प्रमाणीकरण नियन्त्रकको कार्यालयले स्थापनाको १५ वर्षसम्म पनि एसएसएल प्रमाणपत्र दिन नसक्दा इन्टरनेटमार्फत हुने निजी तथा सरकारी विद्युतीय कारोबारको सुरक्षामा विदेशी कम्पनीहरूको भर पर्नु परेको छ।
काठमाडौँ- सञ्चार तथा सूचना प्रविधि मन्त्रालयअन्तर्गतको प्रमाणीकरण नियन्त्रकको कार्यालयले नेपालबाट सञ्चालन हुने वेबसाइट, एटीएम मसिन तथा इन्टरनेट उपकरणको सुरक्षा प्रमाणपत्र जारी गर्ने जिम्मवारी पाएको छ। त्यसलाई सेक्युर सकेट्स लेयर (एसएसएल) प्रमाणपत्र भनिन्छ।
तर नेपालमा एसएसएल सुरक्षा प्रमाणित गर्ने निकायकै वेबसाइटको एसएसएल प्रमाणपत्र विदेशी निकायको छ।
प्रमाणीकरण नियन्त्रकको कार्यालयको वेबसाइटको सुरक्षा बेलायती कम्पनी कोमोडो आरएसएले गर्छ। स्थापनाको १५ वर्षसम्म पनि एसएसएल प्रमाणपत्र दिन नसक्दा नेपालबाट इन्टरनेटमार्फत हुने निजी तथा सरकारी विद्युतीय कारोबारको सुरक्षामा विदेशी कम्पनीहरूको भर परिरहनु परेको छ।
प्रयोगकर्ताको डाटा सुरक्षित राख्न, डोमेनको स्वामित्व प्रमाणीकरण गर्न, ह्याकरहरूलाई नक्कली साइट बनाउनबाट रोक्न तथा विश्वसनीयता बढाउन हरेक वेबसाइटलाई एसएसएल प्रमाणपत्र चाहिन्छ। तर नेपालमै एसएसएल उपलब्ध नहुँदा विदेशी मुद्रा विदेशतिरै जाने गरेको कम्प्युटर एसोशिएसन अफ नेपाल (क्यान) महासंघका महासचिव चीरन्जीवी अधिकारी बताउँछन्।
प्रमाणीकरण नियन्त्रकको कार्यालय आफैँ प्रमुख प्रमाणीकरण निकाय (रुट सीए) हो। प्रमाणीकरण निकाय आफैँले प्रमाणपत्र जारी गर्दैन। प्रमाणीकरण नियन्त्रकको कार्यालयको प्रमुख जिम्मेवारी निजी संस्थालाई प्रमाणीकरण निकायको इजाजत दिने र प्रमाणीकरण निकायको नियमन गर्ने हो। तर प्रमुख प्रमाणीकरण निकाय नै अन्तर्राष्ट्रिय ट्रष्ट लिस्टमा नहुँदा प्रमाणपत्र जारी गर्न इजाजत प्राप्त निकाय (इस्युइङ सीए) बाट अन्तर्राष्ट्रिय ट्रस्ट लिस्टमा समेटिन सक्ने अवस्था छैन|
क्यान महासचिव अधिकारीका अनुसार सूचना संवेदनशीलता नभएका सामान्य जानकारीमूलक वेबसाइटहरूमा निशुल्क पाइने एसएसएल प्रयोग गर्न सकिन्छ। तर प्रयोगकर्ताको व्यक्तिगत तथा गोप्य सूचना भएका, वित्तीय कारोबार गरिने ई-बैंकिङ जस्ता पोर्टल र सार्वजनिक सेवाका साइटहरूमा उच्च संवेदनशीलता अपनाउनु पर्ने हुँदा भरपर्दो सुरक्षा प्रमाणपत्र प्रयोग गर्नुपर्छ। उनी भन्छन्, "पूर्वाधार भएर पनि सुरक्षा प्रमाणपत्रको सन्दर्भमा सरकारले अवसर गुमाएको छ।"
सानिमा बैंकका डिजिटल बैंकिङ प्रमुख विक्रम श्रेष्ठ अहिले नेपालमा विदेशकै एसएसएल प्रमाणपत्र चल्तीमा भएको बताउँछन्। “विदेशकै सुरक्षा संयन्त्र प्रयोग गर्नु पर्ने भन्ने होइन। राष्ट्र बैंकको सूचना प्रविधि नियमावलीमा समेत नेपाली विद्युतीय प्रमाणपत्र प्रयोग गर्न सकिने उल्लेख छ। तर विश्वसनियता र विशिष्टीकरणको अभावमा नेपाली प्रमाणपत्र प्रयोग हुन सकेका छैनन्,” उनी भन्छन्।
