्याकको कारणहरु मध्येको प्रमुख एक कारण रहेको छ । यसले हामी अझैँ ठूलो दुर्घटनालाई शिक्षाको रुपमा ग्रहण गर्ने गरि पर्खि बसेका पो हौ कि भन्ने देखाउछ ।
यो त भयो कम्प्युटरलाई सुरक्षित राख्न ध्यान दिनुपर्ने केही मुख्य पक्षहरु ।
अब कुरा गरौँ शाखा कार्यालय बाट प्रधान कार्यालय बीचमा सूचना आदान प्रदान गर्न तथा कारोबार गर्न कस्तो सफट्वेर÷ एप्लिकेशनको प्रयोग गरिएको छ भन्ने । अधिकांश कुरा झँै सफ्टवेरको बजार पनि आयातले नै धानेको छ । अपबाद बाहेक हामीले प्रयोग गर्ने सफ्वेरको उत्पादन तथा पुनःउत्पादन बिदेशी कम्पनीले नै गर्ने गर्दछन् । सफ्टवेरको मेरुदण्डको रुपमा रहेको कोड कसरी लेखिएको छ? त्यहाँ कुनै छिद्र छ कि छैन ? इन्टिग्रिटि (एक ठाँउबाट अर्काे ठाँउमा डाटा÷सूचना आदान प्रदान गर्दा त्यसमा भएको कन्टेन्ट परिवर्तन हुन नदिन अपनाईने सुरक्षाको बिधि), अथेन्टिकेसन (ए भन्ने ब्यक्तिले बि भन्ने ब्यक्ति सँग डाटा÷सूचना आदान प्रदान गर्दा सो डाटा भनिएको व्यक्तिले मात्र बुझ्न सकोस् भन्नका लागि अपनाइने सुरक्षा बिधि), अभाइलेबिलिटि (ए भन्ने ब्यक्ति र बी भन्ने ब्यक्तिको बीचमा दुबै पक्षले चाहेको समयसम्म सूचना डाटा आदान प्रदान हुन सकोस् भनि अपनाईने सुरक्षाको विधि) कसरी अपनाइएको छ ? एसक्यूएल इनजेक्सन, डस अट्याक बाट जोगाउन के कस्तो उपाय अवलम्बन गरिएको छ ? कस्तो सफट्वेरलाई प्रयोग गर्न दिने तथा कस्तोलाई नदिने भन्ने अध्ययन तथा अनुसन्धान गर्ने बिज्ञ तथा संस्था हाम्रो देशमा नै नभएकोले सबै कुरा हाम्रो नियन्त्रण भन्दा बाहिरको छ । सफ्वेरको बजार विश्वासले धानेको छ भन्दा अतियुक्ति नहोला । यस पक्षमा सम्बन्धित पक्षले तत्कालै ध्यान दिएर सफ्टेवरको गुणस्तर तथा सेक्युरिटि अध्ययन अनुसन्धान गर्न सक्ने बिज्ञ टीम तत्काल बनाउन जरुरी छ ।
अब साइबर सेक्युरिटि अन्र्तगतकै अर्काे पक्ष कनेक्टिभिटिको चर्चा गरौँ ।
कनेक्टिभिटि भन्नाले डाटा एक ठाँउबाट अर्काे ठाँउ सम्म पु¥याउन सहयोग गर्ने माध्यम । मार्गमा लोड भएका ट्रक जस्तै मात्र हुन् सूचना प्रविधिमा हाम्रो डाटा ÷ सूचना ÷ कारोबार ।
