सरकारी सफ्टवेयर र सूचना प्रणालीको सोर्स कोड न सेक्युरिटी अडिट

२ फागुन, काठमाडौं । गत साउनमा फ्रान्सेली ठेकेदार कम्पनी आईडीईएमआईएले भदौदेखि राष्ट्रिय परिचयपत्र व्यवस्थापन सूचना प्रणालीको ‘फुलसाइज सपोर्ट’ बन्द गर्ने चेतावनी दियो । कम्पनीले एक वर्षसम्म आफूले काम गरेको शुल्क नपाएको भन्दै सेवा बन्द गर्ने चेतावनी मात्रै दिएन, प्रणाली सञ्चालनमा असहयोग नै ग¥यो ।

आफूसँग सिस्टमको ‘मेन सोर्स कोड’ (मुख्य स्रोत संकेत) नभएकाले राष्ट्रिय परिचयपत्र तथा पञ्जीकरण विभागले ठेकेदारबाट थप सेवा नलिने निर्णय गर्न सकेन । प्रणाली सञ्चालन र मर्मतका लागि आफूसँग बलियो प्राविधिक टिम समेत नभएपछि मन्त्रिपरिषद्बाटै ठेकेदारको दाबी भुक्तानी गर्ने निर्णय गरेर तत्कालीन अप्ठेरो फुकाइएको थियो ।

प्रणालीको निर्माण, सूचीकरण, निर्देशन (कमान्ड), डिजाइन र लेआउटको कार्यक्रम विश्लेषण (प्रोग्राम एनालिसिस) रुपरेखालाई ‘सोर्स कोड’ भनिन्छ । विभागका प्राविधिकहरुका अनुसार यस्तो सोर्स कोड आफूसँग भइदिएको भए ठेकेदारको त्यतिविधि दबाबमा पर्नुपर्ने थिएन । नेपाली नागरिकको औंठाछापसहित १८ थरिका अति वैयक्तिक विवरण राखिएको संवेदनशील सूचना प्रणालीको सोर्स कोड अझै विभागले पाएको छैन ।

विभाग स्रोतका अनुसार ठेकेदार कम्पनी आईडीईएमआईएले राष्ट्रिय परिचयपत्र व्यवस्थापन सूचना प्रणालीलाई आफ्नो बौद्धिक सम्पत्ति दाबी गरेको छ र खरिद सम्झौतामा सोर्स कोडबारे उल्लेख नभएकाले सरकारले थप भुक्तानी दिए मात्रै उपलब्ध गराउने अडान लिइरहेकै छ ।

प्रणालीको सोर्स कोड प्राप्त गर्न र चुस्त ढंगले चलाउन आफ्नै जनशक्ति विकास गर्न नसक्दा राष्ट्रिय परिचयपत्र विभाग नै आईडीईएमआईएका दर्जनभन्दा बढी इन्जिनियरहरुमा निर्भर छ । ५ वर्षदेखि रहेको यस्तो निर्भरता कहिलेसम्म कायम रहन्छ भन्ने अनिश्चित छ ।

पञ्जीकरण विभागको यो प्रणाली एउटा उदाहरण मात्रै हो, सरकारका थुप्रै प्रणालीहरु अहिले पनि सफ्टवेयर निर्माण र आपूर्ति गर्ने ठेकेदार र परामर्शदाता (भेन्डर) कम्पनीको नियन्त्रणमा छन् ।

२५ फागुनदेखि ५ चैत २०७९ सम्म सार्वजनिक खरिद अनुगमन कार्यालयको विद्युतीय बोलपत्र प्रणालीको ठेकेदार कम्पनीले वार्षिक मर्मत सम्भार सेवाको ठेक्का नवीकरण नभएपछि सेवा नै बन्द गरेको थियो ।  तर, यस्तो समस्याबाट कति निकाय पीडित छन् भन्नेबारे सरकार जानकार छैन ।

सरकारी सफ्टवेयर र सूचना प्रणालीहरुको तथ्यांक राख्ने र त्यसलाई व्यवस्थापन र नियमनको व्यवस्था गर्ने जिम्मा सूचना प्रविधि विभागलाई छ । तर, अहिलेसम्म सरकारी निकायहरुसँग कति सफ्टवेयरहरु प्रयोगमा छन् र त्यसको सञ्चालन, व्यवस्थापन कसरी भइरहेको छ भन्नेबारे विभाग बेखबरजस्तै छ ।

