नेपाल दूरसञ्चार प्राधिकरणले साइबर सुरक्षाका लागि मोबाइल तथा इन्टरनेट सेवा प्रदायकहरुलाई जिम्मेवार बनाउन नयाँ विनियमावली जारी गरेको छ।
विनियमावलीले सेवा प्रदायकहरुले ग्राहकहरुको डेटा सुरक्षा गर्नुपर्ने प्रावधान गरेको छ। त्यस्तै साइबर हमला भएको अवस्थामा दूरसञ्चार प्राधिकरणलाई सूचना दिनुपर्ने तथा भाइरस आक्रमण निस्तेज बनाउन भूमिका खेल्नुपर्ने प्रावधान गरेको छ।
‘पछिल्लो समय नेपालमा साइबर थ्रेट बढेको छ’, दूरसञ्चार प्राधिकरणका अध्यक्ष पुरुषोत्तम खनालले सेतोपाटीसँग भने, ‘हामीले अब पनि वेपरबाह हुने छुट छैन। त्यसैले सेवा प्रदायकहरुलाई ग्राहकको गोपनीयता कायम गर्न र समय समयमा सेक्युरिटी अडिट गर्नैपर्ने प्रावधान गरेका हौँ।'
खनालले साइबर सेक्युरिटी ठूलो प्राविधिक विषय भएपनि अहिलेका लागि प्रतिरोधात्मक व्यवस्था गर्न विनियमावली जारी गरिएको बताए।
साइबर सेक्युरिटी सम्बन्धि कम्पनी ‘थ्रेट निक्स’का सुयस नेपालले सरकारले विनियमावली जारी गरेपनि कतिपय विषय स्पष्ट नभएको बताए।
‘डेटा सुरक्षाको जिम्मेवारी इन्टरनेट तथा मोबाइल सेवा प्रदायकलाई दिइएको छ तर डेटा दुरुपयोग गर्नेलाई कारवाहीको प्रवाधान छैन’, नेपालले भने, ‘नियमावलीले सेक्युरिटी अडिट गर्नुपर्ने भनेपनि कति समयमा गर्नुपर्ने, कस्तो मापदण्डको सुरक्षा दिनुपर्ने तय नगरेकाले कार्यान्वयनमा जटिल रहेको बताए।‘
सन् २०१७ र २०१८ मा आफूहरुले तयार गरेको नेपालको साइबर थ्रेट रिपोर्टले नेपाली सेवा प्रदायकहरुका सर्भरहरुमा कमोजर सुरक्षा व्यवस्था दिखिएको उनले बताए। सुयसले नेपालमा राउटरमा डिफल्ट पासर्वर्ड राख्ने, सर्भरहरुमा अपडेट नगर्ने जस्ता समस्या देखिएको बताए। नयाँ विनियमावलीले इन्टरनेट र मोबाइल सेवा प्रदायकलाई ‘फस्ट लाइन अफ डिफेन्समा’ राख्नु उचित भएको उनले बताए।
‘युजरहरुमा पुग्ने मालवेर र भाइरस डिटेक्ट गर्ने जिम्मेवारी आइएसपीलाई दिएको उनले उल्लेख गरे। तर विनियमावलीले कुन तहको सुरक्षालाई राम्रो मान्ने भन्ने मापदण्ड तय नगर्दा कार्यान्वयन गर्न जटिल रहेको उनले बताए।
‘युजरको डेटा लिक गर्दा कारवाही गर्ने गरि हामीले युरोपियन तहको सेक्युरिटी व्यवस्था गर्नु आवश्यक छ’, सुयसले भने, ‘तर सेदा प्रदायकलाई जिम्मेवार बनाउने अवस्था देखिएन।‘
सूचना प्रविधी सम्बन्धि कानूनका ज्ञाता बाबुराम अर्यालले सेक्युरिटी अडिट गर्ने प्रावधान विनियमावलिमा गरिए पनि कसैले सेक्युरिटी अडिट गरेन भने के गर्ने भन्ने अस्पष्टता रहेको बताए। उनले साइबर सेक्युरिटीको कानुन नै आवश्यक रहेको अवस्थामा विनियमावलीबाट काम गर्न खोज्नु सहि नभएको बताए।
अर्यालले सेवा प्रदायकहरुले ६ महिनासम्म लगहरु सुरक्षीत राख्नुपर्ने व्यवस्था गरेको भएपनि कस्ता लगहरु सुरक्षीत राख्ने भन्ने विषय स्पष्ट नरहेको बताए।