नेपालबाहिर दर्ता भएर नेपालमा संचालन भइरहेका डोमेनको यकिन तथ्यांक नभए पनि नेपाली डोमेन (डट एनपी) मात्रै करिब १ लाख छन्। नेपालमा करिब तीन हजार ५७ डोमेन नेम सर्भर र एक हजार ३४५ वेबसाइट रहेको राष्ट्रिय सूचना प्रविधि केन्द्रको आधिकारीक वेबसाइटमा उल्लेख छ।
श्रेष्ठका अनुसार सेवाको संवेदनशीलताका हिसाबले सामन्यता पाँच हजार रुपैयाँदेखि लाखौं मूल्यसम्मका एसएसएल प्रयोग हुन्छन्। एसएसएल निश्चित अवधिका लागि किन्नुपर्ने हुन्छ। एक वर्षदेखि पाँच वर्षसम्मको प्रमाणपत्र प्रचलनमा छन्। अवधि सकिएपछि पुन: खरिद गर्नु पर्छ।
"विशेष गरेर एटीएम, इन्टरनेटका स्विच, ई-बैंकिङ, वेब सर्भरहरूमा प्रयोग हुने एसएसएल लाखौंका हुन्छन्। प्रमाणपत्र वितरकले डेटा सुरक्षाको आश्वासन मात्र दिएका हुँदैनन्, क्षतिपूर्तिसम्म दिने व्यवस्था हुन्छ। जोखिम न्यूनीकरणका लागि प्राय: विश्वभरि प्रचलनमा रहेका एसएसएल प्रयोग गरिने क्षेत्री बताउँछन्।
एसएसएल प्रमाणपत्र दिन के गर्नुपर्छ?
सरकारले प्रमाणीकरण नियन्त्रकको कार्यालयको स्थापना २०६३ सालमा गरेको हो। सार्वजनिक रूपमा एसएसएल प्रयोग गर्न अन्तर्राष्ट्रिय वेब अफ ट्रस्टमा समेटिनु पर्छ। "सार्वजनिक सेवाहरूमा प्रयोग गर्न सकिने एसएसएल प्रमाणपत्र जारी गर्न हामी ग्लोबल ट्रस्टमा छैनौँ," प्रमाणीकरण नियन्त्रकको कार्यालयका नियन्त्रक अनिल दत्त भन्छन, "ग्लोबल ट्रस्ट लिस्टमा समेटिन सके एसएसएल प्रमाणपत्र जारी गर्न सक्छौँ।"
दत्तका अनुसार उक्त कार्यालयमा कुल १८ कर्मचारीको दरबन्दी भए पनि अहिले १० कर्मचारी छन्। तीमध्ये दुई जना मात्र आईटी इन्जिनियर (विशेषज्ञ) छन्। स्रोत, साधन र जनशक्ति अभावमा काम गर्न समय लागेको र अब छिट्टै छुट्टै कार्यक्रम बनाएर ग्लोबल ट्रस्टमा जाने योजना रहेको उनले जानकारी दिए।
ग्लोबल ट्रस्टमा समेटिने प्रक्रिया पूरा गर्न वर्षौं लाग्न सक्ने हुँदा कार्यालयले अहिले नै पहल गर्नु पर्ने सूचना सुरक्षाका जानकार इन्दिभर बडाल बताउँछन्। सरकारको आफ्नै प्रमाणीकरण निकाय हुँदाहुँदै सरकारी संयन्त्रमा बाह्य प्रमाणीकरण निकायका सुरक्षा प्रमाणपत्र प्रयोग भैरहनु अस्वाभाविक भएको उनको भनाइ छ।
बडालका अनुसार ग्लोबल ट्रस्टमा सूचीबद्ध हुन अन्तर्राष्ट्रिय प्रमाणीकरण निकायसँग 'क्रस साइन' गरेर जान सकिन्छ। उनी भन्छन्, “बजेट एउटा पाटो हुन सक्छ, तर सिस्टम अडिट, हाम्रो प्रविधि, अनुपालन लगायत कुरा महत्त्वपूर्ण हुन्छन्।"
प्रमाणीकरण नियन्त्रकको कार्यालयका पूर्वनियन्त्रक तथा सूचन सुरक्षा विज्ञ राजनराज पन्तले प्रमाणीकरण निकायले आफ्नो प्राविधिक क्षमता बढाएर एसएसएल जारी गर्न सक्ने बताउँछन। "सरकारी निकायले नसके निजी क्षेत्रबाट पनि गर्न सकिन्छ," पन्त भन्छन, "एसएसएल जारी गर्न सक्ने वा नसक्ने उसको प्राविधिक क्षमताले निर्धारण गर्छ। एसएसएल जारी गर्ने वा नगर्ने प्रमाणीकरण निकायको बिजनेस पोलिसीमा भर पर्ने कुरा हो।"
एसएसएल किन?
