प्रधानमन्त्रीमा नियुक्त नहुँदै वालेन्द्र शाहले १ चैत २०८२ मा ‘बालेनफरपीएमनेपाल’ नामको जिमेल आईडी सार्वजनिक गरे। अहिले उनको फेसबुक पेजमा यही इमेल ठेगाना राखिएको छ।

१३ चैतमा प्रधानमन्त्री नियुक्त शाहले १८ चैतमा प्रदेशका सांसदहरूसँग छलफल गरे। त्यसपछि हरेक प्रदेशका सांसदसँग छलफल गर्न छुट्टाछुट्टै ह्वाट्सएप ग्रुप बनाउन निर्देशन दिए।

‘डिजिटल नेपाल’ बनाउने उद्घोष गरेका प्रधानमन्त्री शाह सरकारी डेटा सुरक्षामा कति पनि संवेदनशील छैनन् भन्ने बुझ्न पछिल्ला यी दुई गतिविधि नै काफी छन्। किनभने, प्रधानमन्त्रीको इमेलमा आउने सूचना वा सांसद र प्रधानमन्त्रीबीच मेसेजिङ एपमार्फत हुने छलफलका विषयवस्तु राष्ट्रिय सुरक्षासँग जोडिएका संवेदनशील विषयवस्तु पनि हुन सक्छन्। ती महत्त्वपूर्ण सूचना जिमेलमा आदानप्रदान गर्नु भनेको गुगलको माउ कम्पनी अल्फाबेट र ह्वाट्सएपमा आदानप्रदान गर्नु मेटा कम्पनीलाई ती सामग्री बुझाउनु वा सोझै पहुँच दिनुसरह हो।

प्रधानमन्त्री शाहलाई पहिला काठमाडौँ महानगरपालिकाको प्रमुख बनाउन होस् या त अहिले सांसद हुँदै प्रधानमन्त्री बनाउन, उनलाई आमनागरिकसम्म जोड्न ‘डिजिटल प्लेटफर्म’ को प्रमुख भूमिका थियो। प्रधानमन्त्री भएपछि उनले सार्वजनिक गरेको सम्पत्ति विवरणअनुसार उनको बैंक खातामा एक करोड ४६ लाख रुपैयाँ छ। यो रकम युट्युब, फेसबुक जस्ता इन्टरनेटकै सामाजिक सञ्जालका विभिन्न प्लेटफर्ममार्फत कमाएको उनले उल्लेख गरेका छन्।

१७ चैतमा सुदूरपश्चिम प्रदेशबाट प्रतिनिधित्व गर्ने प्रतिनिधिसभा सदस्यहरूसँग छलफल गर्दै प्रधानमन्त्री वालेन्द्र शाह। तस्बिर : प्रधानमन्त्रीको सचिवालय

डिजिटल संसारमा अभ्यस्त प्रधानमन्त्री नै डेटा सुरक्षा जस्तो संवेदनशील विषयमा लापरवाही गरिरहेका छन् भने अन्य मन्त्री, कर्मचारी र कूटनीतिज्ञहरूको अवस्था कस्तो होला?

सामान्य अध्ययनबाट नै के देखिन्छ भने, प्रधानमन्त्रीका मात्र होइन, अन्य सरकारी निकायका इमेल पनि यस्तै असुरक्षित छन् भने महत्त्वपूर्ण डेटा रहने सरकारी निकायका धेरै मान्छे अझै सचेत छैनन्। यसका धेरै उदाहरण भेट्न सकिन्छ। जस्तो, स्वास्थ्य तथा जनसंख्या मन्त्रालयका सचिव विकास देवकोटालाई कसैले कुनै महत्त्वपूर्ण सूचना पठाउनुपरे उनको जिमेल आईडीमा पठाउनुपर्छ। मन्त्रालको वेबसाइटमै उनको जिमेल आईडी राखिएको छ।

खानेपानी मन्त्रालका सचिव विश्वबाबु पुडासैनीले याहुको इमेल चलाउँछन्। सहसचिव रमाकान्त दुवाडी र उपसचिव तथा सूचना अधिकारी मुकुन्द शर्माले पनि जिमेल खाता नै चलाउने गरेका छन्।

ठूलो वैदेशिक ऋण लिएर डिजिटल नेपाल बनाउने अभियानमा लागेका प्रधानमन्त्री र सरकारी निकाय नै अहिलेसम्म डेटा सुरक्षाका विषयमा सचेत छैनन्।