एक ठाँउबाट अर्काे ठाँउमा ट्रकलाई आवतजावत गर्न जसरी मार्ग आवश्यक पर्छ त्यसरी नै हाम्रो डाटा÷सूचना प्रेषित बाट प्रापक समक्ष पु¥याउन कनेक्टिभिटिको आवश्यकता पर्दछ । वायरलेस, इथरनेट, फाइबर जस्ता प्रविधि कनेक्टिभिटिका माध्यमहरु हुन् । डाटा आवत जावत गर्नका लागि नेपालमा एनटीसि, वल्र्ड लिङ्क, सुविसु आदी जस्ता संस्थाले बाटो उपलब्ध गराउने गर्दछन् । कनेक्टिभिटिका दौरान हुन सक्ने सुरक्षा चुनौतिलाई न्यूनिकरण गर्न के कस्तो प्रविधि प्रयोग गरिएको छ ? कनेक्टिभिटिका दौरान बीचमा कसैलाई डाटा खोलेर हेर्न नदिन, डाटामा भएको कन्टेन्ट परिवर्तन गर्न नदिन, डाटालाई अनुपयोगि हुन नदिन के कस्तो प्रविधि प्रयोग गरिएका छन् र त्यस्तो प्रविधि प्रयोग गर्नका लागि आवश्यक अन्य सुचना तथा पासवर्डहरु कसरी सुरक्षित राखिएका छन् ?यो पक्ष पनि साईबर सेक्युरिटि अन्र्तगत नै पर्दछ । यहाँ पनि दुःखका साथ भन्नुपर्छ क बर्गका सबै बैंक तथा केही ख, ग, घ बर्गका बित्तिय संस्थाबाहेक अन्य बित्तिय संस्था र अधिकांश सरकारी कार्यालयहरु जहाँबाट बित्तिय कारोबार समेत गरिदै आएको छ त्यहाँ कनेक्टिभिटिलाई सुरक्षित राख्न अपानाइने प्रविधि प्रयोग गरिए पनि त्यस सँग सम्बन्धित अन्य सूचना तथा पासवर्डहरु गोप्य रुपमा राखिने, संस्थाबाट व्यक्ति हेरफेर हुदा सूचना तथा पासवर्डहरु परिवर्तन गरिने गरेको पाइदैन । यसले हामी अझैँ ठूलो दुर्घटनालाई शिक्षाको रुपमा ग्रहण गर्ने गरि पर्खि बसेका पो हौ कि भन्ने देखाउछ ।
कनेक्टिभिटि सँग सँगै कनेक्टिभिटि सुरक्षित राख्नका लागि प्रविधिको प्रयोग गर्न प्रयोग गरिने डिभाइसहरु जस्तै राउटर, स्वीच, फाएरवाल र त्यसको गुणस्तर विश्वसनियता, फर्मवेर, कन्फिग्युरेसन आदी लगायतको सुरक्षा पनि साइबर सेक्युरिटि अन्र्तगत नै पर्दछ । बैंक तथा बित्तिय संस्थाले आफ्नो कनेक्टिभिटि भर्चुवल प्राईभेट नेटवर्क (भीपीएन) को माध्यमबाट व्यवस्थापन गरेतापनि यस सँग सम्बन्धित अन्य मानविय पक्षबाट हुन सक्ने त्रुटीलाई न्यूनिकरण गर्र्न भने खासै ध्यान दिइएको पाइदैन । एउटै पासवर्ड लामो समय सम्म प्रयोग हुनु, भीपीएन कन्फिग्युरेसनको प्यारामिटरहरु सबै शाखा कार्यालय तथा थर्ड पार्टी अर्काे कुनै संस्था सँग गरिने भीपीएनका लागि पनि एकै हुनु, कर्मचारी एउटा संस्थाबाट अर्काे संस्थामा हेरफेर हुदाँ गोप्यता कायम गर्ने संयन्त्र नहुनु, फाएरवाल कन्फिग्युरेसनको ट्युनिङ्ग नहुनु, नेटवर्कस, सिस्टम तथा सेक्युरिटि इनफ्रास्टक्चरको थर्ड पार्टी बाट क्रस चेकको लागि बजेट तथा योजना नहुनु आदीले पनि साईबर सेक्युरिटिमा थप चुनौती रहेकोे छ ।
साइबर अट्याकबाट कसरी सुरक्षित रहने ?
