विचार

कसरी जोगिने साइबर आक्रमणबाट ?

पुष १८, २०८१ बिहीबार १०:१९:१७

दक्षिण एसियाली ह्याकर समूह ‘फंकसेक’ ले सामाजिक सञ्जाल ‘एक्स’ मा सूचना पोस्ट गरी डार्कवेबमा बिक्रीमा राखेको चारवटा वेबसाइटको सूचीमा नेपालको संघीय मामिला तथा सामान्य प्रशासन मन्त्रालय पनि परेको छ।

बिक्रीमा राखिएको विवरणमा ‘मन्त्रालयको वेबसाइट नेपालको संघीय मामिला र स्थानीय सरकारको प्रशासकीय कार्य सम्पादनका साथै प्रदेश र पालिकाहरूको विकेन्द्रीकरण, स्थानीय विकास र सामान्य प्रशासनमा प्रभावकारी शासनमा फोकस गर्ने’ उल्लेख गरिएको छ। सूचनामा वेबसाइटको ‘सुपर एड्मिन प्यानल’ का लगिन क्रिडेन्सियल (युजरनेम र पासवर्ड) को मूल्य अत्यन्त सस्तो ५० अमेरिकी डलर तोकी सोमा मोलमोलाई हुनसक्ने भनिएको छ। सुपर एड्मिन प्यानल वेबसाइटभित्र प्रवेश गर्ने मूलद्वार (गेटवे) को साँचो मानिन्छ, जसमा लगइन गरेपश्चात् मात्र वेबसाइटमा एक्सेस प्राप्त हुन्छ।

गत पुस १६ मा र्‍यान्समवेयर लाइभ, टिएम र्‍यानसमन जस्ता साइबर सेक्युरिटी न्युज एग्रिगेट प्लेटफर्मलाई उद्धृत गर्दै टेकपानाडटकममा प्रकाशित सनसनीपूर्ण समाचारले नेपालको साइबर सुरक्षामा भएको गम्भीर लापरबाही पुनः एकपटक उजागर गरेको छ।

ह्याक भएको पोर्टलमा के छ ?
डार्कवेबमा देखाइएको पोर्टलको तस्बिरमा प्रयोगकर्ता ड्यासबोर्ड, जारी परिपत्र निर्देशनहरू, बजेट विवरण, पालिकाको विवरण, पालिकाको वेबसाइट, कर्मचारी विवरण, आईटी अफिसरहरूको सम्पर्क, एवं पोर्टल सेटिङअन्तर्गत प्रणालीको विवरण र पासवर्ड परिवर्तन लिंकमा एक्सेस देखिन्छ।

कर्मचारी प्रशासनको केन्द्रीय निकायका रूपमा संघीय निजामती सेवाको सञ्चालन, व्यवस्थापन तथा अभिलेख व्यवस्थापनमा गर्दै आएको मन्त्रालयले ७७ जिल्ला समन्वय समिति, ६ वटा महानगरपालिका, ११ उपमहानगरपालिका, २७६ नगरपालिका र ४६० गाउँपालिका गरी ७५३ स्थानीय तहको क्षमता विकास र सहजीकरण एवं समन्वयको जिम्मेवारी पाएको छ।

पुस १६ दिउँसो ह्याक भएको भनिएको पोर्टल.एमओएफए.जीओभीएनपी÷लोकल÷लगिन ब्राउज गर्दा बायाँपट्टि ‘पोर्टल प्रयोगकर्ताको विवरण सम्पर्क तथा पासवर्ड विवरण नियमित रूपमा अध्यावधिक हुने’, ‘सम्बन्धित निकायले मात्र प्राप्त गर्ने परिपत्र निर्देशन जानकारीहरू यसै पोर्टलबाट मात्र प्राप्त गर्न सकिने’ र ‘पोर्टलबाट आदानप्रदान भएका विवरणहरू एकीकृत रूपमा अभिलेख हुने हुँदा अन्य प्रणालीहरूसँग समेत अन्तरआबद्धता गर्न सहज हुने’ सूचना सहित क्यारोसेलको रोटेटिङ डिस्प्ले देख्न सकिन्छ भने दायाँपट्टि नेपाल सरकारको लोगोमुनि एमओएफएजिए पोर्टलपछि एलिप्सिस दिई लगिन टाइटल छभने सोमुनि लगिन आइडी टेक्स्टबक्स र पासवर्ड फिल्ड विजेट देख्न सकिन्छ।