अहिलेसम्म प्रणाली निर्माण र खरिद गर्नुभन्दा पहिले अनुमति लिनुपर्ने वा प्रयोग भएका प्रणालीको जानकारी विभागमा दिनुपर्ने व्यवस्था नै नभएकाले सरकारी सफ्टवेयर र प्रणालीहरुबारे तथ्यांक आफूहरुसँग नभएको विभागका निर्देशक तथा प्रवक्ता लोकराज शर्मा बताउँछन् ।

तर, धेरै सरकारी सफ्टवेयरका भेन्डरहरु सोर्स कोड नै नदिई हिँडेको गुनासो विभागमा आउने गरेको उनले बताए । त्यसो हुँदा सरकारका सूचना र तथ्थ्यांकको सुरक्षामै समस्या आउने उनको भनाइ छ ।

सरकारी सफ्टवेयरको निर्माण, सुरक्षण, नियन्त्रण, सञ्चालन, व्यवस्थापन र मर्मतसम्भारमा यस्ता अनेकन कमजोरीहरु रहेको शर्माको भनाइ छ । ‘प्रणाली खरिदको सम्झौता गर्दा नै सोर्सकोड प्राप्त हुने प्रत्याभूति गर्नुपर्छ’, उनी भन्छन्, ‘त्यसो नभएमा प्रणाली कार्यालयको नियन्त्रणमा रहने सुनिश्चित हुँदैन ।’ प्रणालीको निर्माण वा विकासअघि सम्झौताकै बेला सफ्टवेयर र त्यस प्रणालीमा रहने सूचना तथा विवरण सुरक्षित रहने शर्त राख्नुपर्ने उनले बताए ।

सूचना प्रविधि विभागका अनुसार जथाभावी ढंगले प्रणाली विकास गर्ने, अरुको लाइसेन्स लिएर चलाउने र भेन्डरमार्फत नै यसको व्यवस्थापकीय काम गर्ने गर्दा सरकारसँग रहेका तथ्यांकहरु नै सुरक्षा जोखिममा छन् ।

फरक–फरक सरकारी प्रणालीहरुलाई एकआपसमा आवद्ध गर्नेतर्फ पनि विचार नगरी प्रणाली विकास गर्ने र चलाउने प्रवृत्ति कायम रहेको विभागका अधिकारीहरु बताउँछन् ।

विभागका प्रवक्ता शर्माका अनुसार विशेषज्ञ कर्मचारी नभएकाले धेरै सरकारी निकायले महत्वपूर्ण तथ्यांक रहने प्रणालीहरुको जिम्मा भेन्डर कम्पनीलाई दिएर छाडेका छन् ।

प्रणाली खरिद गरेपछि निरन्तर सञ्चालन गर्ने, अद्यावधिक गर्ने र समस्या पर्दा तुरुन्तै समाधान गर्ने पक्षमा भेन्डरमै भर परिरहने प्रवृत्तिले गर्दा धेरै प्रणालीको सोर्स कोड सरकारी निकायको हातमा नआउने समस्या व्याप्त छ ।

प्रणालीको सोर्सकोड प्राप्त गरेर आफ्नै जनशक्तिमार्फत चलाउने पक्षमा सरकारी निकायहरु उदासीन रहेको उदहारण यातायात व्यवस्था विभाग पनि हो । विभागले २०७२ सालदेखि प्रयोगमा ल्याएको स्मार्ट लाइसेन्स वितरण प्रणालीको सोर्स कोड हालसालै मात्रै ठेकेदार कम्पनी मद्रास सेक्युरिटी प्रिन्टर्सबाट हात पारेको छ ।

यसअघि विभिन्न बाहना देखाउँदै कम्पनीले सोर्सकोड दिन मानेको थिएन । सोर्स कोड लिए पनि प्रणालीलाई सञ्चालन गर्न, अद्यावधिक गर्न र आवश्यक मर्मत गर्न सक्ने जनशक्ति नभएको भन्दै विभागले खासै चासो दिएको पनि थिएन । तर, प्रणालीकै दुरुपयोग गरेर १ लाखभन्दा बढी नक्कली लाइसेन्स वितरण भएको थाहा पाएर विभागले निकै दबाब दिएपछि ठेकेदार कम्पनीबाट सोर्सकोड प्राप्त गरेको हो ।