साईबर अट्याकबाट बच्न बैंक तथा बित्तिय संस्थाले तत्काल गर्नुपर्ने कामहरुः
१. कर्मचारीलाई तालिमको व्यवस्थाः
मानबीय त्रुटी÷अज्ञानताले साइबर सेक्युरिटिमा चुनौति थपि रहेको छ । व्यवस्थापन संकाय अन्र्तगतको बिषय अध्ययन गरेका बिद्यार्थीहरु नै बैंक तथा बित्तिय संस्थाका कर्मचारी हुने तथा उनीहरुलाई सूचना प्रविधि तथा साईबर सेक्युरिटि सँग सम्बन्धि गहिरो ज्ञान नहुने भएकोले बैंक तथा बित्तिय संस्थामा काम गर्ने कर्मचारीलाई सूचना प्रविधि सँग सम्बन्धित तालिमको व्यवस्था गर्न जरुरी छ ।
२) इन्सफरमेसन टेक्नोलोजी तथा साईबर सेक्युरिटिमा लगानी बढाउन आवश्यक
अहिले पनि अपबाद बाहेक अधिकांश नेपाली बैंक तथा बित्तिय संस्थाको व्यवस्थापनले गर्ने निर्णय लाई बस्तु तथा सेवाको गुणस्तर त्यसले काम गर्ने टेक्नोलोजीले भन्दा पनि त्यसको मूल्यले प्रभाब पारी रहेको देखिन्छ । ह्याकिङ्ग प्रविधिमा आएको नविनता, संगठित रुपमा ह्याकिङ्ग हुदै गईरहेको अवस्थामा त्यसका विरुद्ध लड्न वेभ एप्लिकेशन फाएरवाल, इमेल सेक्युरिटि गेटवे, आर्टीफिसियल इन्टीलिजेन्स तथा प्रयोगकर्ताको आचरण बिश्लेषण गर्न सक्ने क्षमता भएको एन्टी मालवेर÷एन्टीभाइरस, तत्काल आवश्यक कदम चाल्न सक्ने दक्ष प्राविधिक द्वारा चौबिसै घण्टा मनिटरिङ्ग गर्ने व्यवस्था साथै बिभिन्न तहमा फरक फरक ब्राण्डका फायरवाल सहित समग्र सेक्युरिटि मेनटेन गर्न जरुरी छ । नियामक निकायले सुरक्षा सँग सम्बन्धित बस्तु तथा सेवा खरिद गर्न लगाई त्यसलाई प्रयोगमा ल्याइहाल्न निर्देशन दिन अत्यन्तै जरुरी छ ।
३) आइएस अडिट तथा इन्फ्रास्ट्रक्चर रिभ्यु आवश्यक
राष्ट्र बैंकको निर्देशन पश्चात क बर्गको बैंकले इन्फरमेसन सेक्युरिटि अफिसरको व्यवस्थापन गरेर आइएस अडिट गरे पनि थर्ड पार्टी बाट समग्र नेटवर्कस, सिस्टम र सेक्युरिटि इन्फ्रास्ट्ररको रिभ्यु, रिडिजाईन गर्ने गरेको पाइदैन त्यसैले यसमा पनि विशेष ध्यान दिन जरुरी छ । संस्थाको नेटवर्कस, सिस्टम तथा सेक्युरिटि इन्फ्रास्ट्रक्चरको रिभ्यु गरी बिज्ञले दिएको प्रतिवेदनका आधारमा सम्बन्धित बैंकको परिदृश्य अनुशार आवश्यक सुधार गर्न जरुरी छ ।
साईबर अट्याकबाट बच्न आम नागरिकले गर्नुपर्नेः
१) बित्तिय कारोबार गर्न मिल्ने एप्लिकेशनमा प्रयोग गरिने पासवर्ड अन्य सामाजिक सञ्जाल, इमेलको भन्दा भिन्न राख्ने तथा यसलाई समय समयमा परिवर्तन गरि रहने,
२) पासवर्ड राख्दा अङ्क, अक्षर, सानो अक्षर, ठूलो अक्षर सबैहुने गरि राख्ने,
३) पासवर्ड तथा एटिएम पीन नम्बर गोप्य रुपमा राख्ने ।
४) पब्लिक वाईफाई ÷ नेटवर्कस प्रयोग गरेको ठाँउबाट बित्तिय कारोबार गर्नुपर्दा विशेष सावधानी अपनाउने, सकेसम्म पब्लिक वाईफाई ÷ नेटवर्कस को प्रयोग गरेर बित्तिय कारोबार नगर्ने ।
साईबर अट्याकबाट बच्न तथा बचाउन राज्यको तर्फबाट गर्नुपर्नेः
१) साईबर सेक्युरिटि सँग सम्बन्धित बिषयमा अध्ययन अनुसन्धान गर्नका लागि आवश्यक पूर्वाधारको व्यवस्था गर्न जरुरी छ ।
