चीनबाट सामग्री खरिद गरिएको विषयमा प्रकाशित समाचार ‘मेटिएपछि’ उब्जिएका पाँच प्रश्न

काठमाडौं : केही दिन अघि काठमाण्डू प्रेस डट कममा प्रकाशित एउटा समाचार उक्त न्यूज पोर्टलको प्राविधिक पाटो हेर्ने कम्पनीले “अनधिकृत रूपमा हटाइदिएको” घटना सार्वजनिक भएपछि डेटा सुरक्षा सम्बन्धमा थप खतराको सङ्केत गरेको सूचना प्रविधि र कानुनका जानकारहरूले बताएका छन्।

नेपाल सरकार, ब्याङ्क तथा वित्तीय संस्था र अन्य क्षेत्रले सङ्कलन गरेका नागरिकका डेटाको सुरक्षा व्यवस्था कमजोर रहेको भन्दै आलोचना भइरहेका बेला उक्त घटनाले अझ जटिल खतराको सङ्केत गरेको उनीहरूको भनाइ छ।

केही समयअघि भएका साइबर आक्रमणका कारण नेपाल साइबर अपराधीहरूको निसानामा रहेको हुन सक्ने ती घटनाको अनुसन्धान गरेका अधिकारीहरूले चेतावनी दिँदै आएका छन्। तर यसै साता भएको उक्त नौलो घटनाले डेटा सुरक्षाका हकमा नेपाल थप संवेदनशील बन्नुपर्ने देखिएको उनीहरू बताउँछन्।

के भएको थियो?

गत मङ्गलवार साँझ काठमाण्डूप्रेसले कोरोनाभाइरससँग सङ्घर्ष गर्न चीनबाट मेडिकल सामग्री खरिदबारे एउटा समाचार प्रकाशित गरेको थियो।

बुधवार बिहान ११ बजेतिर अचानक उक्त समाचार वेबसाइटबाट हट्यो। त्यसपछि सामाजिक सञ्जालमा काठमाण्डूप्रेस डटकमले “गलत समाचार लेखेर मेटाएको” भन्दै आलोचना भयो।

#समाचार_हटाइएकोबारे_हाम्रो #विज्ञप्ति
हामी हाम्रो समाचारमा कहीं पनि त्रुटि वा कमजोरी भए, त्यसलाई सच्याउन वा कानुनी सजाय भोग्न तयार नै छौं । यस घटनामा कानुनी कदम चाल्न पनि हामीले विज्ञहरूसँग सल्लाह गरिरहेका छौं। https://t.co/pgxjiya8Gw
— Kathmandu Press (@kathmandupress) April 2, 2020

तर उक्त समाचार आफूले मेटाएको नभई “कसले मेटाएकोबारे अनुसन्धान गरिरहेको” भन्दै काठमाण्डूप्रेस डटकमले बुधवारै पुन: त्यसलाई प्रकाशित गर्‍यो।

बिहीवार उक्त डिजिटल पत्रिका प्रधान सम्पादक कसमस विश्वकर्माले प्रेस वक्तव्यमार्फत् वेबसाइट विकास र डिजाइन गरेको कम्पनी शिरान टेक्नोलजीजले समाचार पोर्टलमै “छिरेर समाचार हटाइदिएको” जनाए।

समाचार मेटाउनुअघि उक्त समाचार हटाइदिन उक्त कम्पनीका सञ्चालकहरूले आग्रह गरेको पनि उनले वक्तव्यमा उल्लेख गरेका छन्।

प्रकाशित समाचारमा आरोप लगाइएकामध्ये एक जना पनि उक्त कम्पनीको सञ्चालक रहेकाले उक्त कम्पनीले त्यस्तो गरेको भन्दै सामाजिक सञ्जालमा आलोचना भयो।

डनेपाल पत्रकार महासङ्घले पनि वक्तव्यमार्फत् उक्त घटनाले संविधानप्रदत्त अभिव्यक्ति तथा प्रेस स्वतन्त्रता हनन भएको जनाएको थियो। बिहीवार साँझ शिरान टेक्नोलजीजले पनि वक्तव्य प्रकाशित गर्दै उक्त प्रकरणमा गल्ती भएको भन्दै माफी मागिसकेको छ।

पछिल्लो समय आएका समाचारबारे हाम्रो धारणा pic.twitter.com/kBKC7MP45J
— Subash Sharma (@subashsharma) April 2, 2020

