Have an incident ? Report Here
Kathmandu, 29th August 2018
Cyber Security experts have stated that with more Nepalese going online, it is crucial to put in place Critical Infrastructure to predict and prevent cybercrimes.
साइबर अपराध : चुनौती र न्यूनीकरणका उपाय
काठमाडौं — नेपाल दूरसञ्चार प्राधिकरणको पछिल्लो प्रतिवेदनअनुसार ६१ प्रतिशत नेपाली जनतासँग इन्टरनेट पहुँच छ । लगभग सबैजसो जनताले दूरसञ्चार सेवा लिएका छन् । डिजिटल डिभाइसहरुको प्रयोग पनि बढ्दो छ । दूरसञ्चार र इन्टरनेटका प्रयोगकर्ता बढिरहँदा यसको दुरुपयोगका घटना पनि बढिरहेका छन् । यस आलेखमा चर्चा गर्न खोजिएको विषय भनेको साइबर अपराध र यसले निम्त्याएको जटिलता हो ।
पछिल्ला केही घटनाहरु हेर्ने हो भने नेपालको साइबर स्पेस खतरामा छ । देश विदेशबाट नेपालको साइबर स्पेसमा कम्प्युटर, मोबाइल र यसका विभिन्न नेटवर्कबाट आक्रमण हुने क्रम रोकिएको छैन । सरकार, दूरसञ्चार र इन्टरनेट सेवा प्रदायक, बैंक, एयरलाइन्स लगायतका कम्पनीका सिष्टममा अझै आक्रमण भइरहेका छन् । तर सबै घटना बाहिर आउदैनन् । कतिपय अवस्थामा नेपाल साइबर अपराधको अखडा बन्ने हो कि भन्ने प्रश्न पनि उठ्न थालेका छन् । यसलाई पुष्टि हुने गरी विभिन्न थरीका साइबर अपराधका घटनासमेत भइरहेका छन् । तर, मुख्य कुरा हाम्रो साइबर सेक्युरिटीको संरचना नै कमजोर भएकाले झनै जोखिम निम्तिएको छ भने सरोकारवालाको ध्यान अझै यतातर्फ आउन सकेको छैन ।
उदाहरणका लागि केही समयअघि माइक्रोसफ्टले सार्वजनिक गरेको प्रतिवेदनमा सबैभन्दा बढी ‘मालवेयर इन्फेक्सन’ हुने देशमा नेपाल चौथो स्थानमा रहेको तथ्य आएको छ । मालवेयर इन्फेक्सनको उच्च खतरा भएका विश्वका उच्च जोखिमका ५० देशहरुको अध्ययनमा शीर्ष १९ देशमध्ये १७ देशहरु एसियाका परेका छन् । यी देशमध्य पनि दक्षिण एसियाली मुलुक पाकिस्तान पहिलो स्थानमा छ भने बंगलादेश तेस्रो स्थानमा छ ।
साइबर सुरक्षाको मामलामा नेपालको कानुन निकै कमजोर वा कानुन नै नभएको तर्क सरोकारवालाको छ । १० वर्षअघिको विद्युतीय कारोबार ऐनले प्रविधिको क्षेत्रमा पछिल्लो समय आएका थ्रेटको सम्बोधन गर्न नसक्ने उनीहरुको बुझाई छ ।
कास्परस्की ल्याबको अध्ययनले नेपाल साइबर सुरक्षाको उच्च जोखिममा रहेको देखाएको छ । उक्त अध्ययनले नेपालका ९ ठूला बैंकहरुको सिष्टम निकै खतरामा रहेको पुष्टि गरेको थियो । टर्कीको ह्याकर समूहले गत वर्ष नेपालका सानिमा बैंक र युनिभर्सल डेभलपमेन्ट बैंकमा रहेका निकै संवेदनीशल डाटा कब्जामा लिई अनलाइनमा पोस्ट समेत गरेको थियो । त्यसैगरी, नेपालकै एक प्रतिष्ठित एयरलाइन्स कम्पनीको पुरै इमेल सर्भर ह्याक भएर नचाहिने इमेलहरु अन्यलाई पठाइरहेको तथ्य आयो । यसरी इमेल सर्भरमै ह्याक हुन सक्छ भने भोलिका दिनमा एयरलाइन्स कम्पनीको ककपिटमा आक्रमण भयो भने कुन अवस्था आउला ? नेपालमा त्यो स्तरको सुरक्षा कसैले पनि सोचेको पाइँदैन ।
हाल साइबर अपराध भन्ने बित्तिकै अधिकांश घटना फेसबुक, ट्वीटर जस्ता सामाजिक सञ्जालबाट आउँछन् भन्ने बुझिन्छ । र त्यस्ता घटनालाई सामान्य रुपमा लिंदा झनै समस्या निम्तिरहेको छ । अहिले सामाजिक सञ्जालमा गाली, मानहानी वा चरित्र हत्याका पोस्ट मात्रै हुने गरेका छैनन् । यही माध्यमलाई अपनाएर ठूला करपोरेटमा आक्रमण समेत हुन थालेका छन् । फेसबुकमा नचाहिने स्पाम छोडेर लक्षित कर्पाेरेट सेक्टरलाई पठाउने क्रम ब्यापक बढेको छ । साथै साइबर अपराधी वा लुटेराहरुले लक्षित वर्ग छान्दै अनलाइनमा सेक्स विज्ञापन, पोर्नोग्राफी वा अन्य सेक्स ब्यापार गर्ने र अनलाइन मनी ट्रान्सफरबाट रकम कारोबार गर्ने गरिरहेका छन् ।
के हो त साइबर अपराध ?