संघीय निजामती सेवाका कर्मचारीको योग्यता, जन्ममिति, सेवा प्रवेश, अवकाशजस्ता अति संवेदनशील नित्तान्त गोप्य अभिलेख सुरक्षाको जिम्मा मात्र नभई प्रदेश र स्थानीय तहको पनि लाइन एजेन्सीको रूपमा रहेको मन्त्रालयको वेबसाइट ह्याक हुनै नसक्ने गरी साइबर सुरक्षाको प्रबन्ध गर्नु त कता हो कता गत अगस्टमा ह्याक भएको पोर्टलको बारेमा मन्त्रालयलाई ४ महिना नाघिसक्दा पनि जानकारी हुन नसक्नुमा मन्त्रालय, सोको आईटी हेर्ने जिम्मेवार पदाधिकारीहरूको गम्भीर लापरबाही र कार्यक्षमताको अभाव देखिन्छ। यो नेपालको साइबर सुरक्षामा जिम्मेवार आईटी क्षेत्रकै लागि शर्मनाक र लज्जास्पद विषय हो।

फंकसेक केहो ?
फंकसेक साइबर अपराधको दुनियाँमा हालसालै देखा परेको एक अनलाइन फिरौती (एक्सट्रोर्सन) समूह वा डेटा चुहावट गर्ने साइट हो। जसले आईपी ठेगाना नदेखिने अज्ञात वेब ब्राउजरबाट बहुतहगत टोर (दी अनियन राउटिङ प्रोजेक्ट) प्रविधिमा आधारित डिएलएस (डिष्ट्रिब्युसन लेयर स्विच) नेटवर्कको माध्यमबाट फ्रान्स, थाइल्यान्ड, पेरू, जोर्डन, अमेरिका, ट्युनिसिया, भारत र यूएईका मिडिया, आईटी, रिटेल, व्यवसाय, शिक्षा, अटोमोटिभ, एनजिओलगायत ११ वटा क्षेत्रका प्रयोगकर्ताहरू लक्षित गरी रेन्समवेयर पठाउँछ जुन एक प्रकारको मालवेयर अर्थात् भाइरस हो। यसले लक्षित सिकारलाई आफ्नो उत्कृष्ट प्राविधिक क्षमताप्रति आकर्षित गर्न निःशुल्क डीडीओएस (डिष्ट्रिब्युटेड डिनायल अफ सर्भिस) उपकरणको विज्ञापनको साथै आफ्नै रेन्समवेयर बाइनरी विकास गर्छ। यसले दोहोरो फिरौती तरिका प्रयोग गरी पीडितको कम्प्युटर उपकरणबाट फाइल इन्क्रिप्ट गर्नुको साथै बाहिर पनि निकाल्छ।

डार्कवेब के हो ?
डार्कवेब एक किसिमको कम्प्युटर नेटवर्क हो जसले इन्टरनेट प्रयोगकर्ताको परिचय र स्थान गोप्य राखी अन्य मानिस वा कानुन कार्यान्वयन निकायको पहुँचबाट बाहिर राख्ने वा लुकाउने काम गर्छ। यो गुगल, विङ, याहुजस्ता सर्च इन्जिनमा अनुक्रमित नभएकाले सजिलै पत्ता लगाउन सकिँदैन। यसमा पहुँचका लागि टोर प्रविधिमा आधारित विशेष प्रकृतिको ब्राउजर आवश्यक पर्छ।