तर सामाजिक सञ्जालमा धेरैले उक्त घटनामा दोषीलाई कानुनअनुसार कारबाही हुनुपर्ने माग गरिरहेका छन्। उक्त घटनाले नेपालको डेटा सुरक्षाबारे थुप्रै खतराहरूको सङ्केत गरेको विज्ञहरूले बताएका छन्।

उनीहरूले औँल्याएका पाँच प्रमुख खतरा यी हुन् –

१. विकासकर्ताबाटै बदमासी

बाह्य आक्रमणकारीबाट मात्र नभई विभिन्न व्यक्तिगत र संस्थागत कार्यका लागि बनाइएका साइबर प्रणालीका विकासकर्ताहरू (डेभलपर्स) बाटै पनि बदमासी हुन सक्ने यो घटनाले देखाएको जानकारहरू बताउँछन्।

साइबर कानुनका जानकार तथा अधिवक्ता बाबुराम अर्याल भन्छन्, “घरका साना बालबालिकालाई अभिभावकले हुर्काइरहेका हुन्छन्। अब त्यस्ता बालकालिकालाई उनीहरूले नै घाँटी निमोठे भने के हुन्छ? यो त त्यस्तै घटना भयो।”

उनले कुनै पनि वेब विकासकर्ताले पैसा लिएर सेवा बेचेको अवस्थामा सेवाग्राहीको क्षेत्रमा प्रवेश गरेर कुनै एउटा विवरण चयन गरी हटाउनु अपराध भएको बताए।

शिरान टेक्नोलजीजको माउ कम्पनी एफवन सफ्ट नेपालको मुख्य सूचना प्रविधिसम्बन्धी कम्पनी भएको र त्यसका धेरैवटा कम्पनीमार्फत् विभिन्न सेवाहरू सञ्चालन भइरहेकाले यस्तो गतिविधिको ठूलो अर्थ रहने उनको मत छ।

उनले भने, “अब उसैको यो नराम्रो अभ्यासलाई पछ्याउँदै अरूले पनि त त्यस्तै गर्न सक्ने भए नि! त्यस्तो भयो भने वेब डेभलपरसँग पुगेको हाम्रो डेटा त असुरक्षित हुने भयो।”

यो घटनाले यसअघि नेपालमा भएका साइबर आक्रमणमा कतै ती प्रणालीहरू विकास गर्ने तथा सञ्चालनमा सहायता गर्ने कम्पनीवा तिनका कर्मचारीको हात त छैन? भन्ने प्रश्न समेत उब्जाएको विज्ञहरू बताउँछन्।

२. डेटा चोरी र कब्जाको सम्भावना

नेपालमा पनि अहिले सरकारी क्षेत्रसहित विभिन्न क्षेत्रहरूले प्रदान गर्ने सेवाहरू विद्युतीय बन्दै गइरहेका छन्। यस्ता सेवाहरू लिँदा नागरिकहरूले आफ्ना निश्चित विवरण र कागजपत्रहरू त्यस्ता सेवा लिनका लागि बुझाउनुपर्ने हुन्छ।

ती विवरणहरू विभिन्न सेवाप्रदायक वा त्यस्ता सेवा प्रदायकले नियुक्त गरेका निजी कम्पनीका प्रणालीमा राखिएको हुन्छ।

अहिले विवादमा आएको शिरान टेक्नोलजीजकै माउ कम्पनी एफवन सफ्टले उसकै आधिकारिक वेबसाइटमा जनाएअनुसार “नेपालका लगभग ९० प्रतिशत वित्तीय संस्थामा” उसका कुनै न कुनै भुक्तानी सेवा प्रयोग हुन्छ।

त्यस्तै नौवटा सहायक कम्पनी रहेको एफवन सफ्टले ती कम्पनीमार्फत् नेपालका सरकारी तथा गैरसरकारी क्षेत्रबाट नागरिकहरूले लिने सेवाहरूको पनि व्यवस्थापन गर्दै आएको ती कम्पनीका आधिकारिक बेवसाइटमा उल्लेख छ।

एफवन सफ्टले मोबाइल ब्याङ्किङ, इन्टर्नेट ब्याङ्किङ, कार्ड व्यवस्थापन, डिजिटल वालेट, अन्लाइन पेमेन्ट गेटवेजस्ता सेवा दिँदै आएको उसको वेबसाइटमा जनाइएको छ।

यस्ता सेवा प्रयोग गर्ने उपभोक्ताको सङ्ख्या निकै बढेकाले त्यस्ता सेवा प्रयोग गर्न उपभोक्ताले बुझाएका विवरण चोरी हुने र कब्जा गरिने खतरा हुन सक्ने सूचना प्रविधिविज्ञ मनोहर भट्टराई बताउँछन्।