विद्युतीय उपकरणहरु कम्प्युटर, मोबाइल, तथा यसको नेटवर्कका माध्यमबाट हुने कुनै पनि प्रकारका अपराधिक कार्यलाई साइबर अपराध मानिन्छ । इन्टरनेटको प्रयोगमार्फत गरिने चरित्र हत्या, हिंसा फैलाउने कार्य, यौनजन्य हिंसा, इण्टरनेट फ्रड, अर्काको पहिचान अनाधिकृत रूपमा प्रयोग, क्रेडिट कार्ड तथा एकाउण्ट आदिको चोरी गरी गरिने बैङ्किङ कसुर, अर्काको कम्प्युटर, विद्युतीय उपकरण तथा नेटवर्कमा पुर्याइउने क्षति लगायत अवैधानिक कार्यलाई पनि विश्वका अधिकांश मुलुकका कानूनले साइबर अपराध मानेको छ । साइबर क्राइमलाई सम्बोधन गर्न अन्तराष्ट्रिय एवं क्षेत्रीयगत रुपमा विभिन्न कानून बनेका छन् । संयुक्त राष्ट संघ, अन्तर्राष्ट्रिय दूरसञ्चार युनियन, युरोपियन युनियन लगायतले आफ्ना सदस्य राष्ट्रका लागि साइबर अपराध विरुद्ध ऐन र नियम ल्याइरहेका छन् ।
वित्तीय क्षेत्र उच्च जोखिममा
नेपालमा वित्तीय संस्था, गैरसरकारी संस्था, सरकारी क्षेत्र, एयरलाइन्स, आइएसपी र टेलिकमममा क्रमिक रुपले साइबर सुरक्षाको जोखिम रहेको पाइन्छ । पछिल्लो समय विदेशी एटिएम ह्याकरहरुले नक्कली कार्डबाट पैसा झिकिरहेका खबर आएका छन् ।
साइबर अपराधी मनी माइन्डेड भइरहेका बेला उनीहरुको अबको आक्रमण बैंक तथा वित्तीय संस्थामा हुन थालेको छ । तर, नेपालको केही बैंकहरुले मात्रै इन्फर्मेशन सेक्युरिटीमा इन्भेष्टमेन्ट गरेको पाइएको छ । यसकारण हामीले आर्थिक क्षेत्रले सूचना प्रविधि सुरक्षालाई प्राथमिकता दिन नसकेको बुझ्न सक्छौं ।
अब फायरवेल र एन्टिभाइरसले मात्रै साइबर थ्रेट नरोकिने भएकाले उच्च तहको सेक्युरिटी थ्रेटलाई सम्बोधन गर्नुपर्ने चुनौती छ । अहिले एटीएम, अनलाइन बैंकिङ्ग, मोबाइल बैंकिङ्ग, एसमएस बैंकिङका सुविधासँगै गम्भीर चुनौति पनि बढ्न थालेको छ । यसअन्तर्गत उपभोक्तालई झुक्याएर अर्काको रकम आफूले निकाल्ने, एसमएस तथा इमेल फिसिङ्ग गर्ने क्रियाकलाप बढेका छन् ।
हाल बैंकिङ क्षेत्रलाई हिट गर्ने बैंकिङ्ग ट्रोजनहरु को विकास एवं र रेनसमवेयरको बिगिबिगी देखिन थालेको छ । खतरानाक मालवेयरलाई सर्भिसको रुपमा बेच्ने ट्रेन्ड समेत देखापरेको छ ।
साइबर अपराधी वा लुटेराहरुले लक्षित वर्ग छान्दै अनलाइनमा सेक्स विज्ञापन, पोर्नोग्राफी वा अन्य सेक्स ब्यापार गर्ने र अनलाइन मनी ट्रान्सफरबाट रकम कारोबार गर्ने गरिरहेका छन् ।
सामाजिक सञ्जालबाट अपराध
