বাংলাদেশ ব্যাংকের রিজার্ভ চুরির তদন্তে গঠিত ড. মোহাম্মদ ফরাসউদ্দিন কমিটির রিপোর্ট মতে (১৮ সেপ্টেম্বর ২০১৯, দৈনিক প্রথম আলো), বৈদেশিক মুদ্রার মজুত ব্যবস্থাপনার বড় ধরনের নিরাপত্তা দুর্বলতার সুযোগ নিয়েছে সাইবার অপরাধীরা। সুইফট সার্ভারের সঙ্গে স্থানীয় নেটওয়ার্ক জুড়ে দিয়ে খোদ কেন্দ্রীয় ব্যাংকই রক্ষিত বৈদেশিক মুদ্রার রিজার্ভের নিরাপত্তা-ব্যবস্থা অরক্ষিত রেখেছিল। গোপন সংকেত বা পাসওয়ার্ড নির্দিষ্ট দিনভর মেয়াদ উত্তীর্ণ করে পুনঃ নবায়নের ব্যবস্থা ছিল না। প্রতিবেদন মতে, বাংলাদেশ ব্যাংকের অদক্ষতা ও অবহেলায় রিজার্ভের অর্থ চুরি হয়েছে। তথ্যপ্রযুক্তি ব্যবহারে তাড়াহুড়ো, ব্যাক-অফিসে গান শোনা, জন্মদিনের অনুষ্ঠান আয়োজন, আড্ডা দেওয়া, ফেসবুকে চ্যাটিং, কম্পিউটারে গেম খেলা, গোপনীয় পাসওয়ার্ড শেয়ার করা ইত্যাদিতে জনসাধারণের সম্পদ সংরক্ষণে গাফিলতি, খামখেয়ালি ও অদক্ষতার ছাপ স্পষ্ট ছিল। সুইফটের বিশেষজ্ঞ প্রতিনিধি মি. রেড্ডি ও মি. অথরেশ আরটিজিএসের সঙ্গে সুইফটের সংযোগ প্রক্রিয়া চালানোর নির্দেশাবলীও কেন্দ্রীয় ব্যাংকের কারও কাছে হস্তান্তর করেনি। সংযুক্তির প্রাথমিক পর্যায়ে কারিগরি অসুবিধা দেখা দিলে ভিপিএন (ভার্চুয়াল প্রাইভেট নেটওয়ার্ক) সংযোগ কালে সুইফটের অ্যান্টি-ভাইরাস অকার্যকর করতে না পেরে শেষ পর্যন্ত নিরাপত্তা ব্যবস্থাই পুরোপুরি বন্ধ করে দেন। সুইফট সার্ভার সর্বক্ষণ অন বা খোলা রাখার জন্য হার্ডওয়্যার সিকিউরিটি মডিউল বা এইচএসএম কার্ড কখনো সরানো যাবে না বলেও নির্দেশ দিয়েছেন, যা সুইফট সার্ভারকে সারাক্ষণ চালু বা লাইভ রাখার ক্ষেত্রে বড় ভূমিকা রাখে। কার্ডটি বিযুক্ত করা থাকলে কোনোক্রমেই ৪ঠা ফেব্রুয়ারি বার্তা পাঠিয়ে রিজার্ভের অর্থ চুরি করা সম্ভব হতো না। ২০১৫ সালের নভেম্বর মাসে আরটিজিএস এর কাজে আসা সুইফট প্রতিনিধি এম নিলাভান্নান কাজ করেছেন একজন যুগ্ম পরিচালক ও একজন উপপরিচালক আইডি ও পাসওয়ার্ড ব্যবহার করে। তদন্ত কমিটির মতে, নিলাভান্নান আইডি ও পাসওয়ার্ড মুখস্থ বা কপি করে নিতে পারেন।
