जोखिमको चौघेरामा सरकारी सर्भर

१६ माघ, काठमाडौं । शनिबार झण्डै चार घण्टा सरकारका सबै वेबसाइट ‘डाउन’ भए । सिंहरबारदरस्थित राष्ट्रिय सूचना प्रविधि केन्द्र (एनआईटीसी) मा रहेको सूचना प्रविधि प्रणालीमा समस्या आएर अनलाइनमा दर्ता अभिलेख नचल्दा अन्तर्राष्ट्रिय उडानदेखि सरकारी फारम भर्ने सेवासम्म देशैभर प्रभावित भए ।

केन्द्रका प्रवक्ता रमेश पोखरेलका अनुसार एकसाथ धेरै ठाउँबाट प्रणालीमा अनधिकृत पहुँच स्थापित गर्न साइबर आक्रमण हुँदा यस्तो समस्या आएको हो ।

सर्भर डाउन हुने समस्या नेपालका सरकारी निकायमा सेवा लिनेहरुका लागि नयाँ होइन । प्रवक्ता पोखरेलका अनुसार यस्ता समस्या सधैं एउटै कारणले आउँदैन । तर, मुख्य रुपमा समस्याहरु पहिचान भइसक्दा पनि आवश्यक सुधार तथा अद्यावधिक गर्नेतर्फ ध्यान नदिंदा लगातारजसो सिस्टम डाउन भएर धेरैबेर लाइन बस्दा पनि कर तिर्न समेत सकिंदैन भने कहिले घरबाट पासपोर्टको फारम भर्न पनि सकस पर्छ ।

राष्ट्रिय सूचना प्रविधि केन्द्र सञ्चालनमा ल्याएको प्रणालीमा बारम्बार सर्भर डाउन हुने, इन्टरनेट सेवा धेरैपटक बिच्छेद भइरहने, इमेलमा विभिन्न समस्या आइरहने, होस्टिङ भएका वेबसाइट नखुल्ने वा ढिला खुल्ने लगायत अनेकन समस्या छन् । यस्तो समस्या पर्दा एनआईटीसीमा गुनासो गर्न सरोकारवाला निकायका लागि एउटा डेडिकेटेड कल सेन्टरसमेत छैन ।

यसरी बारम्बार गइरहने प्रणालीको गुणस्तरमा सुधार हुने गरी योजनाबद्ध रुपमा काम भएको छैन । कार्यालय स्तरमा देखिएका समस्या केन्द्रसम्म नआइपुग्ने र आए पनि समयमै समाधान नहुने गर्दा पटक–पटक घण्टौं सर्भर डाउन भएर सेवाग्राहीले सास्ती बेहोर्नु परिरहेको छ । यसकै कारण सरकारको तथ्यांक प्रणालीले विश्वसनीयता पनि गुमाउँदै गएको छ ।

महालेखा परीक्षाको कार्यालयको सूचना प्रविधिको लेखा परीक्षण प्रतिवेदन–२०७८ ले तथ्यांकको सुरक्षा सम्बन्धमा बहुपक्षीय विश्लेषण र समाधानको उपयुक्त संयन्त्र नहुँदा डाटा सेन्टरका तथ्यांकको पाइरेसी, ह्याकिङ, भाइरस, फिसिङ, मालवेयर जस्ता साइबर थ्रेटको जोखिम रहने औंल्याएको छ । ‘केन्द्रमा रहेको तथ्याङ्क सुरक्षा प्रणाली डाटा सेन्टरको अन्तर्राष्ट्रिय मापदण्डबमोजिम सुरक्षित र भरपर्दो छ भनी आश्वस्त हुने आधार रहेन’, प्रतिवेदनमा भनिएको छ ।

छैन उपकरणको तथ्यांक

सन्‌ २००१ मा सूचनाको डेटा बैंकको रूपमा स्थापित राष्ट्रिय सूचना प्रविधि केन्द्रले डेटा भण्डारण, व्यवस्थापन, प्रशोधन तथा सुरक्षण, साझा कम्प्युटिङ स्रोतहरु, परामर्श सेवा, सरकारी डोमेन दर्ता, इमेल सर्भर, सरकारी नेटवर्क व्यवस्थापन, जनशक्ति तालिम, कोलोकेसन सेवा, भर्चुअलाइजेसन, क्लाउड सेवा, वेब होष्टिङ, सफ्टवेयर विकास, डेटा केन्द्र सञ्चालन लगायत सेवा प्रवाह गर्दै आएको छ ।

