नेपालमा प्रस्तावित व्यक्तिगत डेटा संरक्षण विधेयक अझै कार्यान्वयनको चरणमै रहे पनि यसको संस्थागत तयारी न्यून छ। पछिल्ला वर्षहरूमा बढेका साइबर आक्रमणहरूले सर्वसाधारणदेखि ठूला कम्पनीहरूलाई समेत आतंकित पारेका छन्।

नेपाली संस्थाहरूमा देखिएका १५ प्रमुख कमजोरीहरू

साइबर सुरक्षाविद्हरूले नेपाली संस्थाहरूमा डेटा सुरक्षाका सन्दर्भमा १५ वटा मुख्य कमजोरीहरू औंल्याएका छन्:

१. डेटा सुरक्षा अधिकारी (DPO) को अभाव: अधिकांश संस्थामा डेटा सुरक्षाका लागि जिम्मेवार व्यक्ति तोकिएको छैन।

२. कानूनी ज्ञानको कमी: राष्ट्रिय तथा अन्तर्राष्ट्रिय डेटा संरक्षण कानुनबारे संस्थाहरूलाई जानकारी छैन।

३. डेटा वर्गीकरण नहुनु: संवेदनशील डेटा छुट्याएर राख्ने अभ्यास छैन।

४. स्वीकृति व्यवस्थापन कमजोर: ग्राहक वा प्रयोगकर्ताको स्पष्ट स्वीकृति नलिई डेटा प्रयोग गरिन्छ।

५. साइबर सुरक्षामा लगानीको कमी: आवश्यक सुरक्षात्मक उपकरण जस्तै फायरवाल (Firewall), एन्टिभाइरस (Antivirus) को प्रयोग निकै कम छ।

६. नियमित अडिटको अभाव: डेटा सुरक्षाको नियमित परीक्षण गर्ने चलन छैन।

७. घटना व्यवस्थापन योजना नबनाइनु: डेटा चुहावट भए कसरी प्रतिकार गर्ने भन्ने योजना नै छैन।

८. असुरक्षित सञ्चार माध्यमको प्रयोग: व्यक्तिगत म्यासेज एप वा इमेलबाट संवेदनशील जानकारी पठाइन्छ।

९. कर्मचारी तालिमको अभाव: सूचना सुरक्षाबारे कर्मचारीहरूलाई तालिम दिइँदैन।

१०. क्लाउड सेवामा जोखिम मूल्याङ्कन नगर्ने: सेवा प्रदायकसँग सम्झौता गर्दा सुरक्षा शर्तहरू नहेरी सम्झौता गरिन्छ।

११. कमजोर पासवर्ड नीति: कमजोर पासवर्ड र एकै पासवर्ड सबै प्रणालीमा प्रयोग गरिन्छ।

१२. डेटा मेटाउने नीति नहुनु: अनावश्यक डेटा कहिले हटाउने भन्ने नीति छैन।

१३. सुरक्षामा प्रविधिको प्रयोग नगर्नु: DLP (Data Loss Prevention), SIEM (Security Information and Event Management) जस्ता प्रविधिको प्रयोग छैन।

१४. बैंक र टेलिकम क्षेत्र अलिकति सचेत: नियामक निकायको कारण तुलनात्मक रूपमा सुरक्षामा अघि छन्।

१५. डिजिटल रूपान्तरणले सचेतना बढाउँदै: कोभिड (COVID) पछि केही संस्थाहरू डेटा सुरक्षातर्फ केन्द्रित हुन थालेका छन्।

सुधारका लागि १० बुँदे सिफारिस

नेपालमा डेटा सुरक्षाको अवस्था सुधार्नका लागि विज्ञहरूले निम्न १० बुँदे सिफारिस गरेका छन्:

१. DPO नियुक्त गर्नुपर्छ: डेटा सुरक्षाको जिम्मेवारी लिने योग्य व्यक्ति तोकिनु जरुरी छ।

२. डेटा सुरक्षा नीति बनाउनुपर्छ: संकलनदेखि नष्ट गर्ने प्रक्रिया स्पष्ट हुनुपर्छ।

३. कर्मचारी तालिम अनिवार्य: साइबर सुरक्षा चेतना अभिवृद्धि गर्न प्रशिक्षण कार्यक्रम आवश्यक छ।

४. संवेदनशील डेटा वर्गीकरण र इन्क्रिप्सन: महत्त्वपूर्ण जानकारी सुरक्षित राख्नुपर्छ।

५. एक्सेस नियन्त्रण कडा बनाउनुहोस्: रोल-आधारित पहुँच र दुई-तह प्रमाणीकरण (Two-Factor Authentication) अनिवार्य गरिनुपर्छ।

६. नियमित अडिट र निगरानी गर्नुहोस्: डेटा प्रयोगको अनुगमन आवश्यक छ।

७. डेटा चुहावट प्रतिक्रिया योजना बनाउनुहोस्: घटना भए तत्काल प्रतिक्रिया दिन योजना बनाइनुपर्छ।

