नेपालको वित्तीय क्षेत्रको साइबर सुरक्षाः कार्यान्वयनको नयाँ रोडम्याप सार्वजनिक

काठमाडाैं । नेपालको डिजिटल अर्थतन्त्रलाई साइबर खतराबाट जोगाउन महत्वपूर्ण पहल स्वरूप, बैंक र वित्तीय संस्थाहरूलाई लक्षित गरी तयार गरिएको व्यापक साइबर सुरक्षा रोडम्याप नेपाल राष्ट्र बैंकका नवनियुक्त गर्भनर विश्वनाथ पौडेललाई हस्तान्तरण गरिएको छ।

यो रणनीतिक रोडम्यापको परिकल्पना फेडरेसन अफ कम्प्युटर एसोसिएसन नेपाल (क्यान महासंघ) का वरिष्ठ उपाध्यक्ष र प्रमुख साइबर सुरक्षा कम्पनी वन कभर प्राइभेट लिमिटेडका सीईओ चिरञ्जीबी अधिकारीले गरेका हुन्।

नेपालका सूचना र सञ्चार प्रविधि तथा सुरक्षा क्षेत्रमा प्रमुख सरोकारवालाहरूबीचको सशक्त सहकार्यलाई समेट्ने यो रोडम्यापले साइबर सुरक्षा क्षेत्रमा ठूलो कदम चाल्ने आशा राखिएको छ। कार्यक्रमका क्रममा, सञ्चार तथा सूचना प्रविधि मन्त्रालयका आइसिटी विज्ञ र सेन्टर फर साइबर सेक्युरिटी रिसर्च एन्ड इनोभेसनका अध्यक्ष डा शालिग्राम पराजुली, महासचिव डा भोजराज घिमिरे, र सचिव बन्दना शर्मा ले साइबर अपराध न्यूनीकरणमा अनुसन्धान र विकासको अपरिहार्य भूमिकाबारे प्रकाश पारे।

यसका साथै, क्यान महासंघका महासचिव चन्द्रबिलास भुर्तेल र साइबर सुरक्षा समिति संयोजक मोना न्याछोयोनले नेपालमा साइबर सुरक्षा सुदृढ पार्न क्यान महासंघको प्रतिबद्धता व्यक्त गरे।

इन्फर्मेसन सेक्युरिटी रेस्पोन्स टिम नेपालका उपाध्यक्ष र इनसाइट टेक्नोलोजीका सीईओ सुमन शर्माले नेपालमा निर्माण हुँदै गरेको फाइनान्सियल सेक्युरिटी कम्प्युटर इमर्जेन्सी रेस्पोन्स टिमको भूमिकाबारे चर्चा गर्दै साइबर घटनाहरूको व्यवस्थापनमा सूचना सुरक्षा प्रतिक्रिया टोली नेपालको योगदानबारे बताए।

सूचना सुरक्षा प्रतिक्रिया टोलीकी बोर्ड सदस्य रोजिना डाँगीले युवा वर्गलाई लक्षित गरी साइबर सुरक्षा सचेतना र शिक्षा अभियानको महत्त्वबारे जोड दिइन्, जसले राष्ट्रिय दृष्टिकोणमा परिवर्तन ल्याउन मद्दत गर्ने विश्वास व्यक्त गरिन्।

नेपालको राष्ट्रिय साइबर सुरक्षा नीति २०८०, विद्युतीय कारोबार ऐन २०६३ (२००८), साइबर सुरक्षा नियमावली २०७७ (२०२०), र नेपाल राष्ट्र बैंकको साइबर रेजिलियन्स निर्देशिका (२०२३) सँग पूर्ण रूपमा मेल खाने यो महत्त्वाकांक्षी रोडम्यापले सुरक्षित र लचिलो वित्तीय प्रणालीको लागि एक मजबूत आधार तयार पारेको छ।

रोडम्यापका प्रमुख स्तम्भहरू:

सुदृढ शासन र नेतृत्व: यो नीतिले नेपाल राष्ट्र बैंक र सबै वित्तीय संस्थाहरूमा प्रमुख सूचना सुरक्षा अधिकारी (CISO) को अनिवार्य नियुक्तिको व्यवस्था गरेको छ। यसका साथै, बोर्ड-स्तरीय IT जोखिम समिति र नेपाल राष्ट्र बैंकका गर्भनर वा डेपुटी गर्भनरको अध्यक्षतामा उच्चस्तरीय साइबर सुरक्षा समिति गठन गरिनेछ। यसले साइबर सुरक्षालाई उच्च प्राथमिकतामा राखी स्पष्ट भूमिका र जिम्मेवारी तोक्नेछ। नीतिलाई हरेक वर्ष वा कुनै महत्वपूर्ण साइबर घटनापछि अद्यावधिक गरिनेछ।

FinCERT-नेपालको स्थापना: यो रोडम्यापको मुख्य जगमध्ये एक वित्तीय क्षेत्र कम्प्युटर आपतकालीन प्रतिक्रिया टोली (FinCERT-नेपाल) को स्थापना हो। नेपाल राष्ट्र बैंकको सुपरिवेक्षणमा र क्यान महासंघ तथा सिएसआरआइ नेपालसँगको सहकार्यमा FinCERT-नेपालले वित्तीय संस्थाहरूमा हुने साइबर घटनाहरूको प्रतिक्रिया समन्वय गर्ने, क्रिय जोखिम मूल्यांकन सञ्चालन गर्ने र वित्तीय संस्थाहरूबीच खतरासम्बन्धी महत्त्वपूर्ण जानकारी आदानप्रदान गर्ने। FinCERT-नेपालले नेपाल प्रहरीको साइबर ब्युरो र npCERT सँग राष्ट्रिय स्तरको घटना व्यवस्थापनका लागि नजिकबाट समन्वय गर्नेछ।

npCERT सँग एकीकरण: सबै वित्तीय संस्थाहरूलाई npCERT सँग एकीकृत हुन अनिवार्य गरिनेछ। यसले वास्तविक-समयका खतरा अलर्टहरू, समन्वित घटना प्रतिक्रिया र बलियो साइबर खुफिया सहकार्य सुनिश्चित गर्नेछ। NRB ले सहज एकीकरणका लागि npCERT सँग सुरक्षित सञ्चार च्यानल स्थापना गर्नेछ।

CSRI र CAN महासंघसँग रणनीतिक साझेदारी: सेन्टर फर साइबर सेक्युरिटी रिसर्च एन्ड इनोभेसन नेपाल (CSRI नेपाल) र CAN महासंघसँगको अनिवार्य सहकार्य यस नीतिको महत्वपूर्ण अंग हो। यो साझेदारीले वित्तीय क्षेत्रमा विशेष साइबर खतराहरूको गहन अध्ययन, वित्तीय संस्थाका कर्मचारीहरूका लागि विशेष प्रशिक्षण कार्यक्रम रलचिलोपनको परीक्षणका लागि यथार्थवादी साइबर आक्रमण सिमुलेशनहरू। नेपाल राष्ट्र बैंकले राष्ट्रिय साइबर सुरक्षा क्षमताहरू सुदृढ पार्न CSRI सँग संयुक्त पहलहरूमा लगानी गर्ने प्रतिबद्धता व्यक्त गरेको छ।

सक्रिय जोखिम व्यवस्थापन र बलियो नियन्त्रण: रोडम्यापले कोर बैंकिङ प्रणाली, भुक्तानी प्लेटफर्म, र ग्राहक डेटामा हुने जोखिमहरू पहिचान गर्न त्रैमासिक साइबर जोखिम मूल्यांकनलाई जोड दिन्छ। शून्य-विश्वास सुरक्षा मोडेल, महत्त्वपूर्ण प्रणालीहरूका लागि बहु-कारक प्रमाणीकरण (MFA), न्यूनतम विशेषाधिकार पहुँच, र प्रयोगकर्ता लगहरूको नियमित अडिट अनिवार्य गरिएको छ। डेटा इन्क्रिप्शन (AES-256 वा सो बराबर), डेटा हानि रोकथाम (DLP) उपकरणहरू, र व्यक्तिगत गोपनीयता ऐन २०७५ को पालनालाई प्राथमिकता दिइएको छ। नेटवर्क विभाजन, नियमित जोखिम मूल्यांकन, प्रवेश परीक्षण, र अनिवार्य एन्टिभाइरस/EDR समाधानहरूले सुरक्षालाई थप बलियो बनाउनेछ।