कोरिया सरकारको सहयोगमा २००९ मा स्थापित भण्डारण सञ्जाल ‘सरकारी एकीकृत डेटा केन्द्र’ सञ्चालन गर्नु उसको मुख्य काम हो । डेटा सुरक्षाका लागि ३१ वैशाख २०७६ देखि मकवानपुरको हेटौंडामा ‘डिजाष्टर रिकभरि केन्द्र’ समेत सञ्चालन भएको छ ।

१५ औं पञ्चवर्षीय योजनामा डिजिटाइजेसनमार्फत सामाजिक, आर्थिक र शासकीय व्यवस्थामा सुधार गर्ने रणनीति लिइएअनुसार डिजिटल फ्रेमवर्क कार्यान्वयन गर्न यो केन्द्रको मुख्य भूमिका छ ।

तर, केन्द्रको व्यवस्थापन र सञ्चालन यति भद्रगोल छ कि तथ्यांकीय सुरक्षामा प्रश्न गर्न प्रशस्तै ठाउँहरु छन् । महालेखाको सूचनाप्रविधिको लेखा परीक्षण प्रतिवेदनले केन्द्र कति कमजोर व्यवस्थापनसहित चलिरहेको छ भन्ने स्पष्ट गर्छ ।

महालेखाले केन्द्रसहित त्यहाँको र्‍याकमा सर्भर राखेर सेवा दिने कार्यालय र निकायहरुको यन्त्र उपकरण जस्ता सम्पत्तिहरुको अभिलेखसमेत व्यवस्थित ढंगले नराखेको औंल्याएको छ । अहिलेसम्म पनि केन्द्रले त्यहाँ रहने सर्भरको क्षमता कति हो र सेवाग्राहीको चापअनुसार ती सर्भरको हुनुपर्ने क्षमता कति हो भन्ने विश्लेषण समेत गरेको हुँदैन । यसले गर्दा कतिपय सेवाप्रदायक संस्थाको सर्भर सेवाग्राहीको चापको कारण डाउन वा ढिलो भइरहने गरेको छ ।

खरिद गरिएको सफ्टवेयर र यसको नियमित रुपमा अद्यावधिक गर्नुपर्ने अवधि, हार्डवेयरको प्रयोग गर्न मिल्ने आयु, लाइसेन्स अवधि र अवधि बाँकी रहेको लाइसेन्स, इमेल सर्भरको लाइसेन्स अवधि, विद्युत आपूर्तिको वैकल्पिक श्रोतको रुपमा प्रयोग भएका ब्याट्रीमा पानी फेर्ने अवधि, अग्नि निवारक यन्त्रको ग्यास फेर्ने समय जस्ता विवरण केन्द्रले राख्ने गरेको छैन । यस्ता उपकरणमा बारम्बार आउने समस्याले पनि सरकारको सर्भर डाउन हुने समस्या व्याप्त छ ।

सर्भरहरुको एकमुष्ट विवरणका साथै कार्यालयहरुमा जडान भएको इन्टरनेट लाइनमा समस्या भए सम्पर्क व्यक्तिको विवरण समेत अभिलेख केन्द्रमा छैन । सूचना केन्द्रका निश्चित कर्मचारी र पदाधिकारीहरुलाई मात्र थाहा हुने र उनीहरु केन्द्रमा नभएको अवस्थामा कुनै समस्या आइपरे तुरुन्तै समाधान हुँदैन ।

आन्तरिक नियन्त्रण तथा परीक्षण प्रणालीलाई पनि केन्द्रले चुस्त बनाएको छैन । डेटा सेन्टरमा जडान भएका यन्त्र–उपकरण, प्रविधि, सफ्टवेयर, नेटवर्किङ, इन्टरनेट, डाटाबेस, पावर ब्याकअप, विद्युत प्रवाह, अग्नि निवारक यन्त्र, कुलिङ सिस्टम, मनिटरिङ कन्ट्रोल, सेक्युरिटी आदि सूचना प्रविधि संयन्त्रको प्रभारिकताबारे नियमित प्राविधिक जाँच तथा परीक्षण गराउने पद्धति छैन । प्रणाली, यन्त्र–उपकरण लगायत समग्र संयन्त्रमा भएका समस्याबारे केन्द्र अनभिज्ञ रहने अवस्था छ ।