८. सुरक्षित सञ्चार माध्यम प्रयोग गर्नुहोस्: इन्क्रिप्टेड इमेल, क्लाउड सेवा प्रयोगमा ल्याउनुपर्छ।

९. डेटा राख्ने र मेट्ने नीति बनाउनुहोस्: अनावश्यक डेटा समयमै हटाउनुपर्छ।

१०. अन्तर्राष्ट्रिय मापदण्डमा आधारित अभ्यास: GDPR (General Data Protection Regulation), ISO/IEC 27001 वा नेपालको कानुन अनुसार काम गर्नुपर्छ।

साइबर आक्रमणको बढ्दो जोखिम

नेपालमा हालसालै भएका विभिन्न साइबर आक्रमणले सबै क्षेत्रका व्यवसायलाई प्रभावित पारेका छन्। वित्तीय संस्थादेखि स्वास्थ्य सेवा प्रदायकसम्म आक्रमणको लक्ष्य बन्न थालेका छन्। विश्वव्यापी रूपमा खर्बौं डलरको क्षति गराउने साइबर आक्रमण अब नेपालमा पनि नियमित चुनौती बनेको छ।

साइबर आक्रमणका मुख्य ५ तरिका:

१. वेब सफ्टवेयरमा कमजोरी: SQL Injection, Remote File Inclusion, XSS (Cross-Site Scripting) आदि आक्रमणमार्फत डेटा चोरी।

२. नेटवर्क तहको कमजोरी: Wi-Fi वा LAN (Local Area Network) को माध्यमबाट पासवर्ड चोरी (Man-in-the-Middle)।

३. सिस्टम सफ्टवेयर वा OS मा कमजोरी: पुराना वा अपडेट नगरेका सिस्टमहरूमा Ransomware आक्रमण।

४. हार्डवेयर स्तरको कमजोरी: यन्त्रकै त्रुटिबाट डेटा चुहावटको सम्भावना।

५. सोसल इन्जिनियरिङ (Social Engineering): प्रयोगकर्तालाई झुक्याएर मालवेयर इन्स्टल गराउने प्रयास।

साइबर आक्रमणको दोष कसको?

सफ्टवेयर निर्माता, सेवा प्रदायक, कम्पनी कर्मचारी वा नेटवर्क प्रदायक सबैमा आंशिक दोष देखिन्छ। तर, सबैभन्दा प्रमुख कारण भनेको सुरक्षा अडिटको अभाव र जनचेतनाको कमी हो।

प्रयोगकर्तालाई सुझाव

साइबर आक्रमणबाट जोगिन प्रयोगकर्तालाई केही महत्त्वपूर्ण सुझावहरू:

• कडा पासवर्ड राख्नुहोस्: अल्फान्युमेरिक र विशेष चिह्न समावेश गरिएका पासवर्ड प्रयोग गर्नुहोस्।
• दुई-तह प्रमाणीकरण (2FA) प्रयोग गर्नुहोस्: पासवर्ड बाहेक अर्को तह सुरक्षा प्रयोग गर्नुस्।
• खुला Wi-Fi प्रयोग नगर्नुहोस्: सार्वजनिक Wi-Fi मा संवेदनशील कार्य नगर्नुहोस्।
• फरक फरक पासवर्ड राख्नुहोस्: सबै खातामा एउटै पासवर्ड प्रयोग नगर्नुहोस्।
• पासवर्ड चोरी भए/नभएको जाँच: https://haveibeenpwned.com बाट आफ्नो पासवर्ड चोरी भएको छ/छैन भन्ने जानकारी लिनुहोस्।
• फायरवाल (Firewall) र एन्टिभाइरस (Antivirus) प्रयोग गर्नुहोस्: सिस्टम सुरक्षाका लागि नियमित अपडेट गर्नुहोस्।
• सफ्टवेयर अपडेट गर्दै जानुहोस्: ओएस (OS) र एप्स सबै नियमित अपडेट गरिरहनुहोस्।
• पासवर्ड गोप्य राख्नुहोस्: पासवर्ड कसैसँग पनि साझा नगर्नुहोस्।

नेपाल डिजिटल युगमा प्रवेश गर्दै गर्दा डेटा सुरक्षा र साइबर सुरक्षा अत्यन्त महत्त्वपूर्ण विषय बनेका छन्। कानुनी रूपमा सुदृढ प्रणाली निर्माण, संस्थागत सुधार, र आम नागरिकको सचेतना बिना सुरक्षित डिजिटल भविष्य सम्भव छैन।

व्यक्तिगत डाटा संरक्षण नीतत – २०८२ को मस्यौदा यहाँबाट हेर्न सकिन्छ: https://giwmscdntwo.gov.np/media/pdf_upload/PDP_Draft_public_gbtnock.pdf