नेपालको ‘साइबर सुरक्षा’ धरापमा: सरकारी वेबसाइटहरू कति सुरक्षित? दुर्गा प्रसाईं र ह्याकर समूहबीचको त्यो विवादास्पद ‘बार्गेनिङ’

काठमाडौँ ५ माघ २०८२ (१९ जनवरी २०२६)

गत चैतमा एकैपटक ४०० भन्दा बढी सरकारी वेबसाइटहरू डाउन भएपछि नेपालको डिजिटल पूर्वाधारको कमजोरी विश्वभर छताछुल्ल भयो। तर, समस्या केवल ‘वेबसाइट डाउन’ हुनुमा मात्र सीमित छैन। पछिल्लो अनुसन्धानले देखाएको छ कि नेपाल सरकारका संवेदनशील डाटाबेसहरू अहिले ‘डार्क वेब’ (Dark Web) मा कौडीको भाउमा बिक्री भइरहेका छन्।

दुर्गा प्रसाईं र ह्याकरको ‘नेक्सस’: के भएको थियो?

हालैका रिपोर्टहरू र बाहिरिएका सूचना अनुसार, विवादास्पद व्यवसायी दुर्गा प्रसाईंले एक अन्तर्राष्ट्रिय ह्याकर समूहसँग ‘बार्गेनिङ’ गरेको खुलासा भएको छ। स्रोतका अनुसार प्रसाईंले आफ्नो राजनीतिक अभियानलाई बल पुर्‍याउन र सरकारलाई दबाब दिन सरकारी निकायका मुख्य सर्भरहरू डाउन गर्न र डाटाहरू ‘लिक’ गर्न ती ह्याकरहरूलाई ठुलो रकमको प्रस्ताव गरेका थिए।

यद्यपि, प्रसाईं पक्षले यसलाई अस्वीकार गर्दै आएको छ, तर नेपाल प्रहरीको साइबर ब्युरोले केही शङ्कास्पद ‘डिजिटल फुटप्रिन्ट’ फेला पारेको छ। ह्याकर समूहले भने प्रसाईंले कबुल गरेको रकम नदिएपछि केही सरकारी डाटा नमूनाका रूपमा सार्वजनिक गरिदिएको दाबी गरेको छ। यो घटनाले अपराधीहरूले राज्यको संवेदनशील सूचनालाई कसरी हतियार बनाउन सक्छन् भन्ने डरलाग्दो चित्र प्रस्तुत गरेको छ।

सरकारी साइटहरूको ‘हबिगत’: विज्ञहरू के भन्छन्?

नेपालका अधिकांश सरकारी वेबसाइटहरू (.gov.np) पुराना प्रविधि (Outdated CMS) मा आधारित छन्। साइबर सुरक्षा विज्ञ सुनिल गुरुङका अनुसार, “हाम्रो सरकारी सर्भरमा सामान्य ‘SQL Injection’ जस्ता आक्रमण पनि सजिलै सफल हुन्छन्। धेरैजसो साइटमा ‘SSL Certificate’ समेत अपडेट हुँदैनन्।”

• केही गम्भीर उदाहरणहरू:
  • राहदानी विभाग (DoP): पटक–पटक सर्भर डाउन हुँदा हजारौँ नागरिकको सेवा अवरुद्ध।
  • नेपाल प्रहरीको वेबसाइट: ‘काजु’ (Kazu) नामको ह्याकर समूहले २ लाख नागरिकको नागरिकता विवरण लिक गरेको दाबी।
  • हेलो सरकार: प्रधानमन्त्री कार्यालय मातहतको यो पोर्टलबाटै नागरिकका गुनासा र व्यक्तिगत विवरण चोरी भएको खुलासा।

किन पटक–पटक ह्याक हुन्छन् नेपाली साइट?

• न्यून बजेट: सरकारले सफ्टवेयर बनाउन त बजेट छुट्याउँछ, तर त्यसको सुरक्षा र ‘मेन्टेनेन्स’ का लागि लगानी शून्य बराबर छ।
• सस्तो सफ्टवेयरको मोह: ठेक्का प्रक्रियामा सबैभन्दा कम मूल्य (L1) कबोल गर्ने कम्पनीलाई छनोट गर्दा गुणस्तर र सुरक्षामा सम्झौता हुने गरेको छ।
• दक्ष जनशक्तिको अभाव: सरकारी कर्मचारीहरूमा साइबर सुरक्षा सम्बन्धी न्यून सचेतना छ। धेरैजसो ठाउँमा एउटै पासवर्ड वर्षौँसम्म प्रयोग हुने गरेको पाइन्छ।

अबको बाटो: कसरी जोगाउने राष्ट्रिय सुरक्षा?

सरकारले भर्खरै ‘राष्ट्रिय साइबर सुरक्षा नीति २०८२’ ल्याए पनि त्यसको कार्यान्वयन फितलो छ। विज्ञहरूले निम्न कदम चाल्न सुझाव दिएका छन्:

• नियमित ‘पेनिट्रेसन टेस्टिङ’: हरेक सरकारी साइटको समय–समयमा ‘इथिकल ह्याकर’ द्वारा सुरक्षा जाँच गराउनुपर्ने।
• सेन्ट्रलाइज्ड सेक्युरिटी: सबै सरकारी डाटालाई उच्च सुरक्षा युक्त ‘गभर्नमेन्ट क्लाउड’ मा राख्ने र ‘टु–फ्याक्टर अथेन्टिकेसन’ अनिवार्य गर्ने।
• साइबर सुरक्षा केन्द्रको सक्रियता: राष्ट्रिय साइबर सुरक्षा केन्द्रलाई केवल कागजी संस्था मात्र नभई ‘इन्सिडेन्ट रेस्पोन्स’ मा सक्षम बनाउने।

---

नेपालहाम्रो न्युज डेस्क तपाईँको व्यक्तिगत विवरण (नागरिकता, राहदानी, राष्ट्रिय परिचयपत्र) अनलाइनमा कति सुरक्षित छ? कतै तपाईँको डाटा पनि ‘डार्क वेब’ मा त पुगेको छैन? यसबारे थप जानकारी र सुरक्षा उपायहरूका लागि हाम्रो विशेष सिरिज हेर्दै गर्नुहोला।