डिजिटल भुक्तानी सुरक्षामा सुधार: डिजिटल कारोबारमा बढ्दो निर्भरतालाई ध्यानमा राख्दै, नीतिले मोबाइल बैंकिङ, इन्टरनेट बैंकिङ र डिजिटल वालेटहरूका लागि कडा सुरक्षा दिशानिर्देशहरू प्रस्तुत गरेको छ। यसमा MFA, बलियो इन्क्रिप्शन, र DDoS सुरक्षा समावेश छ, साथै सबै डिजिटल प्लेटफर्महरूको नियमित जोखिम परीक्षण गरिनेछ।

व्यापक घटना पहिचान र प्रतिक्रिया: नेपाल राष्ट्र बैंक र वित्तीय संस्थाहरूका लागि २४/७ सेक्युरिटी अपरेसन सेन्टर (SOC) को स्थापना, SIEM र EDR उपकरणहरूसँग मिलेर, वास्तविक-समयमा विसंगति पहिचान सुनिश्चित गर्नेछ। वित्तीय संस्थाहरूले पहिचान, नियन्त्रण, उन्मूलन, रिकभरी, र सरोकारवालाहरूसँगको सञ्चार समेट्ने विस्तृत साइबर सुरक्षा घटना प्रतिक्रिया योजना (CIRP) कायम राख्नुपर्छ। गम्भीर घटनाहरू २४ घण्टाभित्र नेपाल राष्ट्र बैंकलाई रिपोर्ट गर्नुपर्नेछ, र त्यसको कारण तथा समाधानको विस्तृत जानकारीसहितको फलोअप रिपोर्ट पेस गर्नुपर्नेछ। सुरक्षित, अफ-साइट ब्याकअप र बलियो व्यापार निरन्तरता/आपतकालीन रिकभरी योजनाहरू पनि अनिवार्य छन्।

तेस्रो-पक्ष र क्लाउड सुरक्षा अनुपालन: सबै तेस्रो-पक्ष विक्रेताहरू र क्लाउड सेवा प्रदायकहरूको लागि उचित लगनशीलता, आवधिक सुरक्षा अडिट, र ISO 27001 वा सो बराबरको मापदण्डहरूको पालना अनिवार्य गरिएको छ।

क्षमता निर्माण र सचेतना: नेपाल राष्ट्र बैंक र वित्तीय संस्थाका कर्मचारीहरूका लागि वार्षिक अनिवार्य साइबर सुरक्षा तालिम, नेपाल दूरसञ्चार प्राधिकरण (NTA) सँगको सहकार्यमा सार्वजनिक सचेतना अभियान, र सिमुलेशन अभ्यासका लागि उद्योग सहकार्य राष्ट्रभरि साइबर सुरक्षा-सचेत संस्कृति निर्माणका लागि महत्वपूर्ण छन्।

साइबर सुरक्षा छात्रवृत्ति कोष र नवप्रवर्तन प्रवर्द्धन: वित्तीय संस्थाहरूले नेपाली विश्वविद्यालयहरूमा साइबर सुरक्षा छात्रवृत्तिका लागि कोष छुट्याउनुपर्ने महत्वपूर्ण कदम चालेको छ, जसको सुपरिवेक्षण नेपाल राष्ट्र बैंकले गर्नेछ। धोकाधडी पत्ता लगाउने प्रविधि, ब्लकचेन सुरक्षा, AI-आधारित खतरा विश्लेषण, र डिजिटल फोरेन्सिक जस्ता क्षेत्रमा अनुसन्धानका लागि CSRI र विश्वविद्यालयहरूसँग उद्योग-शैक्षिक सहकार्यलाई प्रोत्साहन गर्नाले दक्ष जनशक्ति उत्पादन र नवप्रवर्तनलाई बढावा दिनेछ।