२) साईबर सेक्युरिटि सँग सम्बन्धित बिषयमा सचेतनाको कार्यक्रमहरु सञ्चालन गर्न जरुरी छ ।
३) राज्यको सूचना प्रणालीको अवस्था कस्तो छ र यसलाई कसरी सुरक्षित, भरपर्दाे बनाउन सकिन्छ भन्ने सम्बन्धमा बिज्ञ सम्मिलित टिम बनाई अध्ययन अनुसन्धान गर्न जरुरी छ ।
४) हाल बिभिन्न ब्राण्डका उपकरण तथा सफ्टवेरले नेपालको सूचना प्रविधिको क्षेत्रमा पकड जमाइरहेका छन् । ती हार्डवेर तथा सफ्टवेर मा भएको कुनै छिद्रको कारणले कुनै संस्थाको सिस्टम ह्याक भयो भने वा उक्त हार्डवेर तथा सफ्टवेरले लिखित रुपमा कबोल गरेको भन्दा भिन्न तरिकाले काम गरी हाम्रो सूचनाहरु लिईरहेको प्रमाणित भएमा त्यस अवस्थामा के गर्ने भन्ने सन्दर्भमा आवश्यक नीति निर्माण गर्न जरुरी छ ।
साईबर अट्याक मूलत अनधिकृत रुपमा कुनै सिस्टम्स, नेटर्वकस र प्रोग्राम भित्र छिर्न, त्यहाँ रहेको डाटा परिवर्तन गर्न तथा भएको डाटालाई हटाउन बिगार्न तथा कुनै संस्थाले प्रदान गर्ने सेवा, सुविधा, सुचना अवरुद्ध गरि संस्थाको ख्याति बिगार्न तथा सो समायवधिमा प्राप्त हुने आम्दानीलाई गुमाइदिन समेत प्रयोग गरिन्छ । बेला बखत प्रचलित तथा सामान्य मानिषका सामाजिक सञ्जाल तथा इमेल ह्याक सँग सम्बन्धित समाचार आईरहेका हुन्छन् त्यसबाट जोगिनु जोगाउनु पनि साइबर सेक्युरिटि हो ।
हाम्रै देशमा भर्खरै बिभिन्न बैंकको एटीएम र नेप्स (नेपाल पेमेन्ट गेटवे सिस्टम्स) को बीचमा बसेर म्यान इन द मिडल अट्याकको माध्यमबाट ऐटिएम सिस्टमलाई पंगु बनाई एटिएम सिस्टम्स ह्याक गरि चिनिया ह्याकरहरुले रकम चोरी गरेको घटना सार्वजनिक भएसँगै साईबर अट्याकको माध्यमबाट हुने रकम चोरीको सन्दर्भमा भने हामी नजिकबाट जानकार नै छौँ ।
साईबर अट्याककै कारण अमेरिकाको पछिल्लो राष्ट्रपतिको निर्वाचन मतपरिणाम प्रभाबित भएको बिबादास्पद समाचार तथा विश्लेषणहरु समेत आईरहेकोले यसले देशको सार्वभौमिकता, राष्ट्रियता समेतलाई असर गर्ने मत समेत प्रकट भएको देखिन्छ ।
इन्टरनेटमा बिद्युतीय उपकरणहरु जस्तै मोबाईल, ल्यापटप, कम्प्युटर, सर्भर, राउटर, फाएरवाल, स्वीच आदी एक आपसमा संसारको जुनसुकै कुनामा भएपनि वायरलेस, इथरनेट, फाइबर या अन्य कुनै माध्यबाट एक आपसमा जोडिने भएकोले यसको सञ्जाल व्यापक त छदैछ साथै व्यक्ति बिभिन्न उत्प्रेरणा र उदेश्यले यस संजालमा जोडिन आउने भएकोले यसको सुरक्षा चुनौती पनि दिन प्रतिदिन बढ्दै गईरहको छ । बिभिन्न रिपोर्टले भन्छ विश्वमा मानिसको संख्या भन्दा बढी डिभाइसेसहरु एक आपसमा जोडिएका छन् ।
साईबर सेक्युरिटि बहुआयामिक छ । साईबर सुक्युरिटि प्राप्त गर्न कुनै एक अंशमा मात्र ज्ञान भएर वा कुनै एउटा अंशमा मात्र ध्यान दिएर वा लगानी गरेर सम्भब छैन । यसलाई समग्रतामा बुझ्न जरुरी छ र साईबर सेक्युरिटिलाई फराकिलो कोणबाट हेर्न जरुरी छ ।