नेपालमा सबैभन्दा बढी सामाजिक सञ्जालबाट साइबर अपराध हुने गरेको छ । फेसबुक, ट्वीटर, भाइबर, स्काईप, ह्वाट्एसप, इन्स्टाग्राम, इमो जस्ता सामाजिक सञ्जालका प्रयोगकर्ता बढिरहेकोमा दिनहुँ जसो ८ देखि १० जना यस्ता सञ्जालबाट पीडित भएको भन्दै महानगरिय अपराध अनुसन्धान शाखाअन्तर्गतको साइबर क्राइममा उजुरी टिपाउँछन् । सबै अपराधको तथ्याकं प्रहरीसँग छैन ।
थोरै घटनाको उजुरीमात्रै प्रहरीसम्म पुग्ने गरेको छ । विद्युतीय कारोबार ऐनअन्तगर्त उजरी भएका घटनाहरुलाई जिल्ला अदालत काठमाडौंले मात्रै हेर्ने व्यवस्था छ । नक्कली फेसबुक एकाउन्ट बनाएर गाली गलौज, धम्की, चरित्र हत्या गर्ने गतिविधि भइरहेका छन् । अधिकांश घटनामा महिला, नेता, कलाकार र प्रहरी स्वयम् नै परेका छन ।
अपराधको दायरा ठूलो : कानून सीमित
नेपालमा प्रहरीले साइबर अपराधको नियमनका लागि विद्युतीय कारोबार ऐन २०६३ को प्रयोग गदै आएको छ । उक्त ऐनको दफा ४७ नेपालमा हुने साइबर अपराध रोक्न सबैभन्दा बढी प्रयोग हुने र सबैभन्दा बढी विवादित दफा हो । यस दफाले कम्प्यूटर, इन्टरनेट लगायतका विद्युतीय सञ्चारमाध्यमहरुमा नैतिकता, शिष्टाचारविरुद्धका सामग्री, कसैप्रति घृणा वा द्वेष फैलाउने सामग्री प्रकाशन वा प्रदर्शन गरे दोषीलाई १ लाख रुपैयाँ जरिवाना वा ५ वर्षसम्म कैद वा दुबै सजाय हुनसक्ने व्यवस्था गरेको छ ।
सबै किसिमका साइबर अपराध यसले समेट्न नसक्ने र यसको परिभाषाभन्दा बाहिरका अपराधमा पनि यही ऐन आकर्षित गरिंदा यो विवादित बनेको हो । त्यतिबेला फेसबुक, ट्वीटर, भाइबरजस्ता सामाजिक सञ्जालको अवधारणा आइसकेको थिएन । त्यतिबेला सोर्सकोड चोरी हुन्, कसैको सिष्टममा ह्याम्पर गरी फाइनान्सियल इन्फर्मेशन चोर्ने लगायतका अपराध हुन्थे । अहिले अपराधको स्वरुप परिवर्तन भएको छ ।
अनुसन्धानमा प्रविधि र विज्ञताको अभाव
कानुन कार्यान्वयन गर्ने निकाय प्रहरीले अदालतमा बुझाउने प्रतिवेदनलाई आधारमान्दा साइबर फरेन्सिकको कोण हेर्न अदालतमा प्रहरीले बुझाउने प्रमाणलाई सही मान्न नमिल्ने तर्क विज्ञहरुले गरेका छन् । अदालतले साइबर फरेन्सिक इलेक्ट्रोनिक प्रमाणको विश्वव्यापी मान्यतालाई लिएर निर्णय लिनुपर्ने हो । अनुसन्धान गर्ने निकायको दक्षता पनि निकै कमजोर छ । विकसित देशमा साइबर क्राइम रोक्न र यसको सुरक्षाका लागि हाइटेक र इन्टरनेट प्रोटोकल प्रयोग हुन थालेका छन् । अहिले नेपाल प्रहरीको मुख्यालयमा सानो डिजिटल फरेन्सिक ल्याब भनेर सानो स्केलको ल्याब सुरु गरिएको छ । तर, त्यसको प्रभावकारी सञ्चालनका लागि आवश्यक दक्षता विकास गर्न सकिएको छैन ।