सर्फेस, डिप र डार्क गरी तीन प्रकारका वेबहरू प्रचलनमा छन्। ‘सर्फेस वेब’ इन्टरनेट सर्च इन्जिनमा अनुक्रमित सबैभन्दा माथिल्लो तहमा रहेको दृश्य वा खुला हुन्छ। सर्च इन्जिनले पत्ता लगाउन नसक्ने सतहमुनिको ठूलो भाग ‘डिप वेब’ हो जुन पासवर्ड वा अन्य सुरक्षा वालको प्रयोगद्वारा दृष्यात्मक लिंकमा नदेखिने गरी लुकेको हुन्छ। प्रयोगकर्ताको जानकारी वा गोपनीयताको सुरक्षा गर्न यसका पृष्ठहरूलाई खुला वेबबाट लुकाइन्छ। वित्तीय खाता, अनलाइन बैंकिङ, इमेल र सामाजिक सञ्जालका खाता, निजी संस्थाका डेटाबेस, कानुनी फाइलजस्ता संवेदनशील प्रकृतिका सामग्रीहरू डिप वेबमा सुरक्षित राखिन्छन् ।

सरकारी सर्भरमा साइबर आक्रमणको शृंखला
एक सातादेखि नेपाल दूरसञ्चार प्राधिकरणको वेबसाइट ह्याक भएको समाचार १ जनवरी २०२५ मा सार्वजनिक भयो। ह्याकरले नियन्त्रणमा लिएको प्राधिकरणको वेबसाइटमा अनलाइन सट्टेबाजी प्लेटफर्मको विज्ञापन राखिएकोमा प्रधिकरणले अहिले उक्त सामग्री हटाएको देख्न सकिन्छ। प्राधिकरण सूचना प्रविधि क्षेत्रको नियामक निकाय हो।

नोभेम्बर २०२४ मा राहदानी विभागले ‘राहदानी आवेदन प्रणालीमा भाइरस पसेकोले थप सङ्क्रमण नहोस् भन्नाका लागि साइट डाउन गरिएको’ बेहोराको सूचना जारी गर्‍यो। यो केबल भाइरस सङ्क्रमण नभई साइबर हमलाकै एउटा प्रकार अर्थत् मालवेयर आक्रमण भएको एवं यसबाट नेपालभित्र र विदेशस्थित नेपाली नियोगहरूको राहदानी आवेदन प्रणालीलगायत दुई सयभन्दा बढी स्टेशनबाट प्रवाह हुँदै आएको सेवा लगभग २ सातासम्म अवरुद्ध भयो। त्यसैगरी २०२४ कै अगष्टमा सामुदायिक शिक्षकको तथ्यांकको अभिलेख रहने राष्ट्रिय किताबखाना (शिक्षक) को वेबसाइट ह्याक गरी प्रतिबन्धित ‘अनलाइन जुवा’को प्रचार सामग्री राखिएको थियो।

फेब्रुअरी २०२४ मा एक १६ वर्षे किशोरले त्रिविको वेबसाइट ह्याक गरेपछि परीक्षा नियन्त्रण कार्यालयबाट विद्यार्थीले लिने ट्रान्सक्रिप्ट, प्रोभिजनल प्रमाणपत्र, पुनर्योग, प्रतिलिपि, सर्टिफिकेट तथा प्रमाणपत्र सच्याउने जस्ता सेवाहरू १ हप्ताभन्दा बढी समय अवरुद्ध हुन पुगे।

जनवरी २०२३ मा नेपाल सरकारको डटजिओभिडटएनपी वेबसाइटमा साइबर आक्रमण हुँदा प्रधानमन्त्री कार्यालय, राष्ट्रपतिको कार्यालयलगायत सोसँग आबद्ध ४०० भन्दा बढी सरकारी वेबसाइटहरू करिब ४ घन्टा बन्द भए। राष्ट्रिय सूचना प्रविधि केन्द्रद्वारा सिंहदरबारमा सञ्चालित एकीकृत केन्द्रीय डेटा बैंक (जीआईडीसी) मा भएको साइबर हमलाबाट अध्यागमन र पासपोर्ट विभागको सेवा अवरुद्ध हुँदा त्रिभुवन विमानस्थलको हवाई उडान दिनको १२ देखि ४ बजेसम्म अवरुद्ध भयो। null

