চরম ব্যর্থতা তথ্য সুরক্ষায়

Reporter Name / ১৪৬ Time View

Update : সোমবার, ১০ জুলাই, ২০২৩

প্রযুক্তির উৎকর্ষের সঙ্গে বাড়ছে ব্যক্তিগত তথ্য ব্যবহারের প্রয়োজনীয়তা। সরকারি বা বেসরকারি যে প্রতিষ্ঠানই নাগরিকের তথ্য নেবে তাদেরই দায়িত্ব এগুলো সুরক্ষিত রাখা। কিন্তু অধিকাংশ প্রতিষ্ঠানই তথ্য সুরক্ষিত রাখতে চরমভাবে ব্যর্থ। অনেকেই আবার সুরক্ষা নিশ্চিতে উদাসীন, কেউ কেউ এ বিষয়ে অনীহাও প্রকাশ করেছে। ফলে মানুষের ব্যক্তিগত তথ্য ফাঁস হয়ে যাচ্ছে। সাইবার নিরাপত্তা ঝুঁকিতে পড়েছে আইনশৃঙ্খলা বাহিনী, আর্থিক ও শিক্ষাপ্রতিষ্ঠানসহ বিভিন্ন গুরুত্বপূর্ণ দপ্তরের ওয়েবসাইট। এই ঝুঁকি কাজে লাগিয়ে হ্যাকাররা নাগরিকদের স্পর্শকাতর তথ্য হাতিয়ে নিচ্ছে। ডলারের (ক্রিপ্টোকারেন্সি) বিনিময়ে যা পাওয়া যাচ্ছে ডার্ক ওয়েবে। সাইবার নিরাপত্তা মনিটরিংয়ের দায়িত্বে থাকা সরকারি প্রতিষ্ঠানগুলোও এ নিয়ে উদ্বেগ প্রকাশ করেছে।

প্রসঙ্গত, যুক্তরাষ্ট্রে বাংলাদেশি নাগরিকদের তথ্য ফাঁসের চাঞ্চল্যকর খবর প্রকাশ করে মার্কিন অনলাইন পোর্টাল টেকক্রাঞ্চ। এ ঘটনার পর তথ্য সুরক্ষায় চরম ব্যর্থতার বিষয়টি ফের আলোচনায় এসেছে। এ প্রসঙ্গে রোববার তথ্য ও প্রযুক্তি প্রতিমন্ত্রী (আইসিটি) জুনাইদ আহমেদ পলক জানিয়েছেন, ‘হ্যাক করে কেউ এই তথ্যগুলো নেয়নি, বরং ওয়েবসাইটের কারিগরি দুর্বলতা থেকে তথ্যগুলো ফাঁস হয়েছে। এই দায় এড়ানোর সুযোগ নেই। ২৯টি ওয়েবসাইট ঝুঁকিপূর্ণ, এটা আগেই বলা হয়েছে। সেই তালিকায় থাকা ২৭ নম্বর প্রতিষ্ঠানটিই এই ধরনের অবস্থায় পড়ল।’ পরে ওই তালিকা খুঁজে দেখা যায়, সেখানে ২৭ নম্বর হচ্ছে জন্ম ও মৃত্যু নিবন্ধনের রেজিস্ট্রার জেনারেলের কার্যালয়ের ওয়েবসাইট। অর্থাৎ আগে সতর্ক করার পরেও সংশ্লিষ্টরা কোনো ধরনের ব্যবস্থা নেননি।