जसरी व्यक्तिको उपचारको लागि दाँत देखी आँखा सम्म मस्तिष्क देखी मुटु सम्म छाला देखी फोक्सो सम्मको भिन्न भिन्न बिशेषज्ञ आवश्यक पर्न सक्छ त्यसरी नै साइबर सेक्युरिटि प्राप्त गर्न प्रयोग कर्ताको साईबर सेक्युरिटि सम्बन्धि चेतना, उपकरणहरुको भौतिक सुरक्षा, डिभाइसेसहरुको गुणस्तर तथा विश्वसनियता, सफ्टवेरको गुणस्तर, फार्मवेर, अपरेटिङ्ग सिस्टमको भर्सन तथा प्याचेज, नेटवर्कसको डिजाईन तथा कन्फिग्युरेसन, सिस्टमको डिजाईन तथा कन्फिग्युरेसन, सेक्युरिटि इन्फ्रास्ट्रक्चर तथा डिभाइसको सही स्थानमा सही कन्फिग्युरेसन, नियमित अनुगमन तथा लग तथा अलर्टको विश्लेषण सहीत तत्काल आवश्यक कदम चाल्न बिज्ञ को आवश्यकता पर्दछ ।
एउटा सानो उदाहरण हेरौँ । मानौ एबीसी नाम गरेको बैंकको शाखा कार्यालय धनकुटा हिलेमा छ । यसको प्रधान कार्यालय काठमाण्डौँ, दरबारमार्गमा रहेका छ । धनकुटा हिले शाखाबाट काठमाण्डौँ दरबारमार्गमा रहेको प्रधान कार्यालय बीच कारोबार गर्न अथवा भनौ सूचना आदान प्रदान गर्न यहाँ बिभिन्न पक्ष तथा उपकरणहरु प्रयोग गरिएको हुन्छ ।
सबैभन्दा पहिला शाखा कार्यालयमा कारोबार गर्ने युजर कर्मचारीको लागि कम्प्युटर हुने नै भयो । कम्प्युटर सँग सम्बन्धित सुरक्षा पनि साईबर सेक्युरिटिकै अंश हो । यसलाई भौतिक रुपमा सुरक्षित राख्नु पनि साईबर सेक्युरिटिकै अंश हो । साथै कम्प्युटरमा कुन अपरेटिङ्ग सिस्टम राखिएको छ ? अपरेटिङ्ग सिस्टम कतिको अपडेटेड छ? अपरेटिङ्ग सिस्टमको प्याचहरु इन्सटल गरिएको छ कि छैन ? अन्तिम युजर कर्मचारीलाई कम्प्युटरको एडमिनिस्टे«सन सँग सम्बन्धित अधिकार दिईएको छ कि छैन? त्यो कम्प्युटरमा कस्तो कस्तो एप्लिकेशन इन्सटल गरिएको छ? मालवेर तथा भाईरसलाई रोक्न त्यहाँ कस्तो एप्लिकेशन प्रयोग गरिएको छ ? साथै अन्तिम युजर कर्मचारीले आफ्नो कम्प्युटर को युजरनेम पावसर्ड अन्य कसै सँग शेयर गरेको छ कि छैन ? अन्तिम युजरलाई इन्टरनेटमा उपलब्ध कुन कुन साइटमा जान अनुमति दिइएको छ? अनुमति दिइएको बाहेक अन्यत्र जान सो कर्मचारीले प्रयास गरेको छ कि छैन ? संस्थाको व्यावसायिक प्रयोजनका लागि जानु पर्ने साइटहरु तथा इन्सटल गर्नु पर्ने एप्लिकेशन बाहेक अन्यत्र जान नदिन तथा अनावश्यक एप्लिकेशन इन्सट गर्न नदिन के कस्तो प्रविधि तथा चेतनाको प्रयोग गरिएको छ ? पेनड्राइभ, हार्डडिक्स तथा सिडि डिक्सको प्रयोग बाट अनाश्यक एप्लिकेशन इन्सट हुन नदिन तथा कम्प्युटरमा भएको डाटा पेनड्राइभ, हार्डडिक्स तथा सिडी आदीको माध्यमबाट लैजान नदिन के कस्तो सावधानि अपनाइएको छ ? यसलाई मनिटर गर्न तथा रोकथाम गर्न के कस्तो प्रविधि तथा तालिमको व्यवस्था गरिएको छ ? आदी साइबर सेक्युरिटि अन्र्तगत नै पर्दछ । दुःखका साथ भन्नुपर्छ क बर्गका सबै बैंक तथा केही ख, ग, घ बर्गका बित्तिय संस्थाबाहेक अन्य बित्तिय संस्था र अधिकांश सरकारी कार्यालयहरु जहाँबाट बित्तिय कारोबार समेत गरिदै आएको छ त्यहाँ कम्प्युटरलाई सुरक्षित राख्न अपनाउनु पर्ने सावधानि तथा प्रविधिमा चासो तथा लगानी गरिएको पाइदैन । साथै कम्प्युटर प्रयोग कर्तालाई साइबर सेक्युरिटि सँग सम्बन्धित तालिम तथा जानकारी दिने गरिएको पनि पाइदैन । मानबिय त्रुटी÷अज्ञानता साईबर अट्याकको कारणहरु मध्येको प्रमुख एक कारण रहेको छ । यसले हामी अझैँ ठूलो दुर्घटनालाई शिक्षाको रुपमा ग्रहण गर्ने गरि पर्खि बसेका पो हौ कि भन्ने देखाउछ ।