गत मे २०२३ मा लोकसेवा आयोग माथि भएको साइबर आक्रमणको कारण लोकसेवामा दरखास्त दिनेहरूको ठूलो संख्यामा तथ्यांक हराएको विवरण सार्वजनिक भएको थियो। यसभन्दा पहिला सन् २०२० अक्टोबरमा पनि लोकसेवा आयोगको वेबसाइट ह्याक गरी ‘नेपाल सरकारको सुरक्षा पोर्टल सूचना’ को नाममा नेपाल टेलिकमको ‘बल्क एसएमएस सेवा’ मार्फत कफ्र्यु लागेको झुटा सूचना सम्प्रेषित भएको थियो। दिइएको तथ्यांक बीबीसीलगायत प्रमुख मिडियामार्फत सार्वजनिक सरकारी वेबसाइटमा भएका केही साइबर आक्रमणका प्रतिनिधि घटनाहरू मात्र हुन्। अन्य सरकारी एवं गैरसरकारी निकाय, निजी तथा बैंकिङ क्षेत्रमा भएको साइबर हमलाहरूसमेत अध्ययन गर्दा तथ्यांकको फेहरीस्त लामै हुन जान्छ।

विश्वव्यापी साइबर सुरक्षा इन्डेक्समा नेपाल
अन्तर्राष्ट्रिय टेलिकम्युनिकेसन युनियन (आईटीयू) द्वारा सन् २०२४ मा प्रकाशित विश्वव्यापी साइबर सुरक्षा अनुक्रमिका (जीसीआई) मा समाविष्ट १९४ मुलुकहरूको सूचीमा नेपाल १००औं स्थानमा छ। सन् २०२० को ९४औंबाट नेपाल ६ स्थान तल खस्केको हो। टियर प्रदर्शनीको आधारमा दक्षिण एसियाली मुलुकमा नेपालको स्थान बंगलादेश, भारत, पाकिस्तान, श्रीलंका, भुटानभन्दा तल छ। इन्डेक्सले स्थान तोक्दा कानुनी, प्राविधिक, संस्थागत, क्षमता विकास र सहयोग गरी ५ वटा स्तम्भहरूको मूल्यांकन गरेको थियो।

नेपालले अन्तर्राष्ट्रिय मञ्चमा आफ्नो साइबर सुरक्षास्तर उकास्न प्राविधिक क्षमता विकास, दक्ष जनशक्ति निर्माण, अन्तर्राष्ट्रिय सहयोग बढवा, प्रविधिक शिक्षामा लगानी र विश्वव्यापी साझेदारीहरू सिर्जना गर्नुपर्ने सुझाव जीसीआईले दिएको छ।

साइबर सुरक्षा जिम्मेवारी
साइबर सुरक्षाको जिम्मेवारी साइबर सुरक्षा प्रोफेसनल वा सूचना सुरक्षा विश्लेषकको हो। सर्टिफाइड इन्फर्मेसन सिस्टमस् सेक्युरिटी प्रोफेसनल (सीआईएसएसपी), सर्टिफाइड एथिकल ह्याकर (सीईएच), अफेन्सिभ सर्टिफाइड प्रोफेसनल (ओएससिपि) जस्ता व्यक्तिहरू यसका लागि कार्यरत हुन्छन्। उनीहरू साइबर खतराबाट जोगाउन डेटा, नेटवर्क र प्रणालीहरूलाई जोगाउन त्यसमा रहेका वा हुनसक्ने कमजोरीहरू अग्रिम पहिचान गरी पूर्वसुरक्षा उपायहरू लागू गर्ने र साइबर आक्रमण भएमा तुरुन्त सम्बोधन गर्न जिम्मेवार हुन्छन्। कम्पनीको साइबर सुरक्षाको उच्चतम् श्रेणीको जिम्मेवार पदाधिकारी मुख्य सूचना अधिकारी (सिस्को) हुन्छ।

साइबरस्पेस सम्प्रभुसत्ताको प्रश्न
अहिलेको सूचना प्रविधिको युगमा सार्वभौमसत्तालाई राजनैतिक वा भौतिक र भर्चुअल अर्थात इन्टरनेट सम्प्रभुसत्ता दुई किसिमले वर्गीकरण गरिन्छ। राजनीतिक सम्प्रभुसत्ताको आधुनिक संस्करण साइबरस्पेस सम्प्रभुसत्ता हो। एउटा स्वतन्त्र सार्वभौमसत्तासम्पन्न मुलुकको इन्टरनेट वा साइबरस्पेस अर्को मुलुकको नियन्त्रण, कब्जा वा निगरानीमा रहनुहुँदैन भन्ने साइबरस्पेस सार्वभौमसत्ताको विश्वव्यापी मान्यता हो। इन्टरनेट सेवा निर्वाध सञ्चालन हुनुपर्ने, यसको स्वतन्त्र प्रवाहमा कुनैपनि निगरानी वा सेन्सरसिलाई यसले अस्वीकार गर्छ।