सहरी विकास मन्त्रालयकी उपसचिव इन्दिरा थापा, सिनियर डिभिजन इन्जिनियर महेशबहादुर सिंह, वन तथा वातावरण मन्त्रालयका प्रवक्ता महेश्वर ढकाल, गुनासो सुन्ने अधिकारी सुमना अर्याल सबैले इमेल आदानप्रदानका लागि जिमेल नै चलाउने गरेका छन्।

त्यसो त कायममुकायम प्रधानन्यायाधीश सपना प्रधान मल्लले चलाउने तीन इमेल आईडीमध्ये एउटा र न्यायाधीश कुमार रेग्मीका दुईमध्ये एउटा इमेल आईडी जिमेलकै छन्। उनीहरूले वेबसाइटमै सार्वजनिक रूपमा राखेका यी इमेलमार्फत महत्त्वपूर्ण सूचना आदानप्रदान गरिएमा सिधै गुगल कम्पनीको पहुँचमा पुग्छ।

विदेशस्थित नेपाली राजदूतावासका कर्मचारीहरूले पनि जिमेल नै प्रयोग गर्ने गरेका छन्। भारतस्थित नेपाली राजदूतावासका सूचना अधिकारी दीपक घिमिरे र प्रवक्ता अम्बिका जोशीले पनि जिमेलबाट सूचना आदान प्रदान गर्ने गरेका छन्। त्यस्तै, दक्षिण कोरियाका लागि नेपाली राजदूत शिवमाया तुम्बाहाङ्फे र सोही दूतावासका उपनियोग प्रमुख निर्मलप्रसाद भट्टराई जिमेल चलाउँछन्।

बागमती प्रदेशका सांसदसँग प्रधानमन्त्री वालेन्द्र शाहको भेट। तस्बिर : प्रधानमन्त्री सचिवालय

प्रदेशतिर पनि यस्तै अभ्यास छ। कोसी प्रदेश सचिवालयका कर्मचारीको मात्र होइन, कार्यालयकै इमेल पनि जिमेलकै चलाइन्छ। यी त केही उदाहरण हुन्। यस्तो प्रचलन संघ, प्रदेशदेखि स्थानीय तहसम्मका सरकारी कार्यालयमा छ।

जिमेल गुगल कम्पनीको इमेल सेवा हो। त्यसैले जिमेलमा आदानप्रदान हुने सूचना वा डेटा गुगल कम्पनीको सर्भरमा पुग्छन्। त्यस्तै ह्वाट्सएप मेटा कम्पनीअन्तर्गतको हो। अर्थात् ती सूचना हाम्रो नियन्त्रणमा हुँदैनन्, गुगल र मेटाकै सर्भरमा हुन्छन्। त्यस्ता सूचना दुरुपयोगको सम्भावना रहन्छ।

आईटीविज्ञ राजीव सुब्बाको अनुभवमा अधिकांश कूटनीतिज्ञ पनि ह्वाट्सएपमार्फत नै कुराकानी गर्छन्। उनी भन्छन्, “त्यसमार्फत कुराकानी गर्दा हाम्रा डेटा अरूको हातमा पुग्छ भनेर मैले कूटनीतिक कर्मचारीलाई सचेत गराउने गरेको छु, तर खासै सुधार भएको देखिँदैन।”

आजको समयमा जसको हातमा डिजिटल पावर छ, देशको सार्वभौमसत्ता उसैको हातमा हुन्छ। तर, नेपाल सरकारले अहिलेसम्म यो पक्षमा ध्यान दिएकै छैन।

राजदूतहरूसँग देशका महत्त्वपूर्ण विषयका सूचना हुने भएकाले जासुसी निकायलाई त्यसमा धेरै रुचि हुन्छ।

सन् २०२१ मा एउटा ठूलो डिजिटल जासुसी काण्ड सार्वजनिक भएको थियो। इजरायलको कम्पनी एनओएस ग्रुपले बनाएको जासुसी सफ्‌टवेयर (स्पाइवेयर) पेगाससमार्फत ५० हजार जनाभन्दा बढीको विवरणमा निगरानी गरिएको द गार्डियनमा प्रकाशित रिपोर्टमा उल्लेख छ। ‘पेगासस’ सफ्‌टवेयर बनाउने कम्पनीले आतंकवादी र अपराधीविरुद्ध प्रयोगका लागि बनाएको दाबी गरे पनि अनुसन्धानबाट पत्रकार, मानवअधिकारकर्मी र विपक्षी नेताको निगरानी राखिएको पाइएको थियो।

