साइबर सुरक्षाको पहरेदार
डिजिटल संसार सुरक्षित बनाउने प्रयत्नको कथा
काठमाडौं । सिद्धार्थ वनस्थली इन्स्टिच्युट पढ्दै गर्दा क्रिप्टोजेन नेपालका संस्थापक मध्यका एक वसन्त पाण्डे चार्टर्ड एकाउन्टेन्ट बन्न चाहन्थे । ग्लोबल चार्टर्ड एकाउन्टेन्ट डिग्री एसीसीए (एशोसिएसन अफ चार्टर्ड सर्टिफाइड एकाउन्टस्), यू.के. हासिल पनि गरे ।
अध्ययनका हिसाबले उनको पेशा वित्तीय लेखा परीक्षण गर्नु हो । अध्ययन सकेपछि उनले केही वर्ष सोही क्षेत्रमा काम गरे । तर कम्प्युटरमा नयाँ खोज गर्ने सानैदेखिको रुचीले उनलाई पछ्यारह्यो । अन्ततः त्यही रुचीले उनको व्यवसायिक जीवनको गोरेटो मोडियो ।
त्यो रुचीले उनलाई आई.एस्. (इन्फर्मेशन सिष्टम) अडिट (सूचना प्रणालीको लेखा परीक्षण) को काममा जोड्यो । आफ्नो रुचीको क्षेत्रमा प्राविधिक दक्ष साथीहरूको खोजतलासमा जुटे । त्यसै शिलशिलामा निर्मल दाहाल, आदित्य खातीलगायत मिलेर ‘क्रिप्टोजेन नेपाल’ दर्ता गरी इन्फर्मेशन सिष्टम अडिट लगायत इन्फर्मेशन सेक्युरिटीसँग सम्बन्धित सेवाहरू प्रदान गर्न शुरु गरे ।
सर्टिफाइड इन्फर्मेशन सिष्टम अडिटर भएकाले कम्पनीमा उनले सूचना प्रणाली सम्बन्धि सुशासन, जोखिम र अनुपालन (गर्भनेन्स, रिक्स एण्ड कम्प्लायन्स) विभागको जिम्मेवारी लिएका छन् भने सर्टिफाइड इथिकल ह्याकर निर्मल दाहाल र आदित्य खाती इन्फर्मेशन सेक्युरिटीका प्राविधिक पक्षतिर ।
क्रिप्टोजेन जन्मिएको छोटै अवधिमा सेवाग्राहीको मन जित्न सफल भएको छ । कम्पनीको मुख्य कार्यक्षेत्र इन्फर्मेशन सेक्युरिटीसँग सम्बन्धित सेवाहरू नै हो । यसले सूचना तथा सूचना प्रणालीमा आउने जोखिम परीक्षण (भल्नरेविलिटी एसिस्मेण्ट एण्ड पेनिट्रेशन टेस्टिङ – भि.ए.पि.टी.) माथि पनि काम गर्छ । भिएपिटीले सेवाग्राहीको हार्डवेयर, सफ्टवेयर प्रणालीको सुरक्षा अवस्थाबारे परीक्षण गर्छ । ती प्रणाली कम्प्युटर, प्रिन्टर, वेवसाइटलगायत जुनकुनै माध्यम हुनसक्छ ।
असुरक्षित छिद्रहरू
बजारमा डेभलपरहरूले सफ्टवेयर बनाउँछन् । डेभलप गर्दै गर्दा कतैकतै सुरक्षाका छिद्रहरू बन्छन् । उनी भन्छन्, ‘त्यो सुरक्षित तवर अर्थात् सेक्युर कोडिङ गर्न मिल्छ कि मिल्दैन ? सुरक्षालाई केन्द्रमा राखेर परीक्षण गर्छौं । यो विधिलाई (सोर्स) कोड रिभ्यू पनि भनिन्छ । खासमा हामी साइबर सेक्युरिटीको पहरेदार हौं ।’
नेपालमा साइबर सेक्युरिटीबारे जनचेतना कम देखियो । ह्याकिङ भनेको ‘फेसबुक अकाउन्टमा हुने ह्याकिङ मात्रै हो’ भन्ने आम बुझाई रहेको उनले पाए । संसारमा खराब सोच भएका मानिस पनि उत्तिकै छन् ।
विज्ञान तथा प्रविधिको विकासले मानव जीवनलाई सहज बनाउने प्रयत्नमा लागेका पनि त्यतिकै वैज्ञानिक छन् । ती प्रणालीकै दुरुपयोग गरी आनन्द लिने कमाइ खानेहरू ह्याकरहरू पनि प्रशस्तै छन् ।
यसै सन्दर्भमा सफ्टवयरमा अनेक सुरक्षा विधि अपनाउँदा अपनाउँदै पनि भाइरस छिर्यो, सिस्टम ह्याक भयो, अब के गर्ने ? मानौं माल्वेयर लाग्यो, जसको ‘एन्टी भाइरस’ पनि बनेको छैन, बनिहाल्ने संभावना पनि छैन । बेलाबखत समाचारमा सुनिन्छ, यति मिलियन ‘डाटा लस’ भयो ।