অর্থাৎ ডিজিটাল ক্রেডিনশিয়াল ম্যানেজমেন্টে বাংলাদেশ ব্যাংক অগ্রহণযোগ্য অ-পেশাদারিত্ব, কারিগরি অযোগ্যতা, এবং দায়িত্ব পালনের হীনমন্যতা প্রকাশ পেয়েছে। অবাক করার বিষয় হচ্ছে, বিষয় গুলোতে এতবছর পরেও কোন উন্নতি আসেনি। বরং অযোগ্য সাপ্লায়ারকে কাজ দেয়া এবং লজ্জাজনক আইটি ব্যবস্থাপনার সংস্কৃতি সর্বত্র ছড়িয়ে পড়েছে। বাংলাদেশে আজও ব্যক্তিগত নিরাপত্তা সুরক্ষার জন্য আন্তর্জাতিক মানসম্পন্ন আইন তৈরি হয়নি। উপাত্ত সুরক্ষা আইনের খসড়ায় ডিজিটাল নিরাপত্তার কালো আইন বা ডিএসএর ‘ছায়া’ রেখে নিরাপত্তার বদলে ভীতির সঞ্চার করা হয়েছে। প্রস্তাবিত আইনের ব্যক্তিগত ও কোম্পানি তথ্যের উপর সরকারের নিয়ন্ত্রণ এতটাই ভীতিকর যে জাতিসংঘ ১০ ধরনের আপত্তি জানিয়েছে। এমনকি নতুন খসড়ায়ও উদ্বেগজনক ধারা রয়ে গেছে, উপাত্ত সুরক্ষা সংস্থার মহাপরিচালক উপাত্ত সরবরাহ করার নির্দেশ দিতে পারবেন যা পালন করতেই হবে, অন্যথায় ব্যক্তি ও কোম্পানি সংশ্লিষ্টদের জেল ও জরিমানার বিধান আছে। বাংলাদেশ সরকারের দেশের ডিজিটাল বিপ্লবের পরতে পরতে জড়িয়ে তথ্য ফাঁস, ব্যক্তিগত গোপনীয়তা লঙ্ঘন, আর্থিক গোপনীয়তা লঙ্ঘন এবং তথ্য-উপাত্তের নিরাপত্তা ঝুঁকি!
বাংলাদেশ সরকারের বিরুদ্ধে সোশ্যাল মিডিয়া আইডি হ্যাক, সিম ক্লোনিং, ইমো হোয়াটসএপ, মেসেঞ্জার সহ মুঠোফোনে আড়িপাতার দীর্ঘ অভিযোগ আছে। জানুয়ারিতে স্বয়ং স্বরাষ্ট্রমন্ত্রী সংসদে জানিয়েছেন, ‘ইন্টারনেটে সামাজিক যোগাযোগ মাধ্যম মনিটরিংয়ের (নজরদারি) মাধ্যমে দেশ ও সরকারবিরোধী বিভিন্ন কার্যক্রম বন্ধে এনটিএমসিতে (ন্যাশনাল টেলিকমিউনিকেশন মনিটরিং সেন্টার) ওপেন সোর্স ইন্টেলিজেন্স টেকনোলজির (ওএসআইএনটি) মতো আধুনিক প্রযুক্তি সংযোজিত হয়েছে। একই সঙ্গে একটি ইন্টিগ্রেটেড ল’ফুল ইন্টারসেপশন সিস্টেম (আইনসম্মতভাবে মুঠোফোন ও ইন্টারনেট মাধ্যমে যোগাযোগে আড়ি পাতার ব্যবস্থা) চালু করার উদ্যোগ নেওয়া হয়েছে।’
সম্প্রতি দক্ষিণ আফ্রিকা-ভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তা সমাধান দাতা প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপাওলোস দেখিয়েছেন, বাংলাদেশ সরকারের একটি সংবেদশীল ওয়েবসাইটে দেশের অনেক নাগরিকের নাম, ফোন নম্বর, ই-মেইল ঠিকানা এবং জাতীয় পরিচিতি