आवधिक अडिट र अनुपालन अनुगमन: नियमित आन्तरिक तथा बाह्य अडिट, वित्तीय संस्थाहरूबाट नेपाल राष्ट्र बैंकमा त्रैमासिक अनुपालन प्रतिवेदन, र गैर-अनुपालनका लागि जरिवाना वा इजाजतपत्र निलम्बन जस्ता कडा दण्डको प्रावधानले कडा कार्यान्वयन सुनिश्चित गर्दछ।

अनुपालन र प्रवर्तन: यो नीति विद्यमान राष्ट्रिय कानुन र अन्तर्राष्ट्रिय मापदण्डहरूसँग पूर्ण रूपमा मिल्दोजुल्दो छ, र बारम्बार उल्लंघनले प्रणालीगत जोखिम निम्त्याएमा सुधारका कार्यहरू र इजाजतपत्र निलम्बन जस्ता कदमहरू चाल्न सकिनेमा जोड दिन्छ।

समयरेखा अनुसार कार्यान्वयनका चरणहरू:

• तत्काल (Immediate):
  यो चरणमा प्रमुख सूचना सुरक्षा अधिकारी (CISO) हरूको नियुक्ति, IT जोखिम समितिहरूको गठन र FinCERT-नेपालको सुरुवात गरिनेछ। यी सबै उपायहरूलाई प्राथमिकता दिइनेछ, जसले नेपाल राष्ट्र बैंक र वित्तीय संस्थाहरूको साइबर सुरक्षा संरचनालाई मजबुत बनाउने काम गरिनेछ।
• छोटो अवधि (Short-term):
  प्रारम्भिक जोखिम मूल्यांकनहरू पूरा गरिनेछन्, जसले तत्कालको साइबर खतराहरूको पहिचान र व्यवस्थापनमा मद्दत गर्नेछ। यसका साथै, npCERT सँग एकीकरण गरिनेछ र SIEM (सुरक्षा सूचना र घटना व्यवस्थापन) र EDR (एन्डपॉइन्ट डिटेक्शन र रिस्पोन्स) उपकरणहरूको प्रयोग पनि प्रारम्भ गरिनेछ।
• मध्यम अवधि (Medium-term):
  यस अवधिमा, २४/७ सेक्युरिटी अपरेसन सेन्टर (SOC) को स्थापना गरिनेछ जसले वास्तविक-समयका साइबर घटनाहरूलाई निगरानी गर्नेछ। साइबर सुरक्षा घटना प्रतिक्रिया योजनाहरू (CIRPs) लाई अन्तिम रूप दिइनेछ र CSRI (साइबर सुरक्षा अनुसन्धान र नवप्रवर्तन केन्द्र)सँगको साझेदारी सुरु गरिनेछ।
• दीर्घकालीन (Long-term):
  दीर्घकालीन लक्ष्यहरूमा साइबर सुरक्षा छात्रवृत्ति कोषको सुरुवात र पहिलो अनुपालन अडिटहरूको सञ्चालन गर्ने योजना रहेको छ। यसले नेपालको वित्तीय क्षेत्रको सुरक्षा क्षमता थप सुदृढ गर्नेछ।
• निरन्तर (Ongoing):
  अन्तिम चरणमा, नीतिलाई गतिशील खतरा परिदृश्यमा अनुकूलन गर्न निरन्तर अनुगमन, समीक्षा र अद्यावधिक गरिनेछ, जसले यसलाई समयानुसार प्रभावकारी राख्नेछ।

साईबर सुरक्षा विज्ञहरुको दूरदृष्टि र क्यान महासंघ, साइबरसुरक्षा अनुसन्धान र नवप्रवर्तन केन्द्र ,र सूचना सुरक्षा प्रतिक्रिया टोली नेपाल जस्ता संस्थाहरूको सामूहिक प्रयासबाट निर्माण गरिएको यो साइबर सुरक्षा रोडम्यापले नेपालको वित्तीय क्षेत्रको साइबर सुरक्षा सुनिश्चित गर्न एक ऐतिहासिक कदम चालेको छ।

यो नीतिले सुरक्षित, लचिलो, र विश्वसनीय डिजिटल अर्थतन्त्र निर्माणका लागि बलियो जग खडा गरेको छ, जसले राष्ट्रको वित्तीय हितको रक्षा गर्ने विश्वास व्यक्त गरिएकाे छ ।