केन्द्रका एक कर्मचारीका अनुसार नियमित परीक्षण नहुँदा सानातिना समस्या पनि बेलैमा समाधान नभएर पछि जटिल हुने गरेको छ । हालसम्म डेटा सेन्टरको आन्तरिक सिस्टम अडिट र नियमित टेक्निकल अडिटमा पनि ध्यान गएको छैन ।

गुणस्तर प्रमाणीकरण नभएको सरकारी सर्भर

अधिकांश सरकारी मन्त्रालय तथा निकायहरुको अति महत्वपूर्ण र गोप्य सूचना भण्डारण हुने तथा अत्यावश्यक सेवा प्रदान गर्ने डेटा सेन्टर जस्तो सम्वेदनशील निकायको गुणस्तर परीक्षण र स्तर निर्धारण समेत भएको छैन ।

केन्द्रले डेटा सेन्टरको अन्तर्राष्ट्रिय स्तरको सुरक्षा मापदण्ड पुरा हुने गरी बहुपक्षीय तथा बहुतहको तथ्यांक सुरक्षाको व्यवस्था पनि गरेको छैन । भरपर्दो तथ्यांक सुरक्षा र पहुँच नीति पनि नबनाई केन्द्र चलाइँदैछ ।

कुनै निकायले सञ्चालन गरेको डेटा सेन्टर तोकिएको मापदण्ड अनुसारको छ वा छैन भन्ने निश्चित र विश्वस्त हुनको लागि राष्ट्रिय वा अन्तर्राष्ट्रिय मान्यता प्राप्त स्वतन्त्र निकायबाट परीक्षण गराएर प्रमाणपत्र लिनुपर्ने हुन्छ । त्यस्तो प्रमाणपत्र दिने निकायको मापदण्ड तथा मार्गदर्शनअनुसार नियमित आन्तरिक तथा बाह्य परीक्षण समेत गराउनुपर्छ ।

तर, ‘आईएसओ २७००१ प्रमाणपत्र’ लिने विश्वव्यापी मान्यता र असल अभ्यासअनुसार डेटा सेन्टर सञ्चालन गर्न चासो दिइएको छैन । हेटौंडाको डिजाष्टर रिकभरि केन्द्रले पनि गुणस्तर प्रमाणीकरणको काम गरेको छैन ।

‘ढिलै भएपनि आईएसओ प्रमाणपत्र लिने प्रक्रिया थालिएको छ,’ केन्द्रका प्रवक्ता रमेश पोखरेल भन्छन्, ‘अब डेटा फिल्टर अडिट पनि गर्छौं ।’

बाह्य निकायबाट प्राविधिक परीक्षण नगराउँदा डेटा सेन्टरमा साइबर र भौतिक सुरक्षा जोखिम पत्ता लाग्दैन । पूर्वाधारको गुणस्तर, वातावरण, सुरक्षा, पहुँच, प्रकोप व्यवस्थापन आदि दृष्टिकोणबाट तोकिएको मापदण्ड अनुसारको र प्राविधिक रुपमा डेटा सुरक्षित छ भन्ने आधार अहिलेसम्म सरकारले दिन सकेको छैन ।

त्यसकै कारण गत ९ असोजमा डिजाष्टर रिकभरि केन्द्रमा आगलागी भयो । यसले सरकारी सूचना दिगो र सुरक्षित तरिकाले भण्डारण भएकोमा विश्वस्त हुने अवस्था नरहेको प्रष्ट भइसकेको छ ।

भद्रगोल जनशक्ति व्यवस्थापन

तथ्यांकीय सुरक्षामा महत्वपूर्ण भूमिका खेल्ने जनशक्ति व्यवस्थापनमा पनि केन्द्र चुकेको छ । व्यवसायिक आवश्यकता पूर्तिका लागि दक्ष जनशक्ति भर्ना र व्यवस्थापन गर्ने योजना नै तयार भएको छैन ।

एनआईटीसी र डिजास्टर रिकभरी केन्द्र हेटौंडामा कार्यकारी निर्देशकको नेतृत्वमा करिब ५० कर्मचारी छन् । तर, लेखा हेर्नेबाहेकका अधिकांश कर्मचारीहरु करार सेवाका हुन् । डेटा सेन्टर चलारहेको जनशक्तिले कामको प्रकृति अनुसारको विशिष्ट योग्यता, दक्षता, विज्ञता हासिल गरेका छैनन् । कति त मन्त्री, नेताहरुको सिफारिसमा नियुक्ति लिएर आएका छन् ।