নম্বরসহ বিভিন্ন ব্যক্তিগত তথ্য অরক্ষিত আছে এবং ফাঁস হয়েছে। ভিক্টর বাংলাদেশ সরকারের সাইবার নিরাপত্তা ঝুঁকি বিষয়ক রেসপন্স টিমের (BGD e-GOV CIRT, Bangladesh e-Government Computer Incident Response Team) সঙ্গে যোগাযোগ করে কোন রিস্পন্স পাননি। অথচ সরকারি সাইটে ছবিসহ টিমের দায়িত্বপ্রাপ্ত হিসেবে দেখানো আছে খোদ প্রধানমন্ত্রী, তাঁর উপদেষ্টা পুত্র, তথ্য প্রযুক্তি মন্ত্রী, বিটিআরসি চেয়ারম্যান। তথ্য ফাঁসের বিষয়ে জানতে সরকারের প্রেস অফিস, ওয়াশিংটন ডিসিতে অবস্থিত বাংলাদেশ দূতাবাস এবং নিউইয়র্ক সিটিতে বাংলাদেশি কনস্যুলেটের সঙ্গে যোগাযোগ করে টেকক্রাঞ্চও কোন সাড়া পায়নি। খোদ প্রধানমন্ত্রীর অধীনস্থ টিমের এমন খামখেয়ালী এবং অপেশাদার আচরণ বেশ অবাক করে। রাতদিন হরদম ‘ডিজিটাল বাংলাদেশ’ বুলি আওড়ানো সরকারের ডিজিটাল নিরাপত্তা যে কতটুকু অরক্ষিত সেটা এই ঘটনার মাধ্যমে নগ্ন-ভাবে প্রকাশ পেয়েছে। দুর্বল সাইবার নিরাপত্তা এবং খামখেয়ালিপূর্ণ মানহীন ব্যবস্থাপনায় বাংলাদেশে নাগরিক এবং সরকারের তথ্য ফাঁস কিংবা সাইবার আক্রমণ উদ্বেগজনক-ভাবে তীব্র হয়েছে।
ভিক্টর টেকক্রাঞ্চকে বলেন, গুগলে সার্চ করার সময় ফাঁস হওয়া তথ্যগুলো আপনাআপনিই হাজির হয়েছে। তথ্যগুলো খোঁজার কোনো চেষ্টা তিনি করেননি। গুগলে একটি এসকিউএল এরর সার্চ করার সময় দ্বিতীয় ফলাফল হিসেবে এগুলো হাজির হয়। (এসকিউএল ডাটাবেজ থেকে তথ্য পড়ার একটি প্রোগ্রামিং ভাষা)। ব্যক্তিগত এবং সংবেদনশীল তথ্য হিসেবে ব্যক্তির ই–মেইল ঠিকানা, ফোন নম্বর এবং জাতীয় পরিচিতি নম্বর ফাঁস হওয়াটা বেশ ঝুঁকির। ওয়েব অ্যাপ্লিকেশনে ঢোকা, অ্যাপ্লিকেশনগুলো মডিফাই বা ডিলিট করাসহ জন্ম নিবন্ধনের রেকর্ড ফাঁস হওয়ায়, এখন এ তথ্যগুলো ব্যবহারের ঝুঁকি তৈরি হয়েছে কেননা এর সঠিকত্ব ও স্বচ্ছতা প্রশ্নবিদ্ধ হয়ে পড়েছে।