साइबर सेल र आइटी हेडको व्यवस्था गरिएको त छ तर साइबर अपराध अनुसन्धानको क्रममा अपनाउनुपर्ने राष्ट्रिय मापदण्डमा अभ्यस्त अनुसन्धान अधिकारीहरुलाई विकास गर्ने तहमा दीर्घकालीन तयारी भने गरेको देखिदैन । साइबरजन्य अपराधका घटना टिपाउन र अनुगमन गर्न अपराध अनुसन्धान महाशाखाअन्तर्गत साइबर क्राइम सेलको सञ्चालन केही वर्षदेखि हुदै आएको छ भने केही महिनाअघि प्रहरी हेडक्वार्टर नक्सालस्थित सिआइडीमा सीफोरको स्थापना गरिएको छ ।
साइबर सुरक्षामा संवेदनशीलता
अहिले सुचना सुरक्षामा काम गर्ने निकाय केही सचेत देखिएका छन् । नयाँ सूचना तथा सञ्चार प्रविधि नीति लागू भएको छ । तर, सूचना प्रविधिको सुरक्षा हेर्ने विद्युतीय कारोबार ऐन २०६३ को केही धारामा मात्रै यसको कुरा छ । जिल्ला अदालत काठमाडौंले मात्रै साइबर अपराधको घटना हेर्छ भने सिआइबी र साइबर सेलले साइबर घटनाका उजुरीउपर अनुसन्धान गर्छन् । तर, साइबर सुरक्षाका लागि छुटटै सांगठिनक संरचनाको आवश्यकता नहुँदा समस्या देखापरेको छ ।
प्रमाणीकरण नियन्त्रकको कार्यालयमा राखिएको फरेन्सिक ल्याबसमेत सञ्चालनमा ल्याउने तयारी भइरहेको छ । सरकारले ऐनमै रेस्पोन्स टिम खडा गरी साइबरजन्य अपराध हुनुअघि वा भइहाले तुरुन्तै एक्सन लिने व्यवस्था ल्याइनुपर्छ । भर्खरै सरकारले २२ सदस्यीय आइसिटी काउन्सिल गठन गरेको छ जसमार्फत साइबर सेक्युरिटीको क्षेत्रमा केही काम हुने अपेक्षा लिइएको छ ।
साइबर सुरक्षाको मामलामा नेपालको कानुन निकै कमजोर वा कानुन नै नभएको तर्क सरोकारवालाको छ । १० वर्षअघिको विद्युतीय कारोबार ऐनले प्रविधिको क्षेत्रमा पछिल्लो समय आएका थ्रेटको सम्बोधन गर्न नसक्ने उनीहरुको बुझाई छ । मुख्यत: प्राइभेसी ल, डाटा प्रोटेक्सन ल आदिलाई ब्यापक क्षेत्रमा समेट्ने साइबर अपराध कानुन बन्नुपर्ने अवस्था छ । हाल दूरसञ्चार प्राधिकरणले नयाँ साइबर ऐन बनाउन लागेको खबर आएको छ । यसमा पछिल्लो साइबर अपराधको प्रवृत्तिलाई सम्बोधन हुने गरी व्यवस्था ल्याउन जरुरी छ ।
त्यसैगरी सेवाप्रदायक कम्पनी एवं अनुसन्धानका अधिकारीमा साइबर सुरक्षाबारे न्युतमन क्षमता समेत नहुँदा थप जटिलता आएको छ भने आइसिटी प्रयोगकर्ताले पनि आत्मसुरक्षाको उपाय नअपानाउँदा थप समस्या आएको छ । जसका कारण साइबर अपराध र सेक्युरिटी थ्रेट बढ्दै छन् र प्राइभेसीमा समस्या आइरहेको छ । त्यसैगरी नेपालमा सर्टिफाइड ह्याकिङको कोर्स व्यापक रुपमा विस्तार गरी सरकारी एजेन्सी र कम्पनीहरुमा त्यस्ता जनशक्तिलाई रोजगारीको अवसर दिन सके तुलनात्मक रुपमा साइबर अपराधका घटनामा कमी आउने विश्वास गर्न सकिन्छ । Link: Kantipur Daily
Author:चिरन्जिबी अधिकारी / e-mail: chiranjibi@npcert.org