সরকারের যে ওয়েবসাইট থেকে লাখ লাখ নাগরিকের তথ্য ফাঁস হয়েছে, সেটির ‘ন্যূনতম নিরাপত্তাব্যবস্থা’ ছিল না। ওয়েবসাইটে দেশের নাগরিকদের ব্যক্তিগত তথ্যগুলো ছিল অরক্ষিত। সেখানে যে কেউ প্রবেশ করতে পারতেন।
প্রশ্ন উঠেছে, সরকারি সাইটগুলো কতটা নিরাপদ এবং নিরাপত্তাব্যবস্থা গ্রহণ করা হচ্ছে কি না, তা দেখভালের দায়িত্ব কার।
ওয়েবসাইটের দুর্বলতায় তথ্য ফাঁস হওয়ার বিষয়টি গতকাল রোববার এক অনুষ্ঠানে জানান তথ্যপ্রযুক্তি (আইসিটি) প্রতিমন্ত্রী জুনাইদ আহ্মেদ। তিনি বলেন, এখানে দায় এড়ানোর সুযোগ নেই।
অবশ্য ‘দায়’ যাঁদের, সেই সংস্থার কর্মকর্তারা এ বিষয়ে কোনো কথাই বলছেন না। আইসিটি বিভাগ সূত্র জানিয়েছে, ওয়েবসাইটটি পরিচালনাকারী কর্তৃপক্ষ তথ্য সুরক্ষিত করতে কাজ করছে। তারা ‘এপিআই—অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস (অন্য কোনো সার্ভার বা অ্যাপ্লিকেশনের সঙ্গে যোগাযোগ)’ বন্ধ রেখেছে।
যুক্তরাষ্ট্রের তথ্যপ্রযুক্তিভিত্তিক অনলাইন সংবাদমাধ্যম টেকক্রাঞ্চ ৭ জুলাই এক প্রতিবেদনে জানায়, বাংলাদেশে একটি সরকারি সংস্থার ওয়েবসাইটের মাধ্যমে লাখ লাখ মানুষের তথ্য ফাঁস হয়েছে। দক্ষিণ আফ্রিকাভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তাবিষয়ক প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপোলোস এসব তথ্য ফাঁসের বিষয়গুলো দেখতে পান।
আমরা দেখেছি, কারিগরি ত্রুটি ছিল। যে কারণেই তথ্যগুলো মানুষের কাছে উন্মুক্ত হয়ে পড়েপ্রতিমন্ত্রী জুনাইদ আহ্মেদ
ই-মেইল ও সামাজিক যোগাযোগমাধ্যম লিংকডইনে যোগাযোগ করে ভিক্টর মারকোপোলোসের কাছে জানতে চাওয়া হয় বাংলাদেশের কত মানুষের তথ্য ফাঁস হয়েছে। তিনি প্রথম আলোকে বলেন, তাঁর সংক্ষিপ্ত বিশ্লেষণ অনুযায়ী সংখ্যাটি ৫ কোটি হবে।
কোনো সংস্থার তথ্য অরক্ষিত থাকলে সংস্থাটির নাম সাধারণত প্রকাশ করা হয় না। কারণ, তাতে ঝুঁকি আরও বেড়ে যায়। সরকারের যে সংস্থার ওয়েবসাইটের মাধ্যমে তথ্য ফাঁস হয়েছে, সেটির প্রধানসহ বিভিন্ন স্তরের কর্মকর্তাদের সঙ্গে গতকাল নানাভাবে যোগাযোগের চেষ্টা করা হয়। কিন্তু তাঁরা সাড়া দেননি।
