सरकारकै खाता जोखिममा, साइबर आक्रमण हुँदा चाल पाउने ‘अडिट...

सरकारकै खाता जोखिममा, साइबर आक्रमण हुँदा चाल पाउने ‘अडिट ट्रेल’ नै छैन

Posted 2022-07-18 04:53:15

129

विद्युतीय माध्यमबाट सरकारी कोषको सञ्चालन र व्यवस्थापन गर्ने कार्यमा सहजीकरण गर्न भन्दै मन्त्रिपरिषद्‌को १५ माघ २०६५ को निर्णयबाट एकल खाता कोष प्रणाली (ट्रेजरी सिङ्गल अकाउन्ट, टीएसए) सञ्चालनमा ल्याउने निर्णय गरिएको थियो । महालेखा नियन्त्रक कार्यालय अन्तर्गत पहिलो पटक नमूना अभ्यासको रूपमा २०६६/६७ देखि भक्तपुर र ललितपुर जिल्लामा सुरु गरिएको यो प्रणाली २०७०/७१ देखि देशका सबै जिल्लामा लागू भएको हो ।

हाल सातै प्रदेशका प्रदेश लेखा नियन्त्रक कार्यालय, जिल्लास्थित ७७ ओटा कोष तथा लेखा नियन्त्रक कार्यालय र काठमाडौँमा ४ भुक्तानी केन्द्र गरी ८८ निकायले यसको कार्यान्वयन तथा उपयोग गर्दै आएका छन् । एकल खाता कोष प्रणालीको पूर्वाधार सुरक्षा जोखिम, पर्याप्तता तथा नियन्त्रण वातावरणको परीक्षण एवम् मूल्याङ्कन गर्ने उद्देश्यका साथ महालेखा परीक्षकको कार्यालयले त्यसको आईटी अडिट गरेको छ ।

२०७४/७५ मा महालेखापरीक्षकको कार्यालयले सूचना प्रविधि लेखापरीक्षण सम्पन्न गरी एकल खाता कोष प्रणालीको उपयोग स्थितिको मूल्याङ्कन प्रतिवेदन जारी गरेको थियो । उक्त लेखापरीक्षण प्रतिवेदनले दिएका धेरैजसो सुझावहरू कार्यान्वयन नै नभएको पाइएको छ ।

जसमा सूचना प्रविधि निर्देशक समिति गठन गर्नुपर्ने, वार्षिक तथा रणनीतिक योजना तयार गर्नुपर्ने, सूचना प्रविधि नीति तयार गर्नुपर्ने, तेस्रोपक्ष आश्वस्तता परीक्षण गराउनुपर्ने र सूचना प्रविधि प्रणालीको आन्तरिक लेखापरीक्षण गराउनुपर्ने कार्य हुन सकेका छैनन् ।

त्यस्तै कर्मचारी तालिमको व्यवस्था हुनुपर्ने, प्रणालीको नियमितता परीक्षण गराउनुपर्ने, हेल्प डेस्कको व्यवस्था गर्नुपर्ने, उपयोगकर्ता दिग्दर्शनको व्यवस्था हुनुपर्ने लगायतका सुझाव कार्यान्वयन नगरिएको महालेखाको ५९ औँ प्रतिवेदनमा उल्लेख छ ।

जसमा सरकारी कोषको सञ्चालन र व्यवस्थापन गर्ने कार्यमा सूचना प्रविधिको माध्यमबाट सहजीकरण गर्न भरपर्दो सुरक्षित र प्रभावकारी रूपमा एकल खाता कोष प्रणाली सञ्चालन‌का लागि थप सुझाव दिइएको छ ।

