स्मार्ट लाइसेन्स जारी गर्ने प्रणालीमै समस्या, ३० भन्दा बढी तरिकाले ह्याक हुन सक्ने अध्ययनको निष्कर्ष

By आर्थिक समाचार On २० चैत्र २०८०, मंगलवार १६:१७

यातायात व्यवस्था विभागले लाइसेन्स छपाइमा प्रयोग गरिरहेको सवारी चालक अनुमतिपत्र प्रणाली ९इडिएल० मा समस्या देखिएको छ। विभागले २०७२ सालदेखि यो प्रणालीबाट लाइसेन्स छपाइ गर्दै आएको थियो।

विभागले नै गरेको एक अनुसन्धानले एक लाखभन्दा बढी नक्कली लाइसेन्स प्रिन्ट भएको देखाएपछि प्रणालीमा नै समस्या रहेको औंल्याइएको थियो।

त्यसपछि प्रधानमन्त्री कार्यालयको सचिवस्तरीय निर्णयबाट सूचना प्रविधि विभागलाई यो प्रणालीको परीक्षण ९सेक्युरिटी अडिट० गर्न निर्देशन जारी गरियो। परीक्षणका क्रममा प्रणालीमा दर्जन बढी त्रुटि देखिएका हुन्।

सरकारी निकायका डिजिटल डेटालाई सुरक्षित राख्न र प्रणालीमा रहेका जोखिम पहिचान गर्दै जोखिमको वर्गीकरण गरेर ह्याक हुनबाट रोक्न तथा उक्त जोखिमले भविष्यमा निम्त्याउन सक्ने खतरालाई न्यूनीकरण गर्नका लागि सेक्युरिटी अडिट गरिन्छ।

परीक्षणमा यातायात व्यवस्था विभागको विद्युतीय सुशासनको पाटो निकै कमजोर रहेको पाइएको छ। अध्ययनले इडिएल प्रणालीमा भण्डारण गरिने तथ्यांकहरू इन्क्रिप्टेड नहुनुका साथै बायोमेट्रिक अथेन्टिकेसन विधि समेत वैज्ञानिक हिसाबले व्यवस्थित नगरिएको पाइएको छ।

हाल यातायात व्यवस्था विभागले स्मार्ट लाइसेन्स जारी गर्न प्रयोग गरिरहेको सवारी चालक अनुमतिपत्र प्रणालीलाई ३० वटाभन्दा बढी तरिकाले ह्याक गर्न सकिने सूचना प्रविधि विभागले गरेको प्रणाली परीक्षणले देखाएको छ।

ुहाल लाइसेन्स जारी गर्ने प्रविधिमै समस्या भएर नक्कली लाइसेन्स जारी भएको देखियो। प्रविधिभित्रै पसेर गलत काम भएको पाइयो। त्यसैले प्रविधिको कमी कमजोरीहरूबारे अध्ययन पनि आवश्यक थियो,ु यातायात व्यवस्था विभागका महानिर्देशक उद्धवप्रसाद रिजालले भने।

उनका अनुसार विभागले नक्कली लाइसेन्स छानबिन गर्न बनाएको टोलीले बुझाएको प्रतिवेदनमा समेत यसबारे उल्लेख गरेको छ।
यसपछि प्रधानमन्त्री कार्यालयको सचिवस्तरीय निर्णयबाट सूचना प्रविधि विभागका महानिर्देशक प्रेमशरण श्रेष्ठको नेतृत्वमा बनेको सेक्युरिटी अडिट टिमले इडिएल प्रणालीबारे अध्ययन गरेको हो। अध्ययनपछि यो प्रणालीमा थुप्रै छिद्रहरू भएको र गलत नियत भएकाले सहजै यसमा चलखेल गर्न सकिने किसिमले डिजाइन भएको पाएको हो।

