काठमाडौँ- बुटवलका माधव भण्डारीलाई गाउँका भाइले मेसेन्जरमार्फत मोबाइल नम्बर मागे। ती भाइले आफ्नो मोबाइलमा समस्या भएको भन्दै यातायातको फारममा माधवको मोबाइल नम्बर राखेको बताए। फारमको प्रक्रिया अगाडि बढाउन आवश्यक नम्बर माधवकै मोबाइलमा आएको हुनाले पठाइदिन पनि उनले मेसेजमा भनेका थिए।
माधवले विश्वास गरेर मोबाइलमा आएको नम्बर पठाइदिए। वास्तवमा, उनलाई मेसेज पठाउने गाउँका भाइ थिएनन्। ती भाइको फेसबुक ह्याक गरेर मेसेज पठाइएको थियो। माधवले पठाइदिएको नम्बर पनि उनकै फेसबुकको ओटीपी (वान टाइम पासवर्ड) थियो।
ओटीपी पठाउनासाथ माधवको फेसबुक पनि ह्याक भयो। उनले आफ्नो फेसबुकको नियन्त्रण गुमाए। माधवको फेसबुक ह्याक भएको उनले तुरुन्तै थाहा पाए। फेसबुक ह्याक हुने उनी एक्लो होइनन्। ह्याकरले फेसबुक ह्याक गरेर प्रयोगकर्ता नै बनेर आफन्त र साथीभाइसँग मेसेजमार्फत पैसा माग्ने गरेका छन्। माधवको मेसेन्जरमार्फत पनि ह्याकरले केही साथीहरूसँग पैसा मागेर ठगिसकेछन्। यसरी ठगी गरेका धेरै उदाहरण छन्।
परिचितकै मेसेन्जरबाट आएको खाता नम्बरमा विश्वास गरेर पैसा पठाउँदा गुल्मीका निशान अधिकारी ३० हजार रुपैयाँ ठगिए। उनलाई गुल्मी घर भइ काठमाडौँमा व्यवसाय गरिरहेका श्रीप्रसाद पाण्डेको मेसेन्जरबाट आफूलाई समस्या परेको भन्दै पैसा पठाइदिन भनिएको थियो।
“गाउँकै एक जना बहिनीले फोन नम्बर मागिन्, मैले फोन नम्बर पठाउन कपी गर्दा कसरी हो अर्कै कोड पेस्ट भएर गएछ, नम्बर पठाएको केही क्षणमै मेरो फेसबुक चल्न छोड्यो”, पाण्डे भन्छन्, “केही समयमै मेरो नजिकको भाइ निशानलाई मेरो फेसबुकबाट आफ्नो खातामा समस्या रहेको भन्दै अर्कै खाताको क्युआर पठाएर ३०/३५ हजार तत्काल पठाउन आग्रह गरेछ, भाइले केही नसोधी ३० हजार पठाइदिएछ।”
संस्थागत सूचनामा पनि आक्रमण
काठमाडौंस्थित अनलाइन खाद्य वितरण गर्ने ‘फुडमान्डु’को ५० हजार सेवाग्राहीको डेटा रविन* (नाम परिवर्तन)ले आफ्नो सामाजिक सन्जालमार्फत सार्वजनिक गरे। प्रहरीले रविनलाई नियन्त्रणमा लिएर कारबाही थाल्यो।
संस्थागत डेटा ह्याक गरेर सार्वजनिक गरेको अभियोगमा पक्राउ पर्ने अर्का व्यक्ति हुन् काठमाडौँका निमेष* (नाम परिवर्तन)। उनले इन्टरनेट सेवा प्रदायक भायानेटको ग्राहकको सूचना सार्वजिनक गरेको उजुरी परेपछि नेपाल प्रहरीको साइबर ब्युरोले पक्राउ गरेको थियो। उनी 'नरपिचास' नामबाट ट्विटर चलाउँछन्। उनले ट्विटरबाटै भायानेटका ग्राहकको सूचना सार्वजनिक गरिदिएका थिए।
पक्राउपछि नाबालिक भएका कारण प्रहरीले उनलाई परिवारको जिम्मा लगाएको थियो। उनीविरुद्धको मुद्दा अदालातमा विचाराधीन छ। घटनापश्चात सञ्चार माध्यममा आएका उनले 'पेन टेस्टिङ'का क्रममा भायानेटको पोर्टलमा बग (त्रुटि) भेटिएको र कम्पनीलाई बारम्बार जानकारी दिँदासमेत बेवास्ता गरेपछि चेतावनी दिन ग्राहकको सूचना सार्वजनिक गदिएको बताएका थिए।