हचुवा भरमा सफ्टवेयरको नयाँ भर्सन

निकायले सञ्चालन गरेको सूचना प्रविधि प्रणालीको नयाँ संस्करण जारी गर्नुपूर्व उक्त प्रणालीको डेटा बेसमा रहेको पुरानो संस्करणको डेटा अद्यावधिक र नयाँ संस्करणमा माइग्रेट गर्न उपयुक्त रहे नरहेको साथै नयाँ संस्करणले पुरानो संस्करणमा रहेका सबै शर्त पूरा गरेको कुरामा आश्वस्त हुन स्वतन्त्र रूपमा प्राविधिक परीक्षण गराउनुपर्ने हुन्छ ।

तर कार्यालयले २७ साउन २०७७ मा एकल खाता कोष प्रणालीको नयाँ संस्करण लागू गरेकोमा यस्तो परीक्षण नै गराएको छैन । यस्तो परीक्षण नगराउँदा प्रणालीको पुरानो संस्करणको डेटाको विश्वसनीयता र नयाँ संस्करणमा पुरानो संस्करणको न्यूनतम सूचना र डेटा माइग्रेसन भएको र पुरानो संस्करण र नयाँ संस्करण कम्प्याटिबल भएको कुरामा आश्वस्त हुने आधार नरहेको महालेखाको प्रतिवेदनमा उल्लेख छ ।

कार्यालयले प्रणालीको नयाँ संस्करण अपडेट गर्दा उल्लिखित आवश्यकता पूरा भएको आश्वस्तता प्रदान गर्न स्वतन्त्र पक्षबाट प्राविधिक परीक्षण गराउनुपर्ने महालेखाको सुझाव छ ।

छैन अडिट ट्रेल

सफ्टवेयरमा अपरेटिङ सिस्टम, एप्लिकेसन, प्रयोगकर्ताका क्रियाकलाप, कम्प्युटरमा भएका प्रत्येक घटनाको स्वचालित रूपमा परीक्षण गरी सूचना प्रविधि लेखापरीक्षणको लागि आवश्यक पर्ने सूचना तथा डेटा स्वतः उपलब्ध गराउने अडिट ट्रेल आवश्यक हुन्छ ।

तर सफ्टवेयर निर्माण गर्दा नै समावेश गर्नुपर्ने यस किसिमको अडिट ट्रेल सार्वजनिक सेवा प्रवाहका लागि सञ्चालनमा ल्याइएको यो प्रणालीमा नराखिएको महालेखाले जनाएको छ ।

अडिट ट्रेल नहुँदा सफ्टवेयरमा आइपर्ने घटना तथा समस्या बारेमा जानकारी नहुने र सामान्यभन्दा सामान्य त्रुटि समेत तुरुन्तै पत्ता लगाउन नसकिने र प्रणालीको गतिविधिको अनुसन्धान गर्नु परेको खण्डमा आवश्यक सूचना प्राप्त नहुने अवस्था रहेको छ ।

कार्यालयसँग छैन सफ्टवेयरकै लाइसेन्स

सार्वजनिक निकायले खरिद गरेका र अन्यत्रबाट हस्तान्तरण भै आएका सूचना प्रविधि यन्त्र उपकरण, लाइसेन्स तथा सफ्टवेयरको वारेण्टी / ग्यारेन्टी तथा लाइसेन्स अवधि स्पष्ट खुल्ने गरी प्रमाण कागजात सहितको अभिलेख राख्नुपर्ने हुन्छ ।

कार्यालयले माग गरेअनुसार राष्ट्रिय सूचना प्रविधि केन्द्रबाट ४ मङ्सिर २०७६ को पत्र मार्फत ओराकल डेटाबेस सफ्टवेयरको लाइसेन्स १६ कोर प्राप्त भए पनि उक्त सफ्टवेयरको लाइसेन्स प्रमाणपत्र प्राप्त नभएको बताइएको छ । जसले गर्दा उक्त लाइसेन्सको सपोर्ट सेवा समेत रहे नरहेको सम्बन्धमा यकिन हुन सकेको छैन ।

