३ फागुन, काठमाडौं । त्रिभुवन विश्वविद्यालयले विद्यार्थीलाई प्रमाणपत्रसम्बन्धी सेवा अनलाइनबाटै दिने घोषणा गरेको १५ माघमै उसको वेबसाइट हृयाक भयो । हृयाक भएको वेबसाइट त्रिविले सञ्चालनमा लगाउन नै लामो समय लगायो ।
सेवा सुरु गरेको घोषणा गरेकै दिन वेबसाइट हृयाक हुनुले त्रिविले आवश्यक सुरक्षा प्रबन्ध नगरेको साइबर क्षेत्रका विज्ञहरुले बताएका छन् ।
साइबर विज्ञ नरेश लामगादे हजारौं विद्यार्थीको तथ्यांक लिएर बसेका त्रिभुवन विश्वविद्यालयजस्ता निकायले अनिवार्य रुपमा साइबर सेक्युरिटी अडिट (साइबर सुरक्षा जाँच) गर्नुपर्ने बताउँछन् ।
अझ सरकारले यस्ता संस्थालाई साइबर सुरक्षा जाँच गर्ने बाध्यकारी कानुन ल्याउनुपर्ने पनि उनको मत छ । साइबर सुरक्षाको सेरोफेरोमा रहेर उनीसँग अनलाइनखबरकी नुनुता राईले गरेको कुराकानीको सम्पादित अंश :
त्रिभुवन विश्वविद्यालय वेबसाइट हृयाक हुनु कत्तिको गम्भीर विषय हो ?
लाखौं विद्यार्थीको व्यक्तिगत विवरणसहितको शैक्षिक प्रमाणपत्रहरु हुने भएकाले त्रिभुवन विश्वविद्यालयको वेबसाइट हृयाक हुनु ज्यादै संवेदनशील विषय हो ।
विभिन्न देशहरुले साइबर सुरक्षाका लागि कडा कानुनहरु बनाइरहेका छन् । कारणवश कुनै कम्पनीको डेटा लिक भयो भने करोडौं क्षतिपूर्ति तिर्नुपर्ने व्यवस्थाहरु गरिएका छन् ।
साइबर सुरक्षा प्रभावकारी बनाउन नियामक निकायहरुको भूमिका महत्वपूर्ण हुन्छ । पछिल्लो समय नेपाल राष्ट्र बैंकले सबै बैंकको साइबर सेक्युरिटी अडिट गर्नैपर्ने नीति बनाइएको छ । बीमा कम्पनीहरु र नेपाल टेलिकमले पनि नीति बनाएका छन् ।
तर, शैक्षिक क्षेत्रमा अहिलेसम्म यस्तो नीति बनेको छैन । विश्वविद्यालयहरुले पनि साइबर सेक्युरिटी अडिट गर्नुपर्ने नीति ल्याउने हो भने यस्तो जोखिम कम हुन्छ । त्रिविको घटनाले पनि अब यस्तो नीति ल्याउनैपर्ने देखिन्छ ।
वेबसाइट भर्खरै कक्षा १२ मा कम्प्युटर साइन्स पढिरहेका विद्यार्थीहरुले ह्याक गरेको भन्ने कुरा आएको छ, यो कसरी सम्भव हुन्छ ?
ह्याकरहरुको कुरा सुन्दा त्रिवि परीक्षा नियन्त्रण कार्यालयको पोर्टल एकदमै सामान्य रुपमा डेभलप गरेको बुझिन्छ । हृयाकरले एडमिन प्यानलबाट पसेर हृयाक गरेको भनिरहेका छन् । एप्लिकेसन बनाउँदा एड्मिन प्यानलहरु सुरक्षा जाँच नगरी सञ्चालनमा ल्याएको देखिन्छ । सुरक्षालाई कत्ति पनि ध्यान नदिई वेबसाइट बनाइयो, जसको कारण भर्खर पढिरहेकाहरुले पनि सहजै कमजोरी पत्ता लगाए र हृयाक गर्न सफल भए ।
वेबसाइट सेक्युरिटी परीक्षण वेवसाइट डेभलपरले गर्नुपर्थ्यो कि त्रिविले ?
वेबसाइट डेभलपर कम्पनीले वेबसाइट बनाइसकेपछि हतारमा विश्वविद्यालयलाई हस्तान्तरण गरेको हुनसक्छ । हाम्रो देशमा अधिकांश अवस्थामा त्यस्तै हुने गरेको छ । तर, त्रिविले आफ्नो लाखौं विद्यार्थीको डाटा भएको वेबसाइट सुरक्षित छ कि छैन भनेर जाँच्नुपर्थ्यो ।
आफ्नो विद्यार्थीको डाटा सुरक्षित गर्ने त्रिविको दायित्व हो । अथवा यस्तो संवेदनशील वेबसाइट बनाउनुअघि नै सम्बन्धित कम्पनीलाई वेबसाइट सुरक्षित बनाउन निर्देशन अथवा सचेत गराउनुपर्थ्यो । अथवा त्रिविले अर्को कुनै कम्पनीलाई पनि हाम्रो वेबसाइटको सुरक्षा कस्तो छ भनेर जाँच्न दिएको भए यस्तो हुँदैन थियो ।
तर यहाँ चाहिँ त्रिविलाई पनि वेबसाइट चाहिएको, कम्पनीलाई पनि काम सकेर दिनुपर्ने हतार हुँदा यस्तो हुन पुग्यो । त्यसैले यी दुबै पक्षले सुरक्षालाई ध्यानमा नराख्दा विद्यार्थीको डाटा जोखिममा पर्न गयो ।
विश्वविद्यालयहरुले सेक्युरिटी अडिट गर्नु किन जरुरी छ ?
