डाटा ह्यकिङ्गबाट विश्वमा प्रत्येक वर्ष खरबौँ डलरको नोक्सानी हुन्छ । साइबर आक्रमणबाट कम्पुटर प्रणालीको उपयोगमा बाधा उत्पन्न गर्नेदेखि आर्थिक/सामाजिक संवेदनशील डाटा चोरीसम्म हुने गरेको छ । नेपालकै सन्दर्भ हेर्दा पछिल्लो केहि महिना यता विभिन्न घटनाहरु सार्वजनिक भइरहदा  हामीले सतर्क हुन साइबर सेक्युरेटीका केही सामान्य प्रकियाहरु बुझ्न जरूरी छ। सामान्यरुपमा तल दिएका तरिकाहरु साइबर हमला हुने गरेको छ : 

१) वेभ सफ्टवेयरमा हुने कमजाेरी/जाेखिम

सर्वप्रथम के बुझ्न जरुरी छ भने, कुनै पनि सिस्टम विकास गर्न विभिन्न तहका सफ्टवेयर प्रयोग गरिएको हुन्छ।  कुनै सफ्टवेयर आफै निर्माण गरिन्छ भने कुनै तेश्रो-पक्षीय प्रयोग गरिन्छ।  धेरै जसो वेभ सफ्टवेयरमा हुने हमला जसमा डाटा चोरिन्छ त्यसमा कुनै न कुनै तहको वेभ सफ्टवेयरमा कमजाेरी भएको हुन्छ । वेभ सफ्टवेयरमा प्रयोग हुने फारम, dynamic-urls, इत्यादिहरुमा  प्रयोगकर्ताले हालेकाे डाटालाई सिस्टमले सर्भरमा लिदा राम्रोसँग परीक्षण गरिएन भने डाटा चोरी हुन सक्छ । कोडमा रहेको त्रुटीको फाइदा लिई ह्याकरहरुले सजिलै डाटालाई डाटाबेसमा रहेको Privilege Protection Logic लाई बाइपास गरि डाटाबेसबाट संवेदनशील डाटा निकाल्न सक्दछन्। SQL Injection, Remote File Inclusion, Remote Code Execution जस्ता हमला यसमा पर्दछन् । केहि हमलामा युजरको वेब ब्राउजरबाट पनि  सिधै डाटा चोरी गर्न सकिन्छ । CSRF , XSS जस्ता हमला यसमा पर्दछन् ।  

२) नेटवर्क तहको कमजाेरी/जाेखिम

नेटवर्क प्रोटोकलको दुरुपयोग गरी कुनै कम्पनिको wifi/lan मा बसेर सोहि कम्पनिको  युजरका युजरनेम, पासवर्ड र अन्य डाटा चोरी गर्न सकिन्छ। केही हमलामा फेक वाई-फाई (fake wifi) बनाएर त्यसमा  युजर साइन इन गराई डाटा चोरी गरिन्छ । man-in-the-middle नामको हमला यसमा पर्दछ । 

३) सिस्टम सफ्टवेयर / OS कमजाेरी/जाेखिम

यसमा कम्पुटरको OS मा रहेको त्रुटिहरुको फाइदा लिई डाटा चोरी गरिन्छ । धेरै जसो हमला पुरानो र आपडेट नभएको OS मा हुने गरेको छ । अहिले प्रचलित रान्समवयेर (ransomware) हमला यसमा पर्दछ ।

४) हार्डवेयर तहको कमजाेरी/जाेखिम

यो प्राय सेकुरिटी अडिटमा नआएता पनि, हार्डवेयर तहको त्रुटीहरुबाट साइबर हमला गर्न सकिन्छ भनेर सोधकर्ताहरुले पत्ता लगाएका छन् । उदाहरणको लागि स्मार्टफोनलाइ छेउमा राखेर कम्पयुटरमा टाईप गर्दा आउने कम्पन (vibration) बाट के अक्षर लेखिएको हो भन्ने थाहा पाउन सकिन्छ ।

५) स्टाफ/व्यक्ति तहको कमजाेरी/जाेखिम

अहिलेसम्मकै सबैभन्दा सफल हमला रहेको यस तरिकालाई सोसियल इन्जिनियरिङ को संज्ञा पनि दिइन्छ । यसमा ह्याकरहरुले अधिकारिक जस्तो लाग्ने इ-मेल, फोन कल गरि मालवयेर/भाइरसहरु कम्पुटरमा हाली युजरलाई थाहा नदिई डाटा चोरिन्छ । 

दोष कसको हाे?