সাইবার নিরাপত্তা সংশ্লিষ্টরা বলছেন, বাংলাদেশের তথ্য সুরক্ষা ঝুঁকিতে পড়েছে মূলত তিনটি কারণে। প্রথমত, প্রতিষ্ঠানগুলো ডিজিটাল তথ্য সংরক্ষণে প্রয়োজনীয় অর্থ ব্যয়কে অপচয় মনে করে। দ্বিতীয়ত, সাইবার নিরাপত্তা নিশ্চিতের দায়িত্বে যারা থাকেন তাদের অধিকাংশই নতুন প্রযুক্তির সঙ্গে পরিচিত নন। তৃতীয়ত, নিরাপত্তা ঝুঁকিতে থাকা প্রতিষ্ঠানগুলোকে এসব বিষয়ে অবহিত করা হলে তারা গুরুত্ব দেন না। এসব কারণেই ঝুঁকি তৈরি হয়। হ্যাকাররা তথ্য হাতিয়ে নেওয়ার ক্ষেত্রে ওয়েবসাইটগুলোর দুর্বলতাকেই মূলত কাজে লাগান। অথচ উন্নত দেশগুলো তথ্য সুরক্ষায় প্রযুক্তির সর্বোচ্চ ব্যবহার নিশ্চিত করছে। গড়ে তুলছে শক্তিশালী ‘ফায়ার ওয়াল’।

সরকারের বিভিন্ন দপ্তর ও প্রতিষ্ঠানের কাছে নাগরিকদের অন্তত ৪০ ধরনের তথ্য আছে। আর বেসরকারি প্রতিষ্ঠানগুলো মিলিয়ে এ তথ্যের সংখ্যা অর্ধশত। এর মধ্যে আর্থিক লেনদেন, ব্যক্তিগত যোগাযোগ, ভূমি সেবা, সম্পদ, আঙুলের ছাপ, চোখের আইরিশসহ অনেক স্পর্শকাতর বিষয় অন্তর্ভুক্ত। শিক্ষাগত ফলাফল, বিভিন্ন অভিজ্ঞতার সনদসহ ব্যক্তির ছবি এবং স্থায়ী ও বর্তমান ঠিকানা আছে। আইনশৃঙ্খলা বাহিনীর সার্ভারে গুরুত্বপূর্ণ অনেক মামলা ও অপরাধীদের সম্পর্কেও তথ্য আছে। রাষ্ট্রের অনেক গুরুত্বপূর্ণ নথিও এতে সংরক্ষিত। এ ছাড়া ব্যক্তিপর্যায়ে মোবাইল নম্বর, ইমেইল, চিকিৎসার রিপোর্টসহ নিত্যদিনকার অনেক সেবাই এখন অনলাইনে দেওয়া হচ্ছে।

প্রযুক্তি বিশেষজ্ঞরা বলছেন, এসব তথ্য জীবনযাত্রাকে সহজ করেছে। কিন্তু তথ্য ফাঁস হওয়ায় এর অপব্যবহারের শঙ্কা বাড়ছে। এজন্য বিভিন্ন দেশে আইন করে এসব তথ্যের সুরক্ষার ব্যবস্থা করা হয়েছে। বাংলাদেশে এসব সেবার অধিকাংশই অনিরাপদ রয়ে গেছে। শাহজালাল বিজ্ঞান ও প্রযুক্তি বিশ্ববিদ্যালয়ের ব্লকচেইন অ্যান্ড সিকিউরিটি ল্যাবরেটরির এক গবেষণায়ও এমন তথ্য উঠে এসেছে। তারা ২২টি গুরুত্বপূর্ণ সরকারি প্রতিষ্ঠানের ১৭টির ওয়েবসাইট ঝুঁকিপূর্ণ পেয়েছেন। এছাড়া ব্যক্তিপর্যায়েও তথ্য সুরক্ষা ঝুঁকি রয়েছে। সাইবার ক্রাইম অ্যাওয়ারনেস ফাউন্ডেশনের তথ্য বলছে, মোবাইল ফোনে অ্যাপস ডাউনলোডের সময় ৯৯ শতাংশ ব্যহারকারী না বুঝেই তার সব তথ্যে প্রবেশাধিকারের অনুমোদন দিচ্ছে। এসব তথ্যও অনেক সময় তৃতীয় কারও হাতে চলে যাচ্ছে।