সংস্থাটি স্থানীয় সরকার, পল্লী উন্নয়ন ও সমবায় মন্ত্রণালয়ের অধীন। মন্ত্রণালয়ের মন্ত্রী তাজুল ইসলাম গত রাতে প্রথম আলোকে বলেন, তিনি বিদেশে ছিলেন। এসে গতকাল অফিস করেছেন। তবে তথ্য ফাঁসের বিষয়টি সম্পর্কে জানেন না। যে সংস্থার কথা বলা হচ্ছে, তার প্রধানের সঙ্গে মন্ত্রীর অফিস থেকে যোগাযোগ করা হয়েছিল, তবে পাওয়া যায়নি।
মন্ত্রী বলেন, ‘আমি আগামীকাল (আজ) বিষয়টি নিয়ে বিস্তারিত জেনে কথা বলতে পারব।’
সরকারের সাইবার নিরাপত্তা নিয়ে কাজ করে আইসিটি বিভাগের বাংলাদেশ কম্পিউটার কাউন্সিলের প্রকল্প বিজিডি ই-গভ সার্ট। প্রকল্পের পরিচালক মোহাম্মদ সাইফুল আলম খান গতকাল রোববার রাতে প্রথম আলোকে বলেন, ওই কর্তৃপক্ষ তাদের ফোনে জানিয়েছে যে তারা ওয়েবসাইট সুরক্ষিত করেছে। সার্ট নিজেরা যাচাই করেছে কি না, জানতে চাইলে তিনি বলেন, সোমবার (আজ) তাঁরা তা দেখবেন।
সরকার ব্যক্তিগত তথ্যের সুরক্ষা নিশ্চিতের জন্য ২৯টি প্রতিষ্ঠানকে গুরুত্বপূর্ণ তথ্য পরিকাঠামো ঘোষণা করে গত বছরের সেপ্টেম্বরে। তখন বলা হয়, গুরুত্বপূর্ণ তথ্য পরিকাঠামোতে বেআইনিভাবে প্রবেশ করলে সাত বছরের কারাদণ্ড বা সর্বোচ্চ ২৫ লাখ টাকা অর্থদণ্ড অথবা উভয় দণ্ড দেওয়া যাবে। বেআইনিভাবে প্রবেশ করে ক্ষতিসাধন বা ক্ষতির চেষ্টা করলে ১৪ বছর কারাদণ্ড বা সর্বোচ্চ এক কোটি টাকা অর্থদণ্ড অথবা উভয় দণ্ডই দেওয়া যাবে।
কিন্তু এবার তথ্য ফাঁসের ঘটনা ঘটেছে গুরুত্বপূর্ণ তথ্য পরিকাঠামোভুক্ত একটি প্রতিষ্ঠান থেকেই। মানে হলো, গুরুত্বপূর্ণ তথ্য পরিকাঠামো ঘোষণা করা প্রতিষ্ঠানে ন্যূনতম নিরাপত্তাব্যবস্থা ছিল না।
রাজধানীর আগারগাঁওয়ে গতকাল বঙ্গবন্ধু ইন্টারন্যাশনাল সাইবার সিকিউরিটি অ্যাওয়ারনেস অ্যাওয়ার্ডের উদ্বোধনী অনুষ্ঠানে প্রতিমন্ত্রী জুনাইদ আহ্মেদ বলেন, ‘আমরা দেখেছি, কারিগরি ত্রুটি ছিল। যে কারণেই তথ্যগুলো মানুষের কাছে উন্মুক্ত হয়ে পড়ে।’ তিনি বলেন, কেউ বলতে পারবে না তারা পুরো নিরাপদ, তবে প্রস্তুতি থাকতে হয়। এবারের ঘটনার ক্ষেত্রে ন্যূনতম প্রস্তুতি ছিল না। এই দায় তো কেউ এড়াতে পারবে না।
ওয়েবসাইটটি হ্যাক হয়নি বলে উল্লেখ করেন প্রতিমন্ত্রী। তিনি আরও বলেন, আগে থেকে প্রস্তুতি থাকলে তারপর ঘটনা ঘটলে কিছু বলা যায়। কিন্তু যথাযথ প্রস্তুতি না নেওয়ার পর ক্ষতি হয়ে গেলে সেই দায়ভার এড়ানো যায় না।
