नेपालको साइबर सुरक्षा रणनीतिअन्तरगत वित्तीय क्षेत्रमा राष्ट्र बैंकले अग्रसरता लिन क्यान महासंघको आग्रह

काठमाडौं ।

नेपालको डिजिटल अर्थतन्त्रलाई साइबर खतराहरूबाट जोगाउनका लागि एउटा महत्वपूर्ण पहल स्वरूप, बैंक तथा वित्तीय संस्थाहरू (बीएफआईहरु) लाई लक्षित गरी तयार पारिएको एक व्यापक साइबर सुरक्षा रोडम्याप नेपाल राष्ट्र बैंकका गर्भनर विश्वनाथ पौडेललाई आज औपचारिक रूपमा हस्तान्तरण गरेको छ।

फेडरेसन अफ कम्प्युटर एसोसिएसन नेपाल (क्यान महासंघ) का वरिष्ठ उपाध्यक्ष चिरञ्जीबी अधिकारीले यो रणनीतिक खाकाको परिकल्पना गरेको क्यान महासंघले उल्लेख गरेको छ।

कार्यक्रममा बोल्दै सञ्चार तथा सूचना प्रविधि मन्त्रालय (एमओसीआईटी) का सूचना प्रविधि विज्ञ तथा सेन्टर फर साइबर सेक्युरिटी रिसर्च एन्ड इनोभेसन (सीएसआरआई) का अध्यक्ष डा. शालिग्राम पराजुली, महासचिव डा. भोजराज घिमिरे, र सचिव बन्दना शर्माले अनुसन्धान र विकासमार्फत साइबर अपराध न्यूनीकरणमा  संस्थाको अपरिहार्य भूमिकाबारे प्रकाश पारे।

सोही क्रममा, क्यान महासंघका महासचिव चन्द्रबिलास भुर्तेल र साइबर सुरक्षा समिति संयोजक मोना न्याछोयोनले नेपालमा साइबर सुरक्षा सुदृढ पार्न क्यान महासंघको प्रतिबद्धता व्यक्त गरेको बताईएको छ।

इन्फर्मेसन सेक्युरिटी रेस्पोन्स टिम नेपाल (एनपीसर्ट- npCERT) का उपाध्यक्ष सुमन शर्माले नेपालमा स्थापना हुन लागेको फाइनान्सियल सेक्टर कम्प्युटर इमर्जेन्सी रेस्पोन्स टिम (फिनसर्ट-FinCERT) को निर्माण र संयुक्त रूपमा साइबर घटनाहरू व्यवस्थापनमा npCERT को भूमिकाबारे चर्चा गरे।

यसका साथै, नेपालको राष्ट्रिय साइबर सुरक्षा नीति २०८०, विद्युतीय कारोबार ऐन २०६३ (२००८), साइबर सुरक्षा नियमावली २०७७ (२०२०), र नेपाल राष्ट्र बैंकको साइबर रेजिलियन्स निर्देशिका (२०२३) सँग पूर्णरूपमा मेल खाने महत्त्वाकांक्षी रोडम्यापले सुरक्षित र लचिलो वित्तीय प्रणालीको लागि आधार तयार पारेको क्यान महासंघद्वारा जारी विज्ञप्तीमा उल्लेख छ।

रोडम्यापका प्रमुख स्तम्भहरू:

१. सुदृढ शासन र नेतृत्व:

यो नीतिले नेपाल राष्ट्र बैंक र सबै वित्तीय संस्थाहरूमा प्रमुख सूचना सुरक्षा अधिकारी (सीसो-CISO) को अनिवार्य नियुक्तिको व्यवस्था गरेको छ । यसका साथै, बोर्ड-स्तरीय आईटी जोखिम समिति र नेपाल राष्ट्र बैंकका गर्भनर वा डेपुटी गर्भनरको अध्यक्षतामा उच्चस्तरीय साइबर सुरक्षा समिति गठन गरिनेछ । यसले साइबर सुरक्षालाई उच्च प्राथमिकतामा राखी स्पष्ट भूमिका र जिम्मेवारी तोक्नेछ । नीतिलाई हरेक वर्ष वा कुनै महत्वपूर्ण साइबर घटनापछि अद्यावधिक गरिनेछ।

२. फिनसर्ट (FinCERT)-नेपालको स्थापना:

यो रोडम्यापको मुख्य जगमध्ये एक वित्तीय क्षेत्र कम्प्युटर आपतकालीन प्रतिक्रिया टोली (फिनसर्ट-नेपाल) को स्थापना हो । नेपाल राष्ट्र बैंकको सुपरिवेक्षणमा र क्यान महासंघ तथा सीएसआरआई नेपालसँगको सहकार्यमा फिनसर्ट-नेपालले निम्न कार्यहरू गर्नेछ:

• वित्तीय संस्थाहरूमा हुने साइबर घटनाहरूको प्रतिक्रिया समन्वय गर्ने ।
• सक्रिय जोखिम मूल्यांकन सञ्चालन गर्ने ।
• वित्तीय संस्थाहरूबीच खतरासम्बन्धी महत्त्वपूर्ण जानकारी आदानप्रदान गर्ने । FinCERT-नेपालले नेपाल प्रहरीको साइबर ब्युरो र npCERT सँग राष्ट्रिय स्तरको घटना व्यवस्थापनका लागि नजिकबाट समन्वय गर्नेछ ।

३. एनपीसर्टसँग एकीकरण:

सबै वित्तीय संस्थाहरूलाई एनपीसर्टसँग एकीकृत हुन अनिवार्य गरिनेछ। यसले वास्तविक-समयका खतरा अलर्टहरू, समन्वित घटना प्रतिक्रिया र बलियो साइबर खुफिया सहकार्य सुनिश्चित गर्नेछ । राष्ट्र बैंकले सहज एकीकरणका लागि एनपीसर्टसँग सुरक्षित सञ्चार च्यानल स्थापना गर्नेछ।

४. सीएसआरआई र क्यान महासंघसँग रणनीतिक साझेदारी:

सेन्टर फर साइबर सेक्युरिटी रिसर्च एन्ड इनोभेसन नेपाल (सीएसआरआई नेपाल) र क्यान महासंघसँगको अनिवार्य सहकार्य यस नीतिको महत्वपूर्ण अंग हो । यो साझेदारीले निम्न क्षेत्रमा योगदान पुर्याउनेछ:

अनुसन्धान: वित्तीय क्षेत्रमा विशेष साइबर खतराहरूको गहन अध्ययन ।

तालिम: वित्तीय संस्थाका कर्मचारीहरूका लागि विशेष प्रशिक्षण कार्यक्रमहरू ।

सिमुलेशन अभ्यास: लचिलोपनको परीक्षणका लागि यथार्थवादी साइबर आक्रमण सिमुलेशनहरू । नेपाल राष्ट्र बैंकले राष्ट्रिय साइबर सुरक्षा क्षमताहरू सुदृढ पार्न सीएसआरआईसँग संयुक्त पहलहरूमा लगानी गर्ने प्रतिबद्धता व्यक्त गरेको छ।

५. सक्रिय जोखिम व्यवस्थापन र बलियो नियन्त्रण:

रोडम्यापले कोर बैंकिङ प्रणाली, भुक्तानी प्लेटफर्म, र ग्राहक डेटामा हुने जोखिमहरू पहिचान गर्न त्रैमासिक साइबर जोखिम मूल्यांकनलाई जोड दिन्छ । शून्य-विश्वास सुरक्षा मोडेल, महत्त्वपूर्ण प्रणालीहरूका लागि बहु-कारक प्रमाणीकरण (एमएफए), न्यूनतम विशेषाधिकार पहुँच, र प्रयोगकर्ता लगहरूको नियमित अडिट अनिवार्य गरिएको छ । डेटा इन्क्रिप्शन (एईएस २५६ (AES-256) वा सो बराबर), डाटा हानि रोकथाम (डीएलपी) उपकरणहरू, र व्यक्तिगत गोपनीयता ऐन २०७५ को पालनालाई प्राथमिकता दिइएको छ । नेटवर्क विभाजन, नियमित जोखिम मूल्यांकन, प्रवेश परीक्षण, र अनिवार्य एन्टिभाइरस/ईडीआर समाधानहरूले सुरक्षालाई थप बलियो बनाउनेछ ।

६. डिजिटल भुक्तानी सुरक्षामा सुधार:

डिजिटल कारोबारमा बढ्दो निर्भरतालाई ध्यानमा राख्दै, नीतिले मोबाइल बैंकिङ, इन्टरनेट बैंकिङ र डिजिटल वालेटहरूका लागि कडा सुरक्षा दिशानिर्देशहरू प्रस्तुत गरेको छ । यसमा एमएफए, बलियो इन्क्रिप्शन, र डीडीओएस सुरक्षा समावेश छ, साथै सबै डिजिटल प्लेटफर्महरूको नियमित जोखिम परीक्षण गरिनेछ।

७. व्यापक घटना पहिचान र प्रतिक्रिया:

नेपाल राष्ट्र बैंक र वित्तीय संस्थाहरूका लागि २४/७ सेक्युरिटी अपरेसन सेन्टर (SOC) को स्थापना, SIEM र EDR उपकरणहरूसँग मिलेर, वास्तविक-समयमा विसंगति पहिचान सुनिश्चित गर्नेछ । वित्तीय संस्थाहरूले पहिचान, नियन्त्रण, उन्मूलन, रिकभरी, र सरोकारवालाहरूसँगको सञ्चार समेट्ने विस्तृत साइबर सुरक्षा घटना प्रतिक्रिया योजना (CIRP) कायम राख्नुपर्छ । गम्भीर घटनाहरू २४ घण्टाभित्र नेपाल राष्ट्र बैंकलाई रिपोर्ट गर्नुपर्नेछ, र त्यसको कारण तथा समाधानको विस्तृत जानकारीसहितको फलोअप रिपोर्ट पेस गर्नुपर्नेछ । सुरक्षित, अफ-साइट ब्याकअप र बलियो व्यापार निरन्तरता/आपतकालीन रिकभरी योजनाहरू पनि अनिवार्य छन् ।