এ প্রসঙ্গে বাংলাদেশ সাইবার অ্যান্ড লিগ্যাল সেন্টারের আইন উপদেষ্টা গাজী মাহফুজ উল কবির বলেন, তথ্য সুরক্ষা ব্যবস্থাপনায় আমাদের অবস্থান এখনো নড়বড়ে। অনেক প্রতিষ্ঠান সর্বোচ্চ ঝুঁকি নিয়ে পরিচালিত হচ্ছে। অনেক ওয়েবসাইটে ‘শেল’ দেওয়া হচ্ছে। এই ‘ব্যাকডোর’ পদ্ধতির মাধ্যমে হ্যাকারের হাতে ওয়েবসাইটের পূর্ণ নিয়ন্ত্রণ চলে যায়। যার মাধ্যমে সে যেকোনো সময় যেকোনো তথ্য নিয়ে যাচ্ছে। অথচ ওইসব প্রতিষ্ঠানের কাছে অনেক স্পর্শকাতর তথ্য রয়েছে। অনেক সাইটে বিভিন্ন ধরনের ‘বাগ’ রয়েছে। এগুলোর বিষয়ে সরকারের তদারক সংস্থাগুলোর পক্ষ থেকেও তাদের সতর্ক করা হয়েছে। কিন্তু তারা এসব উপেক্ষা করে নিরাপত্তা ঝুঁকি তৈরি করেছে। সে কারণেই নাগরিকদের তথ্য ফাঁসসহ বিভিন্ন ডিজিটাল জালিয়াতির ঘটনা ঘটছে। এ অবস্থা থেকে উত্তরণে প্রযুক্তির ব্যবহারের সঙ্গে এর নিরাপত্তা নিশ্চিতে সর্বাধুনিক প্রযুক্তি ও প্রশিক্ষিত জনবল নিয়োগের বিকল্প নেই। এর পাশাপাশি সতর্ক করার পরেও যারা নিরাপত্তা নিশ্চিতে ব্যর্থ তাদের বিরুদ্ধে আইনগত ব্যবস্থা নিতে হবে। তবেই সংশ্লিষ্টরা গুরুত্ব দিয়ে কাজ করবে।

জাতীয় পরিচয়পত্রের তথ্যভান্ডারে প্রায় ১১ কোটি ৯২ লাখ নাগরিকের ৩২ ধরনের ব্যক্তিগত তথ্য রয়েছে। সরকারি-বেসরকারি পর্যায়ের ১৭১টি প্রতিষ্ঠান চুক্তির ধরন অনুযায়ী ওই ভান্ডার থেকে বিভিন্ন ধরনের তথ্য ব্যবহার করে। এ ছাড়া আরও অনেক প্রতিষ্ঠান সরাসরি নাগরিকের তথ্য সংগ্রহ করে। এদের ওপর নিয়মিত সাইবার নজরদারি করে বিজিডি ই-গভ সার্ট। প্রতিষ্ঠানটির একটি সূত্র জানিয়েছে, কৃষি ব্যাংকসহ আরও কয়েকটি আর্থিক প্রতিষ্ঠানে সাইবার নিরাপত্তা ঝুঁকির বিষয়টি তারা খুঁজে পেয়েছেন। পুলিশসহ সরকারের স্পর্শকাতর অনেক সংস্থা ও প্রতিষ্ঠানের বিষয়েও এমন কিছু তথ্য তাদের কাছে আসছে। এগুলো যখনই তারা জানতে পারেন সংশ্লিষ্ট প্রতিষ্ঠানগুলোকে অবহিত করেন। অনেক বিষয় জানানো হয়েছে প্রধানমন্ত্রীর কার্যালয়কেও। কোনো কোনো প্রতিষ্ঠান তাৎক্ষণিকভাবে পদক্ষেপ নিচ্ছে। তবে অনেকে তাদের বার্তার বিষয়ে নির্বিকার থাকছে। এ কারণেই ঝুঁকি বাড়ছে।

