प्रविधिगत जोखिम र डाटा सुरक्षा

वर्तमानमा मानिस र सूचना प्रविधिबीचको सम्बन्ध ‘नङ र मासु’ जस्तै अन्तर्निर्भरसँगै ‘नखाउँ भने दिनभरीको सिकार र खाउँ भने कान्छो बाउको अनुहार’ जस्तै द्वन्द्वात्मक पनि छ । मानिस न तः प्रविधिप्रति पूर्ण विश्वस्त, न बहिष्कार गरेर सहज जीवनयापन गर्न सक्छ । प्रविधिको सहयोगमा कम समयमा सहजै जटिलभन्दा जटिल कार्य कुशलतापूर्वक सम्पन्न गर्न केही व्यक्तिहरूले ठूला लगानीमा नयाँ–नयाँ प्रविधिको विकास र प्रसार गरिरहँदा अर्को समूह प्रविधिको अनैतिक व्यापारसँगै दुरूपयोग गरेर आम तथा संवेदनशील सूचना (डाटा)मा पहुँच कायम गर्दै स्वार्थ सिद्धमा व्यस्त छ । प्रविधि अब जीवनोपयोगी साधन मात्र रहेन बम वा भाइरसभन्दा खतरनाक हतियार भईरहेको छ ।गरिबी र विकासका लागि संघर्षरत नेपालमा प्रविधि सरकारी प्राथमिकतामा नपरे पनि सामाजिक सम्बन्ध, सूचना र सञ्चार, वित्तीय क्षेत्र, प्रविधि कम्पनीहरू प्रविधिलाई आत्मसात गर्दै व्यापक प्रयोग र प्रवद्र्धनमा जुटेको छ । त्यसैले सरकार पनि डिजिटल नेपाल तथा नागरिक डिजिटल सुविधाको कुरा गरिरहेका छन् । प्रविधिलाई आत्मसात् गर्दैगर्दा नेपाल स्वयम् सूचना प्रविधिको उत्पादक वा आविस्कारक नभई केवल उपभोक्ता भएकोले कुनैपनि किसिमको प्रविधिगत समस्या वा जोखिमको दीगो समाधान वा विकल्प नेपालसँग नभएको बिर्सनु हुन्न ।
तर हाम्रो सूचना प्रविधि प्रतिको दृष्टिकोण, हार्डवेयर र सफ्टवेयरमा लगानी, संचालन र व्यवस्थापनका साथै जोखिम पहिचान र व्यवस्थापनको आन्तरिक क्षमता निकै कमजोर छ । गैरकानुनी ढंगबाट कल बाइपास, फोन र सामाजिक संजालबाट धम्की र चरित्रहत्या, वेबसाइट ह्याकिङ, संवेदनशील डाटा र व्यक्तिगत विवरणको दुरूपयोगलाई सामान्य घटना मानिने नेपालमा सरकारी र कमजोर निकायसँगै प्रविधिगत रूपमा निकै बलियो र लगानी गरेका बैंक तथा वित्तीय संस्थाहरू, पूँजीबजार, प्रविधि सेवाप्रदायक समेत ठूलो जोखिममा रहेको तथ्य बेलाबेलामा बाहिरिएकै हो । बैंकिङ क्षेत्रका क्लियरिङ र गेटवे प्रणाली ध्वस्त बनाएर एटिएमबाट लुट, स्वीफ्ट प्रणालीबाट रकम स्थानान्तरण, एटिएम प्रणाली र व्यक्तिगत खातामा अनधिकृत पहुँचबाट रकम हिनामिनाका घटनाले प्रविधिगत जोखिम र चुनौति प्रस्ट्याएको छ ।
हालैको इन्टरनेट र खाना आपूर्ति (डेलिभरी) सेवा प्रदायकहरूबाट डाटाब्रीच (डाटा चोरी) ले कम्पनीहरूको डाटा सेक्युरिटी (व्यक्तिगत विवरणको सुरक्षा) क्षमता र गैरजिम्मेवारी उदांगिएको छ । प्रविधि प्रति सशंकित बनाएको र सेवाप्रदायक प्रति विश्वासको जग धरमराएको छ ।