इडिएल प्रणाली २०७२ सालदेखि सञ्चालनमा छ। पछिल्लो समय प्राविधिक विकासले रफ्तार पाइरहे पनि इडिएल प्रणालीलाई भने हालसम्म अद्यावधिक नगरिएको विभागको अध्ययनले देखाएको छ। यसकारण हाल कार्यान्वयनमा रहेको प्रणालीले अहिलेको अवस्थामा हुने साइबर सुरक्षाजन्य चुनौतीहरूको पूर्ण रूपले सामना गर्न असक्षम छ।

यातायात विभागबाट मातहातका कार्यालयहरूका जिम्मेवार व्यक्तिलाई इडिएल प्रणालीभित्र प्रवेश गर्न युजर नाम र पासवर्ड प्रदान गरिन्छ। तिनै युजर आइडी र पासवर्डको गलत तरिकाले प्रयोग गर्दै नक्कली लाइसेन्स जारी गरिएको विभागको अनुसन्धानले देखाएको हो।

प्रणालीमा प्रवेश गरेपछि त्यहाँ भएका डेटामा चलखेल गर्न सकिन्छ। व्यक्तिको विवरणसँगै बायोमेट्रिक र फोटो समेत परिवर्तन गर्न मिल्छ। इडिएल प्रणालीमा दर्ता भएका संकास्पद विवरणहरू पहिचान गर्न गत मंसिर २१ गते विभागका सूचना प्रविधि निर्देशक मुकेश रेग्मीको संयोजकत्वमा पाँच सदस्यीय छानबिन समिति गठन गरिएको थियो।

छानबिन समितिले प्रणालीमा प्रवेश गरेर गलत ढंगमा एक लाख दुई हजारभन्दा बढी लाइसेन्स जारी गरेको निष्कर्ष निकाल्दै प्रतिवेदन तयार पारेको थियो, जुन पुस १९ गते विभागलाई पेस गरिएको थियो। विभागले प्रतिवेदन भौतिक पूर्वाधार तथा यातायात मन्त्रालय र अख्तियार दुरूपयोग अनुसन्धान आयोगलाई पठायो। आयोगका प्रवक्ता नरहरी घिमिरेले यससम्बन्धी आयोगले छानबिन गरिरहेको बताउँछन्।

यसैबीच प्रधानमन्त्री कार्यालयको सचिवस्तरीय निर्णयले सूचना प्रविधि विभागलाई इडिएल प्रणालीबारे अध्ययन गर्न निर्देशन दिएको हो।

करिब दुई महिना लगाएर विभागका महानिर्देशक श्रेष्ठको नेतृत्वमा सेक्युरिटी अडिट टिम गठन गरी इडिएल प्रणालीबारे अध्ययन गरिएको हो। अध्ययनपछि इडिएल प्रणालीमा परिकल्पना गरिएभन्दा भिन्नै कार्यहरू भइरहेको पत्ता लागेको हो।

राजस्व भुक्तानी गरिसकेपछि लाइसेन्स नम्बर स्वचालित रूपमा जेनेरेट हुनुपर्नेमा कतिपय अवस्थामा नहुने गरेको अध्ययनले देखाएको छ।

त्यस्तै कतिपय अवस्थामा एउटै लाइसेन्स नम्बर दुई वा दुई जनाभन्दा बढी व्यक्तिको नाममा जारी गर्ने गरेको, एउटा कार्यालयबाट लाइसेन्स जारी भएता पनि डेटाबेसमा लाइसेन्सको संकेत अर्कै कार्यालयको नाममा देखिने गरेको जस्ता समस्या पनि प्रणालीमा देखिए।

विभागले गरेको अध्ययन अनुसार विभिन्न कारणमध्ये इडिएल प्रणालीको सोर्स कोड पूर्ण रूपमा परामर्शदाता एमएसपीले विभागलाई हस्तान्तरण नगरेको बुझिन्छ।