हमलाको प्रकृति बमोजिम सफ्टवेयर निर्माता, कम्पनीमा काम गर्ने स्टाफ, सफ्टवेयर चलाउने व्यक्ति, नेटवर्क वितरण गर्ने संस्था, OS निर्माता, हार्डवेयर निर्माता इत्यादीको दोष हुन सक्छ ।

तर, धेरैजसो घटनामा सफ्टवयेर निर्माणको समय वा सफ्टवयेर कार्यन्वयनको फेजमा (phase) प्रभावकारी  सेक्युरिटी अडिटिङ्ग प्रक्रियाको कमीले गर्दा हमलाहरु भएकाे पाइन्छ । सर्वसाधारणलाई साइबर सुरक्षाकाे चेतनाकाे कमी पनि  हमलाको संख्यामा वृद्धि आउनुको अर्काे मुख्य कारण हो ।

बच्नलाई के गर्ने ?

क ) हामी प्रयोगकर्ताकाे हिसाबले केहि आधारभूत अभ्यासहरुमा सचेत भयौँ भने साइबर हमलाबाट जोगिन सकिन्छ :

१) कडा पासवर्डको प्रयोग (लामो र विशेष अक्षर समिलित ) गर्ने

२) यदि तपाईको सिस्टममा दुई तहकाे प्रमाणीकरण (two factor authentication) छ भने त्यसको प्रयोग गर्ने

३) सेक्युरिटी थाहा नभएको खुला वाई फाई (open-wifi) प्रयोग नगर्ने

४) सिस्टम पिच्छे फरक पासवर्ड राख्ने

५) तपाईको आहिलेको पासवर्ड चोरी भएको हुन सक्छ, त्यसैले यसको चेक गर्न https://haveibeenpwned.com मा गई आफ्नो अनलाईन खाता राखी विवरण हेर्न सक्नुहुन्छ ।

६) फायरवाल (firewall) र एन्टिभाइरस कम्पुटरमा राख्ने

७) सबै सफ्टवेयर अपडेट गरिराख्ने

८) आफ्नो पासवर्ड अरुलाई नदिने

ख) सबै सफ्टवेयर कम्पनीलेले सफ्टवेयर निर्माणको बेला प्रभावकारी सेक्युरिटी अडिटिङ्गलाई (security auditing) अनिवार्य गर्ने । सफ्टवेयर निर्माणको बेला डाटा लिने वा देखाउने पोइन्टमा सुक्ष्म अध्ययन गर्ने। हालको सबै भन्दा राम्रो अभ्यासहरूको प्रयोग गर्ने, जस्तै: युजरलाई कडा पासवर्डको प्रयोग (लामो र विशेष अक्षर) गर्न लगाउने, दुई तहकाे प्रमाणीकरणको प्रयोग, डाटा पाउने/पठाउने अनुरोध SSL को प्रयोगबाट गर्ने, डाटालाई  ईन्क्रिप्टेड (encrypted) गरेर सञ्चय गर्ने गरियो भने सफ्टवेयर निक्कै सुरक्षित हुन्छ ।

ग ) कम्पनी, ठुलो होस या सानो, सबै स्टाफलाई साइबर सेक्युरिटीको राम्रो अभ्यासहरूको (best practices) बारेमा अवगत गराउने । कम्पनीको साइबर पोलिसी, प्रोटोकल र भौतिक पूर्वाधारहरु तयार गरी सबै स्टाफलाई  यसको पूर्ण रुपले पालना गराउने ।

घ )  यदि कुनै कम्पनीले निकै संवेदनशील सूचनाहरु राख्छ भने अडिट लगिंग संयन्त्र (audit logging mechanism) तयार गर्ने । चरम अवस्थामा हनीपट (Honeypot) जस्तो तरिकाको प्रयोग गर्ने ।

मनिष कु. शर्मा प्रिक्सा समूहका प्रमुख कार्यकारी अधिकारी हुनुकासाथै जोन्स हप्किंस विश्वविद्यालयका सोधकर्ता हुन् ।