काठमाडौं- राष्ट्रिय सूचना प्रविधि केन्द्रले सञ्चालनमा ल्याएको 'ब्याकअप रिकभरी' नाममात्रैको भएको तथ्य पुष्टी भएको छ। आर्थिक वर्ष २०७६/०७७ मा केन्द्रले ५१ करोड ८६ लाख ७० हजार रुपैयाँ खर्च गरी ब्याकअप रिकभरी सञ्चालनमा ल्याएको थियो। यसको सहि तवरबाट व्यवस्थापन नहुँदा काम नै नभएको सरकारी रिपोर्टमा उल्लेख छ।

‘डाटा सेन्टरमा भण्डारण भएका डाटालाई पूर्णरुपमा सुरक्षित र अद्यावधिक राख्न रियलटाइम ब्याकअपको व्यवस्था हुनुपर्दछ,’ महालेखाको ५८ औँ प्रतिवेदनमा भनिएको छ, ‘काठमाडौं स्थित केन्द्र र हेटौंडास्थित डिजास्टर रिकभरी केन्द्रमा रहेका सूचना एवं तथ्यांक एकै समयमा अद्यावधिक हुने गरेको पाइएन।’

यसरी सञ्चालनमा ल्याइएको ब्याकअप रिकभरीले काम नै नगरेको र व्यवस्थितसमेत नरहेको देखिएको हो। काठमाडौं र हेटौडामा रहेका उपकरणको भर्सन फरक परेर पूर्ण रूपमा कम्प्याटिवल नभएको कारण ६० मिनेटको अन्तरालमा मात्र एसिन्कोनस ब्याकअप हुने गरेको छ।

साथै दुई केन्द्रमा सञ्चालित कतिपय उपकरणहरूको पर्याप्तता र सामञ्जस्य हुन नसक्दा प्रकोपको समयमा काठमाडौं केन्द्रबाट हुने गरेका सेवाहरू हेटौडाबाट सुरु हुनपर्ने भए पनि त्यो नभएको महालेखाको प्रतिवेदनमा उल्लेख छ।

यसका लागि केन्द्रले २० थान डेल ईएमसी युनिटी भण्डार क्षमता खरिद गरी सञ्चालनमा ल्याएको थियो। तर त्यसको सही प्रयोग नभएको प्रतिवेदनमा उल्लेख छ।

प्रतिवेदनम सिन्कोनश ब्याकअप हुन नसकेको अवस्थामा ट्रान्जिसन डाटाको प्रयोगले डिजाष्टर रिकभरीमा समस्याहरू आउन सक्ने देखिने विषयसमेत समावेश भएको छ।

कुनै दुर्घटना वा प्रकोपबाट केन्द्रको डाटा सेन्टरमा क्षति हुन पुगेमा प्रणाली र डाटाको सम्पूर्ण रूपमा रिकभरी हुने अवस्थासमेत छैन। यसमा सिधै भष्ट्रचार भएको केन्द्रकै कर्मचारीहरू बताउँन्।

‘सबै काम हाकिमको तजबिजमा हुन्छ, प्राविधिक कर्मचारीले भनेको विषय लागू हुँदैन,’ केन्द्रका एक कर्मचारीले भने, ‘काम कसरी गर्दा कमिसन बढी आउँछ र कसलाई दिने भन्ने विषय अफिसबाहिर बसेर हुन्छ। अफिसमा त प्रक्रिया पुर्‍याउनका लागि मात्रै काम हुने हो। प्रतिवेदनमा डिजाष्टर रिकभरी केन्द्र हेटौडा, कार्यालयको यन्त्र तथा उपकरणहरू केन्द्रसँग कम्प्याटिबल हुनेगरी रियल टाइम ब्याक अपको व्यवस्था हुन पर्ने उल्लेख छ।