त्यसबेला नेपालसँग सम्बन्धित कूटनीतिज्ञहरूको नम्बर पनि निगरानीमा राखिएको समाचार प्रकाशन भएका थिए। भारतका लागि तत्कालीन नेपाली राजदूत नीलाम्बर आचार्यको नम्बर पनि सूचीमा रहेको भारतीय मिडिया द हिन्दुमा प्रकाशन भएको थियो। तर, नेपालमा भने यस विषयमा न बहस भयो, न त सरकारले चासो नै दियो।

पेगासस यस्तो खतरनाक हुन्छ, ह्‌वाट्सएपमा आएको कल उठाएको भरमा, कुनै लिंक क्लिक गर्दा वा कहिलेकाहीँ मोबाइल फोन प्रयोगकर्ताले थाहै नपाई प्रवेश गर्न सक्छ। त्यसले मोबाइल फोनमा प्रवेश गरेर मेसेज, इमेल, फोटो, पासवर्ड, क्यामेरा, माइक्रोफोन, लोकेसन, कल रेकर्ड सबैमा पहुँच पुर्‍याउँछ। त्यसपछि थाहै नपाई आफ्‌नो मोबाइल नै जासुस बनिरहेको हुन सक्छ। धेरैजसो घटनामा ह्‌वाट्सएप सजिलै ह्याक हुने गरेको छ।

प्रधानमन्त्री बालेन या मन्त्रालयका कर्मचारी र कूटनीतिज्ञहरूले जिमेलको इमेल चलाउनुको साटो नेपालमै सर्भर रहेको जीओभी डटएनपी डेमन भएका इमेल चलाउन सुरक्षित हुन्थ्यो।

सन् २०१९ मा एक हजार ४०० ह्‌वाट्सएप अकाउन्ट ह्याक गर्न पेगासस बनाउने कम्पनी एनएसओले साइबर उपकरण प्रयोग गरिएको पाइएपछि अमेरिकाको संघीय अदालतले एनएसओ ग्रुपले मेटा कम्पनीलाई १७ करोड डलर क्षतिपूर्ति तिर्नुपर्ने आदेश गरेको थियो।

नेपालमा पनि सरकारी कार्यालय, ठूला कम्पनी र उच्च तहका व्यक्तिहरूका ह्‌वाट्सएप, जिमेलदेखि वेबसाइट ह्याक हुने गरेका छन्। ह्याकरहरूको प्राथमिकता डेटा चोरीमा हुन्छ। आईटीविज्ञ सुब्बा भन्छन्, “आजको समयमा जसको हातमा डिजिटल पावर छ, देशको सार्वभौमसत्ता उसैको हातमा हुन्छ। तर, नेपाल सरकारले अहिलेसम्म यो पक्षमा ध्यान दिएकै छैन।”

डिजिटल नेपालको सपना

सरकारले २२ चैत २०८२ मा ‘डिजिटल नेपाल ट्रान्सफर्मेसन’ परियोजनाका लागि एसियाली विकास बैंकबाट ४० मिलियन र विश्व बैंकबाट ५० मिलियन गरी जम्मा ९० मिलियन अमेरिकी डलर (करिब १३ अर्ब रुपैयाँ बराबर) ऋण लिने निर्णय गरेको छ।

तर, यति ठूलो वैदेशिक ऋण लिएर डिजिटल नेपाल बनाउने अभियानमा लागेका प्रधानमन्त्री र सरकारी निकाय नै अहिलेसम्म डेटा सुरक्षाका विषयमा सचेत छैनन्। आईटी विज्ञ सुब्बा भने जानीजानी आफ्‌ना डेटा लुकाउन पनि देशमै सर्भर भएका इमेल नचलाई जिमेल र ह्वाट्सएप चलाएको हुन सक्ने बताउँछन्।

प्रधानमन्त्री बालेन या मन्त्रालयका कर्मचारी र कूटनीतिज्ञहरूले जिमेलको इमेल चलाउनुको साटो नेपालमै सर्भर रहेको जीओभी डटएनपी डेमन भएका इमेल चलाउन सुरक्षित हुन्थ्यो। धेरै मन्त्रालय र सरकारी कार्यालयले जीओभी डटएनपी डोमेन नै चलाउने गरेका छन्। यसको सर्भर तथा ब्याकअप सञ्चार तथा सूचना प्रविधि मन्त्रालयअन्तर्गतको एकीकृत डेटा व्यवस्थापन केन्द्र (राष्ट्रिय सूचना प्रविधि केन्द्र)मा रहेको छ।

