काठमाडौं- नेपालको डिजिटल अर्थतन्त्रलाई साइबर खतराहरूबाट जोगाउनका लागि एउटा महत्वपूर्ण पहल स्वरूप, बैंक तथा वित्तीय संस्थाहरू (BFIs) लाई लक्षित गरी तयार पारिएको एक व्यापक साइबर सुरक्षा रोडम्याप नेपाल राष्ट्र बैंकका नवनियुक्त गर्भनर विश्वनाथ पौडेललाई औपचारिक रूपमा हस्तान्तरण गरिएको छ ।

फेडरेसन अफ कम्प्युटर एसोसिएसन नेपाल (CAN महासंघ) का वरिष्ठ उपाध्यक्ष तथा अग्रणी साइबर सुरक्षा कम्पनी वन कभर प्राइभेट लिमिटेडका प्रमुख कार्यकारी अधिकृत (CEO) चिरञ्जीबी अधिकारीले यो रणनीतिक खाकाको परिकल्पना गरेका हुन् ।

यो रोडम्यापले नेपालको सूचना तथा सञ्चार प्रविधि (ICT) र सुरक्षा क्षेत्रका प्रमुख सरोकारवालाहरूबीचको सशक्त सहकार्यलाई झल्काउँछ । कार्यक्रममा बोल्दै सञ्चार तथा सूचना प्रविधि मन्त्रालय (MoCIT) का ICT विज्ञ तथा सेन्टर फर साइबर सेक्युरिटी रिसर्च एन्ड इनोभेसन (CSRI) का अध्यक्ष डा. शालिग्राम पराजुली, महासचिव डा. भोजराज घिमिरे, र सचिव बन्दना शर्मा ले अनुसन्धान र विकासमार्फत साइबर अपराध न्यूनीकरणमा CSRI को अपरिहार्य भूमिकाबारे प्रकाश पारे ।

सोही क्रममा, CAN महासंघका महासचिव चन्द्रबिलास भुर्तेल र साइबर सुरक्षा समिति संयोजक मोना न्याछोयोनले नेपालमा साइबर सुरक्षा सुदृढ पार्न CAN महासंघको प्रतिबद्धता व्यक्त गरे ।

इन्फर्मेसन सेक्युरिटी रेस्पोन्स टिम नेपाल (npCERT) का उपाध्यक्ष तथा इनसाइट टेक्नोलोजीका CEO सुमन शर्मा ले नेपालमा स्थापना हुन लागेको फाइनान्सियल सेक्टर कम्प्युटर इमर्जेन्सी रेस्पोन्स टिम (FinCERT) को निर्माण र संयुक्त रूपमा साइबर घटनाहरू व्यवस्थापनमा npCERT को भूमिकाबारे चर्चा गरे । npCERT की बोर्ड सदस्य रोजिना डाँगी ले युवा वर्गलाई लक्षित गरी बृहत् साइबर सुरक्षा सचेतना र शिक्षा
अभियान चलाउनुपर्नेमा जोड दिइन्, जसले राष्ट्रिय दृष्टिकोणमा परिवर्तन ल्याउन मद्दत गर्नेछ ।

नेपालको राष्ट्रिय साइबर सुरक्षा नीति २०८०, विद्युतीय कारोबार ऐन २०६३ (२००८), साइबर सुरक्षा नियमावली २०७७ (२०२०), र नेपाल राष्ट्र बैंकको साइबर रेजिलियन्स निर्देशिका (२०२३) सँग पूर्ण रूपमा मेल खाने यो महत्त्वाकांक्षी रोडम्यापले सुरक्षित र लचिलो वित्तीय प्रणालीको लागि आधार तयार पारेको छ ।

रोडम्यापका प्रमुख स्तम्भहरू:
१. सुदृढ शासन र नेतृत्व: यो नीतिले नेपाल राष्ट्र बैंक र सबै वित्तीय संस्थाहरूमा प्रमुख सूचना सुरक्षा अधिकारी (CISO) को अनिवार्य नियुक्तिको व्यवस्था गरेको छ । यसका साथै, बोर्ड-स्तरीय IT जोखिम समिति र नेपाल राष्ट्र बैंकका गर्भनर वा डेपुटी गर्भनरको अध्यक्षतामा उच्चस्तरीय साइबर सुरक्षा समिति गठन गरिनेछ । यसले साइबर सुरक्षालाई उच्च प्राथमिकतामा राखी स्पष्ट भूमिका र जिम्मेवारी तोक्नेछ । नीतिलाई हरेक वर्ष वा कुनै महत्वपूर्ण साइबर घटनापछि अद्यावधिक गरिनेछ ।

२. FinCERT-नेपालको स्थापना: यो रोडम्यापको मुख्य जगमध्ये एक वित्तीय क्षेत्र कम्प्युटर आपतकालीन प्रतिक्रिया टोली (FinCERT-नेपाल) को स्थापना हो ।

नेपाल राष्ट्र बैंकको सुपरिवेक्षणमा र CAN महासंघ तथा CSRI नेपालसँगको सहकार्यमा FinCERT-नेपालले निम्न कार्यहरू गर्नेछ:

•  वित्तीय संस्थाहरूमा हुने साइबर घटनाहरूको प्रतिक्रिया समन्वय गर्ने ।
• सक्रिय जोखिम मूल्यांकन सञ्चालन गर्ने ।
• वित्तीय संस्थाहरूबीच खतरासम्बन्धी महत्त्वपूर्ण जानकारी आदानप्रदान गर्ने ।

FinCERT-नेपालले नेपाल प्रहरीको साइबर ब्युरो र npCERT सँग राष्ट्रिय स्तरको घटना व्यवस्थापनका लागि नजिकबाट समन्वय गर्नेछ ।

३. npCERT सँग एकीकरण: सबै वित्तीय संस्थाहरूलाई npCERT सँग एकीकृत हुन अनिवार्य गरिनेछ । यसले वास्तविक-समयका खतरा अलर्टहरू, समन्वित घटना प्रतिक्रिया र बलियो साइबर खुफिया सहकार्य सुनिश्चित गर्नेछ । NRB ले सहज एकीकरणका लागि npCERT सँग
सुरक्षित सञ्चार च्यानल स्थापना गर्नेछ ।

४. CSRI र CAN महासंघसँग रणनीतिक साझेदारी: सेन्टर फर साइबर सेक्युरिटी रिसर्च एन्ड इनोभेसन नेपाल (CSRI नेपाल) र CAN
महासंघसँगको अनिवार्य सहकार्य यस नीतिको महत्वपूर्ण अंग हो ।

यो साझेदारीले निम्न क्षेत्रमा योगदान पुर्याउनेछ:

• अनुसन्धान: वित्तीय क्षेत्रमा विशेष साइबर खतराहरूको गहन अध्ययन ।
• तालिम: वित्तीय संस्थाका कर्मचारीहरूका लागि विशेष प्रशिक्षण कार्यक्रमहरू ।
• सिमुलेशन अभ्यास: लचिलोपनको परीक्षणका लागि यथार्थवादी साइबर आक्रमण सिमुलेशनहरू ।

नेपाल राष्ट्र बैंकले राष्ट्रिय साइबर सुरक्षा क्षमताहरू सुदृढ पार्न CSRI सँग संयुक्त पहलहरूमा लगानी गर्ने प्रतिबद्धता व्यक्त गरेको छ ।

५. सक्रिय जोखिम व्यवस्थापन र बलियो नियन्त्रण: रोडम्यापले कोर बैंकिङ प्रणाली, भुक्तानी प्लेटफर्म, र ग्राहक डेटामा हुने जोखिमहरू
पहिचान गर्न त्रैमासिक साइबर जोखिम मूल्यांकनलाई जोड दिन्छ । शून्य-विश्वास सुरक्षा मोडेल, महत्त्वपूर्ण प्रणालीहरूका लागि बहु-कारक प्रमाणीकरण (MFA), न्यूनतम विशेषाधिकार पहुँच, र प्रयोगकर्ता लगहरूको नियमित अडिट अनिवार्य गरिएको छ । डेटा इन्क्रिप्शन (AES-256 वा सो बराबर), डेटा हानि रोकथाम (DLP) उपकरणहरू, र व्यक्तिगत गोपनीयता ऐन २०७५ को पालनालाई प्राथमिकता दिइएको छ । नेटवर्क विभाजन, नियमित जोखिम मूल्यांकन, प्रवेश परीक्षण, र अनिवार्य एन्टिभाइरस/EDR समाधानहरूले सुरक्षालाई थप बलियो बनाउनेछ ।

६. डिजिटल भुक्तानी सुरक्षामा सुधार: डिजिटल कारोबारमा बढ्दो निर्भरतालाई ध्यानमा राख्दै, नीतिले मोबाइल बैंकिङ, इन्टरनेट बैंकिङ र डिजिटल वालेटहरूका लागि कडा सुरक्षा दिशानिर्देशहरू प्रस्तुत गरेको छ । यसमा MFA, बलियो इन्क्रिप्शन, र DDoS सुरक्षा समावेश छ, साथै सबै डिजिटल प्लेटफर्महरूको नियमित जोखिम परीक्षण गरिनेछ ।

७. व्यापक घटना पहिचान र प्रतिक्रिया: नेपाल राष्ट्र बैंक र वित्तीय संस्थाहरूका लागि २४/७ सेक्युरिटी अपरेसन सेन्टर (SOC) को स्थापना, SIEM र EDR उपकरणहरूसँग मिलेर, वास्तविक-समयमा विसंगति पहिचान सुनिश्चित गर्नेछ । वित्तीय संस्थाहरूले पहिचान, नियन्त्रण, उन्मूलन, रिकभरी र सरोकारवालाहरूसँगको सञ्चार समेट्ने विस्तृत साइबर सुरक्षा घटना प्रतिक्रिया योजना (CIRP) कायम राख्नुपर्छ ।गम्भीर घटनाहरू २४ घण्टाभित्र नेपाल राष्ट्र बैंकलाई रिपोर्ट गर्नुपर्नेछ, र त्यसको कारण तथा समाधानको विस्तृत जानकारीसहितको फलोअप रिपोर्ट पेस गर्नुपर्नेछ । सुरक्षित, अफ-साइट ब्याकअप र बलियो व्यापार निरन्तरता/आपतकालीन रिकभरी योजनाहरू पनि अनिवार्य छन् ।