सेवा प्रदायकको सूचनामा सजिलै पहुँच हुनु भायानेटको कमजोरी भएको धेरै ग्राहकले ट्विटरमा टिप्पणी गरेका थिए। भायानेट र फुडमान्डुले ग्राहकको सूचना असुरक्षित ढंगमा राखेको अधिवक्ता प्रवीण सुवेदी बताउँछन्। उनका अनुसार जति घटना हुने गरेका छन्, त्यसको तुलनामा उजुरी थोरै मात्र पर्छन्। वित्तीय संस्थाहरूले साख गुम्न नदिन 'डेटा ब्रिच' भएका सबै घटना सार्वजनिक नगर्ने उनी बताउँछन्।
कतिपय अपराध त संस्थागत रूपमै पनि हुने गरेका छन्। सुन्दर ग्रुप अफ कम्पनीजले भदौ २३ गते आफ्नो वेब पोर्टलको होस्टिङ कम्पनीविरुद्ध नै उजुरी गरेको थियो। होस्टिङ कम्पनी जेनेस सोलुसन्सले अनधिकृत रूपमा आफ्ना डेटा नष्ट गरेको सुन्दर ग्रुपको उजुरीमा उल्लेख थियो। प्रहरीले जेनेस सोलुसन्सका प्रमुख कार्यकारी अधिकृत प्रशन्न पोखरेललाई पक्राउ गरेको थियो। उनी १० लाख धरौटीमा रिहा भएका छन्।
साइबर अपराधविरुद्ध बढे उजुरी
सूचना प्रविधिको बढ्दो प्रयोगसँगै दुरुपयोग पनि बढेको विज्ञहरू बताउँछन्। साइबर ब्युरोको तथ्यांकअनुसार आर्थिक वर्ष २०७९/८० मा मात्रै तीन हजार ४२ उजुरी दर्ता भएका छन्। तीमध्ये प्रविधि प्रयोग गरेर वित्तीय ठगी गरेको ४१० उजुरी छन्। सामाजिक सन्जालको प्रयोग गरी चरित्र हत्या गरेको उजुरी दुई हजार ६३२ वटा छन्।
साइबर ब्युरोका प्रवक्ता पशुपतिकुमार रायका अनुसार पछिल्लो समय व्हाट्स एपलगायत सामाजिक सन्जाल प्रयोग गरेर ठगी भएको भन्दै उजुरी दिनहुँ आउने गरेका छन्। ब्युरोको तथ्यांकअनुसार वित्तीय कारोबारसँग सम्बन्धितभन्दा यौन उत्पीडन गरेर वा चरित्र हत्याका लागि बनाएका अश्लील तस्वीर तथा भिडियोबारे धेरै उजुरी आउने गरेको छ।
तर, विदेशमा हुने साइबर आक्रमणको तुलनामा अर्थतन्त्रमै प्रभाव पर्ने किसिमका कार्य भने नेपालमा नदेखिएको अधिवक्ता अर्याल बताउँछन्। "हाम्रा संयन्त्र अझै पनि विद्युतीय पूर्वाधारमैत्री नबनेको अवस्थामा विद्युतीय डेटामा पहुँच पुर्याए पनि केही लाभ नहुने कारण गम्भीर साइबर आक्रमण नभएको हुनसक्छ", अर्यालले भने। परम्परागत तरिकाले कागजमै काम गर्ने परिपाटी नसुधारिएका कारण सरकारले साइबर सुरक्षामा पनि चासो नदेखाएको विज्ञहरू बताउँछन्।
सीमापार अपराधको अनुसन्धानमा कमजोर
इन्टरनेटको प्रयोग गरेर हुने गैरकानूनी आर्थिक गतिविधि नियमन गर्न विद्युतीय कारोबार ऐन, २०६३ बनेको छ। साइबर ब्युरोका प्रवक्ता रायका अनुसार इन्टरनेट प्रयोग गरेर गरिने अन्य अपराधमा पनि यही कानून लगाइन्छ। तर, नेपाललाई लक्षित गरेर विदेशबाट हुने गैरकानूनी काम नियन्त्रण गर्न यो कानून उपयोग हुन सकेको छैन।