অনিরাপদ আইটি অবকাঠামো এবং ভঙ্গুর ডিজিটাল সিকিউরিটির এই সমস্যা দেশে ক্রমাগত চলছে। নিরাপত্তা ঠিক না থাকায় সম্প্রতি ‘ডিস্ট্রিবিউটেড ডিনায়াল-অফ-সার্ভিস (DDoS)’ আক্রমণ হয়েছে। এর মাধ্যমে সার্ভারকে ইন্টারনেট ট্র্যাফিক দিয়ে প্লাবিত করে যাতে ব্যবহারকারীদের সংযুক্ত অনলাইন পরিষেবা এবং সাইটগুলিতে প্রবেশে বাধা দেয়া হয়। পাশাপাশি BDRIS ফাঁসের ঘটনা ঘটেছে যা আরো ভয়ঙ্কর, কারণ এতে সংবেদনশীল, ব্যক্তিগত তথ্য এবং সরকারি তথ্য জনগণের সামনে উন্মোচিত হচ্ছে৷ এই মুহূর্তে, বাংলাদেশ কৃষি ব্যাংকের সার্ভার একটি র্যানসমওয়্যারের দ্বারা আক্রমণের মুখে রয়েছে যা কোর ব্যাংকিং সিস্টেমকে এনক্রিপ্ট করেছে। কিছুদিন আগেই বাংলাদেশ বিমানের সাইট ও সার্ভার হ্যাক হয়েছে। এর আগে করদাতাদের তথ্যও বেহাত হয়েছে। অর্থাৎ ডিজিটাল নিরাপত্তা ঝুঁকি দেশের আইটি অবকাঠামোর প্রায় সর্বত্র।
১১ জুলাই নির্বাচন কমিশনের এনআইডি ওয়েব সার্ভার (nidw.gov.bd), ডাক ও টেলিযোগাযোগ (ptd.gov.bd/) এবং টেলিকমিউনিকেশন রেগুলেটরি বিটিআরসি (btrc.gov.bd) ওয়েবসাইট ‘নট সিকিউরড’ পাওয়া গেছে। অর্থাৎ সাইট দুটিতে এসএসএল নিরাপত্তা বিধান করা হয়নি। সরকারি সেবার ওয়ান স্টপ সাইট (mygov.bd) সহ অধিকাংশ সরকারি সাইটের সার্টিফিকেশন নন-এপ্রুভড অথোরিটি থেকে নেয়া অর্থাৎ রুট সার্টিফিকেট প্রদানকারী কর্তৃপক্ষ থেকে নেয়া হয়নি, সিকিউরড পিসি থেকে এসব সাইটে ঢুকতে গেলে সিকিউরিটি এলার্ম আসে। অথচ সার্টিফিকেশনে সরকারের সাথে ‘বিশেষ গোষ্ঠীর’ মালিকানাধীন কোম্পানির চুক্তি রয়েছে, কোম্পানিগুলো অর্থ নিচ্ছে কিন্তু কাজ করছে না।
ভিক্টর মারকোপাওলোস এবং টেকক্রাঞ্চ বলছে, বাংলাদেশের নিরাপত্তা ঝুঁকিপূর্ণ সরকারি ওয়েবসাইটের একটি ‘পাবলিক সার্চ টুলে’ প্রশ্ন করার অংশে পরীক্ষা চালিয়ে ফাঁস হওয়া ডাটাবেজের মধ্যে থাকা অন্য তথ্যগুলোও ওই ওয়েবসাইটে পাওয়া গেছে। নিবন্ধনের জন্য আবেদন করা ব্যক্তির নাম, কারও কারও বাবা-মায়ের নাম পাওয়া গেছে। ১০টি ভিন্ন ধরনের ডেটা ব্যবহার করে এ পরীক্ষা চালায় টেকক্রাঞ্চ। এর মাধ্যমে প্রমাণিত হচ্ছে যে, ডাটাবেজের ফ্রন্ট ও ব্যাট সার্ভারের ফায়ারওয়াল কাজ করছে না। এটা একেবারে অগ্রহণযোগ্য। ঘটনার পরে জাতীয় এনাইডি সার্ভারের নিরাপত্তা ঝুঁকি নেই দাবি করা হলেও বাংলাদেশে অন্য অনেক প্রতিষ্ঠান ব্যক্তিগত গোপনীয় তথ্য ই-কেওয়াইসি করে। অর্থাৎ জন্ম নিবন্ধন, গাড়ি চালানোর লাইসেন্স, পাসপোর্ট, জমি বেচাকেনা, ব্যাংক অ্যাকাউন্ট খোলা, মোবাইল সিম ক্রয় ও নিবন্ধন সহ বিভিন্ন সেবা নেওয়ার তথ্য শালা এই মুহূর্তে তথ্য ঝুঁকিপূর্ণ।