उनी भन्छन्, “गएको १० वर्षको तुलना गर्ने हो भने अहिले सूचना प्रविधिमा आधारित सेवा लिनेहरू निकै बढेका छन्। अब उनीहरूले त्यत्तिकै त्यो सुविधा त पाएका छैन्। त्यसका लागि केही न केही विवरण र कागजपत्र त जम्मा गरेकै हुन्छन्। त्यस्ता विवरणहरू चोरी हुने तथा कब्जा गरिने अवस्था पनि आउन सक्छ। त्यस्तो अवस्था आउन नदिन अनधिकृत गतिविधिलाई नियन्त्रण गरिनुपर्छ।”

यस्तै खाले कम्पनीहरूले अहिले सरकारी कार्यालयहरूका विद्युतीय प्रणालीहरू विकास तथा व्यवस्थापन गरिरहेकाले सरकारी डेटाहरू कब्जा गरेर सरकारलाई नै चुनौति दिने अवस्था पनि आउन सक्ने कतिपय विज्ञहरूको धारणा छ।

एफवन सफ्टका प्रमुख कार्यकारी अधिकृत सुवास शर्माले भने शिरान टेक्नोलजीजको घटनासँग एफवन सफ्टलाई नजोड्न आग्रह गरे।

उनले भने, “एफवन सफ्टसँग शिरान टेक्नोलजीजले गरेको कामसँग प्रत्यक्ष सरोकार हुँदैन। हामी शिरानका लगानीकर्ता हौँ तर उसको व्यवस्थापन नै फरक छ। काम गर्ने प्रकृति नै फरक छ।”

“एफवन सफ्ट भनेको वित्तीय संस्थाहरूलाई सफ्टवेअर बनाएर विक्री गर्ने कम्पनी हो। यसको सफ्टवेअर किनेर प्रयोग गर्ने ब्याङ्कहरूले सङ्कलन गरेको डेटा हामीसम्म आउँदैन। त्यो डेटा सुरक्षाको सम्पूर्ण जिम्मेवारी उनीहरूकै हुन्छ।”

३. डेटा विक्रीको खतरा

यो घटनाले ग्राहकको डेटामा काम गर्ने निजी कम्पनीहरूले प्रयोगकर्ता तथा उपभोक्ताका साथसाथै आफ्नो पहुँचमा भएका विवरणहरू विक्री गर्न सक्ने सम्भावनालाई थप बलियो बनाइदिएको कतिपयको धारणा छ।

फेसबुकलगायतका ठूला कम्पनीहरूले समेत डेटा बिक्री गरेको आरोप लागिरहेका बेला त्यस्तो सम्भावना नेपालमा थप बढेको विज्ञहरू बताउँछन्।

साइबर सुरक्षाविज्ञ विजय लिम्बु भन्छन्, “अहिले जोसँग सबैभन्दा धेरै डेटा छ उ नै शक्तिशाली हुन्छ त्यसैले मानिसहरूले डेटा खोजिरहेका हुन्छन्। त्यस्तोमा प्रयोगकर्ताको क्षेत्रमा प्रवेश गर्ने कम्पनीहरूले डेटा विक्री पनि गर्न सक्छन्। त्यसतर्फ पनि चनाखो हुनुपर्ने देखिन्छ।”

विद्युतीय प्रणालीको प्रयोग बढ्दै जाँदा नेपालमा पनि डेटाको महत्त्व बढ्दै गएकाले यस्तो सम्भावना थप बढ्ने उनको तर्क छ। एफवन सफ्टका शर्माले भने नेपालमा डेटा विक्री भएको भन्ने घटना नै नभएको बताए।

उनले भने, “हामीले डेटा लिइसकेपछि त्यो हाम्रा लागि पनि त जिम्मेवारी हो नि। डेटा सुरक्षा गर्ने चिन्ता दिनेलाई भन्दा बढी हामीलाई हुन्छ। हामीले डेटा सुरक्षाकै लागि बर्सेनि हामीले ठूलो रकम खर्चिरहेका हुन्छौँ।”

४. अपराध र शक्ति दुरुपयोगमा प्रयोग हुनसक्ने

यस्ता गतिविधिले जुन कम्पनीलाई ग्राहकले विश्वास गरेर आफ्ना विवरणहरू बुझाएका हुन्छन् ती विवरण अपराधिक र शक्ति दुरुपयोगमा प्रयोग हुन सक्दैनन् भन्न नसकिने अधिवक्ता अर्याल बताउँछन्।