‘कतिपय सेवा प्रदायकहरुले अब डेटा सेन्टर बढाउनुपर्ने हुन्छ’, अर्यालले भने, 'कम्पनीहरु कति तयार छन् भन्ने प्रश्न छ। त्यस्तै सेक्युरिटी अडिट गर्ने भनेपनि त्यस्ता कम्पनीहरुको क्वालिफिकेशनबारे विनियमावली अस्पष्ट रहेको बताए।‘
अर्यालले नेपालमा ‘पिसिआई डिएसएस’ अडिट गर्ने क्षमता नभएकाले इन्टरनेट सेवा प्रदायकहरुले अडिट हुनेमा शंका व्यक्त गरे।
प्राधिकरणका अध्यक्ष खनालले भने नेपालीहरुले विदेशमा रहेर काम गरिरहेकाले त्यस्ता व्यक्तिहरु आफ्नो सम्पर्कमा आइसकेको बताए। ‘क्षमता भएका नेपालीहरु धेरै छन्’, खनालले भने, ‘कसैले मान्छे भेटेको छैन भन्दैमा क्षमता पुग्दैन भन्ने विषय मान्न तयार छैनौँ।‘
अधिवक्ता अर्यालले डेटा सुरक्षाका लागि क्षतिपूर्तीको व्यवस्था नगरिएकाले विनियमावली फितलो रहेको तर्क गरे। ‘साइबर सेक्युरिटी पोलिसी दूरसञ्चार प्राधिकरणले तयार पारेपनि त्यो अझै मन्त्रिपरिषद्बाट पारित भएको छैन’, अर्यालले भने, ‘नीति र कानुन बिना नै विनियमावलीको भरमा डेटा सुरक्षा हुने अवस्था छैन।‘
यद्यपी प्राधिकरणले पहिलो कदम चाल्नु उचित भएको उनले बताए। त्यस्तै सेवा प्रदायकहरुले ६ महिनासम्मको लग राख्ने भनिएको भएपनि त्यो कहिलेबाट लागू हुने भन्ने स्पषट नभएको अर्यालले बताए।
भायनेट कम्युनिकेसनका प्रबन्ध निर्देशक विनय बोहोराले विनियमावलीले सेक्युरिटीमा ध्यान दिनु उचित भएको बताए। नेपालमा डेटा सेक्युरिटी गर्नु ठूलो जिम्मेवारी बन्दै गएकाले पनि सेक्युरिटी अडिटको प्रावधान उचित भएको उनको तर्क छ। तर ६ महिनासम्मको लग सुरक्षीत राख्ने प्रावधानको भने थप ब्याख्या आवश्यक रहेको उनको तर्क छ।
‘कुन समयमा लग इन गर्यो। कुन समयमा कुन आइपीबाट प्रवेश गर्यो भन्ने कुराको जानकरी राख्न सकिन्छ’, बोहोराले भने, ‘तर कुन साइट चलायो। के के गर्यो भन्ने सूचना राख्न सहज छैन। अझ धेरै वेवसाइटहरु इन्क्रिप्टेड हुने भएकाले पनि त्यस्तो सूचना राख्नु चुनौतीपूर्ण छ।‘
प्राधिकरणका अध्यक्ष खनालले भने कतिपय कारोबारका विवरणहरुको सूचना राख्नु पर्ने भएकाले पनि लग म्यानेज गर्ने जिम्मेवारी सेवा प्रदायकको हुने बताए। ‘अहिलेसम्क कति समयको अभिलेख राख्ने भन्ने समयसम्म तय थिएन’, खनालले भने, ‘हामीले ६ महिनाको अभिलेख राख्नुपर्ने भनेर पहिलो पटक समय तोकेका छौँ।‘
उनले नयाँ विनियमावलीको कार्यान्वयन नगर्ने कम्पनीहरुलाई दुरुसञ्चार ऐन अनुसार कारवाही गरिने उल्लेख गरे।
३ लाख शुल्क तिरेर सय जना ग्राहक राख्ने कम्पनीहरुलाई विनियमावलीका प्रावधानले मर्जर, एक्विजेशन अथवा खारेजीको बाटोमा लैजाने उनको तर्क छ। ‘सेक्युरिटी अडिट गर्नुपर्ने, डेटा सुरक्षा गर्न नसक्ने कम्पनीहरुलाई अब छुट दिन सकिदैँन’, खनालले भने, ‘विगतमा लगानीको नाममा लाइसेन्स जारी गरिएको थियो। अब हामी सुरक्षामा जोड दिन्छौँ।‘