বাংলাদেশ ন্যাশনাল ডিজিটাল আর্কিটেকচার সাইটে গিয়ে এপ্লিকেশন, ফ্রন্ট ডাটাবেজ, ব্যাক এনআইডি ডাটাবেইজ, আর্কিটেকচার বাস, এপিআই কমিউনিকেশন ফ্লো ইত্যাদি আর্কিটেকচার উন্মুক্ত করে রাখা হয়েছে যেটা পুরোপুরি অগ্রহণযোগ্য। এসব তথ্য সংবেদনশীল এবং গোপনীয় থাকার কথা।
লেখক ব্যক্তিগতভাবে ডিপার্টমেন্টাল এপ গুলোর ব্যবস্থাপকদের কয়েকজনের সাথে আলাপে জেনেছেন, সরকারের ‘ডিপার্টমেন্টাল এপ্লিকেশন’ যেমন জন্ম নিবন্ধন, এনবিআর, পাসপোর্ট বিভাগের সফটওয়্যার এপ এবং ‘স্কিম এপ্লিকেশন’ যেমন ব্যাংকিং ও টেলিকমের ই-কেওয়াইসি ইত্যাদি এপ গুলোর অধিকাংশই হালনাগাদ করা নেই। এমনকি প্রয়োজনীয় অর্থ বরাদ্দও দেয়া হয়না। সফটওয়্যার ভার্শন অনেক পুরানো যেখানে অনেক ‘ক্রিটিক্যাল সিকিউরিটি থ্রেট’ বা জটিল নিরাপত্তা ঝুঁকি রয়েছে। অর্থাৎ ফার্মওয়ার আপডেট এবং সফটওয়্যার আপগ্রেড উভয়েই বাকি। আপগ্রেড এবং আপডেট না থাকায় অনেক জায়গায় ‘সিকিউরিটি ব্রেচ’ বা লিক রয়ে গেছে। ‘লোকাল ডিবি’ এবং ‘সেন্ট্রাল ডিবি’ এ’দুয়ের মধ্যকার ফায়ার ওয়াল এবং এপ্লিকেশন গুলোর ভিভিএন সংযোগ নিরাপত্তার দিক থেকে সেকেলে এবং দুর্বল। এপ সার্ভার এবং ওয়েব সার্ভারের কোডিং লিকে ঢুকে ‘এপিআই কল’ করে ফ্রন্ট ডাটাবেইজ এমনকি সেন্ট্রাল ডাটাবেজে এক্সেস করা যাচ্ছে। একটা দেশের আইটি ব্যবস্থাপনার এমন বেহাল দশা সত্যি সত্যি চরম হতাশাজনক।
সূত্র : কৌশলগত এমন তথ্য প্রযুক্তির সিস্টেম আর্কিটেকচার গোপনীয় থাকার কথা।
সরকারি ওয়েবসাইটগুলোর নিরাপত্তা খুবই দুর্বল। সাইবার নিরাপত্তা বিষয়ক প্রশিক্ষক ও ডিকোডস ল্যাব লিমিটেডের ব্যবস্থাপনা পরিচালক আরিফ মঈনুদ্দিন বলছেন এর মূল কারণ অচেতনতা ও অবহেলা, ওয়েবসাইটগুলোর নিরাপত্তা ব্যবস্থার নিয়মিত মূল্যায়ন না থাকা। সাইবার নিরাপত্তার বিষয়ে সুস্পষ্ট নীতিমালা না থাকা, সাইবার সিকিউরিটির ব্যয়কে বাড়তি খরচ হিসেবে দেখা। দেশের সরকারি ওয়েবসাইটগুলোও তৈরি করা হয় নামকাওয়াস্তে। খরচ বাঁচাতে দক্ষ প্রোগ্রামারের পরিবর্তে নতুনদের দিয়ে করানো সাইট