यसबाट उक्त लाइसेन्स, सफ्टवेयर र सपोर्ट सेवा भएको खण्डमा त्यसको म्याद सकिने अवधि, लाइसेन्सको प्रकृति जस्ता प्रावधानको जिम्मेवारी सम्बन्धमा अन्योलता सिर्जना भएको महालेखाले जनाएको छ । साथै तोकिएका शर्तहरूको पालना नभएको अवस्थामा आपूर्तिकर्ता वा सेवा प्रदायकसँग दाबी गर्ने सम्बन्धमा थप अन्योलता सिर्जना भएको छ ।

राष्ट्रिय सूचना प्रविधि केन्द्रबाट प्राप्त ओराकल डेटाबेस सफ्टवेयरको लाइसेन्स र सपोर्ट सेवासमेत कार्यालय आफैँले सञ्चालन गर्ने गरी हस्तान्तरण प्राप्त गर्नुपर्ने प्रतिवेदनमा उल्लेख छ ।

राष्ट्रिय सूचना प्रविधि केन्द्रबाट उक्त डेटाबेस लाइसेन्सको प्रमाणपत्र र सपोर्ट सेवा हस्तान्तरण नभएकै अवस्थामा कार्यालयले २०७७/७८ मा १ करोड ३९ लाख ७० हजार रुपैयाँमा ६ ओटा डेटा गार्ड तथा ९३ लाख ५ हजारको ६ ओराकल रियल एप्लिकेसन क्लस्टर समेत १ करोड ३९ लाख ७० हजारको ओराकल डेटाबेस एप्लिकेसन र टूल्स खरीद गरेको छ ।

यसरी आफ्नो नाममा हस्तान्तरण नभएको ओराकल डेटाबेसको व्यवस्थापनको लागि गरिएको थप खर्च मनासिब नदेखिएको महालेखाको भनाई छ । कार्यालयले खरिद गरेको एप्लिकेसन र टूल्सको पूर्ण उपयोग भएको र उक्त एप्लिकेसन तथा टुल्सको लागि राष्ट्रिय सूचना प्रविधि केन्द्रबाट पनि खर्च गरेको हुनसक्ने आशङ्का महालेखाले गरेको छ ।

“दोहोरो खर्च नभएको सम्बन्धमा अवस्था हुनुपर्दछ,” महालेखाले आफ्नो प्रतिवेदनमा राय दिँदै भनेको छ, “ओराकल डेटाबेस लाइसेन्स सफ्टवेयरको हस्तान्तरण प्राप्त गरेर मात्र सोको व्यवस्थापनको लागि थप खर्च गर्नुपर्दछ ।”

कार्यालयले प्रणाली सञ्चालनको लागि १२ कोरको ओराकल आरडीबीएमएसको सफ्टवेयर उपयोग गरेको छ । जसमध्ये जुलाई २०१४ मा कार्यालयले खरिद गरेको ओराकल ९ आई पर्पेचुअल, ६ कोरले नपुगेको भन्दै राष्ट्रिय सूचना प्रविधि केन्द्रबाट ओराकल १२सीआई पर्पेचुअल ६ कोर प्राप्त गरेको थियो ।

कार्यालयले खरिद गरेको ओराकल ९ आई पर्पेचुअल ६ कोरको उत्पादक कम्पनी ओराकलसँगको सम्झौता लाइसेन्स खरिद गरेको मितिदेखि नवीकरण नगर्दै डेटाबेसको संस्करण ओराकल ९आई बाट ओराकल १९० सीमा अपग्रेड गरिएको छ ।

एक्टिभ सपोर्ट बिना संस्करण अपग्रेड गर्न उत्पादकले वर्जित गरेको छ । उत्पादकले आफ्नो उत्पादन प्रयोग गर्ने ग्राहकले उपयोग गरेको ओराकल सफ्टवेयर जाँच गरेको खण्डमा पुनर्स्थापना शुल्क सहित विगतका वर्षसमेतको सेवा शुल्क तथा जरिवानासहित दाबी गर्ने सम्भावना रहेको छ ।