अविच्छिन्न चलाइराख्नुपर्ने भएकोले डेटा सेन्टरमा विशेष दक्षता प्राप्त जनशक्ति निरन्तर उपस्थित हुनुपर्छ । नेटवर्क, डेटाबेस, कुलिङ, पावर, नेटवकिङ तथा अन्य पूर्वाधारबारे विज्ञ र सम्बन्धित विषयका दक्ष जनशक्ति व्यवस्था गर्नु पर्नेमा त्यसअनुसार भएको छैन । डेटा सेन्टर पूर्वाधार, नेटवर्क र सेक्युरिटी, डेटावेसतर्फ विशिष्ट योग्यता भएका कर्मचारीहरुको आवश्यकता पर्ने भएपनि पूर्तिमा ध्यान छैन ।

फरक–फरक र विशिष्टिकृत जनशक्तिको अभावमा सीमित व्यक्तिलाई धेरै क्षेत्र र धेरै प्रकारको जिम्मेवारी दिइएको छ । डेटाबेस इन्जिनियर, सिष्टम इन्जिनियर, नेटवर्क इन्जिनियर, डेटा सेन्टर इन्जिनियर जस्ता पद सिर्जना भएको छैन । यी काम सबै कम्प्युटर इन्जिनियरले भाग लगाएर हेरिरहेका छन् । यसकै कारण केन्द्र विशिष्टिकृत कामको लागि बाह्य पक्षसँग निर्भर छ ।

डेटा सेन्टरमा दक्षता हासिल गरेका जनशक्ति पनि स्थायी नभई करारका हुँदा उनीहरुले छाडिरहने समस्या छ । यस्ता कर्मचारी राम्रो अवसर पाउँदा जुनसुकै बेला केन्द्र छाडेर अन्यत्र काम गर्न सक्ने अवस्था रहेको सञ्चार तथा सूचना प्रविधि मन्त्रालयका अधिकारीहरु बताउँछन् ।

करार सेवामा कार्यरत जनशक्तिको लामो समयसम्म रोजगारीमा रहने सुनिश्चितता तथा वृत्ति विकास निश्चित नहुने हुँदा तालिम र अनुभव लिएपछि केन्द्र छोडेर जाने अनुपात बढ्दो छ । गत वर्ष केन्द्रको कार्यकारी निर्देशक रहेका सुनिल पौडेल नेपाल टेलिकममा प्रबन्ध निर्देशक हुन गएका थिए ।

केन्द्रका करार सेवाका कर्मचारीसँगै गोप्य सूचना र तथ्यांकहरु पनि बाहिरिन सक्ने पक्षमा सरकारले ख्याल नै गरेको छैन । त्यहाँ काम गरेका कर्मचारीलाई अन्यत्र जाँदा ‘कुलिङ पिरियड’ तोकिएको छैन ।

आफ्नो जनशक्तिले गर्न नसकेको कामका लागि बाह्य सेवा प्रदायकबाट आउटसोर्सिङ गर्ने विषयमा केन्द्रले तथ्यांकीय सुरक्षाको सवाललाई केन्द्रमा राखेर नीति बनाएको छैन । अहिले आउटसोर्स गर्न गोपनीयता, सुरक्षा, पहुँचका प्रावधानबारेमा स्पष्टता छैन । कस्ता प्रकृतिका काम आफैंले गर्ने र कस्तोमा आउटसोर्सिङ गर्ने भन्ने स्पष्ट नीति छैन ।

यस्तो सम्वेदनशील निकायमा नेपाल सरकारका स्थायी कर्मचारी पर्याप्त नहुनुले उत्तरदायित्व तथा जिम्मेवारी वहनको दृष्टिकोणबाट समेत सेवाको गुणस्तरमा सुनिश्चतता हुन नसकेको यातायात विभागका एक अधिकारीले बताए । ‘करारको जागिरको कसैलाई धेरै माया हुँदैन,’ ती अधिकारी भन्छन्, ‘सर्भर डाउन भएपनि केन्द्रका मान्छेलाई खासै तनाव हुँदैन, किनभने सबै अपजस बोक्ने र गाली खाने हामीले हौं ।’

केन्द्रका कर्मचारीरुले प्रविधिको बदलिंदो प्रयोगबारे वृत्ति विकास गर्ने गरी तालिम समेत पाउने गरेको छैनन् । कतिपय प्राविधिक जटिलता समाधान गर्न निजी क्षेत्रबाट मान्छे लैजानुपर्ने बाध्यता केन्द्रलाई छ । यस्तो अवस्थामा पनि केन्द्रको प्राविधिक क्षमता सुधार र विस्तारको योजना बन्न सकेको छैन ।