डेटा सुरक्षाकै लागि चीनमा ह्वाटसएपलगायत विदेशी एप चल्दैनन्। बरु चीनले ह्वाट्सएप जस्तै मेसेजिङ एप आफैँले बनाएको छ- विच्याट। त्यहाँका सरकारी निकाय र नागरिकले विच्याट नै प्रयोग गर्छन्। किनभने, त्यसको डेटा सर्भर चीनमै छ।

सरकारले चाहने हो भने नेपालमा पनि आफ्‌नै सर्भरमा रहने गरी च्याट चलाउन सकिने आईटी क्षेत्रका विज्ञहरूको भनाइ छ। आईटी विज्ञ सुब्बा भन्छन्, “हाम्रो नागरिक एपमै नेपाल च्याट भनेर चलाउन सकिन्छ। त्यसो भए डेटा सुरक्षित हुन्छ।”

नेपालका धेरै संस्था अहिले पनि पुरानै आईटी पूर्वाधारका भरमा छन्। त्यसले पनि साइबर आक्रमणको खतरा बढाउँछ। त्यसैगरी, नेपालमा साइबर सुरक्षाविज्ञहरू थोरै मात्रामा छन् भने साइबर सुरक्षा कानुन पनि पर्याप्त छैन।

त्यसो त नेपालमा डिजिटल प्रणालीको विकास भइरहँदा नागरिकमा डिजिटल साक्षरता छैन। आमनागरिक मात्र होइन, सरकारी निकायका कर्मचारीदेखि प्रधानमन्त्रीसम्म सचेत नहुँदा जुनसुकै बेला नेपालीका डेटा अरूको हातमा पुग्ने खतरा छ।

नेपाल प्रहरीको साइबर ब्युरोमा पछिल्लो समय डेटा चोरी, इमेल दुरुपयोग, ह्याकिङ जस्ता विषयमा उजुरी आउने क्रम बढ्दो छ। ब्युरोको तथ्यांकअनुसार आर्थिक वर्ष २०७९/८० मा डेटा चोरीसम्बन्धी दुई उजुरी दर्ता भएका थिए। त्यस्तै, २०८०/८१ मा तीन वटा र २०८१/८२ मा ६ वटा उजुरी दर्ता भएका थिए।
ब्युरोका प्रवक्ता, प्रहरी उपरीक्षक (एसपी) दीपकराज अवस्थीका अनुसार व्यक्तिगत, संस्थागत र सरकारी डेटा ह्याकिङ हुने, चोरी हुने, इमेल खाता दुरुपयोग हुने जस्ता घटना बढ्न थालेका छन्।

न कानुन, न सचेतना

सञ्चार तथा सूचना प्रविधि मन्त्रालयअन्तर्गतको एकीकृत डेटा व्यवस्थापन केन्द्रले नेपालमा चार वटा प्रमुख साइबर सुरक्षा चुनौती पहिचान गरेको छ। केन्द्रले वेबसाइटमा राखेको विवरणअनुसार चेतनाको अभाव एउटा प्रमुख साइबर सुरक्षा चुनौती हो। जनसंख्याको ठूलो हिस्सामा साइबर सुरक्षाको चेतना नहुँदा उनीहरूलाई साइबर आक्रमणको खतरा छ।

त्यस्तै, नेपालका धेरै संस्था अहिले पनि पुरानै आईटी पूर्वाधारका भरमा छन्। त्यसले पनि साइबर आक्रमणको खतरा बढाउँछ। त्यसैगरी, नेपालमा साइबर सुरक्षाविज्ञहरू थोरै मात्रामा छन् भने साइबर सुरक्षा कानुन पनि पर्याप्त छैन।

विज्ञहरूका अनुसार डिजिटल नेपाल निर्माणको अभियान सुरु गर्दा सुरुमा आमनागरिकलाई डिजिटल साक्षरता कार्यक्रम सञ्चालन गरिनु आवश्यक छ। नागरिकमा साइबर सुरक्षाबारे ज्ञान दिनका लागि विद्यालय तहको पाठ्यक्रममै व्यवस्था मिलाउनु आवश्यक रहेको कम्प्युटर वैज्ञानिक दोभान राईको भनाइ छ। उनी भन्छिन्, “अहिलेको समयमा सबै नागरिकमा डिजिटल सचेतना आवश्यक छ। सरकारले त्यसतर्फ ध्यान दिनुपर्छ।”