साथै एक्टिभ सपोर्ट नभएको खण्डमा प्राविधिक कारणले डेटाबेसमा कुनै खराबी आएको खण्डमा तथ्याङ्क पुन प्राप्तिको समेत सुनिश्चितता छैन । कार्यालयले खरिद गरेको सफ्टवेयरको थप व्ययभार नपर्ने गरी र डेटाको सुरक्षा र गुणस्तरमा असर नपर्ने गरी उपयोग गर्नुपर्ने महालेखाको सुझाव छ ।

परीक्षण बिनै सिस्टममा जोडिन्छन् अनेक उपकरण

सार्वजनिक निकायहरूमा खरिद गरेर ल्याइएका, अनुदानमा प्राप्त भएका, अन्यत्रबाट मर्मत सम्भार गरी ल्याएका वा अन्य कुनै तरिकाबाट प्राप्त भएका सूचना प्रविधिसँग सम्बन्धित यन्त्र उपकरण तथा सफ्टवेयर स्वतन्त्र परीक्षण गर्ने संयन्त्र खडा गरेर सोको परीक्षण पश्चात् मात्र मुख्य प्रणालीमा जडान गर्नुपर्ने हुन्छ ।

परीक्षण गर्दा प्राप्त नतिजाका आधारमा ती उपकरणको प्रयोग विधि तथा प्रयोग तरिका, लाइसेन्स अवधि, वारेन्टी तथा ग्यारेन्टी अवधि, उपकरण उपलब्धता अवधि, फेज आउट अवधि, प्रयोग अवधि जस्ता विषयको समेत यकिन गर्नुपर्छ ।

कार्यालयले चालू आर्थिक वर्षमा ७ करोड ९१ लाख ५१ हजार रुपैयाँका यन्त्र उपकरण तथा सफ्टवेयर खरिद गरी प्रणालीमा जडान गरेकोमा जडान गर्नु पूर्व यस किसिमको परीक्षण भने नगरिएको महालेखाको प्रतिवेदनमा उल्लेख छ ।

यन्त्र उपकरण तथा सफ्टवेयर परीक्षण नगरी जडान गर्दा एकल खाता कोष प्रणालीमा रहेका सरकारी आर्थिक कारोबारका महत्त्वपूर्ण अभिलेखमा भाइरस प्रवेश तथा अन्य प्राविधिक समस्याका कारण जोखिम सिर्जना हुन सक्छ ।

छैन यन्त्र उपकरणको बीमा

सार्वजनिक निकायले सेवा प्रवाहका लागि खरिद गरेका यन्त्र, उपकरण, एप्लिकेसन, प्रणालीको चोरी, आगलागी, दुर्घटना तथा प्राकृतिक प्रकोप वा दैवी विपत्तिका कारण क्षति हुने सम्भावना रहन्छ । डेटा सेन्टर सञ्चालनका क्रममा हाई भोल्टेज विद्युत प्रवाह हुने, ठूला क्षमताका मसिनहरू निरन्तर सञ्चालनमा रहने, कुलिङ, मनिटरिङ लगायतका उच्च जोखिमयुक्त उपकरण प्रयोग हुने भएकाले जुनसुकै बखत दुर्घटनाको जोखिम रहन्छ ।

तर महालेखा नियन्त्रक कार्यालयको डेटा सेन्टरमा प्रयोग भएका यन्त्र उपकरणको हालसम्म बीमा गरिएको छैन । डेटा सेन्टरमा चोरी, आगलागी, दुर्घटना तथा प्राकृतिक प्रकोप वा दैवी विपत्तिका कारण जुनसुकै बखत हुनसक्ने क्षति तथा नोक्सानीको जोखिमबाट सुरक्षित रहन पूर्वाधार, यन्त्र, उपकरण र प्रणालीको बीमा गर्न महालेखा परीक्षकले सुझाव दिएको छ ।

https://unelma.io/uayr1

Please log in to like, share and comment!