कमजोर सुरक्षा र पूर्वाधार

पूर्वाधार सुधारमा पनि केन्द्रले चासो दिएको छैन । केन्द्रमा भरपर्दो र वैकल्पिक इन्टरनेट कनेक्टिभिटीको समस्या छ । प्रवाह भएको इन्टरनेट सेवाको गुणस्तर प्रभावकारी भए/नभएको निरन्तर परीक्षण गरेर इन्टरनेट कटअफ र गतिको उतार–चढावलाई कम गर्ने केन्द्र चुक्दै आएको छ ।

सुरक्षा जोडिने विषयमा केन्द्र सम्वेदनशील नहुँदा पनि सर्भरमा समस्या आउने जोखिम छ । केन्द्रका यन्त्र–उपकरण लिलाम बिक्री गर्दा पनि सुरक्षामा ध्यान नदिएको पाइएको महालेखाको प्रतिवेदनमा उल्लेख छ ।

सूचना प्रविधिका उपकरणहरुमा लामो समय सूचना भण्डारण गर्ने हार्ड डिस्क, सिडी, म्याग्नेटिक टेप, म्याग्नेटिक डिस्क, माइक्रो फिल्म, चिप्स, मेमोरी कार्ड, फ्ल्यास स्टोरेज, फ्लपी डिस्क, जिप डिस्क, अप्टिकल डिस्क, डीभीडी, म्याग्नेटो अप्टिकल डिस्क, सिम कार्ड, पेन ड्राइभ जस्ता डिभाइसहरु जडान भएका हुन्छन्‌ ।

यस्ता यन्त्र–उपकरण लिलाम बिक्री गर्दा जडान भएका डिभाइसहरुसँगै सूचना पनि जाने भएकाले अति सम्वेदनशील र गोप्य सरकारी सूचना बाहिरिने र दुरुपयोग हुन सक्ने जोखिम हुने महालेखाले जनाएको छ ।

‘त्यस्ता डिभाइसहरुमा भण्डारण भएका सूचना साधारण तरिकाले मेटाउँदा पनि विभिन्न टुल्स प्रयोग गरेर पछि रिकभर गर्न सकिने हुनाले लिलाम बिक्री पश्चात बाह्य पक्षले दुरुपयोग गर्नसक्ने जोखिम रहन्छ,’ महालेखाले भनेको छ, ‘यस्ता उपकरणमा जडान भएको भण्डारण डिभाइसहरुलाई विद्युतीय तथा चुम्बकीय प्रविधिबाट निस्तेज गर्ने अभ्यास समेत रहेको पाइन्छ । लिलाम विक्री गर्नुभन्दा पहिला सूचना प्रविधि यन्त्र तथा उपकरणहरुमा भण्डारण भएका तथ्यांक, विवरण तथा अभिलेख सुरक्षित र व्यवस्थित तरिकाले राख्नुपर्छ । लिलाम बिक्री गर्नुपूर्व उपकरणहरुमा रहेको डाटा एवं सूचनालाई पूर्णरुपमा नष्ट गरिएपछि लिलाम गर्नुपर्छ ।’

केन्द्रमा बाह्य पहुँच पनि कडाइ गरिएको छैन । केन्द्रमा अवलोकन, अध्ययन, भ्रमण, अनुसन्धान गर्न विभिन्न सरकारी तथा बाह्य निकायका व्यक्तिहरु तथा डेटा सेन्टरको सुविधा लिएका निकायका कर्मचारीहरु समेत बारम्बार आइरन्छन् । त्यसलाई ध्यानमा राखेर पहुँच नियन्त्रणको लागि बहु–आयामिक प्रमाणीकरण गर्ने व्यवस्था पनि हुन सकेको छैन ।

हस्तलिखित आगन्तुक पुस्तिकामा प्रविष्टि गरेपछि प्रवेश दिने व्यवस्थामा समेत हेलचेक्र्याइँ हुँदै आएको छ । सफ्टवेयरमा सम्पूर्ण विवरणसहित नाम दर्ता गरेर प्रवेश दिने गरी पहुँच नियन्त्रणको व्यवस्था गर्न केन्द्रले ध्यान दिएको छैन । केन्द्र प्रवेशका लागि विद्युतीय गेटपास, कार्ड, बायोमेट्रिक उपकरणसहित बहुतहको सुरक्षात्मक व्यवस्था छैन ।