सुरक्षा अडिट र जनशक्ति विकासमा बेवास्ता

लाइसेन्स प्रणालीको ‘सेक्युरिटी अडिट’का लागि भन्दै प्रधानमन्त्री कार्यालयले सोर्स कोड मागेपछि बल्ल विभागले सूचना प्रविधि विभागमार्फत सोर्स कोड प्राप्त गरेको थियो । विभागले बेलैमा सुरक्षा जाँच नगरेकाले प्रणाली नै दुरुपयोगको तहमा पुगेको खुलेको छ ।

विभागका महानिर्देशक उद्धवप्रसाद रिजाल अहिले सोर्स कोड प्राप्त गरेर मात्रै समस्या समाधान नहुने बताउँछन् । प्रणाली सञ्चालन र मर्मतका लागि अझै पनि विभागको प्राविधिक टिमलाई सक्षम बनाउनुपर्ने उनको भनाइ छ ।

सोर्स कोड प्राप्त गर्दैमा प्रणालीमा रहेका कमजोरी पत्ता लगाउन सक्ने जनशक्ति विभागसँग नरहेको उनले बताए ।

‘सोर्स कोड प्राप्त गरेर हामीले सूचना प्रविधि विभागलाई प्रणालीको प्राविधिक  सुरक्षा परीक्षण (टेक्निकल सेक्युरिटी अडिट) गर्न भनेका छौं,’ महानिर्देशक रिजालले भने,‘सिस्टममा समस्याहरु देखियो, यी कस्ता समस्या हुन् र अब के गर्ने भन्नेबारे थाहा पाउन अडिट नै गर्न लागेका हौं ।’

सूचना प्रविधि विभागका प्रवक्ता शर्मा अनुसार सरकारी निकायका डिजिटल डेटालाई सुरक्षित राख्न, प्रणालीमा रहेका जोखिम पहिचान गर्न, जोखिमको वर्गीकरण गरी ह्याक हुनबाट रोक्न र सम्भावित सुरक्षा जोखिम तथा खतरालाई न्यूनीकरण गर्न ‘सेक्युरिटी अडिट’ गर्नैपर्छ ।

प्रणाली सञ्चालन गर्ने कार्यालयसँग त्यो अडिट रिपोर्टको सिफारिस कार्यान्वयन गर्नसक्ने र प्रढााली आफ्नो निणयन्त्रणमा राख्ने प्रणाली र जनशक्ति विकास गर्न जरुरी रहेको उनको भनाइ छ ।

सूचना प्रविधि विभागले असार २०७४ देखि असार २०८० सम्म १७६ वटा सरकारी निकायका २८३ वटा प्रणालीको मात्रै ‘सेक्युरिटी अडिट’ गरेको छ । ‘यो निकै सानो संख्या हो,’ शर्मा भन्छन्, ‘तर, पछिल्लो समयमा सरकारी कार्यालयहरुमा यस्तो अडिट गराउनुपर्छ भन्ने चेतना बढ्दै गएको छ, तेस्रो पक्षबाट भएपनि सुरक्षा अडिट गरेर चलाउँदा राम्रो हुन्छ ।’

१३ साउन २०७७ मा सञ्चार मन्त्रालयको मन्त्रालयस्तरीय विकास समस्या समाधान समितिको बैठकले सरकारका मन्त्रालय, आयोग, सचिवालय, केन्द्र्रीयस्तरका कार्यालयहरु र अन्तर्गत निकायहरुले विकास र प्रयोग गर्ने सफ्टवेयरको सेक्युरिटी अडिट सूचना प्रविधि विभागबाट मात्र गर्ने निर्णय गरेको थियो । तर, सरकारी कार्यालयले सेक्युरिटी अडिटमा चासो नदिने भएकाले ठूलो संख्यामा अडिट गर्न नसकिएको विभागका अधिकारीहरु बताउँछन् ।

