सुरक्षा जोखिममा ८६ हजार कर्मचारीको निजी र संवेदनशील दस्तावेज

सामान्यतः सोही आर्थिक वर्षमा सम्पन्न गरिसक्नुपर्ने काम लम्बिएर आर्थिक वर्ष २०७८/७९ को अन्त्यबाट मात्र लागु हुन थाल्यो । तर परिमार्जित भएर आएको यो प्रणाली सञ्चालन गर्न अहिले कर्मचारीले हैरानी खेप्नु परेको छ । उनीहरूले यो प्रणालीमार्फत लगइन समेत गर्न सकिरहेका छैनन् । लगइनका लागि त्यहाँ उपलब्ध हुने फारममा पीआईएस नम्बर र पासवर्ड राखेर लगइन गर्दा उक्त प्रणालीले कुनै प्रतिक्रिया दिंदैन । एउटा आईटी इन्जिनियरको आँखाले हेर्दा यो एउटा सानो तर गम्भीर त्रुटि हो ।

तथ्यांक कसरी आइपुग्छ ?

कर्मचारीले निजामती सेवामा प्रवेश गर्ने क्रममा आफ्नो व्यक्तिगत, जैविक लगायत आवश्यक विवरण (सिटरोल) भरेर विभिन्न निकाय जस्तै किताबखाना, सम्बन्धित मन्त्रालय, विभाग र निकायमा बुझाउँछन् । तिनै विवरणको आधारमा उनीहरूको पीआईएस बन्दछ । कर्मचारी सेवा प्रवेश गरेपछि उनीहरूको सरुवा, बढुवा, पदस्थापन, काज, तालिम, विदा हुनेदेखि कहिलेकाहीं कारबाही समेत पाउँछन् ।

कर्मचारी बारेको यी सबै विवरण उनीहरू कार्यरत रहेको निकायले किताबखानालाई सूचनाहरू दिने गर्दछ । यस क्रममा कर्मचारीको पीआईएस अद्यावधिक गर्न उनीहरू स्वयम् उपस्थित हुन वा हुलाकमार्फत पठाउन सक्छन् । तर अद्यावधिकका लागि कर्मचारीले इमेलबाट पठाएको विवरणलाई भने यो निकायले पूर्ण रूपमा मान्यता दिएको छैन ।

किताबखानाले अधिकांश कर्मचारीको इमेल विवरण राखेको छ । तर, इमेलमार्फत कर्मचारीको निवेदन लिने र आवश्यक विवरण पठाउने काममा चासो दिएको छैन । यो अधिकांश सरकारी निकायको रोग जस्तै बनेको छ । तर किताबखानाका कतिपय कर्मचारीले सेवाग्राहीसँग व्यक्तिगत इमेलमार्फत जानकारी आदानप्रदान गरिरहेका छन्, जुन कानुनतः नमिल्ने कुरा हो । सेवाग्राहीको महत्वपूर्ण व्यक्तिगत विवरण कर्मचारीले आफ्नो इमेलबाट आदानप्रदान गर्दा दुरुपयोगको जोखिम रहिरहन्छ ।

एउटै डाटा धेरै ठाउँमा किन राख्नु पर्‍यो ?

स्वास्थ्य सेवामा कार्यरत निजामती कर्मचारीको हकमा कुरा गरौं । एउटा कर्मचारीले सेवा प्रवेश गर्दा सिटरोल किताबखानामा पेश गरेर मात्र पुग्दैन । उसले सबै व्यक्तिगत विवरण र त्यसको अर्को प्रति स्वास्थ्य मन्त्रालयलाई बुझाउनुपर्छ । विवरण पेस गरेपछि स्वास्थ्य मन्त्रालयबाट हरेक कर्मचारीले ‘हुरेक नम्बर’ अर्थात् कोड नम्बर पाउँछन् ।

यस्ता विवरण सम्बन्धित विभाग, जिल्ला कार्यालय र कार्यरत कार्यालयमा समेत पठाउनुपर्छ । अहिलेसम्म हुरेक नम्बर लिएका स्वास्थ्यका कर्मचारीले यो कोड किन लिइएको भन्नेबारेमा पत्तो समेत पाएका छैनन् । मन्त्रालयले पनि यसको महत्व के हो भनेर बुझाउन सकेको छैन ।

यसले उक्त प्रणाली बनाउन गरेको खर्चको औचित्य पुष्टि गर्न सकेको छैन । अर्कोतिर कर्मचारीको एकीकृत तथ्यांक राखेको किताबखानाले स्वचालित प्रणालीबाट अरू निकायलाई उक्त विवरण पठाउन नसक्दा कर्मचारी आफैंले अन्य निकाय धाएर कागजात बुझाउनुपर्ने बाध्यता छ ।