यो त भयो कम्प्युटरलाई सुरक्षित राख्न ध्यान दिनुपर्ने केही मुख्य पक्षहरु ।
अब कुरा गरौँ शाखा कार्यालय बाट प्रधान कार्यालय बीचमा सूचना आदान प्रदान गर्न तथा कारोबार गर्न कस्तो सफट्वेर÷ एप्लिकेशनको प्रयोग गरिएको छ भन्ने । अधिकांश कुरा झँै सफ्टवेरको बजार पनि आयातले नै धानेको छ । अपबाद बाहेक हामीले प्रयोग गर्ने सफ्वेरको उत्पादन तथा पुनःउत्पादन बिदेशी कम्पनीले नै गर्ने गर्दछन् । सफ्टवेरको मेरुदण्डको रुपमा रहेको कोड कसरी लेखिएको छ? त्यहाँ कुनै छिद्र छ कि छैन ? इन्टिग्रिटि (एक ठाँउबाट अर्काे ठाँउमा डाटा÷सूचना आदान प्रदान गर्दा त्यसमा भएको कन्टेन्ट परिवर्तन हुन नदिन अपनाईने सुरक्षाको बिधि), अथेन्टिकेसन (ए भन्ने ब्यक्तिले बि भन्ने ब्यक्ति सँग डाटा÷सूचना आदान प्रदान गर्दा सो डाटा भनिएको व्यक्तिले मात्र बुझ्न सकोस् भन्नका लागि अपनाइने सुरक्षा बिधि), अभाइलेबिलिटि (ए भन्ने ब्यक्ति र बी भन्ने ब्यक्तिको बीचमा दुबै पक्षले चाहेको समयसम्म सूचना डाटा आदान प्रदान हुन सकोस् भनि अपनाईने सुरक्षाको विधि) कसरी अपनाइएको छ ? एसक्यूएल इनजेक्सन, डस अट्याक बाट जोगाउन के कस्तो उपाय अवलम्बन गरिएको छ ? कस्तो सफट्वेरलाई प्रयोग गर्न दिने तथा कस्तोलाई नदिने भन्ने अध्ययन तथा अनुसन्धान गर्ने बिज्ञ तथा संस्था हाम्रो देशमा नै नभएकोले सबै कुरा हाम्रो नियन्त्रण भन्दा बाहिरको छ । सफ्वेरको बजार विश्वासले धानेको छ भन्दा अतियुक्ति नहोला । यस पक्षमा सम्बन्धित पक्षले तत्कालै ध्यान दिएर सफ्टेवरको गुणस्तर तथा सेक्युरिटि अध्ययन अनुसन्धान गर्न सक्ने बिज्ञ टीम तत्काल बनाउन जरुरी छ ।
अब साइबर सेक्युरिटि अन्र्तगतकै अर्काे पक्ष कनेक्टिभिटिको चर्चा गरौँ ।
कनेक्टिभिटि भन्नाले डाटा एक ठाँउबाट अर्काे ठाँउ सम्म पु¥याउन सहयोग गर्ने माध्यम । मार्गमा लोड भएका ट्रक जस्तै मात्र हुन् सूचना प्रविधिमा हाम्रो डाटा ÷ सूचना ÷ कारोबार ।
एक ठाँउबाट अर्काे ठाँउमा ट्रकलाई आवतजावत गर्न जसरी मार्ग आवश्यक पर्छ त्यसरी नै हाम्रो डाटा÷सूचना प्रेषित बाट प्रापक समक्ष पु¥याउन कनेक्टिभिटिको आवश्यकता पर्दछ । वायरलेस, इथरनेट, फाइबर जस्ता प्रविधि कनेक्टिभिटिका माध्यमहरु हुन् । डाटा आवत जावत गर्नका लागि नेपालमा एनटीसि, वल्र्ड लिङ्क, सुविसु आदी जस्ता संस्थाले बाटो उपलब्ध गराउने गर्दछन् । कनेक्टिभिटिका दौरान हुन सक्ने सुरक्षा चुनौतिलाई न्यूनिकरण गर्न के कस्तो प्रविधि प्रयोग गरिएको छ ? कनेक्टिभिटिका दौरान बीचमा कसैलाई डाटा खोलेर हेर्न नदिन, डाटामा भएको कन्टेन्ट परिवर्तन गर्न नदिन, डाटालाई अनुपयोगि हुन नदिन के कस्तो प्रविधि प्रयोग गरिएका छन् र त्यस्तो प्रविधि प्रयोग गर्नका लागि आवश्यक अन्य सुचना तथा पासवर्डहरु कसरी सुरक्षित राखिएका छन् ?