सरकारी अनलाइन प्रणाली र सफ्टवेयरको सुरक्षाको पक्षमा अख्तियार दुरुपयोग अनुसन्धान आयोगले पनि चासो दिँदै आएको छ । ४ पुसमा अख्तियारले सरकारलाई लिखित रुपमै आफूले खरिद गरेका सफ्टवेयरको सोर्स कोड नियन्त्रणको सुनिश्चितता गर्न निर्देशन दिएको थियो ।

‘सबै सार्वजनिक निकायले आफूले खरिद गरेका सफ्टवेयरको सोर्सकोड आफ्नै कर्मचारीबाट प्राप्ति, नियन्त्रण वा प्रयोगको सुनिश्चितता गर्ने,’ निर्देशनमा भनिएको छ, ‘सफ्टवेयर निर्माण, खरिद वा एकीकरण गर्नुपूर्व तथ्यांकको गोपनीयता, सुरक्षा एवम् एकरुपता सुनिश्चितता गर्ने ।’ अख्तियारले सबै सरकारी सफ्टवेयरको सेक्युरिटी अडिट अनिवार्य रूपमा गर्ने व्यवस्था गर्न समेत निर्देशन दिएको छ ।

अख्तियारले सेवा खरिद गर्दा वा सँगसँगै ‘सपोर्ट सर्भिस’ वा ‘म्यानेज सर्भिस’ पनि खरिद गरिएको भए आफ्ना कर्मचारीलाई ती कम्पनीका कर्मचारीसँगै काम गराउन पनि निर्देशन दिएको छ ।

आफ्ना कर्मचारीको सीप र क्षमता विकास गरी निश्चित अवधिपछि त्यस्तो सपोर्ट वा म्यानेज सर्भिसको जिम्मेवारी कार्यालय आफैंले लिने व्यवस्था गर्न पनि अख्तियारले निर्देशन दिएको छ ।

यसअघि ४ भदौमा सरकारले सरकारी निकायहरुलाई सफ्टवेयरहरुको अनावश्यक निर्माण गर्न रोक लगाएको थियो । विभिन्न बहानामा सफ्टवेयरहरु निर्माण गर्दा अनावश्यक खर्च भइरहेको निष्कर्ष निकाल्दै गत ५ भदौमा प्रधामनन्त्री तथा मन्त्रिपरिषदको कार्यालयमा बसेको सचिवहरुको बैठकले जथाभावी सफ्टवेयर निर्माण गर्न नदिने निर्णय गरेको थियो ।

सचिव बैठकले प्रयोगमा नआएका सफ्टवेयर हटाउने, प्रयोगमा आइरहेका सफ्टवेयरबीच अन्तरआबद्धता कायम गर्ने र प्रयोगमा रहेका कार्यालयको सफ्टवेयरको सोर्स कोड आफैंसँग राख्ने व्यवस्था मिलाउने निर्णय गरेको थियो ।

बैठकले सरकारी कार्यालयमा प्रयोगमा रहेका सफ्टवेयरको सेक्युरिटी अडिट गर्ने निर्णय पनि गरेको थियो । यसका लागि सञ्चार तथा सूचना प्रविधि मन्त्रालय र विद्युतीय सुशासन आयोगले आवश्यक प्राविधिक सहयोग र सहजीकरण गर्ने भनिएको थियो ।

प्रयोगमा नरहेका सफ्टवेयरहरुको सञ्चालन र सुरक्षा प्रणाली व्यवस्थापनका लागि हरेक वर्ष ठूलो खर्च भइरहेको छ । तर, कतिपय सरकारी सफ्टवेयरको त सोर्सकोड समेत सरकारसँग नहुँदा महत्वपूर्ण सरकारी सूचना र सेवाग्राहीका व्यक्तिगत सूचना समेतको सुरक्षामा प्रश्न उठिरहेको छ।

सूचना प्रविधि विभागका निर्देशक लोकराज शर्मा भविष्यमा भेन्डरले छाड्दा वा अर्कोले जिम्मा लिँदा पनि सरकारी सफ्टवेयरको सोर्सकोड चाहिने बताउँछन् ।

‘प्रणालीको डिजाइन, डकुमेन्टहरु सबै राख्नुपर्छ’, उनी भन्छन्, ‘सोर्स कोड राख्ने र सेक्युरिटी अडिट गरेर कमजोर देखिएको पक्षमा सुधार गर्ने कुरामा सरकारी निकायहरु सचेत हुनुपर्छ ।’