नेपालमा गैरकानूनी भए पनि सम्बन्धित देशले गैरकानूनी नमान्दा चाँडो नतिजा नआउने गरेको राय बताउँछन्। राजनीतिक विषय र 'फ्रि स्पिच'का सवालमा नेपाली कानून र फेसबुक मुख्यालय रहेको देश अमेरिकाको कानून फरक हुँदा कारबाही गर्न नसकिएको उनको भनाइ छ। यौनजन्य, गाली बेइजती, अश्लील भिडियो बनाएर हुने अपराधलगायतमा कानून समान भएको हुदाँ अनुसन्धान गर्न सहज हुने गरेको राय बताउँछन।
"अहिले इन्टरनेटको सञ्जाल र स्वरूप विशाल छ। विभिन्न प्रकारका प्रविधि र मेकानिजम हुने हुँदा सूचना संग्रह गर्ने, विश्लेषण गर्ने, प्रमाण जम्मा गर्ने प्रक्रिया फरक हुन्छ। जसले गर्दा अनुसन्धान गर्न गाह्रो हुने गरेको छ", उनले भने।
अधिवक्ता बाबुराम अर्यालका अनुसार कानूनकै अभावमा कुनै पनि मुद्दा रोकिएको अवस्था छैन। तर अन्तराष्ट्रिय अपरेटरसँगको व्यावसायिक सम्बन्ध कमजोर छ। "साइबर क्राइमका सन्दर्भमा अन्तर्राष्ट्रिय समन्वय नै कम छ, अपराधको व्याख्या नै फरक छ", अर्याल भन्छन्, "नेपालमा फेसबुकमा लेख्नु नै क्राइम भन्छौँ। तर विदेशमा फ्रिडम अफ एक्सप्रेसनको रूपमा मानिरहेको हुन्छ। हामी रिजिड भएको कारणले पनि उनीहरूले सहकार्य नगरेको हुनसक्छ।"
विदेशबाट हुने अपराधमा इन्टरपोलमार्फत अभियुक्तसम्म जान नेपाल र सम्बन्धित राष्ट्रको कानून समान हुनुपर्छ। नत्र सम्बन्धित देशले सहयोग नगर्ने साइबर ब्युरोमा कार्यरत प्रहरी निरीक्षक राजकुमार खड्गीले बताए। उनका अनुसार अन्तरदेशीय पारस्परिक सन्धि नहुँदा समयमै सूचना नदिने अथवा ढिलो दिने गरेको बताए।
खड्गीले भने, “फेसबुक ह्याक गरेर कसैको व्यक्तिगत जीवन नै तहसनहस पारिसक्दा पनि केही गर्न नसकिने अवस्था आउँछ। कतिपय केसमा उतैको कानूनअनुसार मिलाएर लेखेर पठाउनुपर्ने अवस्था पनि छ।”
सामाजिक सञ्जालका कुनै पनि सम्बन्धित कार्यालय नेपालमा नरहँदा पनि समन्वयमा समस्या परिरहेको खड्गी बताउँछन्। भर्खरै सम्पन्न चुनावमा निर्वाचन आयोगले फेसबुकको छाता संस्था मेटासँग समन्वय गरेर आचारसंहिता र सामाजिक सञ्जालमा भएको खर्चको अनुगमन गरेको थियो। तर, खड्गी निर्वाचनसँग सम्बन्धित मेटाको सहयोगको पाटो बेग्लै भएको बताउँछन्। “ब्युरोले निर्वाचन आयोगसँग मिलेर काम गर्न सक्ने अवस्था छैन, उनीहरुले निर्वाचन प्रयोजनको लागि मात्र त्यो सुविधा दिएको हो”, उनले भने।
समय सापेक्ष छैन विद्युतीय कारोबार ऐन
२०६३ सालमा लागू भएको विद्युतीय कारोबार ऐनमा भएका कतिपय सन्दर्भ अहिले अप्रासंगिक भएको प्रहरी निरीक्षक खड्गी बताउँछन्। केही महिनाअगाडि काठमाडौँको तिनकुने र रुपन्देहीमा कल सेन्टर नै संचालन गरेर ठगी गरेको घटनामा प्रहरीले मुद्दा चलायो। अहिले अदालती कारबाही चलिरहेको साइबर ब्युरोका प्रवक्ता रायले बताए।