सुरक्षा व्यवस्था तथा पहुँच नियन्त्रणबाहिर

सुरक्षित छ भनी पूर्ण रूपमा आश्वस्त हुनको लागि डाटा सेन्टर आइएसओ २७००१ (इन्फरमेशन सेक्युरिटी म्यानेजमेण्ट) बाट प्रमाणित भएको, बहुतह सुरक्षा प्रणाली तथा बहुआयामिक प्रमाणीकरण जडान र एन्टिमालवेयर, फायरवाल लगायतका सुरक्षा तथा पहुँचमा नियन्त्रण हुनुपर्दछ। तर त्यो नभएको महालेखाले फेला पारेको हो।

महालेखाले सरकारी निकायहरूको अति गोप्य तथा संवेदनशील तथ्याङ्क रहने र त्यस्ता तथ्याङ्ग भविष्यमा समेत उपयोगी हुने कारणले दीर्घकालसम्म सुरक्षित रूपमा भण्डारण हुने व्यवस्था गर्न समेत केन्द्रलाई सुझाव दिएको छ। केन्द्रले यो कामका लागि  उपकरण खरिदमा ९ करोड ८९ लाख ८९ हजार रुपैयाँ खर्च गरे पनि त्यस्ता उपकरण प्रयोगमा नल्याएको हो।

‘केन्द्रले सेक्युरिटी अपरेशन सेन्टर खरिद गरी जडान गरेकोमा एसओसीमा भएका ४ वटा टुल्समध्ये १ करोड १८ लाख ९८ हजारको भलनराबिलिटी एसेसमेण्ट ६९ लाख ७३ हजार रूपैयाँको प्यानिटेशन टेष्टिङ टुल खरिद भएको छ’, महालेखाको प्रतिवेदनमा भनिएको छ, ‘तर त्यसको प्रयोग भएको छैन। भीएपीटी र अन्य एसओसी टुल्सको प्रयोग नहुँदा सम्भावित जोखिमहरूको पहिले नै पहिचान गरी सुरक्षासँग सम्बन्धित खतराको पहिचान र समाधान गर्न सकिँदैन।’

जडान गरेको एसओसीले केन्द्रको प्रणालीलाई मात्रै मोनिटर गर्ने तर हेटौडाको प्रणालीलाई त्यसमा आवद्धसमेत नगरी अनियमितता गरेको महालेखाको प्रतिवेदनमा उल्लेख छ। यतिसम्म कि दुवै केन्द्रले डाटा सेन्टरको अन्तर्राष्ट्रिय स्तरको सुरक्षा मापदण्ड पूरा गर्ने आईएसओ २७००१ प्रमाण पत्रसमेत लिएको छैन। साथै आउटसोर्सिङ्ग सेवा प्रदायकका कर्मचारीलाई समेत महत्वपूर्ण डाटा एवं सूचनामा पहुँच दिने गरेको पाइएको छ।

‘केन्द्रले भरपर्दो सुरक्षा र पहुँच नीति तयार गरी लागू गरेको पाइएन। तथ्यांकको सुरक्षा सम्बन्धमा बहुपक्षीय नियन्त्रणको संयन्त्र नहुँदा डाटा सेन्टरमा रहेका तथ्याङ्कको पाईरेसी, ह्याकिङ, भाइरस, फिसिङ्ग, मालवेयर जस्ता साइवर थ्रेटको जोखिम रहन्छ’, महालेखाको प्रतिवेदनमा भनिएको छ, ‘पहुँच नियन्त्रण कमजोर हुँदा सूचना प्रविधि प्रणाली, तथ्याङ्क र पूर्वाधारमा क्षति पुग्ने, महत्वपूर्ण सूचनाहरू नष्ट हुने र दुरूपयोग हुने जोखिम रहने भएकाले केन्द्रले तथ्याङ्क सुरक्षा र पहुँच नीति तयार गरी लागू गरेर डाटा सेन्टरको अन्तर्राष्ट्रिय स्तरको सुरक्षा मापदण्ड पूरा हुनेगरी बहुपक्षीय तथा बहुतहको तथ्याङ्क सुरक्षाको व्यवस्था गर्नुपर्दछ।’