किताबखानाले वेबसाइटमा राखेको सूचना अनुसार पछिल्लो समय परिमार्जन गरेर बनाएको नयाँ सूचना प्रणाली अपग्रेड गर्दा केही समस्या आएको छ । कर्मचारीले लगइन गर्दा लगइन नहुने समस्या छ । सामान्यतया लगइन नहुने यो समस्याको समाधान गर्न एकदेखि दुई घण्टा भन्दा धेरै लाग्दैन । तर समाधान गर्नेमा कसैको ध्यानै छैन ।

सुरक्षित छैनन् कर्मचारीका तथ्यांक

सर्भरमा राखिएका डाटालाई इन्टरनेटको माध्यमबाट प्रयोगमा ल्याउन खोज्दा हाम्रा व्यक्तिगत विवरण विभिन्न माध्यमबाट गुजे्रर एउटा बाटो हुँदै हामीकहाँ आइपुग्छ । यस क्रममा सुरक्षित (एचटीटीपीएस) र असुरक्षित (एचटीटीपी) गरी दुईप्रकारको बाटो प्रयोगमा आउँछन् ।

वेब ब्राउजरमा सुरक्षित बाटो प्रयोग गरेका वेबसाइटहरूमा ताला लगाएको आइकन देखाएको हुन्छ भने असुरक्षित बाटो प्रयोग भएको अवस्थामा सुरक्षित नभएको भनेर चेतावनी दिएरहेको हुन्छ ।

किताबखानाको पीआईएस प्रणाली असुरक्षित छ । तर उक्त प्रणालीमा सुरक्षित भएको भनेर ट्याग लागेको छ । जस्तो यो प्रणालीमा सुरक्षित बाटो मानिने (एचटीटीपीएस) र असुरक्षित मानिने -एचटीटीपी) गरी दुवै बाटो प्रयोग गरेर विवरण सर्भरसम्म पुग्ने वातावरण बनाइएको छ । यो नै पीआईएस प्रणालीको गम्भीर सुरक्षा खतरा हो । यसको मतलब ढोकामा ठूलो ताल्चा त लगाइएको छ, गेटपाले पनि छ तर घर पछडिको ढोका खुलै छ । हात्ती छिर्ने ठूलो प्वाल बन्द गरिएको छैन ।

यसरी असुरक्षित बनाइएको यो प्रणालीका कारण ८६ हजारको हाराहारीमा रहेका कर्मचारीको निजी र संवेदनशील विवरण हृयाकरको हातमा पुग्ने जोखिम हुन्छ । यस्तै कमजोरी र असुरक्षित प्रणालीका कारण केही वर्ष अगाडि नेपाल सरकारको डाटासेन्टरमा साइबर हमला भएको थियो । त्यतिबेला ठूलो क्षति नभए पनि अधिकांश सरकारी सेवा हप्ता दिनसम्म बन्द गर्नु परेको थियो ।

जन्मदेखि अहिलेसम्मका तीनपुस्ते विवरणको गोपनीयताको महत्व हामीले अनुमान र कल्पना गरेभन्दा ज्यादा हुन्छ । यस्ता विवरणमा पहुँच राख्दा युजर आईडी र पासवर्ड मात्र पर्याप्त हुँदैन । र, हुनुहुँदैन पनि । यो प्रणालीका लागि युजर आईडी र पासवर्ड मिले पनि मोबाइलमा ओटीपी (एक पटक मात्र प्रयोग गर्न मिल्ने एउटा कोड) हाल्नुपर्दछ । तर, यस्तो प्रणाली बनाउने कुरालाई सरकारले हुम्लामा रेल सेवाको माग गरेको जस्तो ठान्छ ।

नेपाल सरकारले विभिन्न फर्म तथा कम्पनीमार्फत बनाइरहेका धेरै सफ्टवेयरले सुरक्षाका आधारभूत मापदण्ड पूरा गर्दैनन् । पहिलो कुरा सफ्टवेयरको टीओआरमा नै सुरक्षाको विषयमा कुनै उल्लेख नै गरेको हुँदैन, डकुमेन्टमा उल्लेख नगरेको कुरामा सेवा प्रदायक र्फमले लाखौं खर्च गरेर सुरक्षा अडिट पनि किन गरोस् ।

दोस्रो कुरा, सुरक्षा अडिट गर्नुपर्ने भनिए तापनि यस्तो अडिट गर्ने संस्था वा व्यक्ति सरकारसँग छैनन् भन्दा पनि हुन्छ । तेस्रो पक्षबाट अडिट गराउँदा पनि अनधिकृत (पाइरेटेड) सफ्टवेयर/टुलबाट अडिट गर्ने अनि एउटा रिपोर्ट लेखेर औपचारिकता मात्र पूरा गर्ने गरेको देखिन्छ ।