साइबरस्पेसको सुरक्षित प्रयोगका लागि साइबर सम्प्रभुता हुनुपर्ने भनी नेपाल सरकारद्वारा गठित अध्ययन समितिले फागुन २०७८ मा गृह मन्त्रालयमा बुझाएको प्रतिवेदनको परिच्छेद–६ को बुँदा नं.२ मा सिफारिस गरेको अवस्थासमेत छ।कुनै पनि मुलुकले स्याटलाइट वा समुद्रमुनि भुइँमा बिच्छ्याएर ल्याएको फाइबर अप्टिक केबलहरूको नेटवर्कमार्फत विश्वव्यापि इन्टरनेटमा पहुँच प्राप्त गर्छन्। त्यस्तो केबलले विभिन्न महाद्वीप र क्षेत्रहरूलाई जोड्छ। यसले राष्ट्रहरूबीच उच्च गतिमा डेटा प्रशारण गर्न अनुमति दिन्छ। यसलाई इन्टरनेट मेरुदण्ड मानिन्छ। देशभित्रका स्थानहरूमा वा ग्राहकसम्म पुग्नका लागि स्थलीय नेटवर्कहरू वा सेटलाइट लिंक प्रयोग गरिन्छ।

इन्टरनेट प्रवाहको लागि नेपालको आफ्नै स्वतन्त्र भूउपग्रह प्रणाली छैन। इन्टरनेसनल टेलिकम्युनिकेसन युनियन (आईटीयू) ले नेपाललाई सन् १९८४ मा छुट्टै जियोस्टेसनरी अर्बिटल स्लट उपलब्ध गराएको थियो, तर हालसम्म नेपालले त्यो सुविधा उपभोग गर्न सकेको छैन। नेपालमा उपलब्ध हुनसक्ने सेटलाइटमा आधारित इन्टरनेट सेवाको विकल्प स्टारलिंक हुनसक्छ। यो विश्वको नं.१ धनाढ्य एलन मस्कको स्पेसएक्स नामक कम्पनीको स्वामित्वमा रहेको निजी स्याटलाइट नेटवर्क कम्पनी हो।

भू–परिवेष्टित नेपालको अन्तर्देशीय जडान विन्दु अर्थात् टियर–१ परियोजनामा पहुँच नभएकाले हाल भारतका टाटा, एयरटेल र सिफिटेक गरी तीनवटा ब्याण्डविथ प्रदायकबाट करिब ६८ प्रतिशत एवं चीनको चाइना टेलिकम, हङकङस्थित इन्ट्रापेटस र पीसीसीडब्लू गरी २ वटा र कोरियाको केटिस्याट गरी ४ वटा अन्तर्राष्ट्रिय ब्यान्डविथ सेवा प्रदायकहरूबाट करिब ३१ प्रतिशत इन्टरनेट ब्यान्डविथ खरिद गरेको पाइन्छ।

टियर–१, टियर–२ इन्टरनेट सेवा प्रदायक वा ब्याडविथ प्रदायकले प्राविधिक रूपमा ग्राहकको सर्भर प्रणालीमा आफ्नो नेटवर्कमार्फत प्रवाहित डेटामा पहुँच राख्न वा डेटा विश्लेषण गरेर निश्चित हदसम्म निगरानी गर्न सक्छ। ग्राहकको आइपि ठेगानामा उनीहरूको पहुँच हुनेमात्र नभई इन्टरनेट ट्राफिकको मात्रा र गन्तव्य पनि देख्न सक्छन्। अत्यावश्यक नभएसम्म सामान्यतया ससाना वा व्यक्तिगत सर्भर प्रणालीहरूको सर्वेक्षण नगरे पनि राज्य वा सुरक्षा महत्वका वा संवेदनशील ग्राहकलाई आफूद्वारा प्रवाहित सर्भरमा त्यस्तो सफ्टवेयर वा निगरानी संयन्त्र सक्रिय राख्ने सुविधा उनीहरूमा हुन्छ।