असगरजी र विकासजी प्राविधिक मात्र हुन, म हथौडालाई भन्दा हथौडा चलाउने हातलाई खोज्नु पर्छ भन्छु। यो प्रकरणको कारक राजनीतिक तहकै हुनुपर्छ। सिरान टेकलाई कस्ले त्यसो गर्न लगायो, त्यो खोजौं। उनीहरूको मात्र आँटले त्यति ठूलो गलत काम भएको छैन। @srpaudel @rishikeshdahal @kpsharmaoli https://t.co/VvRU42VDu3
— Kundan Aryal (@TheRealKalamchi) April 3, 2020

विश्वका धेरै स्थानमा कुनै कम्पनीमा सङ्कलित विवरणहरू अपराधिक कार्यमा प्रयोग भएका उदाहरणहरू रहेको विज्ञहरू बताउँछन्।

प्रधानमन्त्रीका भूतपूर्व प्रेस सल्लाहकार कुन्दन अर्यालले सामाजिक सञ्जालमा “यो प्रकरणको कारक राजनीतिक तहकै हुनुपर्छ भन्दै “उनीहरूको मात्र आँटले त्यति ठूलो गलत काम भएको छैन” भन्ने टिप्पणी गरेका छन्।

५. नयाँ खाले सुरक्षा चुनौती आउनसक्ने

विद्युतीय प्रणालीका विकासकर्ताहरू नै प्रयोगकर्ताको डेटा मेट्ने कार्यमा संलग्न हुँदा त्यसले साइबर सुरक्षामा तथ चुनौती थप्न सक्ने सुरक्षाविज्ञको धारणा छ।

नेपाल प्रहरीका भूतपूर्व नायव महानिरीक्षक हेमन्त मल्ल भन्छन्, “यस्ता घटनाले डेटा सुरक्षामा थप चुनौती थप्ने देखाउँछ। यदि भोलि ब्याङ्कको डेटा दुरुपयोग गरेर रकम चोरी गर्न सक्ने कुरालाई पनि यसले खुला गरेको जस्तो देखिन्छ।”

उनले आगामी दिनहरूमा साइबर सुरक्षाको अनुसन्धानमा सेवाप्रदायकहरू आफैँ संलग्न भएको हुनसक्नेतिर पनि अनुसन्धान अघि बढाउनुपर्ने देखिएको बताए।

नेपालमा साइबर असुरक्षा बढ्दै गएका बेला प्रणाली विकासकर्ताहरू नै त्यसमा संलग्न हुन थाले भने त्यसले अनुसन्धानमा थप जटिलता उत्पन्न गराइदिन सक्ने उनको भनाइ छ।

के हुन् सुरक्षाका उपाय?

विज्ञहरू यस्ता चुनौती सामना गर्नका लागि सरकार तथा नागरिकहरूले सुरक्षात्मक उपायहरू अपनाउनुपर्ने सुझाव दिन्छन्।

उनीहरूका अनुसार नेपालमा हालसम्म पनि वेभ डेभलपर र सेवाग्राहीबीच प्राविधिक विवरण स्पष्ट उल्लिखित सम्झौता हुने गरेको छैन।

लिम्बु भन्छन्, “त्यसले गर्दा यस्तै खाले कामहरू गर्दा सजिलै पत्ता लगाउन सकिँदैन। अहिलेको घटनामा जस्तो कम्पनीले स्वीकार नगरेर ‘ह्याकरले गरिदिएछ’ भनेर पनि पन्छिन सक्छन्।”

अर्का साइबर सुरक्षाविज्ञ नारायण कोइरालाले नेपालमा विशेषत: तीन प्रकारका सुरक्षा खतराहरू रहेको बताउँछन्।

कोइरालले भने, “पहिलो आन्तरिक खतरा छ। त्यो भनेको कुनै कम्पनीभित्रैको कुनै व्यक्तिले प्रणालीलाई दुरुपयोग गर्न सक्छ।”

“अर्को भनेको भेन्डर वा वेभ डेभलपर र व्यवस्थापनकर्ताहरूबाट खतरा रहेको छ। प्रणालीको धेरै कुरा भेन्डरसँग हुने भएकाले त्यसले उनीहरूले जे पनि गर्न सक्ने अवस्था छ।”

“त्यस्तै तेस्रो पक्षबाट पनि खतरा हुन्छ जस्तै ह्याकरहरूबाट। यी तीनवटै खतरालाई मूल्याङ्कन गरेर त्यसलाई व्यवस्थित बनाउनुपर्ने हुन्छ।”

डेटा संरक्षण गर्न अरू के चाहिन्छ?