ती ‘अनइथिकल ह्याकर’ले डाटा ह्याक गरिदिन्छ । खासगरी कर्पोरेट क्षेत्रमा त्यसरी ‘डाटा ब्रिच’ गर्न सक्ने खालको कमजोर बिन्दुहरू कहाँ–कहाँ होलान्, क्रिप्टोजेन नेपालको समूहले भि.ए.पि.टी गरी परीक्षण गर्छन् । अर्कातर्फ केही गरी सूचना तथा सूचना प्रणालीमा त्यस्तो घटनाहरू देखा परी सूचित भएमा उनीहरू त्यसको ‘रुट कज एनालाइसिस’ अर्थात् अनुसन्धान पनि गर्छन् ।
यसका लागि ‘सेक्युरिटी अपरेसन्स सेन्टर’ (सक) मार्फत् पत्ता लगाएर सम्बन्धित संस्थालाई जानकारी दिइन्छ । त्यस्तो घटनाहरूलाई त्यसपछि के गर्ने, के गर्दा जोखिम न्यूनिकरण गर्न सकिएला अर्थात् ‘इन्सिडेण्ट रेस्पण्ड’ गर्नु ‘सक’को अर्को महत्वपूर्ण पक्ष हुन्छ ।
क्रिप्टोजेनको एउटा टीमले सम्बन्धित प्रणाली ह्याकरको जोखिम छ छैन हेर्छ, अर्कोले सेक्युरिटी घटनाहरूको सूचना दिन्छ र त्यस्तो घटनाहरूको सम्भावित समाधान पनि दिन्छ । उनीहरूले यही प्रणालीको लागि एउटा प्लटेफर्मको विकास गरेका छन्, जसको नाम ‘से–क्योर’ राखेका छन् । त्यहीबाट प्रणालीहरू सुरक्षित भए नभएको अध्ययन गर्छन् ।
अन्तर्राष्ट्रिय नियामक कम्पनी ‘स्विफ्ट’ले अन्तर्राष्ट्रिय तहमा पैसा आदानप्रदानको कारोबार गर्न बैंकहरूलाई ‘कस्टमर सेक्युरिटी प्रोग्राम (सिएसपी)’ अन्तर्गत उसले दिएको मार्गनिर्देश अनुसार कुनै पनि बैंकले स्विफ्टलाई सुरक्षित तवरले राखेको छ कि छैन भन्ने अनुगमन गर्न सहयोगी आइटी कम्पनीहरूलाई स्वतन्त्र मूल्याङ्कनकर्ताको सूची कायम गरेको हुन्छ । क्रिप्टोजेन नेपाल पनि एउटा स्विफ्टको ‘लिस्टेड कम्पनी’ हो ।
यसबाहेक ‘साइबर सुरक्षा’को हकमा सेवाग्राहीले मागेको जुनसुकै सेवा पनि दिँदै आएका छन् । सम्बन्धित विषयमा कर्पोरेट संस्थाहरूले चाहेको खण्डमा तालिम पनि प्रदान गर्ने गरेका छन् ।
डाटामाथिको विश्वसनीयता
उनको पेशाको उच्च विश्वसनीयतामा आधारित छ । सेवाग्राही संस्थाको गोप्य तथ्यांकसम्म उनीहरूको पहुँच हुन्छ । त्यसो हुँदा उनीहरूले सेवाग्राहीकै कार्यालयसम्म पुगेर अझ उनीहरूकै रोहबरमा बसेर सेवा दिन्छन् । उनी भन्छन्, ‘हामीलाई ती तथ्यांकहरू सम्वेदनशील छन् थाहा छ, त्यसैले हामी सकेसम्म आफूसँग राख्दैनौं, यसले अझ सेवाग्राहीको विश्वास बढेको छ ।’
सम्भावना र चुनौती सँगसँगै
जुनकुनै क्षेत्रमा संभावना जति हुन्छ, चुनौती पनि उस्तै । सेवाग्राहीको विश्वास जित्न पनि उत्तिकै मिहिनेत गर्नु पर्छ । आफ्ना प्रतिस्पर्धीहरूसँग पनि सामना गर्न पनि सजिलो छैन । हाल संसारमा नयाँ–नयाँ वेवसाइट बनिनै रहेका छन् , डिजिटाइजेसन भइनै रहेको छ; तिनमा कहीं न कहीं चुहिने छिद्र (लूप होल) हुन्छन् नै । त्यसले समस्या ल्याउँछन् नै ।
नेपाल उदाउँदो बजार हो; यसरी व्यवसायिक रुपमा राम्रो संभावना देखेपछि पनि उनको रुची यो क्षेत्रमा बढ्यो । भएका प्रतिस्पधीहरूसँग पनि स्वस्थ्य प्रतिस्पर्धा नै रहेको उनको अनुभव छ । क्रिप्टोजेनमा उनीसहित १८ जनाको समूह छ । उनको कम्पनीमा शुरुमा मूर्त सामानमा भन्दा अमूर्त पूर्वाधार विकासमा लगानी भएको थियो । हाल सेक्युरिटी अपरेसन्स सेन्टर (सक) को लागि रामै्र लगानी थपिएको छ ।