विद्युतीय कारोबार ऐनले धरौटी रकम कम तोकेको छ, मुद्दाको प्रकृति र गम्भीरता हेरेर अदालतले पनि सोहीअनुसार फैसला गर्छ। वित्तीय ठगी जोडिएका उजुरी अपराध अनुसन्धान माहाशाखा अथवा जिल्ला प्रहरी परिसरमार्फत अनुसन्धान हुन्छन्। यस्ता प्रकारका मुद्दामा विद्युतीय कारोबार ऐनमा बढीमा १ लाखसम्मको जरिवानाको व्यवस्था छ।
विद्युतीय कारोबार ऐन निर्माणका क्रममा कल्पना गरिएको कतिपय सन्दर्भ र अहिलेको अवस्थामा निकै फेरबदल भएको अधिवक्ता सुवेदीको भनाइ छ। ऐन बन्दा 'टुजी' इन्टरनेट सेवा थियो। अहिले इन्टरनेट 'फाइभजी'मा स्तरोन्नति भएको छ।
अधिवक्ता सुवेदी विद्युतीय कारोबार ऐनले कम्प्युटरको कल्पना गरेको, तर प्रविधि 'क्लाउड कम्प्युटिङ'को स्तरमा पुगिसकेको बताउँछन्। "हाम्रो ऐनमा क्लाउडमा भएका डेटालाइ सुरुक्षा दिने नदिनेबारे केही समावेश छैन। डेटा सुरक्षामा संस्थागत सुरक्षाको विषय समावेश भए पनि व्यक्तिगत डेटा सुरक्षाको विषय छैन", सुवेदीले भने।
सीमापार अपराधका सवालमा पनि नेपालमै भएको प्रणालीमार्फत हुने अपराध मात्र समेटिएको छ। तर, अहिले क्लाउड विश्वको कुनै पनि स्थानमा हुन सक्छ। यस्तो अवस्थामा नेपालको डेटालाइ सुरक्षित गर्ने कि नगर्नेजस्ता विषय ऐनमा स्पष्ट छैन। "सन् २००८ मा चलाउने इन्टरनेट र अहिले को फाइभजी इन्टरनेटमा फरक छ। प्राविधिक रुपमा ठूलो छलाङ भयो, तर कानून हामीले परिवर्तन गर्न सकेनौँ। विद्युतीय कारोबार ऐन फेज आउट नै भैसक्यो", अधिवक्ता सुवेदीले भने।
इन्टरनेट सेवा प्रदायक भायानेटका ग्राहकको डेटा सार्वजनिक भएपछि पनि संवेदनशील सूचना सुरक्षाको कुनै प्रावधान बन्न नसकेको सुवेदी बताउँछन्। सेवा प्रदायक भायानेट, फुडमान्डुलगायतका डेटा ब्रिच हुँदा ती संस्थालाई स्पष्टीकरण नसोधिएको र डेटा सुरक्षा राख्न मापदण्ड पनि नतोकिएको उनको भनाइ छ।
बैंक तथा वित्तीय संस्थाको नियमन रास्ट्र बैंकले गरेको हुन्छ। रास्ट्र बैंकले 'आईटी सेक्युरिटी अडिट' गर्नै पर्ने व्यवस्था गरेको छ। तर, बैंकिङसँग सम्बन्धित ह्याकिङका घटना भइरहेको प्रहरीको तथ्यांकले देखाउँछ।
“स्वास्थ्य निकाय सेवा प्रदायकले राख्ने डेटा यो पद्दतिमा राख्न पर्छ भनेर कुनै कानूनले भन्दैन, यसको महत्त्व अहिलेसम्म पनि हाम्रो नियामक फ्रेमवर्कमा आउन सकेको छैन। अन्धाधुन्द डेटा ट्रान्सफर भैरहेको हुन्छ, तर यसको नियमनको कुनै मेकानिजम नै छैन”, सुवेदीले भने।
साइबर इमर्जेन्सी टिम आवश्यक
बढ्दो प्रयोगकर्तासँगै साइबर अपराधका घटना आउनु स्वाभाविक भए पनि फितलो कारबाही हुनु स्वाभाविक नभएको विज्ञहरूको भनाइ छ। कतिपय सामान्य घटनाले दूरगामी असर के कस्तो प्रभाव पार्छ भन्ने विषय गम्भीर भएको साइबर ब्युरोका प्रहरी निरीक्षक खड्गी बताउँछन्।