সরকারি সংস্থাগুলোর নিরাপত্তা দুর্বলতার কথাও উঠে আসে প্রতিমন্ত্রীর বক্তব্যে। তিনি বলেন, ‘গুরুত্বপূর্ণ তথ্য পরিকাঠামো হিসেবে ঘোষণা করা প্রতিষ্ঠানগুলোর সঙ্গে যোগাযোগ করা হয়, ই-মেইল করা হয়। দুঃখজনকভাবে কেউ কেউ জবাব দেয় না। নির্দেশনা অনুসরণ করে না।’
প্রতিমন্ত্রীর বক্তব্যের বিষয়ে দৃষ্টি আকর্ষণ করা হলে ঢাকা বিশ্ববিদ্যালয়ের তথ্যপ্রযুক্তি ইনস্টিটিউটের অধ্যাপক বি এম মইনুল হোসেন প্রথম আলোকে বলেন, ‘নিরাপত্তাব্যবস্থা ছিল না বলে দিলেই হলো না।’ তিনি বলেন, ‘সেবা প্রদানকারী ওয়েবসাইটগুলোর নিরাপত্তা নিশ্চিত না হলে তা তো অপারেশনসেই (পরিচালনা) আসার কথা না।’
ইউরোপের সাধারণ উপাত্ত সুরক্ষা বিধিমালা বা জেনারেল ডেটা প্রটেকশন রেগুলেশন অনুযায়ী, ব্যক্তিগত তথ্য বলতে বোঝায় মানুষের নাম, ঠিকানা, জন্মনিবন্ধন, মুঠোফোন ও পাসপোর্ট নম্বর, আঙুলের ছাপসহ বিভিন্ন তথ্য, যা দিয়ে তাঁকে শনাক্ত করা যায়।
সরকারি ওয়েবসাইট থেকে ফাঁস হওয়া কিছু তথ্য ঘেঁটে দেখা যায়, সেখানে এ ধরনের তথ্য রয়েছে। একাধিক মুঠোফোন নম্বরে ফোন করা হয়। দেখা যায়, নম্বরেও মিল রয়েছে।
তথ্যপ্রযুক্তি ও এ-সংক্রান্ত আইনের বিশেষজ্ঞরা বলছেন, তথ্য ফাঁসের ফলে মানুষের নিরাপত্তা ঝুঁকি তৈরি হয়। আর্থিক নিরাপত্তা ঝুঁকি বেশি। ফাঁস হওয়া মুঠোফোন নম্বরে ফোন করে অসচেতন মানুষকে তাঁর ব্যক্তিগত তথ্য জানিয়ে বিশ্বাস অর্জন করা যায়। এরপর প্রতারণা হতে পারে। আবার বিপুলসংখ্যক মানুষের মুঠোফোন নম্বর অপপ্রচার চালানোর কাজে ব্যবহার করা যায়।
নাম প্রকাশে অনিচ্ছুক একজন বিশেষজ্ঞ প্রথম আলোকে বলেন, সামনে জাতীয় নির্বাচন। বিপুলসংখ্যক মানুষের অরক্ষিত তথ্য সংগ্রহ করে কেউ নির্বাচনের কাজে ব্যবহার করবে না, সেই নিশ্চয়তা কে দেবে।
এদিকে লাখ লাখ মানুষের ব্যক্তিগত তথ্য ফাঁসের ঘটনায় দেশের কেউ যদি সহযোগিতা করে থাকে এবং সেটি যদি প্রমাণিত হয়, তাদের বিরুদ্ধে কঠোর ব্যবস্থা নেওয়া হবে বলে জানিয়েছেন স্বরাষ্ট্রমন্ত্রী আসাদুজ্জামান খান। গতকাল সচিবালয়ে স্বরাষ্ট্র মন্ত্রণালয়ের সভাকক্ষে আইনশৃঙ্খলা-সংক্রান্ত সভা শেষে তিনি বলেন, তথ্য ফাঁস হওয়ার রহস্য উদ্ঘাটনে সাইবার ইউনিট এরই মধ্যে কাজ শুরু করেছে।