विभागले युजर असेप्टेन्स टेस्ट, युनिट टेस्ट जस्ता कतिपय प्राविधिक परीक्षणहरूबीनै प्रणालीलाई सञ्चालनमा ल्याएको थियो। यसलाई पनि एक ठूलो समस्याको रूपमा लिनुपर्ने हुन्छ। प्रणालीबारे राम्ररी जाँचपास नै नगरी कार्यान्वयनमा ल्याउन खोज्नु कतिको उचित भन्ने प्रश्न उठ्छ।

यस्तै इडिएल प्रणाली एचटिटिपी प्रोटोकलमा सञ्चालन भइरहेको छ। यसमा पासवर्डहरू ह्याक हुने, डेटा चोरी हुने जोखिम बढी हुन्छ। विभागले यस प्रकारको अपराध रोक्न प्रणालीलाई एसएसएल प्रोटोकल अनुसार सञ्चालन गर्नुपर्ने सुझाव प्रधानमन्त्रीलाई बुझाइएको छ। एचटिटिपीको तुलनामा एसएसएल बढी सुरक्षित र डेटाहरू इन्क्रिप्टेड मोड्युलमा हुन्छन्।

सूचना प्रविधि विभागले गरेको अध्ययले इडिएल प्रणाली अद्यावधिक नगरिएको मात्र नभई यसमा कतिपय सफ्टवेयरहरू पुराना र म्याद गुज्रिएका प्रयोग भइरहेको पाइएको समेत औंल्याएको छ।

विभागले यस प्रकारको समस्याहरूलाई समाधान गर्न सरकारलाई सुझावहरू पनि पेश गरेको छ। लाइसेन्स जारी गर्ने प्रविधि अपडेटेड हुनुपर्ने बताएको छ। यस्तै ह्याकिङ जस्ता साइबर जोखिमबाट बच्न बलियो सुरक्षासहितको सफ्टवेयर प्रयोग गर्नुपर्ने सुझाव दिएको छ।

यातायात व्यवस्था विभागले २०७२ सालदेखि सेवाग्राहीहरूको विवरण डेटाबेसमा राख्न सुरू गरेकोमा सो अवधिमा इडिएल प्रणालीमा ५५ लाख बढी सेवाग्राहीको डेटा दर्ता छन्। तीमध्ये एक लाख दुई हजार सात सय ११ वटा लाइसेन्स गलत तरिकाले जारी भएको पाइएको हो। यो संख्या ८ लाखसम्म हुने अनुमान विभागको छ।

२०७५ सालदेखि यातायात व्यवस्था तथा सवारीचालक अनुमतिपत्रको क्षेत्राधिकार प्रदेश तहलाई दिइएको हो। यसभन्दा अघि सो कार्य केन्द्रीय सरकार मातहतमा रहेको यातायात व्यवस्था विभागले गर्थ्यो।

विभागका महानिर्देशक रिजालसँग केही समय अघि कुराकानी गर्दा उनले विभाग र मातहातले प्रयोग गर्ने प्रणाली बलियो भएको बताउँदै आएका थिए। तर प्रणाली भित्रैबाट चलखेल भएको हुँदा लाइसेन्स छपाइ प्रक्रिया विवादित हुन पुगेको हो।

उनले इडिएल प्रणाली कार्यालयको कम्प्युटरबाहेक व्यक्तिगत कुनै पनि उपकरणमा चलाउन नमिल्ने, त्यसमाथि आधिकारिक युजरनेम र पासवर्ड इन्ट्री नगरी प्रणालीमा प्रवेश गर्न नमिल्ने तर्क राख्दै प्रणाली बलियो बताएका थिए।

ुसेक्युरिटी फिचरु बलियो हुँदाहुँदै पनि प्रणालीभित्रै प्रवेश गरेर डेटामा चलखेल गर्दै नक्कली लाइसेन्स जारी भएको हो।