हालै एक अनलाइनमा प्रकाशित समाचार विशेष पहुँचको दुरूपयोग गरी हटाइएको वा विश्वासघात वा ह्याक भएको र त्यसमा बैंकिङ र सरकारी सूचनामा विशेष पहुँच भएका व्यक्तिहरूको संलग्नताको समाचार र आशंकाले सूचनाको महत्व र जोखिमसम्बन्धी बहसमा आगोमा घ्यू थप्ने काम गरेको छ । अझ देश कोभिड–१९ का कारण लकडाउनको अवस्थामा  सरोकारवालाहरूले विद्युतीय भुक्तानी प्रणाली र प्रविधिगत सेवामा जोडदिईरहँदा प्रविधि र पहुँचको दुरूपयोगसम्बन्धी विवादले प्रविधिका उपभोक्ताहरू प्रविधि र सेवाप्रदायक माथि नै विश्वासनीयताको प्रश्न र आशंका गर्न बाध्य भए ।
समाचार हटाउने कम्पनी र कतिपय बैंकहरूलाई वेबसाइट डेभलपमेन्ट र होस्टिङ तथा भुक्तानी प्रणालीको सेवा प्रदान गर्दै आएको कम्पनीबीचको व्यवसायिक सम्बन्धका कारण समेत अनधिकृत-अनैतिक पहुँच तथा सूचना (डाटा)को दुरूपयोगको सम्भावनालाई लिएर अनेक आशंका व्यक्त भए । आशंकाकै भरमा आरोपित व्यक्तिको संलग्नता भनिएको भुक्तानी प्रणाली (पेमेन्ट गेटवे)को सेवा बहिष्कार गरी अन्य प्रतिस्पर्धी कम्पनीका सेवा उपभोग गर्न चर्कै आवाज उठाए ।
तर अन्य सेवाप्रदायको प्रविधि र विश्वसनीयता पनि अनुत्तरित नै छ । हालै प्रकाशित ‘अनलाइन भुक्तानी पूर्वाधार’, ‘अनलाइनमा अनइथिकल एक्सेस लिने समूहको कब्जामा अर्बौंको विवरण’, ‘न्यूजसाइट ह्याक गर्नेकै पहुँचमा बैंकिङ प्रणाली’, ‘लकडाउन डिजिटल बैंकिङ प्रवर्धनका लागि अवसरः कसरी बढाउने’, र ‘बैंकर भन्छन्, भ्रमको पछि नलागौं, ग्राहकखातामा इसेवाको पहुँच हुँदैन्’ जस्ता केही प्रतिनिधिमूलक लेख तथा सम्पादकीयहरूसँगै ‘इमेलका लागि जिमेलमा निर्भरहरूबाट जोखिमको कुरा’ जस्ता तर्कले प्रविधिको महत्व, विश्वसनियता र जोखिमको बहसलाई बुझ्न, धरातल छाम्न र घोत्लिन बाध्य बनायो ।

वित्तीय क्षेत्रमा प्रविधि र जोखिम
प्रविधिलाई व्यापक अंगालेको बैंक तथा वित्तीय संस्था, विमा, धितोपत्र बजार, रेमिट्यान्सले सूचना संकलन, प्रशोधन, भण्डारण, सञ्चार र सेवा प्रवाहमा नवीन प्रविधिको प्रयोग गरिरहेका छन् ।
अझ जति नै प्रविधिगत जोखिम भएपनि आन्तरिक प्रणालीको संचालनसँगै वित्तीय स्वतन्त्रता र पहुँच, प्रविधिगत सेवा प्रवाह र विस्तारका लागि बैंक तथा वित्तीय संस्थाहरू बहुपक्षिय भुक्तानी व्यवस्थापन संजाल (प्रणाली) मा आवद्ध हुन बाध्य छन् । उनीहरूले सजगतापूर्वक क) बैंक खातासँग सिधै आन्तरिक प्रणालीमै जोडिएको इन्टरनेट बैंकिङ वा मोबाइल बैंकिङ, ख) बैंक खातासँग जोडिएको डेविट कार्ड (एटीएम कार्ड), ग) क्रेडिट कार्ड, घ) खातासँग सिधै नजोडिएको तर बैंक खाताबाट पैसा सार्न मिल्ने मोबाइल वालेटहरू, ङ) बैंकमा भएको खाताहरूलाई एकै ठाउँबाट सञ्चालन गर्न मिल्ने मोबाइल एप र इन्टरनेट प्रविधिबाट वित्तीय सेवा र पहुँच प्रदान गरिरहेका छन् ।