विहीबार, २१ जेठ २०८३
ताजा समाचार
_e2bAaJpZKz.png)
नेपाली संस्थाहरूमा डेटा सुरक्षा अभ्यास र तयारी
आजको अर्थ संवाददाता
बुधबार, १४ साउन २०८२, ११ : ५४
काठमाडौं- डिजिटल युगको तीव्र प्रवाहसँगै नेपालमा सूचना प्रविधिको प्रयोग द्रुत गतिमा बढिरहेको छ। तर, निजी तथा सरकारी संस्थाहरूले व्यक्तिगत डेटा संरक्षणमा आवश्यक सतर्कता नअपनाउँदा ठूलो जोखिम देखा परिरहेको छ। हालै सार्वजनिक अध्ययन र साइबर सुरक्षाविद्हरूको मूल्यांकन अनुसार, नेपालका धेरै संघ–संस्थाहरू डेटा सुरक्षा अभ्यासमा कमजोर देखिएका छन्।
नेपालमा प्रस्तावित व्यक्तिगत डेटा संरक्षण विधेयक अझै कार्यान्वयनको चरणमै छ, तर यसबारे संस्थागत तयारी न्यून देखिन्छ। नेपालमा पछिल्ला वर्षहरूमा बढ्दो साइबर आक्रमण ले सर्वसाधारणदेखि ठूला कम्पनीहरूमा समेत त्रास फैलाएको छ।
नेपालका संस्थाहरूको डेटा सुरक्षा अवस्था: १५ प्रमुख कमजोरीहरू साइबर सुरक्षाविद्हरूले नेपाली संस्थाहरूमा निम्न १५ प्रमुख कमजोरीहरू औंल्याएका छन्:
- डेटा सुरक्षा अधिकारी (DPO) को अभाव: अधिकांश संस्थामा डेटा सुरक्षाको लागि जिम्मेवार व्य क्ति तोकिएको छैन।
- नूनी ज्ञानको कमी: राष्ट्रिय तथा अन्तर्राष्ट्रिय डेटा संरक्षण कानुनबारे संस्थाहरूलाई जानकारी छैन।
- डेटा वर्गीकरण नहुँनु: संवेदनशील डेटा छुट्याएर राख्ने अभ्यास छैन।
- स्वीकृति व्यवस्थापन कमजोर: ग्राहक वा प्रयोगकर्ताको स्पष्ट स्वीकृति नलिई डेटा प्रयोग गरिन्छ।
- साइबर सुरक्षामा लगानीको कमी: आवश्यक सुरक्षात्मक उपकरण जस्तै फायरवाल (Firewall), एन्टिभाइरस (Antivirus) को प्रयोग निकै कम छ।
- नियमित अडिटको अभाव: डेटा सुरक्षाको नियमित परीक्षण गर्ने चलन छैन।
- घटना व्यवस्थापन योजना नबनाइने: डेटा चुहावट भए कसरी प्रतिकार गर्ने भन्ने योजना नै छैन।
- असुरक्षित सञ्चार माध्यमको प्रयोग: व्यक्तिगत म्यासेज एप वा इमेलबाट संवेदनशील जानकारी पठाइन्छ।
- कर्मचारी तालिमको अभाव: सूचना सुरक्षाबारे कर्मचारीहरूलाई तालिम दिइँदैन।
- क्लाउड सेवामा जोखिम मूल्याङ्कन नगर्ने: सेवा प्रदायकसँग सम्झौता गर्दा सुरक्षा शर्तहरू नहेरी सम्झौता गरिन्छ।
- कमजोर पासवर्ड नीति: कमजोर पासवर्ड र एकै पासवर्ड सबै प्रणालीमा प्रयोग गरिन्छ।
- डेटा मेटाउने नीति नहुनु: अनावश्यक डेटा कहिले हटाउने भन्ने नीति छैन।
- सुरक्षामा प्रविधिको प्रयोग नगर्नु: DLP, SIEM जस्ता प्रविधिको प्रयोग छैन।
- बैंक र टेलिकम क्षेत्र अलिकति सचेत: नियामक निकायको कारण तुलनात्मक रूपमा सुरक्षामा अघि छन्।
- डिजिटल रूपान्तरणले सचेतना बढाउँदै: कोभिड (COVID) पछि केही संस्थाहरू डेटा सुरक्षातर्फ केन्द्रित हुन थालेका छन्।
सुधारका लागि १० बुँदे सिफारिस नेपालमा डेटा सुरक्षाको अवस्था सुधार्नका लागि विज्ञहरूले १० बुँदे सिफारिस गरेका छन्:
- DPO नियुक्त गर्नुपर्छ: डेटा सुरक्षाको जिम्मेवारी लिने योग्य व्यक्ति तोकिनु जरुरी।
- डेटा सुरक्षा नीति बनाउनुपर्छ: संकलनदेखि नष्ट गर्ने प्रक्रिया स्पष्ट हुनुपर्छ।
- कर्मचारी तालिम अनिवार्य: साइबर सुरक्षा चेतना अभिवृद्धि गर्न प्रशिक्षण कार्यक्रम आवश्यक।