विभागबाट मातहतका कार्यालयहरूका जिम्मेवार व्यक्तिलाई प्रदान गर्ने युजर आइडी र पासवर्डको गलत तरिकाले प्रयोग भएको हो।

महानिर्देशक रिजालका अनुसार विभागको इडिएलभिआरएस प्रणाली प्रदेश सरकार मातहतका यातायात कार्यालयहरूबाट करिब पाँच सय जना कर्मचारीहरूले चलाउँछन्।

विभागले देशभरका ३५ वटा यातायात कार्यालयका प्रमुखलाई मास्टर युजर आइडी र पासवर्ड दिएको हुन्छ। कार्यालयले आफ्नो मातहतका कर्मचारीहरूलाई युजर आइडी र पासवर्ड दिने गर्छ।

युजर आइडी र पासवर्ड भएपछि इडिएल प्रणालीमा प्रवेश गर्न मिल्छ। ती आइडी प्रयोगकर्ताले प्रणालीभित्रै बसेर नक्कली लाइसेन्स जारी गरेको देखिएको रिजालले बताएका थिए। यसो हुँदा कर्मचारीहरूकै पनि संलग्नता भएको र बिचौलियासँग मिलेर काम गरेको आशंका छ।

लाइसेन्स कार्ड प्रिन्टिङमा पनि आकस्मिकलाई आधार बनाउँदै बदनियत राखी आकस्मिक आवश्यक कागजातहरू समेत नराखी आफूखुसी प्रिन्ट निकाली वितरण गरेको प्रमाणहरू समितिले प्राप्त गरेको थियो।

यसैलाई समेत आधार बनाउँदै सरकारले सूचना प्रविधि विभागलाई इडिएल प्रणालीको सुरक्षा अडिट निकाल्न निर्देशन दिएको थियो।

विभागका महानिर्देशक श्रेष्ठको नेतृत्वमा बनेको सेक्युरिटी अडिट टिमले तयार पारेको प्रणालीको परीक्षण प्रधानमन्त्रीलाई बुझाइएको छ। उक्त विभागले तयार पारेको रिपोर्ट यातायात मन्त्रालयले भने प्राप्त नगरेको मन्त्रालयका प्रवक्ता मेशबिन्दु श्रेष्ठ बताउँछन्।

उनले आफूहरूलाई सूचना प्रविधि विभागले तयार पारेको रिपोर्टबारे जानकारी नभएको बताउँदै यातायात व्यवस्था विभाग र मन्त्रालयको आन्तरिक छानबिन समितिले तयार पारेको प्रतिवेदन भने अख्तियार दुरूपयोग अनुसन्धान आयोगलाई बुझाइसकेको बताए।

मन्त्रालयले आफ्नोतर्फबाट गर्नुपर्ने अध्ययन सकाएको र अहिले आयोगले छानबिन गरिरहेको उनको भनाइ छ।

ुअब अख्तियार आयोगले नै दोषी पत्ता लगाउने हो। हामीले आफ्नोतर्फबाट अध्ययन गर्दै प्रतिवेदन लगायत मागअनुसारको कागजात बुझाइसकेका छौं,ु उनले भने।

इडिएल प्रणालीमै समस्या देखिएको विषयबारे उनलाई प्रश्न गर्दा जवाफमा भने, ुहरेक प्रणालीमा केही कमजोरी भइनै हाल्छ। कुनै पनि प्रविधि वा प्रणाली पूर्ण रूपमा सिद्ध हुँदैन। पहिले राम्रो लागेर नै यो प्रणालीबाट लाइसेन्स जारी गर्न सुरू गर्‍यौं। प्रयोग गर्दै जाँदा समस्या रहेछ भन्ने बुझेका हौं। समस्या देखेर पहिचान गर्‍यौं। अब आवश्यक सुधार पनि गर्नेछौं।ु

उनले यसमा मन्त्रालयले गर्नुपर्ने आवश्यक गृहकार्य गर्ने बताए।