२०७४ मा स्मार्ट सवारी लाइसेन्स सुरुवात हुँदा भारतीय कम्पनीलाई यसको जिम्मा दिइयो । सेवा प्रदायक भारतीय कम्पनीले नेपाली नागरिकको डाटामा पहुँच पुर्‍यायो भनेर चरम विरोध र विवाद भएको थियो । यो समस्या अहिले पनि उस्तै छ । काम गर्ने कम्पनी स्वदेशी वा विदेशी जुनसुकै नै किन नहोस्, सुरक्षा त्रुटिहरू भएमा जुनकुनै बेला र संसारको जुनसुकै ठाउँबाट त्यो डाटामा पहुँच राख्ने र त्यसको दुरुपयोग हुन सक्दछ । कर्मचारीको डाटा व्यवस्थापनको सन्दर्भमा पनि त्यस्तै खाले सुरक्षा चुनौती र जोखिम स्पष्ट देखिन्छन् ।

किताबखानाको काम यथेष्ट र साँचो छैन

देश संघीय संरचनामा गएपछि २०७५ सालमा कर्मचारी समायोजनको काम भयो । समायोजन गर्दा किताबखानाको रेकर्डलाई आधार पनि मानिएको थियो । तर, किताबखानाको पीआईएस प्रणालीमा कैयौं कर्मचारीको सूचना अद्यावधिक नगरिएका कारण छैटौं तह पुगिसकेका कर्मचारीको पाँचौं तहमा समायोजनको सूचना आयो । जस्तो पीआईएसमा बढुवाको विवरण अद्यावधिक नहुँदा कर्मचारीले पहिलेको तहका आधारमा समायोजनमा परे ।

यस्तो त्रुटिका कारण समायोजनको विवरण सच्याउन कर्मचारी महिनौं मन्त्रालय धाइरहे । मन्त्रालय धाउँदा धाउँदै उनीहरूले आफूले रोजेको ठाउँमा अर्को आफू भन्दा कनिष्ठ कर्मचारी पुगे र उनीहरू मारमा परे । यसरी समस्यामा परेका कैयौं कर्मचारी छन् । कतिपय कर्मचारी त दुई वर्षसम्म स्वास्थ्य मन्त्रालय धाउनु परेको थियो ।

समाधानका उपाय

समाधानको पहिलो कदमका रूपमा कतिपय नीतिगत विषयमा परिवर्तन गर्नुपर्ने आवश्यकता छ । उदाहरणको लागि कर्मचारीको कागजी विवरण पेश गर्ने परिपाटीको साटो डिजिटल विवरणलाई मान्यता दिन थाल्नुपर्छ । ती विवरण कर्मचारी किताबखानाले एकद्वार प्रणालीमार्फत सुरक्षा मापदण्ड पूरा गरेर अन्य निकायलाई आवश्यकताका आधारमा वितरण गर्ने व्यवस्था मिलाइनुपर्छ ।

लगइन गर्ने क्रममा दुई तहको सुरक्षा अर्थात् पासवर्डसँगै म्यासेजमा ओटीपी पठाउने व्यवस्था मिलाउनुपर्छ । किताबखानाबाट अर्को निकायले तथ्यांक लिएको जानकारी सेवाग्राही अर्थात् कर्मचारीलाई दिइनुपर्छ । किनभने आफ्ना व्यक्तिगत विवरणमा पहिलो अधिकार स्वयम् व्यक्तिलाई हुने हो ।

सरकारले चलाउने सफ्टवेयर प्रणालीलाई दोहोरो अडिट गर्ने प्रणाली बसाल्नुपर्छ । सरकारीसँगै निजी क्षेत्रबाट सुरक्षा अडिट गर्दा जवाफदेहिता बढ्ने भएकाले यस्तो प्रणाली अपनाउन सकिन्छ । सरकारी सूचना प्रणालीमा कमजोरी भेट्टाउनेलाई कारबाही होइन, पुरस्कार दिनुपर्दछ ।

सूचनाप्रविधि विज्ञ, सरकारी कर्मचारी र प्राविधिक सहितको एउटा छुट्टै संयन्त्र बनाउने र त्यसलाई पूर्ण अधिकार दिएर सूचना प्रणालीको सुरक्षा प्रबन्ध मिले नमिलेको हेर्ने, सुझाव दिने र गल्ती गर्नेलाई कारबाहीको लागि सिफारिस गर्नेसम्मको काम हुनु जरूरी भइसकेको छ ।

(न्यौपाने एक दशकभन्दा बढी समयदेखि सूचनाप्रविधि क्षेत्रमा कार्यरत छन् ।)