डेटाको ठूलो मात्रा र नेटवर्क पूर्वाधारमा उनीहरूको ध्यान केन्द्रित हुन्छ। आफ्नो ब्यान्डविथ प्रयोग गरेर वा आफ्नो सर्भरबाट हुने सेवा लिने ग्राहकबाट शंकास्पद वा दुर्भावनापूर्ण गतिविधि हुनसक्ने विश्वास लागेमा ब्याडविथ प्रदायक, इन्टरनेट सेवा प्रदायक (आईएसपी) हरूले निगरानी राख्न सक्छन्। उनीहरूले ग्राहकले भ्रमण (ब्राउज) गरेको वेबसाइटहरू, प्रयोग गरेको डेटाको मात्रा, भ्रमण गरेका डोमेनहरू तथा ग्राहकको आधारभूत जानकारी वा निगरानी राख्न सक्छन्। null

साइबर सुरक्षा कानुन

नेपालमा हालसम्म साइबर सुरक्षासम्बन्धी विशेष कानुन छैन। १८ वर्षअघि निर्मित विद्युतीय कारोबार ऐन, २०६३ साइबर सुरक्षा वा साइबर अपराध सम्बोधन गर्ने प्रयोजनार्थ बनेको नभए पनि त्यसमा भएका अष्पष्ट र बहुअर्थी प्रावधानको फाइदा उठाइ साइबर अपराधसँग सम्बन्धित मुद्दाहरू जबरजस्ती अनुसन्धान, अभियोजन र फैसला हुने गरेका छन्। साइबर अपराधमा विज्ञता नभएका अनुसन्धानकर्ता प्रहरी, अभियोजनकर्ता सरकारी वकील र न्याय निरूपणकर्ता न्यायाधीशहरूद्वारा साइबर अपराधसम्बन्धी मुद्दा हेरिँदै आइएको छ।

यसमा सम्बन्धित निकायको ध्यानाकृष्ट हुन सकेको अवस्था छैन। ‘कम्प्युटरसम्बन्धी कसुर’ नामाकरण गरी ऐनको दफा ४४ देखि ५२ सजाय प्रस्तावित गरिएका कुनै पनि दफामा के–कस्ता कार्यहरू कसुरभित्र पर्छन् भनी परिभाषा नगरी सिधै अमूक कार्य गरेबापत कैद तथा जरिबानाको सजाय प्रस्ताव गरिएको छ जुन कानुन तर्जुमाको सामान्य नियममात्र नभई फौजदारी न्याय विधिशास्त्रको पनि विपरीत छ।

खासगरी ऐनको दफा ४७ मा राखिएको प्रावधान त पहिलेको सार्वजनिक अपराध र सजाय ऐन, २०२७ तथा हालको अपराध संहिता, २०७४ को ‘सार्वजनिक शान्ति विरुद्धको कसुर’ अन्तर्गतका कसुरहरूभन्दा पनि व्यापक र जुनसुकै प्रयोजनमा पनि आकर्षित गराउन सकिने किसिमका छन्। बुडापेष्ट महासन्धि वा साइबर अपराधसम्बन्धी कुनैपनि अन्तराष्ट्रिय वा क्षत्रीय सन्धि वा महासन्धिहरूमा नेपालले हालसम्म हस्ताक्षर गरेको छैन। हालैमात्र नेपाल सरकारले साइबर सुरक्षा नीति, २०८० जारी गरेको छभने सञ्चार तथा सूचना प्रविधि मन्त्रालयले सामाजिक सञ्जाल र साइबर सुरक्षा तथा साइबर अपराधसम्बन्धी गरी दुईवटा छुट्टाछुट्टै विधेयकको मस्यौदा सार्वजनिक प्रतिक्रियाको लागि प्रकाशित गरेकोमा सामाजिक सञ्जालको सञ्चालन, प्रयोग तथा नियमन गर्ने सम्बन्धमा बनेको विधेयक संसद्मा प्रस्तुत हुने क्रममा रहेको छ।