अधिवक्ता अर्याल र सूचना प्रविधिविज्ञ भट्टराई चाहिँ नेपालमा छुट्टै डेटा संरक्षण कानुन आवश्यक भइसकेको बताउँछन्। नेपालको संविधानले गोपनीयताको हकको व्यवस्था गरेको भए पनि विद्युतीय डेटा सुरक्षाका लागि थप कानुनी व्याख्या आवश्यक पर्ने उनीहरूले बताए।

विद्युतीय कारोबार ऐन र वैयक्तिक गोपनीयतासम्बन्धी कानुनले पनि सबै प्रकारका डेटा सुरक्षालाई समेट्न नसक्ने उनीहरूको तर्क छ।

त्यस्तै नयाँ सूचना प्रविधिसम्बन्धी विधेयकमा पनि डेटा संरक्षणका लागि पर्याप्त विषयहरू समेटिन नसकेको अर्यालले बताए। उनले भने, “नेपालले जतिसक्दो चाँडो व्यावसायिक डेटाको समेत सुरक्षा हुने खालको कानुन बनाउनुपर्ने आवश्यक भइसक्यो।”

के भन्छ ईसेवा?

यसैबीच विवादमा परेको शिरान टेक्नोलजीजको माउ कम्पनी एफवन सफ्टले नै सञ्चालन गर्ने भुक्तानी सेवा कम्पनी ईसेवाले शुक्रवार एउटा विज्ञप्ति जारी गर्दै कम्पनीलाई जोडेर आएका समाचारहरूप्रति आपत्ति जनाएको छ।

उसले “समाचार हटाइएको भनिएको अनलाइन पोर्टल र ईसेवाको कुनै सम्बन्ध नभएको” दाबी गरेको छ।

इसेवाले ग्राहकलाई भुक्तानी सेवा दिने हुनाले यसको लागि आवश्यक पर्ने प्रविधि तथा व्यवस्थापन प्रणाली सुरक्षित राख्न अत्यन्त संवेदनशील र प्रतिवद्ध छौँ । कम्पनीको गोपनियता नीति तथा प्रयोगका शर्तहरु वेवसाइटमा उल्लेख गरेका छौँ र यसको अक्षरसः पालना गरेका छौँ । pic.twitter.com/c39sLUWEmg
— eSewa (@eSewaNepal) April 3, 2020

त्यस्तै उपभोक्ताको विवरण सुरक्षाका लागि “प्रविधि र व्यवस्थापन प्रणाली सुरक्षित राख्न अत्यन्त संवेदनशील र प्रतिबद्ध” रहेको उसले जनाएको छ। ईसेवाले मोबाइल एपमार्फत् भुक्तानी सेवा दिने गर्छ र नेपालमा यसलाई लाखौँ जनाले प्रयोग गर्छन्।

शर्माले पनि ईसेवाले ” सङ्कलन गरेका विवरणहरू सुरक्षित रहेको र अब अझ थप सुरक्षाका उपयाहरू अपनाइने” जानकारी दिए।

उनले भने, “हामी नेपाल राष्ट्र ब्याङ्कबाट अनुमति पाएर सञ्चालिन कम्पनी हौँ। हामीले गरेको डेटा सुरक्षाबारे राष्ट्र ब्याङ्कले पनि नियमित रूपमा हाम्रो निगरानी र अनुगमन गरिरहेको हुन्छ।”

के भन्छ नेपाल राष्ट्र ब्याङ्क?

नेपाल राष्ट्र ब्याङ्कका प्रवक्ताले चाहिँ भुक्तानी प्रणालीको सुरक्षाका लागि राष्ट्र ब्याङ्कले उचित कदम चालेको जनाएका छन्।

प्रवक्ता गुणाकर भट्टले भने, “हामीले अहिले डिजिटल ब्याङ्किङलाई नै जोड दिइरहेका छौँ र त्यसलाई चुस्त दुरुस्त राख्न पछिलो समयमा ब्याङ्कहरूलाई सूचना प्रविधिमा लगानी गर्न भनेका छौँ।”

उनका अनुसार हालसम्म नेपालमा मोबाइल ब्याङ्किङ चलाउनेहरूको सङ्ख्या एक करोडजति पुगिसकेको छ‍।

उनले भने, “हामीले भुक्तानी प्रणाली सञ्चालकहरूलाई अनुमति दिएका छौँ र उनीहरूलाई निर्देशन दिने तथा निगरानी गर्ने कुरालाई हामीले प्राथमिकतामा राखेका छौँ।” बीबीसी नेपाली