एआईबाट निर्मित सांकेतिक तस्विर

ह्याकर मात्र दोषी?” एउटा कर्मचारीलाई दोष, सिंगो प्रणाली बेपत्ता: ई-जीपीको ‘भित्री’ सत्य”

Sticky News विज्ञान तथा सूचना प्रविधि

instakhabar | प्रकाशित मिति: २०८३ बैशाख २२, मंगलवार १२:५९

नेपालको सार्वजनिक खरिद प्रणालीलाई व्यवस्थित गर्ने भनिएको ई-प्रोक्योरमेन्ट (e-GP) प्रणाली हालैका दिनमा गम्भीर विवादको घेरामा छ। ठेक्काको विवरण हेरफेर गर्ने कार्यमा एक सरकारी कर्मचारीको मुख्य संलग्नता रहेको भन्दै नेपाल प्रहरीको केन्द्रीय अनुसन्धान ब्युरो (CIB) ले हालसम्म १३ जनालाई पक्राउ गरेको छ। यस घटनामा ३३ वर्षीय एक कर्मचारीलाई ‘मास्टरमाइन्ड’ का रूपमा उभ्याइएको छ।

तर, प्राविधिक र सुरक्षाको दृष्टिकोणबाट हेर्दा यो घटना ‘एक जना ह्याकर’ को मात्र उपज होइन, बरु ‘Systemic Failure’ (प्रणालीगत असफलता) को एउटा कहालीलाग्दो तस्बिर हो। यो प्रकरणले एउटा प्रश्न खडा गरेको छ: के एउटा मात्र व्यक्तिले देशको संवेदनशील सरकारी प्रणाली हल्लाउन सक्छ? यदि सक्छ भने, सूचना तथा सञ्चार मन्त्रालय र त्यसको साइबर सुरक्षा संरचना के गर्दैछ?

‘मास्टरमाइन्ड’ को भ्रम र ‘Scapegoating’

“ई-जीपी (e-GP) ह्याक प्रकरणका मुख्य आरोपित कर्मचारी यसअघि २०७७ सालमा नेपाल टेलिकमको सर्भर ह्याक गरेको आरोपमा पक्राउ परेका व्यक्ति हुन्। यस्तो गम्भीर र विवादास्पद पृष्ठभूमि भएका व्यक्तिलाई पुनः सरकारी सेवामा कसरी स्थान दिइयो? यो प्रश्नले हाम्रो कर्मचारी भर्ना प्रक्रिया र सुरक्षा जाँच (Background Verification) माथिको गम्भीर लापरवाहीलाई छर्लङ्ग पार्छ।

हालको अनुसन्धानमा उनले अन्य ह्याकरहरूको मिलेमतोमा प्रणालीमा अनधिकृत पहुँच बनाएको दाबी गरिए पनि, प्राविधिक दृष्टिकोणबाट हेर्दा एउटा मात्र व्यक्तिले ई-जीपी जस्तो संवेदनशील प्रणालीको सुरक्षा घेरा तोड्नु असम्भव छ। वास्तवमा, यस्ता घटनाहरू ‘सिस्टमको आन्तरिक कमजोरी’ र ‘नियतवश राखिएका लुपहोल’ बिना सम्भव हुँदैनन्। त्यसैले, एउटा व्यक्तिलाई मात्र ‘मास्टरमाइन्ड’ देखाएर समग्र प्रणालीको सुरक्षात्मक विफलता र आन्तरिक मिलेमतोलाई ढाकछोप गर्ने प्रयास भइरहेको त होइन? यो पाटोलाई पनि गहिरो अनुसन्धानको खाँचो छ।” यो घटनालाई केवल ‘ह्याकिङ’ भन्नु आम जनतालाई भ्रममा पार्ने प्रयास हो। ३३ वर्षका ती व्यक्तिलाई मात्र दोषी देखाएर प्रणालीका ‘अदृश्य खेलाडीहरू’ उम्कन पाउँदैनन्।

“के ई-जीपी ह्याक भएको हो? यो त ‘भ्रष्टाचारको डिजिटल डिजाइन’ पो हो!” यो घटनाको ‘रूट-कज एनालाइसिस’ गर्ने हो भने ह्याकर मात्र होइन, सिस्टम आर्किटेक्चर नै दोषी देखिन्छ।”

प्राविधिक लापरवाही: सुरक्षा मापदण्डको धज्जी

ई-जीपी (e-GP) प्रणालीमा भएको परिवर्तन कुनै बाह्य ‘सुपर-ह्याकर’ को काम होइन, यो प्रणालीको ‘Design Flaw’‘Intentional Vulnerability’ हो।

  • अनुचित पहुँच: बोलपत्रको रकम जस्तो संवेदनशील डेटा प्रणालीको म्याद सकिएपछि पनि परिवर्तन हुनु भनेको ‘Input Validation’ र ‘Database’ सुरक्षाको चरम उपेक्षा हो। यो OWASP र ISO 27001 जस्ता अन्तर्राष्ट्रिय सुरक्षा मापदण्डको ठाडो उल्लंघन हो।