বিজিডি ই-গভ সার্টের জনসংযোগ কর্মকর্তা সুকান্ত চক্রবর্তী বলেন, ব্যাংকিং সেক্টর, সব গুরুত্বপূর্ণ সংস্থা ও প্রতিষ্ঠানে আমাদের ২৪ ঘণ্টা সাইবার মনিটরিং থাকে। সর্বশেষ তথ্য ফাঁসের ঘটনার পরেও আমরা সমস্যা চিহ্নিত করেছি। আমরা অন্য প্রতিষ্ঠানগুলোকেও নিরাপত্তা ঝুঁকির বিষয়ে জানাচ্ছি। তাদেরকে বিষয়গুলো গুরুত্ব সহকারে নিতে হবে। তাহলেই তথ্য সুরক্ষিত থাকবে।

সাইবার নিরাপত্তা নিয়ে কাজ করেন এমন তিনজন প্রায় একই সুরে কথা বলেন। তারা জানান, তথ্য সুরক্ষায় ভয়ের কারণ হয়ে উঠেছে বিভিন্ন দপ্তরে কর্মরত এই সংশ্লিষ্ট জনবল। কারণ দপ্তরগুলোতে প্রধান হিসাবে যারা কাজ করছেন তাদের অনেকেরই প্রযুক্তি জ্ঞান শূন্যের কোঠায়। ফলে সিদ্ধান্ত গ্রহণে তাদেরকে তথ্য-প্রযুক্তিতে অভিজ্ঞ অধীনস্থ এমন ব্যক্তিদের ওপরেই নির্ভর করতে হয়। তারা সঠিক সিদ্ধান্ত না দিলেও তা যাচাই-বাছাইয়ের মতো অবস্থা অনেক সময় থাকে না। ফলে এদের অনেকেই ব্যক্তিগতভাবে অনেক তথ্য সরিয়ে রাখছেন এমন শঙ্কাও তৈরি হয়েছে। এক্ষেত্রে সার্ভার ও ওয়েবসাইট রক্ষণাবেক্ষণের দায়িত্বে থাকা ব্যক্তিদের নজরদারিতে পৃথক টিম গঠনেরও আহ্বান জানান তারা।

ডার্ক ওয়েবে নজর রাখেন এমন একজন সাইবার বিশেষজ্ঞ বলেন, ডাটা (তথ্য) ফাঁস হওয়ার ঘটনা নতুন নয়। এর আগে ফেসবুক, লিংকডইন, টুইটারসহ বিভিন্ন প্রতিষ্ঠানের ডাটা লিক (ফাঁস) হয়েছে। ২০১৯ সালে ফেসবুক ব্যবহারকারীদের যে ডাটা ফাঁস হয় তার মধ্যে অনেক বাংলাদেশির তথ্যও ছিল।
পরবর্তী সময়ে সেগুলো ডার্ক ওয়েবে পাওয়া যায়। ২০২১ সালে গিয়ে সেই ডাটাগুলো সহজলভ্য হতে থাকে।
বাংলাদেশি সাড়ে ১৪ লাখ ফেসবুক ব্যবহারকারী এমন ডাটা বর্তমানে অনেকের কাছেই রয়েছে। যেখানে ফেসবুকে নিউমেরিক আইডি, ফার্স্ট ও লাস্ট নেম, মোবাইল নম্বর, ব্যবহারকারীর লোকেশন ও ওয়ার্ক অ্যাটের (কর্মক্ষেত্র) তথ্য রয়েছে। এভাবে অনেক ধরনের তথ্য ডার্ক ওয়েবে মিলছে। সে কারণে নাগরিকদের যে তথ্যগুলো ফাঁস হওয়ার কথা বলা হচ্ছে, এর প্রভাবের দিকে নিবিড়ভাবে খেয়াল রাখতে হবে। এটি যেন আগামীতে ব্যাপকভাবে বিস্তৃত না হয়। এর মধ্যে স্পর্শকাতর প্রতিষ্ঠানগুলোর সাইবার নিরাপত্তা ঢেলে সাজাতে হবে।