८. तेस्रो-पक्ष र क्लाउड सुरक्षा अनुपालन:

सबै तेस्रो-पक्ष विक्रेताहरू र क्लाउड सेवा प्रदायकहरूको लागि उचित लगनशीलता, आवधिक सुरक्षा अडिट, र ISO 27001 वा सो बराबरको मापदण्डहरूको पालना अनिवार्य गरिएको छ ।

९. क्षमता निर्माण र सचेतना:

नेपाल राष्ट्र बैंक र वित्तीय संस्थाका कर्मचारीहरूका लागि वार्षिक अनिवार्य साइबर सुरक्षा तालिम, नेपाल दूरसञ्चार प्राधिकरण (NTA) सँगको सहकार्यमा सार्वजनिक सचेतना अभियान, र सिमुलेशन अभ्यासका लागि उद्योग सहकार्य राष्ट्रभरि साइबर सुरक्षा-सचेत संस्कृति निर्माणका लागि महत्वपूर्ण छन् ।

१०. साइबर सुरक्षा छात्रवृत्ति कोष र नवप्रवर्तन प्रवर्द्धन:

वित्तीय संस्थाहरूले नेपाली विश्वविद्यालयहरूमा साइबर सुरक्षा छात्रवृत्तिका लागि कोष छुट्याउनुपर्ने महत्वपूर्ण कदम चालेको छ, जसको सुपरिवेक्षण नेपाल राष्ट्र बैंकले गर्नेछ । धोकाधडी पत्ता लगाउने प्रविधि, ब्लकचेन सुरक्षा, AI-आधारित खतरा विश्लेषण, र डिजिटल फोरेन्सिक जस्ता क्षेत्रमा अनुसन्धानका लागि CSRI र विश्वविद्यालयहरूसँग उद्योग-शैक्षिक सहकार्यलाई प्रोत्साहन गर्नाले दक्ष जनशक्ति उत्पादन र नवप्रवर्तनलाई बढावा दिनेछ ।

११. आवधिक अडिट र अनुपालन अनुगमन:

नियमित आन्तरिक तथा बाह्य अडिट, वित्तीय संस्थाहरूबाट नेपाल राष्ट्र बैंकमा त्रैमासिक अनुपालन प्रतिवेदन, र गैर-अनुपालनका लागि जरिवाना वा इजाजतपत्र निलम्बन जस्ता कडा दण्डको प्रावधानले कडा कार्यान्वयन सुनिश्चित गर्दछ ।

१२. अनुपालन र प्रवर्तन:

यो नीति विद्यमान राष्ट्रिय कानुन र अन्तर्राष्ट्रिय मापदण्डहरूसँग पूर्ण रूपमा मिल्दोजुल्दो छ, र बारम्बार उल्लंघनले प्रणालीगत जोखिम निम्त्याएमा सुधारका कार्यहरू र इजाजतपत्र निलम्बन जस्ता कदमहरू चाल्न सकिनेमा जोड दिन्छ ।

रोडम्याप कार्यान्वयनको समयरेखा:

तत्काल: CISO हरूको नियुक्ति, IT जोखिम समितिहरूको गठन, र FinCERT-नेपालको सुरुवात ।

छोटो अवधि: प्रारम्भिक जोखिम मूल्यांकनहरू पूरा गर्ने, npCERT सँग एकीकरण गर्ने, र SIEM/EDR उपकरणहरू प्रयोग गर्ने ।

मध्यम अवधि: SOC स्थापना गर्ने, साइबर सुरक्षा घटना प्रतिक्रिया योजनाहरू (CIRPs) लाई अन्तिम रूप दिने, र CSRI साझेदारी सुरु गर्ने ।

दीर्घकालीन: छात्रवृत्ति कोषको सुरुवात गर्ने र पहिलो अनुपालन अडिटहरू सञ्चालन गर्ने ।

निरन्तर: गतिशील खतरा परिदृश्यमा अनुकूलन गर्न नीतिको निरन्तर अनुगमन, समीक्षा, र अद्यावधिक।

साईबर सुरक्षा विज्ञहरुको दूरदृष्टि र Federation of Computer Association Nepal (CAN Federation), Center For Cybersecurity Research and Innovation (CSRI), र Information Security Response Team Nepa( npCERT) जस्ता संस्थाहरूको सामूहिक प्रयासबाट निर्माण गरिएको यो साइबर सुरक्षा रोडम्यापले नेपालको वित्तीय क्षेत्रको साइबर सुरक्षा सुनिश्चित गर्न एक ऐतिहासिक कदम चालेको छ । यो नीतिले सुरक्षित, लचिलो र विश्वसनीय डिजिटल अर्थतन्त्र निर्माणका लागि बलियो जग खडा गरेको छ, जसले राष्ट्रको वित्तीय हितको रक्षा गर्नेछ।