সাংবাদিকদের প্রশ্নের জবাবে স্বরাষ্ট্রমন্ত্রী বলেন, ‘আমাদের আগে দেখতে হবে কী ফাঁস হয়েছে। আমরা সে অনুযায়ী ব্যবস্থা নেব।’
আমাদের আগে দেখতে হবে কী ফাঁস হয়েছে। আমরা সে অনুযায়ী ব্যবস্থা নেব।স্বরাষ্ট্রমন্ত্রী আসাদুজ্জামান খান
তথ্য ফাঁসের খবরের মধ্যে গতকাল দুপুরের পর সংবাদ সম্মেলন করেন নির্বাচন কমিশনের জাতীয় পরিচয়পত্র (এনআইডি) নিবন্ধন অনুবিভাগের কর্মকর্তারা। তাঁরা বলেন, নিয়মের বাইরে গিয়ে একটি প্রতিষ্ঠান নাগরিকদের ব্যক্তিগত তথ্য সংরক্ষণ করেছে এবং তাদের ওয়েবসাইটে দুর্বলতা থাকায় সেসব তথ্য ফাঁস হয়েছে বলে তাঁরা শুনেছেন।
রাজধানীর আগারগাঁওয়ের নির্বাচন ভবনে সংবাদ সম্মেলনে এনআইডির মহাপরিচালক এ কে এম হুমায়ুন কবীর বলেন, নাগরিকদের যে তথ্য ফাঁস হয়েছে, তা নির্বাচন কমিশনের তথ্যভান্ডার থেকে হয়নি।
দেশে সাইবার হামলা বা হামলার চেষ্টার সংখ্যা বাড়ছে। বিজিডি ই-গভর্নমেন্ট কম্পিউটার ইনসিডেন্ট রেসপন্স টিমের (বিজিডি ই-গভ সার্ট) হিসাবে, ২০১৬ সালে দেশে ৩৩৭টি সাইবার হামলা বা হামলার চেষ্টার ঘটনা ঘটেছিল। ২০২০ সালে তা বেড়ে দাঁড়ায় ১ হাজার ১৫৪টিতে। ২০২১ সালে ৮৭৫ ও ২০২২ সালে ৫২২টি ঘটনা ঘটেছে।
বিজিডি ই-গভ সার্টের সাইবার নিরাপত্তাবিষয়ক প্রতিবেদন ‘বাংলাদেশ সাইবার থ্রেট ল্যান্ডস্কেপ রিপোর্ট ২০২২’-এ বলা হয়েছে, প্রশান্ত মহাসাগরীয় অঞ্চলের দেশগুলোর মধ্যে সাইবার নিরাপত্তার সম্ভাব্য হামলার লক্ষ্যবস্তুতে রয়েছে বাংলাদেশও। সাইবার হামলা বা হামলার চেষ্টার ঘটনাগুলোর মধ্যে ৯১ দশমিক ৬ শতাংশ ঘটছে দুর্বল পরিকাঠামোর কারণে।
ব্র্যাক বিশ্ববিদ্যালয়ের আইন বিভাগের জ্যেষ্ঠ প্রভাষক মো. সাইমুম রেজা তালুকদার প্রথম আলোকে বলেন, পৃথিবীর কোনো তথ্য ও যোগাযোগপ্রযুক্তি-ব্যবস্থা শতভাগ নিরাপদ নয়। তবে যথাযথ সাইবার নিরাপত্তাকৌশল অনুসরণের মাধ্যমে সাইবার আক্রমণ থেকে উপাত্ত চুরি বা পাচার হওয়ার সম্ভাবনা অনেকাংশে কমিয়ে আনা যায়। সরকারের সংশ্লিষ্ট সংস্থাগুলো কাজগুলো সঠিকভাবে করছে কি না, এ প্রশ্ন নাগরিকদের করতে হবে।