निष्कर्ष
साइबर आक्रमण वा ह्याकिङ हुनका लागि आन्तरिक र बाह्य गरी दुईवटा तत्वहरू जिम्मेवार हुन्छन्। आन्तरिकतर्फ प्रयोगकर्ताको इन्टरनेट प्रणालीमा भएको साइबर सुरक्षा लापरबाही वा कमजोरीको फाइदा उठाइ आइबर आक्रमण, ह्याकिङ हुनु हो। बाह्य तत्वमा इन्टरनेटको अन्तर्राष्ट्रिय ब्यान्डविथ प्रदायक वा राष्ट्रिय ब्यान्डविथ प्रदायक वा इन्टरनेट सेवा प्रदायक (आईएसपी) हरूद्वारा हुनसक्ने गोप्य पर्यवेक्षण वा निगरानी हो, जुन प्रत्यक्षरूपमा राष्ट्रको सार्वभौमसत्तासँग जोडिएको हुन्छ।

आन्तरिक सुरक्षाको लागि साइबर सुरक्षा प्रोफेसनल वा सूचना सुरक्षा विश्लेषकजस्ता पेसेवरहरूको सहयोगमा डेटा, नेटवर्क र प्रणालीहरूलाई सुरक्षा गर्न सुरक्षा कमजोरीहरू अग्रिम पहिचान गरी पूर्वसुरक्षा उपायहरू लागू गर्ने र साइबर आक्रमणको तत्काल सम्बोधन गर्ने संयन्त्रको स्थापना गर्नुपर्ने हुन्छ। बाह्य सुरक्षाका लागि नेपालको आफ्नै स्वतन्त्र भूउपग्रह प्रणाली स्थापना गरी साइबरस्पेस सार्वभौमसत्ता वा इन्टरनेट सार्वभौमसत्ता स्थापना गर्नेतर्फ नेपालको ध्यान तत्काल जानुपर्छ।

यसको कार्यान्वयनको लागि आईटीयूद्वारा छुट्ट्याइएको जियोस्टेसनरी अर्बिटल स्लटको प्रयोग नै हो। स्टारलिंक पनि निजी कम्पनीको स्वामित्वमा रहेको कारण साइबरस्पेस सार्वभौमसत्ताको प्रश्न समाधान हुँदैन। नेपालले अन्तर्राष्ट्रिय कानुनद्वारा स्थापित भूपरिवेष्टित राष्ट्रको सामुद्रिक पहुँचको अधिकार छिमेकी मुलुक भारतसँग दाबी प्रयोग गरी सिधै अन्तर्देशीय जडान विन्दु अर्थात् टियर–१ परियोजनाको फाइबर अप्टिक केबल नेटवर्कमा आफ्नो केबल नेटवर्क जडान गरी विश्वव्यापि इन्टरनेटमा पहुँच प्राप्त गर्नसक्नु पर्दछ।

साइबर आक्रमण वा ह्यकिङको अनुसन्धान गर्ने प्रहरी, अभियोजन गर्ने सरकारी वकील र न्याय सम्पादन गर्ने न्यायाधीशहरूमा साइबर अपराधको विज्ञता वा विशेषज्ञता आवश्यक पर्छ, यसमा सम्बन्धित निकायको यथाशीघ्र ध्यानाकृष्ट हुनु जरुरी छ।

साइबर आक्रमणका कारक तत्वहरू

साइबर हमलाको पछाडि विभिन्न कारणहरू भए पनि प्रमुख भने साइबर सुरक्षा लापरबाही वा कमजोरी नै हो। हार्डवेयर र सफ्टवेयर फेल हुनु, मानवीय गल्ती वा कमजोरी, प्रकृतिक विपत्तिहरू पनि साइबर आक्रमणका कारक बन्ने गर्छन्। यसमा पेसेवर ह्याकरहरू, संगठित आपराधिक समूहहरू, राज्य–प्रायोजित कर्ताहरू, सौखिन (एमेच्योर) ह्याकरहरू, ह्याक्टिभिष्टहरू, वेबसाइटमा वैधानिक पहुँचप्राप्त अधिकारीहरू आदिको संलग्नता हुन्छ। यिनीहरू आपराधिक, राजनैतिक, आर्थिक वा व्यक्तिगत कारणले साइबर हमलामा प्रेरित हुन्छन्।