অ্যাপ্লিকেশনটা দুর্বল হয়, যা সহজে হ্যাক হয়। সরকারি ওয়েবসাইটের ক্ষেত্রে একই সাইট বারবার কপি করে নতুন সাইট তৈরি করা হচ্ছে। অনেক ওয়েবসাইট করা হয় ওয়ার্ডপ্রেসে। ওপেন সোর্স টুলস ব্যবহারের প্রবণতা বেশি। এসব কারণে সাইটগুলোর নিরাপত্তা ব্যবস্থা হয় বেশ নাজুক। সাইট তৈরির পর নিয়মিত মেইনটেন্যান্স হয় না। বহু স্তরের নিরাপত্তার বিবেচনা নেয়া হয় না, ই-অডিট হয় না। সুস্পষ্ট সাইবার সিকিউরিটি পলিসি করা হয়নি যে পলিসি সবাই মানতে বাধ্য। সরকারি ওয়েবসাইট বা তথ্যভাণ্ডারের সুরক্ষা ব্যবস্থা সময়োপযোগীও করা হয় না। ব্যবহারকারী এবং সরকারি কর্মকর্তারা উভয়েই অসচেতন বলে নানা অনাকাঙ্ক্ষিত কুকিজ, অ্যাপস চালু হয়ে নেটওয়ার্ক, সাইট ও সার্ভারের তথ্য বেহাত হয়। বাংলাদেশের সরকারি প্রতিষ্ঠানগুলো সাইবার নিরাপত্তা নিয়ে তেমন সচেতন নয়। হ্যাক বা কারিগরি দুর্বলতা– যেভাবেই তথ্য বেহাত হোক, ডাটা তৃতীয় পক্ষের কাছে চলে গেলে আর্থিক, সামাজিক নিরাপত্তাসহ নানা ধরনের ক্ষতির সম্মুখীন হতে হয় সংশ্লিষ্টদের। তথ্য হ্যাকারদের হাতে চলে গেলে সেটা বিভিন্নভাবে ব্যবহৃত হতে পারে। এসব তথ্য ব্যবহার করে অবৈধ লেনদেন, অবৈধ ব্যাংকিং, ডার্ক ওয়েবে ব্যবহার, সিম রেজিস্ট্রেশন, ভার্চুয়াল ইলেকট্রনিক আইডেন্টিটি, ভুয়া বুকিং, মানি লন্ডারিংয়ের মতো নানা ধরনের অপরাধে ব্যবহারের ঝুঁকি রয়েছে।
এনআইডি, নাম ঠিকানা জন্মতারিখ পিতামাতার তথ্য বেহাত হবার কারণে এসব ব্যবহার করে ডুপ্লিকেট এনাইডির প্লাস্টিক কার্ড বানানো একেবারেই সহজ কাজ, ফলে সরকার দলীয়রা এসব অপব্যবহার করে দেশের নির্বাচনী ব্যবস্থায়ও প্রভাব ফেলতে পারে।
পাশাপাশি আরেকটি আমি সামনে আনতে চাই। ইউরোপীয় ইউনিয়নে প্রায় ৯০ হাজার অবৈধ বাংলাদেশি আছেন, বাংলাদেশের দূতাবাস গুলো কৌশলগত কারণে কিংবা ফেরত পাঠানোর ভয়ে তাদের তথ্য শেয়ার করে না, কর্মীরাও সেটা চান না। নিরাপত্তা দুর্বলতায় তথ্য উন্মুক্ত থাকায়, কিংবা ডার্ক ওয়েবে কিংবা দেশ-বিদেশের বিভিন্ন ফার্মের কাছে দেশের ৫ কোটি বা তারও বেশি মানুষের তথ্য থাকায় এই অবৈধ অভিবাসী কিংবা পরিযায়ী শ্রমিকরা আইনি লড়াইয়ে ক্ষতিগ্রস্ত হতে পারেন।