कम्पुटरमा साइबर सुरक्षाको चुनौती बढ्दै गएपछि धेरै देशले कम्प्युटर इमर्जेन्सी रेस्पोन्स टिम (सीईआरटी) बनाएका छन्। साइबरसम्बन्धी कुनै घटना भएको अवस्थामा अनुसन्धान, रोकथाम तथा क्षति न्यूनीकरण गर्न सीईआरटी प्रभावकारी हुन्छ। यसै आवश्यकतालाई बुझेर सरकारले इन्फरमेसन टेक्नोलोजी इमर्जेन्सी रेस्पोन्स टिम (आईटीईआरटी) गठन गरेको सञ्चार मन्त्रालयका सहसचिव अनिल दत्तले जानकारी दिए। सञ्चारलगायत अन्य मन्त्रालयका प्रतिनिधि सदस्य रहने आईटीईआरटीमा आमन्त्रित सदस्य नेपाली सेना र नेपाल प्रहरीका प्रतिनिधि पनि हुन्छन्।
नेपाल प्रहरी साइबर ब्युरोका निर्देशक प्रहरी वरिष्ठ उपरीक्षक नवीन्द्र अर्याल प्रहरीले साइबर अपराध नियन्त्रणका गतिविधि गरिरहेको, तर राष्ट्रिय तथा अन्तराष्ट्रियस्तरका खतरा अनुसन्धान र विश्लेषण गर्न प्रहरी संगठन मात्रले पर्याप्त नहुने हुँदा इमर्जेन्सी टिम आवश्यक पर्ने बताउँछन। उनका अनुसार पुरानो ऐनकै भरमा कार्य सम्पादन गर्नु परेको अवस्थामा दूरसञ्चार प्राधिकरण र नेपाल प्रहरीले आईटीईआरटीमार्फत काम गर्छन्।
यही टिमले साइबर कानून बनाउने गृहकार्य पनि गरिरहेको सञ्चार मन्त्रालयका सहसचिव दत्तले जानकारी दिए। आईटी र साइबर सम्बन्धि कानूनको निर्माण भएमा अनुसन्धान गर्न सहज हुने अधिवक्ता बाबुराम अर्यालको बुझाइ छ।
नेपाल प्रहरीका पूर्व नायब प्रहरी महानिरीक्षक तथा सञ्चार निर्देशनालयका प्रमुख राजीव सुब्बाका अनुसार अहिले कम्प्युटर इमर्जेन्सी टिम अति आवश्यक हुन्छ। उनले भने, “कुनै पनि संस्थाको सर्ट टिम हुनुपर्छ। विशेषगरी, सरकारको तर्फबाट जसले साइबर सुरक्षा सम्बन्धी विषयलाई ह्यान्डल गर्छ, त्यसले जुनसुकै बेला साइबर सम्बन्धी संकट, इमर्जेन्सी, माल प्राक्टिस, अट्याक हुन्छ, त्यसमा तुरुन्त रेस्पोन्स गर्न मानवस्रोत तथा पूर्वाधार आवश्यक हुन्छ।”
प्रयोगकर्ताको जागरुकता आवश्यक
इन्टरनेटको प्रयोगबाट गरिने जालसाजी, ठगी तथा अपराध नियन्त्रण गर्न चुनौती भइरहँदा प्रयोगकर्ता पनि जागरुक हुनुपर्ने विज्ञहरूको मत छ। अधिवक्ता अर्याल दूरदराजमा बस्ने बालबालिका, जेष्ठ नागरिकलगायत प्रयोगकर्ताहरूलाई माध्यम बनाई प्रविधिको अनुचित प्रयोग भैरहेको बताउछन्।
“नियतबस प्रविधिको दूरुपयोग गर्ने को संख्या न्यून छ”, अर्याल भन्छन्, “नेपालको ट्रेन्ड हेर्दा ठूलो पंक्ति नजानेर वा नबुझिकन प्रविधिको अनुचित प्रयोग गर्दै आइरहेको देखिन्छ।”
प्रहरी निरीक्षक खड्गीका अनुसार भौतिक रूपमा हुने अपराध र इन्टरनेट प्रविधिको माध्यमबाट हुने अपराधमा धेरै फरक छ। उनी भन्छन्, “नियन्त्रण एकातिर छ, तर घटना न्यूनीकरण गर्न र यस प्रकारका घटनाको रोकथामका निम्ति हामीले प्रयोगकर्तामा जागरुकता ल्याउनु अत्यन्त जरुरी छ।”
*साइबर कसुरमा संलग्न भनिएका व्यक्तिको नाम परिवर्तन गरिएको छ। -सम्पादक