- संवेदनशील डेटा वर्गीकरण र इन्क्रिप्सन: महत्त्वपूर्ण जानकारी सुरक्षित राख्नुपर्छ।
- एक्सेस नियन्त्रण कडा बनाउनुहोस्: रोल-आधारित पहुँच र दुई-तह प्रमाणीकरण अनिवार्य।
- नियमित अडिट र निगरानी गर्नुहोस्: डेटा प्रयोगको अनुगमन आवश्यक छ।
- डेटा चुहावट प्रतिक्रिया योजना बनाउनुहोस्: घटना भए तत्काल प्रतिक्रिया दिन योजना बनाइनुपर्छ।
- सुरक्षित सञ्चार माध्यम प्रयोग गर्नुहोस्: इन्क्रिप्टेड इमेल, क्लाउड सेवा प्रयोगमा ल्याउनुपर्छ।
- डेटा राख्ने र मेट्ने नीति बनाउनुहोस्: अनावश्यक डेटा समयमै हटाउनुपर्छ।
- अन्तर्राष्ट्रिय मापदण्डमा आधारित अभ्यास: GDPR, ISO/IEC 27001 वा नेपालको कानुन अनुसार काम गर्नुपर्छ।
नेपाली संस्थाहरू संकटमा नेपालमा हालसालै भएका विभिन्न साइबर आक्रमण ले सबै क्षेत्रका व्यवसायलाई प्रभावित पारेका छन्। वित्तीय संस्थादेखि स्वास्थ्य सेवा प्रदायकसम्म आक्रमणको लक्ष्य बन्न थालेका छन्। विश्वव्यापी रूपमा खर्बौं डलरको क्षति गराउने साइबर आक्रमण अब नेपालमा पनि नियमित चुनौती बनेको छ।
साइबर आक्रमणका मुख्य ५ तरिका:
- वेब सफ्टवेयरमा कमजोरी: SQL Injection, Remote File Inclusion, XSS आदि आक्रमणमार्फत डाटा चोरी।
- नेटवर्क तहको कमजोरी: Wi-Fi वा LAN को माध्यमबाट पासवर्ड चोरी (Man-in-the-Middle)।
- सिस्टम सफ्टवेयर वा OS मा कमजोरी: पुराना वा अपडेट नगरेका सिस्टमहरूमा Ransomware आक्रमण।
- हार्डवेयर स्तरको कमजोरी: यन्त्रकै त्रुटिबाट डेटा चुहावटको सम्भावना।
- सोसल इन्जिनियरिङ (Social Engineering): प्रयोगकर्तालाई झुक्याएर मालवेयर इन्स्टल गराउने प्रयास।
साइबर आक्रमणको दोष कसको?
सफ्टवेयर निर्माता, सेवा प्रदायक, कम्पनी कर्मचारी वा नेटवर्क प्रदायक सबैमा आंशिक दोष देखिन्छ। तर, सबैभन्दा प्रमुख कारण भनेको सुरक्षा अडिटको अभाव र जनचेतनाको कमी हो।
साइबर आक्रमणबाट जोगिन प्रयोगकर्तालाई सुझावहरू:
- कडा पासवर्ड राख्नुहोस्: अल्फान्युमेरिक र विशेष चिह्न समावेश गरिएका पासवर्ड प्रयोग गर्नुहोस्।
- दुई-तह प्रमाणीकरण (2FA) प्रयोग गर्नुहोस्: पासवर्ड बाहेक अर्को तह सुरक्षा प्रयोग गर्नुस्।
- खुला Wi-Fi प्रयोग नगर्नुहोस्: सार्वजनिक Wi-Fi मा संवेदनशील कार्य नगर्नुहोस्।
- फरक फरक पासवर्ड राख्नुहोस्: सबै खातामा एउटै पासवर्ड प्रयोग नगर्नुहोस्।
- पासवर्ड चोरी भए/नभएको जाँच: https://haveibeenpwned.com बाट जानकारी लिनुहोस्।
- फायरवाल (Firewall) र एन्टिभाइरस (Antivirus) प्रयोग गर्नुहोस्: सिस्टम सुरक्षाका लागि नियमित अपडेट गर्नुहोस्।
- सफ्टवेयर अपडेट गर्दै जानुहोस्: ओएस (OS) र एप्स सबै नियमित अपडेट गरिरहनुहोस्।
- पासवर्ड गोप्य राख्नुहोस्: पासवर्ड कसैसँग पनि साझा नगर्नुहोस्।
नेपाल डिजिटल युगमा प्रवेश गर्दै गर्दा डेटा सुरक्षा र साइबर सुरक्षा अत्यन्त महत्त्वपूर्ण विषय बनेका छन्। कानुनी रूपमा सुदृढ प्रणाली निर्माण, संस्थागत सुधार, र आम नागरिकको सचेतना बिना सुरक्षित डिजिटल भविष्य सम्भव छैन।
बुधबार, १४ साउन २०८२, ११ : ५४
प्रतिक्रिया