सूचना सुरक्षा व्यवसायी अजय मुल्मीका अनुसार अनलाइन सेवा प्रयोग गर्दा सेवाग्राही र सर्भरबीच सम्पर्क गराउन इन्टरनेटका अनगिन्ती राउटर बीचको दूरी तय हुन्छ। कुनै पनि राउटरमार्फत इन्टरनेटमा घुसेर सूचनामाथि अनधिकृत हस्तक्षेप वा चोरी हुनसक्छ। यस किसिमका गतिविधिबाट आफ्ना सूचनालाई जोगाउन एसएसएल प्रमाणपत्र प्रयोग गर्नुपर्ने उनको भनाइ छ।
मुल्मीका अनुसार एक जोडी साचो (पब्लिक कि र प्राइभेट कि) का माध्यमबाट सूचना इन्क्रिप्ट भइ इन्टरनेटमार्फत प्रसारण हुन्छन्। एसएसएल प्रयोग भएका सूचनामा कसैले अनधिकृत पहुँच पुर्याए पनि ती इन्क्रिप्टेड हुँदा गोप्य रहन्छन्। वेब साइट, पोर्टल, राउटर, एटीम मसिन, इ बैंकिङ जस्ता सेवाहरूको सूचना सुरक्षाका निम्ति विभिन्न प्रकारका एसएसएलको प्रयोग हुँदै आएको मुल्मी बताउँछन्।
बैंक तथा वित्तीय सेवाका एटीएम मसिन, इन्टरनेट प्रदायकका राउटर, फायरवाल, स्विचहरूको देशभर संजाल बनेको छ। यी सबै सूचना सुरक्षाका हिसाबले संवेदनशील मानिन्छन्। पूर्वडोमेन होस्टमास्टर तथा इन्टरनेटविज्ञ सुरज भुसालका अनुसार डोमेनको आधिकारिकता र इन्टरनेटमा सूचना सुरक्षाका निम्ति एसएसएलको प्रयोग हुन्छ।
इन्टरनेटमा प्रयोग गरी प्रदान गरिने सेवाहरूका लागि आईपी वा डोमेन नेम प्रयोग हुन्छ। यिनको सुरक्षाका लागि विदेशकै एसएसएल प्रमाणपत्र प्रयोग भइरहेका छन्। "नेपालले आफ्नै पहलमा एसएसएल प्रमाणपत्र दिने तयारी भएको छ, तर प्रभावकारी काम हुन सकेको छैन," भुसाल भन्छन्, "विषयगत ज्ञान र प्रविधिमा समय सान्दर्भिक सबलीकरण हुन नसक्दा र कति आवश्यक टुलहरूको विकास नेपालमै हुन नसकेको कारण प्रमाणपत्र दिने काम हुन नसकेको हो।"
काठमाडौँस्थित एक डेटा सेन्टरमा कार्यरत निर्वाणपाल क्षेत्रीका अनुसार कतिपय बेवसाइट प्रयोगकर्ताले सि प्यानलको निशुल्क प्रमाणपत्रहरू प्रयोग गर्छन्। कतिपय 'ओपन सोर्स कम्युनिटी'ले पनि निशुल्क प्रमाणपत्र प्रदान गरेका छन्। "नि:शुल्क वितरण गर्ने निकायको सर्टिफिकेट प्रयोग गर्दा त्यसबाट हुनसक्ने क्षतिको जिम्मेवारी आफैँले लिनुपर्छ। स्पामिङलगायतका प्राविधिक अड्चन आइपर्न सक्छ," क्षेत्रीले भने।
Unlock Premium News Article
This is a Premium Article, available exclusively to our subscribers. Read such articles every month by subscribing today!
Basic(Free) |
Regular(Free) |
Premium
|
|
|---|---|---|---|
| Read News and Articles | |||
| Set Alert / Notification | |||
| Bookmark and Save Articles | |||
| Weekly Newsletter | |||
| View Premium Content | |||
| Ukaalo Souvenir | |||
| Personalize Newsletter | |||