यो पक्ष पनि साईबर सेक्युरिटि अन्र्तगत नै पर्दछ । यहाँ पनि दुःखका साथ भन्नुपर्छ क बर्गका सबै बैंक तथा केही ख, ग, घ बर्गका बित्तिय संस्थाबाहेक अन्य बित्तिय संस्था र अधिकांश सरकारी कार्यालयहरु जहाँबाट बित्तिय कारोबार समेत गरिदै आएको छ त्यहाँ कनेक्टिभिटिलाई सुरक्षित राख्न अपानाइने प्रविधि प्रयोग गरिए पनि त्यस सँग सम्बन्धित अन्य सूचना तथा पासवर्डहरु गोप्य रुपमा राखिने, संस्थाबाट व्यक्ति हेरफेर हुदा सूचना तथा पासवर्डहरु परिवर्तन गरिने गरेको पाइदैन । यसले हामी अझैँ ठूलो दुर्घटनालाई शिक्षाको रुपमा ग्रहण गर्ने गरि पर्खि बसेका पो हौ कि भन्ने देखाउछ ।
कनेक्टिभिटि सँग सँगै कनेक्टिभिटि सुरक्षित राख्नका लागि प्रविधिको प्रयोग गर्न प्रयोग गरिने डिभाइसहरु जस्तै राउटर, स्वीच, फाएरवाल र त्यसको गुणस्तर विश्वसनियता, फर्मवेर, कन्फिग्युरेसन आदी लगायतको सुरक्षा पनि साइबर सेक्युरिटि अन्र्तगत नै पर्दछ । बैंक तथा बित्तिय संस्थाले आफ्नो कनेक्टिभिटि भर्चुवल प्राईभेट नेटवर्क (भीपीएन) को माध्यमबाट व्यवस्थापन गरेतापनि यस सँग सम्बन्धित अन्य मानविय पक्षबाट हुन सक्ने त्रुटीलाई न्यूनिकरण गर्र्न भने खासै ध्यान दिइएको पाइदैन । एउटै पासवर्ड लामो समय सम्म प्रयोग हुनु, भीपीएन कन्फिग्युरेसनको प्यारामिटरहरु सबै शाखा कार्यालय तथा थर्ड पार्टी अर्काे कुनै संस्था सँग गरिने भीपीएनका लागि पनि एकै हुनु, कर्मचारी एउटा संस्थाबाट अर्काे संस्थामा हेरफेर हुदाँ गोप्यता कायम गर्ने संयन्त्र नहुनु, फाएरवाल कन्फिग्युरेसनको ट्युनिङ्ग नहुनु, नेटवर्कस, सिस्टम तथा सेक्युरिटि इनफ्रास्टक्चरको थर्ड पार्टी बाट क्रस चेकको लागि बजेट तथा योजना नहुनु आदीले पनि साईबर सेक्युरिटिमा थप चुनौती रहेकोे छ ।
साइबर अट्याकबाट कसरी सुरक्षित रहने ?
साईबर अट्याकबाट बच्न बैंक तथा बित्तिय संस्थाले तत्काल गर्नुपर्ने कामहरुः
१. कर्मचारीलाई तालिमको व्यवस्थाः
मानबीय त्रुटी÷अज्ञानताले साइबर सेक्युरिटिमा चुनौति थपि रहेको छ । व्यवस्थापन संकाय अन्र्तगतको बिषय अध्ययन गरेका बिद्यार्थीहरु नै बैंक तथा बित्तिय संस्थाका कर्मचारी हुने तथा उनीहरुलाई सूचना प्रविधि तथा साईबर सेक्युरिटि सँग सम्बन्धि गहिरो ज्ञान नहुने भएकोले बैंक तथा बित्तिय संस्थामा काम गर्ने कर्मचारीलाई सूचना प्रविधि सँग सम्बन्धित तालिमको व्यवस्था गर्न जरुरी छ ।
२) इन्सफरमेसन टेक्नोलोजी तथा साईबर सेक्युरिटिमा लगानी बढाउन आवश्यक