  • फायरवाल र DMZ: e-GP सर्भर DMZ (Demilitarized Zone) मा रहँदा पनि लामो समयसम्म अनधिकृत गतिविधि पत्ता नलाग्नु भनेको कि त मोनिटरिङको अभाव हो, कि त ‘मास्टरमाइन्ड’ भित्रै छन् जसले यी लग (logs) हरूलाई मेटाउँदै वा लुकाउँदै आएका छन्।

  • SQL Injection र फरेन्सिक अडिटको आवश्यकता: प्रणालीको कोडबेस र डेटाबेसमा कसले, कहिले, कुन तहबाट पहुँच राख्यो भन्ने कुरा पत्ता लगाउन एक स्वतन्त्र ‘Forensic Audit’ अनिवार्य छ। केवल सीआईबीको अनुसन्धान पर्याप्त छैन, प्राविधिक विशेषज्ञद्वारा गरिएको कोड फरेन्सिकले मात्र यसको भित्री जालो खोल्न सक्छ।

“प्रणालीको डिजाइनमा किन यस्ता गम्भीर त्रुटिहरू राखिए? यसले संस्थागत जवाफदेहितामाथि प्रश्न खडा गरेको छ”

राष्ट्रिय साइबर सुरक्षा केन्द्र र मन्त्रालयको मौनता

सिंहदरबारकै आँगनमा सूचना तथा सञ्चार मन्त्रालय छ, जसको मातहतमा ‘राष्ट्रिय साइबर सुरक्षा केन्द्र’ रहेको छ। त्यहाँ साइबर सुरक्षाका विज्ञहरू छन्। प्रश्न उठ्छ: महिनौँसम्म प्रणालीमा गडबडी हुँदा ती विज्ञहरू के हेरेर बसेका थिए? किन यो प्रणालीको नियमित सुरक्षा अडिट र पेनिट्रेसन टेस्टिङ (Penetration Testing) भएन?

“एकातिर प्रणालीको सुरक्षा गर्ने जिम्मा मन्त्रालयको छ, अर्कोतिर त्यसै प्रणालीमा भइरहेका अनधिकृत गतिविधिहरूमाथि मौन बस्नु वा त्यसलाई लुकाउनु भनेको ‘रक्षक नै भक्षक’ बन्ने अवस्था हो।”

यो केवल लापरबाही मात्र होइन, ‘Conflict of Interest’ (स्वार्थको द्वन्द्व) को पराकाष्ठा हो। विज्ञहरू हुँदाहुँदै पनि किन प्रणालीलाई असुरक्षित बनाइराखियो? यसको जवाफ मन्त्रालयले दिनुपर्छ।

यो प्रकरणमा वर्तमान सरकार र प्रशासन एउटा मुकदर्शक वा साक्षी मात्र बन्नु हुँदैन। यदि यो प्रणालीलाई अपराधीको ‘खेलमैदान’ बन्न दिइयो भने, त्यसको जिम्मेवारी वर्तमान नेतृत्वले लिनुपर्छ। सरकारी सूचना प्रणालीमा वर्षौंदेखि चलिरहेको यो ‘लुट’ र भ्रष्टाचारको जालोलाई एक पटकमा मात्र हैन, जरैदेखि उखेल्नुपर्छ।

साइबर सुरक्षा कानुनअनुसार यो घटनामा केवल आरोपित व्यक्ति मात्र होइन, प्रणाली प्रशासक (System Admin), सुरक्षा अडिटर र सम्बन्धित मन्त्रालयका जिम्मेवार पदाधिकारीहरू समेत कारबाहीको दायरामा आउनुपर्छ।

“नेपालका सरकारी प्रणालीहरूमा ‘जिरो ट्रस्ट’ नीति अपनाउनु आजको आवश्यकता हो, न कि एउटा पासवर्डमा आधारित सुरक्षा।”

यो ‘ह्याकिङ’ होइन, यो ‘सिस्टम लुट’ हो। एउटा कर्मचारीलाई पक्राउ गरेर वा ठेकेदारलाई कारबाही गरेर यो मुद्दा सकिँदैन। जबसम्म प्रणालीको ‘Backend Architecture’ लाई सुरक्षित बनाइँदैन र यसका दोषी ‘सिस्टम आर्किटेक्टहरू’ लाई कारबाही हुँदैन, तबसम्म अर्को ‘ह्याकर’ जन्मिइरहनेछ। अब हामीलाई ‘बलिको बोका’ होइन, ‘प्रणालीको सुधार’ र ‘दोषी अधिकारीको जेल यात्रा’ चाहिएको छ।

नेपालको प्रधानमन्त्री कार्यकालमा प्रधानमन्त्रीकै नाकको मुनि डिजाइन हुने यस्ता खेल साइबर ह्याकिङ भन्दा पनि नेशनल इकोनमी ह्याकिङ नै हो भनेर ठोकुवा गर्न सकिन्छ | 

उस्तै उस्तै