८. तेस्रो-पक्ष र क्लाउड सुरक्षा अनुपालन: सबै तेस्रो-पक्ष विक्रेताहरू र क्लाउड सेवा प्रदायकहरूको लागि उचित लगनशीलता,
आवधिक सुरक्षा अडिट, र ISO 27001 वा सो बराबरको मापदण्डहरूको पालना अनिवार्य गरिएको छ ।

९. क्षमता निर्माण र सचेतना: नेपाल राष्ट्र बैंक र वित्तीय संस्थाका कर्मचारीहरूका लागि वार्षिक अनिवार्य साइबर सुरक्षा तालिम, नेपाल दूरसञ्चार प्राधिकरण (NTA) सँगको सहकार्यमा सार्वजनिक सचेतना अभियान, र सिमुलेशन अभ्यासका लागि उद्योग सहकार्य राष्ट्रभरि साइबर सुरक्षा-सचेत संस्कृति निर्माणका लागि महत्वपूर्ण छन् ।

१०. साइबर सुरक्षा छात्रवृत्ति कोष र नवप्रवर्तन प्रवर्द्धन: वित्तीय संस्थाहरूले नेपाली विश्वविद्यालयहरूमा साइबर सुरक्षा छात्रवृत्तिका लागि कोष छुट्याउनुपर्ने महत्वपूर्ण कदम चालेको छ, जसको सुपरिवेक्षण नेपाल राष्ट्र बैंकले गर्नेछ । धोकाधडी पत्ता लगाउने प्रविधि, ब्लकचेन सुरक्षा, AI-आधारित खतरा विश्लेषण, र डिजिटल फोरेन्सिक जस्ता क्षेत्रमा अनुसन्धानका लागि CSRI र विश्वविद्यालयहरूसँग उद्योग-शैक्षिक सहकार्यलाई प्रोत्साहन गर्नाले दक्ष जनशक्ति उत्पादन र नवप्रवर्तनलाई बढावा दिनेछ ।

११. आवधिक अडिट र अनुपालन अनुगमन: नियमित आन्तरिक तथा बाह्य अडिट, वित्तीय संस्थाहरूबाट नेपाल राष्ट्र बैंकमा त्रैमासिक
अनुपालन प्रतिवेदन, र गैर-अनुपालनका लागि जरिवाना वा इजाजतपत्र निलम्बन जस्ता कडा दण्डको प्रावधानले कडा कार्यान्वयन सुनिश्चित गर्दछ ।

१२. अनुपालन र प्रवर्तन: यो नीति विद्यमान राष्ट्रिय कानुन र अन्तर्राष्ट्रिय मापदण्डहरूसँग पूर्ण रूपमा मिल्दोजुल्दो छ र बारम्बार उल्लंघनले प्रणालीगत जोखिम निम्त्याएमा सुधारका कार्यहरू र इजाजतपत्र निलम्बन जस्ता कदमहरू चाल्न सकिनेमा जोड दिन्छ ।

रोडम्याप कार्यान्वयनको समयरेखा:

• तत्काल: CISO हरूको नियुक्ति, IT जोखिम समितिहरूको गठन, र FinCERT- नेपालको सुरुवात ।
• छोटो अवधि: प्रारम्भिक जोखिम मूल्यांकनहरू पूरा गर्ने, npCERT सँग एकीकरण गर्ने र SIEM/EDR उपकरणहरू प्रयोग गर्ने ।
• मध्यम अवधि: SOC स्थापना गर्ने, साइबर सुरक्षा घटना प्रतिक्रिया योजनाहरू (CIRPs) लाई अन्तिम रूप दिने, र CSRI साझेदारी सुरु गर्ने ।
• दीर्घकालीन: छात्रवृत्ति कोषको सुरुवात गर्ने र पहिलो अनुपालन अडिटहरू सञ्चालन गर्ने।
• निरन्तर: गतिशील खतरा परिदृश्यमा अनुकूलन गर्न नीतिको निरन्तर अनुगमन, समीक्षा र अद्यावधिक ।

साईबर सुरक्षा विज्ञहरुको दूरदृष्टि र Federation of Computer Association Nepal (CAN Federation), Center For Cybersecurity Research and Innovation (CSRI), र Information Security Response Team Nepa (npCERT) जस्ता संस्थाहरूको सामूहिक प्रयासबाट निर्माण गरिएको यो साइबर सुरक्षा रोडम्यापले नेपालको वित्तीय क्षेत्रको साइबर सुरक्षा सुनिश्चित गर्न एक ऐतिहासिक कदम चालेको छ ।

यो नीतिले सुरक्षित, लचिलो र विश्वसनीय डिजिटल अर्थतन्त्र निर्माणका लागि बलियो जग खडा गरेको छ, जसले राष्ट्रको वित्तीय हितको रक्षा गर्नेछ ।