डेटा संरक्षणका लागि छुट्टै कानुन चाहिने भनेर लामो समयदेखि आवाज उठाइरहेका अधिवक्ता बाबुराम अर्याल हालसम्म सरकारले ल्याएका कानुन र नीतिले मात्र अबको डेटा संरक्षण हुन नसक्ने बताउँछन्।

आईटीविज्ञ सुब्बा सरकारी निकायका कर्मचारी र राजनीतिक नेतृत्वलाई पनि डिजिटल शिक्षा आवश्यक रहेको बताउँछन्। उनी सरकारी कार्यालयका सबै सिस्टम नयाँ राख्नुपर्ने बताउँछन्। “यी सबै कुरा गर्न पनि सर्वप्रथम त डेटा संरक्षणको छुट्टै कानुन चाहिन्छ,” उनी भन्छन्।

अमेरिकाले सन् २०१८ मा क्लाउड एक्ट ल्याएपछि डेटा संरक्षणसम्बन्धी छुट्टै कानुन नभएका देशहरूमा झनै खतरा बढेको छ। किनभने, त्यो कानुनले अमेरिकामा सर्भरमा रहेका कुनै पनि देशका नागरिकका डेटासमेत अमेरिकी सरकारले पाउने व्यवस्था छ।

नेपालमा भने डेटा संरक्षणसम्बन्धी छुट्टै कानुन बनेकै छैन। सूचनाको हकसम्बन्धी ऐन, २०६४, राष्ट्रिय तथ्यांक ऐन, २०७९, नेपाल राष्ट्र बैंकको सूचना-प्रविधि निर्देशिका, २०६९ लगायतले डेटा संरक्षणसम्बन्धी केही व्यवस्था गरेका छन्। त्यस्तै, वैयक्तिक गोपनीयतासम्बन्धी ऐन, २०७५ ले सूचनाको संरक्षण र सुरक्षित उपयोगबारे केही व्यवस्था गरेको छ, तर समग्र डेटा सुरक्षाका लागि यति मात्र पर्याप्त हुँदैन।

सरकारले साइबर सुरक्षाका लागि साइबर सुरक्षा नीति, २०८० सालमै पारित गरेको थियो। त्यसमा सुरक्षित साइबर स्पेस निर्माणका लागि कानुनी र संस्थागत व्यवस्था गर्ने, साइबर आक्रमणको जोखिम न्यूनीकरण गर्दै संवेदनशील राष्ट्रिय पूर्वाधार संरक्षण गर्ने, साइबर स्पेसलाई सशक्त र सुदृढ बनाउन साइबर सुरक्षा क्षेत्रमा अनुसन्धान, जनशक्ति उत्पादन एवम् कार्यरत जनशक्तिको क्षमता वृद्धि गर्ने जस्ता उद्देश्य राखिएका थिए। तर, हालसम्म यो नीतिअनुसार कानुन बन्न सकेको छैन।

त्यसो त ई-गभर्नेन्स बोर्डले पनि ‘व्यक्तिगत डेटा संरक्षण नीति, २०८२’ ल्याएको छ। यस नीतिमा पनि डेटा संरक्षणलगायत विषयमा छुट्टै कानुन आवश्यक रहेको उल्लेख छ। डेटा संरक्षणका लागि छुट्टै कानुन चाहिने भनेर लामो समयदेखि आवाज उठाइरहेका अधिवक्ता बाबुराम अर्याल हालसम्म सरकारले ल्याएका कानुन र नीतिले मात्र अबको डेटा संरक्षण हुन नसक्ने बताउँछन्। भन्छन्, “सरकारले डिजिटल नेपाल बनाउने भने पनि छुट्टै कानुन नबनाएसम्म सम्भव छैन। सबैभन्दा पहिला कानुन बनाउनुपर्छ।”

सरकारले डिजिटल नेपालका लागि भनेर ठूलो वैदेशिक ऋण लिने निर्णय गरिसकेकाले त्यसका लागि पनि छुट्टै कानुन बन्ला भन्नेमा आईटीविज्ञ सुब्बा आशावादी छन्। भन्छन्, “सरकारसँग ठूलो अपेक्षा छ, त्यसका लागि छुट्टै बोर्ड र कानुन बनाएर अघि बढ्नु आवश्यक छ।”