डेटा सेन्टरमा कर्मचारीहरुको ‘थम्ब’बाट खुल्ने ढोका भएपनि एकजनाले खोलेको ढोकाबाट अरु पनि पस्नसक्ने जोखिम छ ।

यस्तो सुरक्षाको सवाल कर्मचारीको हकमा मात्रै छैन, इमेल सेवा, डाटाबेस सेवा, प्रणाली सुरक्षा सेवासहित विभिन्न यन्त्र–उपकरण खरिद गर्दा ती सेवा र यन्त्र उपकरणहरु निश्चित अवधिसम्म ठेकदार वा परामर्शदाता कम्पनीका कर्मचारीले डेटा सेन्टरमै बसेर सञ्चालनमा सहजीकरण गरिदिने सर्तमा सम्झौता हुने गरेको छ । यस्तो व्यवस्थाले तोकिएकोभन्दा बढी अवधिसम्म त्यस्ता कम्पनीका कर्मचारी डाटा सेन्टरमा रहने समस्या छ ।

सप्लायर्सका कर्मचारीलाई डेटा सेन्टरका सबै सूचना, इमेल सर्भरको कन्ट्रोल प्यानेल तथा वेबसाइटको मुख्य नियन्त्रण तथा यन्त्र उपकरणहरु खोल्ने, जोड्ने, बन्द गर्ने लगायतका काममा पहुँच दिएको महालेखाको प्रतिवेदनमा उल्लेख छ । केन्द्रका प्रवक्ता पोखरेल ‘नन–डिस्क्लोजर एग्रिमेन्ट’का आधारमा उनीहरुलाई केन्द्रमा पहुँच दिइएको बताउँछन् । ‘यो संसारभरि नै हुने कुरा हो,’ उनी भन्छन् ।

डेटा सेन्टरभित्र छिरेपछि यन्त्र–उपकरण नजिक जान, छुन रोक लगाउने संयन्त्र पनि छैन । कोलोकेसन सुविधा लिएका अन्य निकायका कर्मचारीलाई यन्त्र–उपकरण जडान गर्न, फेर्न, मर्मत गर्न, बाहिर लैजान सहज पहुँच छ । उपकरण खरिद गरेर डाटा सेन्टरको भण्डारमा राख्न र लैजान समेत खुला छुट छ ।

यसले डेटाको गोपनीयता र सुरक्षा जोखिममा पर्ने, उपकरण बिग्रने, हराउने, कनेक्सन बिच्छेद हुने तथा रेडियसन, तापक्रम, विद्युत प्रवाहका कारण यन्त्र उपकरण अस्थिर भएर दुर्घटना हुनसक्ने जोखिम छ ।

डेटा सेन्टरमा भौतिक सुरक्षा तथा पहुँच नियन्त्रणका लागि नीति र उच्च सुरक्षात्मक बहु–आयामिक प्रमाणीकरणयुक्त विद्युतीय प्रणाली राखेर स्वचालित नियन्त्रण संयन्त्र लागु गर्न ध्यान दिइएको छैन ।

‘डेटा सेन्टरको भण्डारमा रहेका बाह्य निकायका कतिपय यन्त्र उपकरणहरु कसको हो, कहिलेदेखि राखेको सोको जानकारी हुने गरी कुनै अभिलेख राख्ने गरेको पाइएन,’ महालेखाले प्रतिवेदनमै भनेको छ, ‘पहुँच नियन्त्रणको व्यवस्था फितलो रहेका कारण अनधिकृत व्यक्तिको प्रणालीमा पहुँच हुन सक्दछ वा आधिकारिक व्यक्तिले पनि चाहिनेभन्दा बढी पहुँच पाउन सक्छन् ।’

साइबर सुरक्षाविज्ञ नारायण कोइराला सरकारले नीति र योजना बनाएर नै साइबर र तथ्यांकहरुको सुरक्षामा ध्यान दिनुपर्ने बताउँछन् । ‘के–के गर्नुपर्छ भन्ने कुराको सूची लामो हुन्छ,’ उनी भन्छन्, ‘नेपाली सरकारी वेबसाइट र सर्भर सुरक्षाका लागि संघीय सरकारले गम्भीर भएर नीति, योजना र विधिहरु बनाउनुपर्छ, नत्र जोखिम बढेरै जान्छ ।’