डेटा वा सूचना नियन्त्रणमा लिने, कब्जामा लिएको डेटा वा सूचना बिक्री गर्ने, व्यापारिक गोप्यता भंग गर्ने, व्यापार–व्यवसाय धाराशायी बनाउने वा हानिनोक्सानी पुर्‍याउने, रिसइबी वा वैमनस्यता साँध्नेजस्ता उद्देश्यले पनि साइबर हमला हुने गर्छन्। हाल आएर साइबर हमलामा एआईको प्रयोग पनि बढ्दो छ।

साइबर हमलामा असुरक्षित र कमजोर कम्प्युटर प्रणाली, जिम्मेवार अधिकारीद्वारा गोप्य, संवेदनशील डेटा वा सूचना चुहावट, प्रयोगकर्ताहरूले सजिलै अनुमानयोग्य (इजी–टु–गेस) पासवर्ड छनौट गर्नु, राउटरमा पासवर्ड सेभ हुनु, पूर्वनिर्धारित (डिफल्ट) पासवर्ड परिवर्तन नगर्नु, फिसिङ, मालवेयर वा रेन्समवेयर आक्रमण, सोसल इन्जिनियरिङ स्क्यामजस्ता पक्षहरूले भूमिका निर्वहन गरेका हुन्छन्।

सरकारी वेबसाइटमा हुने असुरक्षित डिजाइन, कमजोर कन्फिगरेसन र भ्यालिडिटेसन, सर्भर साइटमा रन हुनुपर्ने कोड क्लाइन्ट साइटमै देखिनु, खुला पोर्टहरू, गोप्य रहनुपर्ने सर्भर र प्रयोगकर्ताबीच हुने रेस्पोन्स इन्क्रिप्ट नहुनु, साइट निर्माणपश्चात् सुरक्षा चेकजाँच नहुनु, सम्पूर्ण मापदण्ड वा प्रोट्रोकल पूरा नगरी हतारमा वेबसाइट लञ्च हुनु, सरकारी साइटमा बग वा त्रुटि रिपोर्ट गर्ने विकल्प नदिनु, वेबपेजमा कमजोरी (बग), छिद्र (लुपहोल) हुनु, वेब होस्टिङ कन्ट्रोल अर्थात सी–प्यानलको प्रणाली कमाण्डमा त्रुटि हुनु, त्रुटि परीक्षण नहुनु, एड्मिन एक्सेसमा बलियो भ्यालिडिटेसन, अथोराइजेसन, मल्टिफ्याक्टर अथेन्टिकेसन प्रक्रिया नहुनु, राम्रोसँग कोड विकास नहुनुजस्ता कारणहरूले निजीको तुलनामा सरकारी वेबसाइटहरू बढी
निसानामा पर्ने गर्छन्।

साइबर सुरक्षामा पाँच आधारभूत सुरक्षा सिद्धान्तहरू गोपनीयता (कन्फिडेन्सियालिटी), अखण्डता (इन्टिग्रिटी), उपलब्धता (एभाइलेबिलिटी), प्रमाणीकरण (अथेन्टिकेसन) र गैरअस्वीकृति (नन्–रिपुडिएसन) अपनाएमा साइबर सुरक्षा प्रभावकारी हुनसक्छ। अमेरिकी नेसनल इन्स्टिच्युट अफ स्टान्डर्डस् एन्ड टेक्नोलोजी (निष्ट) का अनुसार साइबर सुरक्षा जीवनचक्रका पाँच साइबर सुरक्षा चरणहरूमा पहिचान (आइडेन्टिफाइ), सुरक्षा (प्रोटेक्ट), पत्ता लगाउनु (डिटेक्ट), प्रतिक्रिया (रेस्पोन्ड), र पुनःप्राप्ति (रिकभर) प्रचलनमा रहेका मोडेलहरू हुन्।

(पूर्वन्यायाधीश भट्टराई साइबर सुरक्षा विज्ञ हुन्)