अहिले पनि अपबाद बाहेक अधिकांश नेपाली बैंक तथा बित्तिय संस्थाको व्यवस्थापनले गर्ने निर्णय लाई बस्तु तथा सेवाको गुणस्तर त्यसले काम गर्ने टेक्नोलोजीले भन्दा पनि त्यसको मूल्यले प्रभाब पारी रहेको देखिन्छ । ह्याकिङ्ग प्रविधिमा आएको नविनता, संगठित रुपमा ह्याकिङ्ग हुदै गईरहेको अवस्थामा त्यसका विरुद्ध लड्न वेभ एप्लिकेशन फाएरवाल, इमेल सेक्युरिटि गेटवे, आर्टीफिसियल इन्टीलिजेन्स तथा प्रयोगकर्ताको आचरण बिश्लेषण गर्न सक्ने क्षमता भएको एन्टी मालवेर÷एन्टीभाइरस, तत्काल आवश्यक कदम चाल्न सक्ने दक्ष प्राविधिक द्वारा चौबिसै घण्टा मनिटरिङ्ग गर्ने व्यवस्था साथै बिभिन्न तहमा फरक फरक ब्राण्डका फायरवाल सहित समग्र सेक्युरिटि मेनटेन गर्न जरुरी छ । नियामक निकायले सुरक्षा सँग सम्बन्धित बस्तु तथा सेवा खरिद गर्न लगाई त्यसलाई प्रयोगमा ल्याइहाल्न निर्देशन दिन अत्यन्तै जरुरी छ ।
३) आइएस अडिट तथा इन्फ्रास्ट्रक्चर रिभ्यु आवश्यक
राष्ट्र बैंकको निर्देशन पश्चात क बर्गको बैंकले इन्फरमेसन सेक्युरिटि अफिसरको व्यवस्थापन गरेर आइएस अडिट गरे पनि थर्ड पार्टी बाट समग्र नेटवर्कस, सिस्टम र सेक्युरिटि इन्फ्रास्ट्ररको रिभ्यु, रिडिजाईन गर्ने गरेको पाइदैन त्यसैले यसमा पनि विशेष ध्यान दिन जरुरी छ । संस्थाको नेटवर्कस, सिस्टम तथा सेक्युरिटि इन्फ्रास्ट्रक्चरको रिभ्यु गरी बिज्ञले दिएको प्रतिवेदनका आधारमा सम्बन्धित बैंकको परिदृश्य अनुशार आवश्यक सुधार गर्न जरुरी छ ।
साईबर अट्याकबाट बच्न आम नागरिकले गर्नुपर्नेः
१) बित्तिय कारोबार गर्न मिल्ने एप्लिकेशनमा प्रयोग गरिने पासवर्ड अन्य सामाजिक सञ्जाल, इमेलको भन्दा भिन्न राख्ने तथा यसलाई समय समयमा परिवर्तन गरि रहने,
२) पासवर्ड राख्दा अङ्क, अक्षर, सानो अक्षर, ठूलो अक्षर सबैहुने गरि राख्ने,
३) पासवर्ड तथा एटिएम पीन नम्बर गोप्य रुपमा राख्ने ।
४) पब्लिक वाईफाई ÷ नेटवर्कस प्रयोग गरेको ठाँउबाट बित्तिय कारोबार गर्नुपर्दा विशेष सावधानी अपनाउने, सकेसम्म पब्लिक वाईफाई ÷ नेटवर्कस को प्रयोग गरेर बित्तिय कारोबार नगर्ने ।
साईबर अट्याकबाट बच्न तथा बचाउन राज्यको तर्फबाट गर्नुपर्नेः
१) साईबर सेक्युरिटि सँग सम्बन्धित बिषयमा अध्ययन अनुसन्धान गर्नका लागि आवश्यक पूर्वाधारको व्यवस्था गर्न जरुरी छ ।
२) साईबर सेक्युरिटि सँग सम्बन्धित बिषयमा सचेतनाको कार्यक्रमहरु सञ्चालन गर्न जरुरी छ ।
३) राज्यको सूचना प्रणालीको अवस्था कस्तो छ र यसलाई कसरी सुरक्षित, भरपर्दाे बनाउन सकिन्छ भन्ने सम्बन्धमा बिज्ञ सम्मिलित टिम बनाई अध्ययन अनुसन्धान गर्न जरुरी छ ।
४) हाल बिभिन्न ब्राण्डका उपकरण तथा सफ्टवेरले नेपालको सूचना प्रविधिको क्षेत्रमा पकड जमाइरहेका छन् । ती हार्डवेर तथा सफ्टवेर मा भएको कुनै छिद्रको कारणले कुनै संस्थाको सिस्टम ह्याक भयो भने वा उक्त हार्डवेर तथा सफ्टवेरले लिखित रुपमा कबोल गरेको भन्दा भिन्न तरिकाले काम गरी हाम्रो सूचनाहरु लिईरहेको प्रमाणित भएमा त्यस अवस्थामा के गर्ने भन्ने सन्दर्भमा आवश्यक नीति निर्माण गर्न जरुरी छ ।
Comments
Post a Comment