विश्वविद्यालयहरुसँग धेरै विद्यार्थीको डाटा हुन्छ । अधिकांशले विद्यार्थीको शैक्षिक प्रमाणपत्रहरु डिजिटलाइजेसन गरिसकेको छ । यस्तो अवस्थामा हृयाकरले त्यहाँ भएका विद्यार्थीहरुको डाटामा चलाइदियो भने कति ठूलो समस्या हुन जान्छ ।
त्यसैले विश्वविद्यालयका नियामक निकाय को छ त्यसले एउटा नीति बनाएर सबै कलेजहरुमा नियमन गर्नुपर्छ । सबै विश्वविद्यालय, सम्बन्धित कलेज तथा शैक्षिक संस्थाहरुले वार्षिक रुपमा अनिवार्य साइबर सेक्युरिटी अडिट गर्नुपर्ने नियम लागू गरे जोखिम न्यून हुन्छ ।
अधिकांश सरकारी वेभसाइट तथा एप्लिकेसनहरु पनि डेभलपरले बनाउने र हस्तान्तरण गर्ने, साइबर सेक्युरिटी जाँच गर्ने अभ्यास देखिँदैन । यस्ता सरकारी वेभसाइट तथा एप्लिकेसनहरुको साइबर सेक्युरिटीको अवस्था कस्तो छ ?
हो केही वर्ष अगाडिसम्म त्यस्तै चलन थियो । तर, पछिल्लो समय सरकारका कतिपय निकायले एप्लिकेसन अथवा वेबसाइट निर्माण गर्दा निर्माण कम्पनीले नै सुरक्षाको जिम्मेवारी पनि लिनुपर्ने भनेर खुलाएर नै टेन्डर गर्न थालेको छ ।
खासमा निर्माण एउटाले र सुरक्षाको लागि अर्को कम्पनीले गर्दा प्रभावकारी हुने हो । तर फरक-फरक कम्पनीलाई किन दिने भन्ने होला । तर पछिल्लो समय सरकार चाँहि सचेत भएको देखिन्छ ।
निर्माणकर्ताले नै सुरक्षा पक्षको हेर्दा कतिपय अवस्थामा कमजोरी सुधार्न प्रभावकारी ढंगले काम नहुन पनि सक्छ ।
ह्याक हुने घटनाहरु दोहोरिरहँदा संवेदनशील भएर काम गरेको देखिँदैन । त्यस्तो किन हुन्छ ?
सबैलाई काम सक्नुपर्ने हतारो हुन्छ । सुरक्षाको लागि बढी मिहेनत र समय लाग्छ । अहिले पनि सफ्टवेयर बनाउने काम प्राथमकतामा छ, सुरक्षित बनाउनेतर्फ कम छ । कतिपय संस्थाले सुरक्षित छ/छैन भनेर रिपोर्ट माग्दा सफ्टवेयर कम्पनीहरुले अटोमेसिन स्क्यानर चलाएको रिपोर्ट ल्याएर बुझाएकोसम्म पाएको छु ।
फेरि सरकारी कामगर्ने तरिका र झन्झटिलो प्रकृया सबैलाई थाहै छ । त्यति हुँदा हुँदै पनि सरकारले इन्टरनेट सुरक्षाको लागि पनि रकम छुटाउन थालेको छ । जुन सरकारी निकायले वेबसाइट र निर्माण गर्ने हो, उसले पनि त्यसैगरी थप रकम छुट्याउनुपर्ने हो । तर त्यसो नगरेर सुरक्षालाई कम प्राथमिकता दिएर काम गरिरहेको पाइन्छ । सरकारी निकायहरु थप खर्च गर्न चाहँदैनन् ।
तपाईंले भनेजस्तै ‘थर्ड पार्टी’ मार्फत सुरक्षा जाँच गर्नका लागि नेपालमा सम्भव छ ?
छ । अहिले त साइबर सेक्युरिटी कम्पनीहरु खुलिरहेका छन् । जसले यस्ता सेवाहरु दिने गर्छन् । अहिले कुनै कुनै सरकारी निकायहरुले पनि तेस्रो पक्षबाट आफ्ना सफ्टवेयर सुरक्षा जाँच गराउन थालेका छन् । त्यत्ति मात्रै नभएर सफ्टवेयर सुरक्षाको लागि छुट्टै अडिट नै गर्न सुरु भएको छ ।
तस्वीर / भिडियो : शंकर गिरी
यो खबर पढेर तपाईलाई कस्तो महसुस भयो ?
खुसी
दुःखी
अचम्मित
उत्साहित
आक्रोशित
प्रतिक्रिया
Hot Properties
.jpeg)
%20-%20Copy.jpg)
.jpeg)
.jpg)
प्रतिक्रिया 4