वसन्तले सबैभन्दा पहिले आफ्नो सपनाबारे निर्मलसँग कुरा गरे । निर्मल र अर्का साथी आदित्य अरुको कम्पनीको जागिरे जीवनबाट निस्केर आफैं केही गर्ने सोचमा थिए । जागिरे कालमैे विभिन्न कर्पोरेट कम्पनीहरूसँग विस्तार गरेकै सम्बन्धले उनीहरूलाई बैंक तथा विभिन्न कम्पनीमा छिर्न सजिलो भयो । उनीहरू अहिले ती सम्बन्धलाई थप बलियो र विस्तार गर्दै अघि बढिरहेका छन् ।
क्रिप्टोजेनले सरकारी, गैरसरकारी र बैंक तथा विभिन्न कर्पोरेट क्षेत्रमा सेवा प्रवाह गर्दै आएको छ । यो बिचमा एकाध सार्वजनिक टेन्डरमा पनि सहभागी भइसकेका छन् । वसन्तका अनुसार कम्पनीले हाल अष्टेलियामा पनि सेवा दिइरहेको छ । छिटै नै भारत, सिंगापुर र अमेरिका लगायत देशमा पनि सेवा विस्तार गर्ने तयारी छ ।
उनी भन्छन्, ‘उच्च प्रविधिको क्षेत्रमा कम्पनीले २५ हजार रुपैयाँदेखि सेवाको प्रकार र कार्यक्षेत्र हेरी एक करोड रुपैयाँभन्दा बढी शुल्क लिइन्छ ।’
कागजी ढड्डाभन्दा जोखिमपूर्ण डिजिटल संसार
सरकारी श्रेस्ता व्यवस्थापनका लागि अहिले पनि ठूला कागजी ढड्डाहरू प्रयोग हुन्छन् । लिखतहरू खोज्न परे तिनै ढड्डा पल्टाउनु पर्ने हुन्छ । तर, समय डिजिटल युगको आयो । सरकारी प्रणालीलाई पनि क्रमशः डिजिटल प्रणालीमा राख्न थालिएको छ । डिजिटल प्रणाली जति सहज, सरल पहुँचमा हुन्छ, त्यति नै उच्च जोखिमपूर्ण पनि । कागजी ढड्डाहरू माउले खान वर्षौं लाग्ला, तर ह्याकर वा भाइरस पस्यो भने निमेषभरमा सारा तथ्यांक सखाप हुन्छ ।
विश्वका विभिन्न ठूला कर्पोरेट कम्पनी हुन् वा उच्च सरकारी प्रणाली, बेला न बेला डाटा ह्याकिङको फन्दामा पर्ने गरेको पाइन्छ । यस्ता घटनाले सम्बन्धित निकाय ठूलो संकटमा पर्छन् । वसन्तको सपना भविष्यमा आइपर्ने त्यस्ता भयावह दुर्घटनाबाट यस्ता प्रणालीलाई जोगाउनु हो ।
उनी भन्छन्, ‘समस्यामा परिसकेपछि समाधान खोज्नु त दोस्रो कुरा भयो, मेरो सोच समस्या हुनै नदिने खोजमा तल्लिन हुनु हो । हाम्रो कम्पनी यसतर्फ बढी चासो राख्छ ।’
अहिले संसारभरी मोबाइल नचलाउने कोही पनि छैन, जुन इन्टरनेटसँग जोडिएको हुन्छ, जसलाई आइओटी डिभाइस (इन्टरनेट अफ थिङ्ग्स) भनिन्छ । यसरी हाम्रा डिभाइसहरू विभिन्न एप्लिकेशन लगायत अनेक तरिकाले अन्तरसम्बन्धित छन् । भाइरस वा ह्याकरहरूले तिनै अन्तरसम्बन्धमा प्रहार गर्ने हो ।
आफ्नो अनुभव सुनाउँदै उनी भन्छन्, ‘एउटा सेवाग्राहीको साइबर सुरक्षाको चेतना कम भएको कारणले त्यस संस्थाको प्रयोग गर्ने कम्प्यूटरमा माल्वेयर पसेछ । संस्थाको डाटा सब इनक्रिप्ट भयो, डिक्रिप्ट गर्न ह्याकरले ठुलो धनराशी रकम माग्यो, संस्थाले दिन सकेन । संस्थाको डाटा उड्यो । उनीहरू डाटा उडे पनि त्यसको मुल कारक पत्ता पाउन चाहन्थे, हामी गयौं अनुसन्धान ग¥यौैं अनि पत्ता पनि लाग्यो । एउटा उपाय सुझायौँ ।’
त्यही जोखिमलाई कम गर्न हामीले यी प्रणालीहरू विकास गर्दै जानु पर्छ भन्ने हो, प्रणालीमा हुने त्रुटिहरूलाई घटाउँदै लैजाने प्रयत्न पनि क्रिप्टोजेन जस्ता कम्पनीले गरिरहन्छन् ।
प्रकाशित मिति: मंगलबार, मंसिर २१, २०७८, २०:५०:००
प्रतिक्रिया