बहुपक्षीय भुक्तानी प्रणाली चलायमान राख्न आवद्ध वित्तीय संस्थाका अलावा थुप्रै प्रविधि कम्पनीहरू र नेटवर्कहरूको महत्वपूर्ण भूमिका रहेको हुन्छ । ति कम्पनीहरूले अन्तर बैंक कारोबार सम्पन्न गर्ने, हिसाबमिलान गर्ने अनि विविध सेवा प्रदायकहरूलाई विद्युतीय भुक्तानी प्रणालीमा आबद्द गराउँछन् । प्रविधिमा दख्खल र लगानी क्षमता भएको बैंकले आफ्नै भुक्तानी प्रणाली संचालन र प्रविधिगत कामहरू आफैँ गर्छन् भने अरुले सेवाप्रदायक-मध्यस्तता मार्फत भुक्तानी प्रणालीमा आवद्ध र पहुँच व्यवस्थापन गर्छन् ।
भुक्तानी प्रणाली संचालक वा व्यवस्थापकबाट हुनसक्ने बदमासी रोक्न, निश्चित मापदण्ड पुरा गरेको निकायले मात्र केन्द्रिय बैंकबाट अनुमति पाउने एवम् कारोवार र राफसाफको नियमित नियमन र नियन्त्रणको भइरहेको हुन्छ ।
 सम्बन्धित कम्पनीबाट जोखिम न्यूनीकरण गर्न आन्तरिक जोखिम व्यवस्थापन, कार्य सञ्चालनको विधि अनि कारोबारको सीमा निर्धारण, डाटा र कोर प्रणालीमा पहुँच नियन्त्रण र नियमन पनि हुन्छ । सेवाप्रदायकबाट पर्याप्त सुरक्षा सतर्कता भएपनि प्राविधिक र सेवाग्राहीको अज्ञानता र लापरवाहीबाट निम्तिने सम्भावित जोखिम व्यवस्थापनमा सबैको ध्यान जानैपर्छ ।आन्तरिक बैंकिङ प्रणाली (कोर सिष्टम) संचालन र व्यवस्थापनका लागि हार्डवेयर र सफ्टवेयरका साथै डाटा व्याकअप र वैकल्पिक भण्डारण, वेबसाइट डेभलपमेन्ट र होस्टिङ, सूचना प्रविधिको लेखाजोखा (आइटी अडिट) आदिका लागि वाह्यपक्षको सेवा लिने बाध्यताले भुक्तानी प्रणालीमा आवद्धता मात्र होइन, अन्य कारण पनि बैक तथा वित्तीय संस्थाहरू प्रविधिगत जोखिममुक्त हुनसक्दैन ।
जतिसुकै गुणस्तरिय हार्डवेयर, सुरक्षित सफ्टवेयर र चुस्ता प्रणाली भएता पनि संचालन र व्यवस्थापनमा बाध्यकारी मानवीय संलग्नताले सम्भावित मानवीय त्रुटी (ह्युमन इरर) सँगै निहित स्वार्थमा पहुँचको दुरूपयोग र विश्वासघाटबाट निम्तिने जोखिम निमिट्यान्नै हुनसक्दैन् ।बैंकिङका अतिरिक्त धितोपत्र बजारमा कारोवार र राफसाफमा बढ्दो प्रविधिको उपयोगसँगै सहजतमात्र होइन जोखिम समेत बढेकोमा दुईमत नहोला । बीमा र रेमिट्यान्स क्षेत्र पनि प्रविधिगत जोखिमबाट टाढा नहोला । यसमा छुटै चिन्तन गर्न सकिन्छ ।

जोखिम निरूपणका केही विकल्प
निजी सेवाप्रदायकहरू नाफामुखी हुँदै चर्को शुल्क लिने तर सेवाग्राहीको गोपनियता, सुरक्षित कारोवार, सेवाप्रवाहमा लापरवाही र गैरजिम्मेवारीको जोखिम कम गर्दैे आमजनताको हितमा सुरक्षित, सुलभ र विश्वसनीय प्रविधिगत सेवाहरूको पहुँच विस्तारमा राज्य वा गैरनाफामूलक निकायहरूको लगानी, नियन्त्रण, नियमन र व्यवस्थापन जरुरी देखिएको हुँदा,