পুলিশের অপরাধ তদন্ত বিভাগের (সিআইডি) সাইবার ক্রাইম ইনভেস্টিগেশনের অতিরিক্ত ডিআইজি সৈয়দা জান্নাত আরা বলেন, যে সংস্থাগুলো তথ্য সংগ্রহ ও সংরক্ষণের জন্য ডিজিটালাইজড পদ্ধতি ব্যবহার করছে তারা সঠিকভাবে এটার সুরক্ষা নিশ্চিত করতে পারছে না। এজন্যই এমন ঘটনা ঘটছে। যারাই পাবলিক ইনফরমেশন রাখেন তাদেরই উচিত হবে সুরক্ষা ব্যবস্থাকে স্ট্রং (শক্তিশালী) করা। যাতে সহজেই হ্যাকাররা তথ্য বের করতে না পারে। তিনি বলেন, মূলত উদাসীনতা থেকেই এমন হচ্ছে।

অনেক ব্যাংক সাইবার ঝুঁকিতে : এদিকে কয়েক বছর আগে বাংলাদেশ ইনস্টিটিউট অব ব্যাংক ম্যানেজমেন্টের (বিআইবিএম) গবেষণায় বলা হয়, দেশের ৫০ শতাংশ ব্যাংক সাইবার নিরাপত্তায় নেক্সট জেনারেশন ফায়ারওয়্যাল (এনজিএফডব্লিউ) সফটওয়্যার স্থাপনে সক্ষম হয়েছে। ৩৫ শতাংশ ব্যাংকে আংশিক এবং ১৫ শতাংশ ব্যাংকে এটি স্থাপন অনুমোদন পর্যায়ে রয়েছে। ফলে আংশিক এবং অনুমোদন পর্যায়ে থাকা ৫০ শতাংশ ব্যাংক সাইবার নিরাপত্তা ঝুঁকিতে রয়েছে।

এ প্রসঙ্গে বাংলাদেশ ব্যাংকের নির্বাহী পরিচালক ও মুখমাত্র মেজবাউল হক বলেন, কেন্দ্রীয় সার্টের সঙ্গে বাংলাদেশ ব্যাংকসহ সব বাণিজ্যিক ব্যাংক সংযুক্ত রয়েছে। যে কারণে সার্টের সব নির্দেশনা ব্যাংকগুলো পেয়ে যাচ্ছে। সে আলোকে ব্যবস্থাও নিচ্ছে। সাইবার নিরাপত্তা নিশ্চিত করার বিষয়ে আগে থেকেই ব্যাংকগুলোকে প্রয়োজনীয় নির্দেশনা দেওয়া হয়েছে।

এছাড়া সবকটি ব্যাংকই হিসাব খোলার ক্ষেত্রে গ্রাহকের জাতীয় পরিচয়পত্রের তথ্য সংগ্রহ করে সংশ্লিষ্ট সার্ভার থেকে। এজন্য ব্যাংকগুলো জাতীয় পরিচয়পত্র কর্তৃপক্ষের সঙ্গে চুক্তিবদ্ধ। ফলে এতে ঝুঁকি রয়েছে। এটি ব্যবহারের ক্ষেত্রে ব্যাংকগুলোকে সতর্ক থাকতে বলা হয়েছে। এজন্য কেন্দ্রীয় সার্ট সেবাদাতা প্রতিষ্ঠানের সার্ভারে কারা প্রবেশ করছে, কী করছে, কতক্ষণ থাকছে-এসব তথ্য তদারকির নির্দেশ দিয়েছে।

আপনার মতামত লিখুন :