१. सुरक्षित डाटा संकलन र उपयोग, भण्डारण र पहुँचको बलियो कानुनी आधार तयार गर्न विद्यमान कानुनी पूर्वाधारको पुनरावलोकन गर्दै अतिसंवेदनशील डाटामा बहुतह निगरानी र पहुँच नियन्त्रण, पहुँचवालालाई जिम्मेवार र दुरूपयोगमा सशक्त कानुनी कारवाहीको व्यवस्था गर्ने ।
२. सुदृढ प्रविधिगत पूर्वाधार सहितको राष्ट्रिय सूचना प्रणाली र गेटवे, यथेष्ट क्षमताको राष्ट्रिय डाटा सेन्टर, विद्युतीय सञ्चारका लागि राष्ट्रिय सार्वजनिक इमेल प्रणाली, राष्ट्रिय प्रविधि नीति र सेवा केन्द्र बनाउने ।
३. वित्तीय क्षेत्रको अति संवेदनशीलता मनन् गर्दै सकभर केन्द्रिय बैंक, धितोपत्र बोर्ड र बिमा समितिजस्ता नियामककोे लगानी, नियमन र व्यवस्थापनमा एकीकृत वित्तीय प्रविधि सेवा निकाय मार्फत् एकद्वारबाट प्रविधिगत वित्तीय सेवा प्रवाह र नियन्त्रण गर्ने । विकल्पमा बैंकिङ क्षेत्रका लागि केन्द्रिय बैंकको नेतृत्व र नियन्त्रणमा सबै बैंक तथा वित्तीय संस्थाको लगानीमा वेब सर्भिस, इमेल, डाटा सेन्टर, राष्ट्रिय भुक्तानी प्रणाली (पेमेन्ट गेटवे), राफसाफ (क्लियरिङ), सिष्टम अडिट गर्ने एकीकृत प्रविधिगत वित्तीय सेवा निकाय स्थापना गरी क) बैंकिङ सूचना–सञ्चार, सेवा प्रवाहलाई एकद्वारबाट व्यवस्थित गर्ने, ख) प्रविधिगत वित्तीय सेवालाई नाफामुखी हुनबाट बचाउँदै सुरक्षित, विश्वासनीय, सहज र सर्वसुलभ बनाउने, ग) बैंकिङ प्रणालीमा अनेक पेमेन्ट प्लेटफर्म र अन्तर्राष्ट्रिय गेटवेहरूको सोझो पहुँच र डाटा सेयरिङ नियन्त्रण र व्यवस्थित गर्ने । विकल्पमा कम्तिमा बैंक तथा वित्तीय संस्थाका एसोसियसनहरूले सदस्यहरूको लगानीमा सहायक कम्पनी मार्फत प्रविधिगत सेवा संचालन र व्यवस्थापन गर्ने । धितोपत्र र विमा क्षेत्रमा सम्बन्धित सरोकारवालाहरूको लगानी र नियन्त्रणमा सहायक कम्पनी मार्फत सेवा व्यवस्थापन गर्ने । वाह्य पक्षको पहुँच नियन्त्रण गर्ने ।
४. आफ्नै भुक्तानी प्रणाली, वेब साइट वा इन्टरनेट बैंकिङ संचालन गर्न नसक्ने बैंक तथा वित्तीय संस्थाले त्यस्तो प्रणालीमा आवद्ध वा वाह्यपक्षको सेवा लिँदा सिधै कोर सिष्टममा पहुँच नदिइ मिडिलवेयर वा अन्य तरिकाले डाटामा पहुँच नियन्त्रण र व्यस्थापनमा थप सजगता अपनाउने ।
५. मानवीय जोखिम न्यूनीकरण गर्न बहुतह पहुँच र निगरानी प्रणाली तथा वैकल्पिक मानवीय संशाधानको जोहो गर्ने ।
६. सेवा प्रदायकहरूले आन्तरिक जोखिम र व्यवस्थापनमा अपनाइएको सजगता, डाटा उपयोग र गोपनियता नीतिलाई स्पष्ट पार्दैै विश्वास र भरोसा कायम राख्ने । साथै, सेवाग्राहीबाट सुरक्षित सेवा प्रयोग र जोखिम सचेतनामा लगानी बढाउने ।