সরকারি সংস্থাটিকে আগেই সতর্ক করা হয়েছিল

  • ২৯ প্রতিষ্ঠানের সঙ্গে বৈঠকের পর দুটি কমিটি গঠন।

  • প্রস্তুতি না নেওয়ার কারণে ক্ষতি হলে ‘মারাত্মক অপরাধ’ হিসেবে দেখবে সরকার।

সরকারি যে সংস্থার ওয়েবসাইট থেকে ‘লাখ লাখ মানুষের ব্যক্তিগত তথ্য ফাঁস’ হয়েছে, সেটিকে আগেই সতর্ক করেছিল সরকারের সাইবার নিরাপত্তা দল সার্ট। গত ৮ জুন নিরাপত্তার ঘাটতির কথা জানিয়ে সংস্থাটিকে চিঠিও দেওয়া হয়েছিল। তারপরও সুরক্ষাব্যবস্থা নেওয়া হয়নি।

সতর্ক করার পরও পদক্ষেপ না নেওয়ার কারণেই গত ২৭ জুন দক্ষিণ আফ্রিকাভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তাবিষয়ক প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপোলোস ব্যক্তিগত তথ্যগুলো অরক্ষিত থাকার বিষয়টি দেখতে পান।

এদিকে তথ্য ফাঁসের খবরের পর বিষয়টি নিয়ে ব্যাপক তোড়জোড় শুরু হয়েছে সরকারি পর্যায়ে। গতকাল সোমবার ২৯টি গুরুত্বপূর্ণ তথ্য পরিকাঠামো প্রতিষ্ঠানকে নিয়ে বৈঠক করেছে তথ্যপ্রযুক্তি (আইসিটি) বিভাগ। বৈঠকে তথ্যপ্রযুক্তি বিভাগের পক্ষ থেকে সাইবার নিরাপত্তা নিশ্চিতে কী কী করণীয়, তা বলা হয়। আর প্রতিষ্ঠানগুলো তাদের সক্ষমতা কতটুকু, সমস্যা কোথায়, তা তুলে ধরেছে।

বৈঠক শেষে দুটি কমিটি হয়েছে বলে সাংবাদিকদের জানান তথ্যপ্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহ্‌মেদ। তিনি বলেন, এই কমিটির কাজ হবে তথ্যপ্রযুক্তিগত কী কী দুর্বলতা আছে তা জানা, ব্যক্তিপর্যায়ে দায়িত্বে অবহেলা থাকলে তা চিহ্নিত করা এবং ভবিষ্যতে এ ধরনের ঘটনা ঠেকাতে পদক্ষেপ নেওয়া।

প্রতিমন্ত্রী সাংবাদিকদের বলেন, ‘২৯টিকে (গুরুত্বপূর্ণ তথ্য পরিকাঠামো) যে ধরনের নিরাপত্তাব্যবস্থা নেওয়া দরকার, সেগুলো অবশ্যই নিতে হবে। এগুলো যদি কেউ প্রয়োগ না করে ও প্রস্তুতি গ্রহণ না করে, তারপর যদি তথ্য বা অর্থ ক্ষতি হয়, তাহলে সেটা মারাত্মক অপরাধ বলে আমরা বিবেচনায় নেব। এই ভুল মার্জনীয় নয়।’

নতুন গঠিত কমিটি দুটিতে তথ্যপ্রযুক্তি বিভাগ, সরকারের সাইবার নিরাপত্তা দল, ডিজিটাল নিরাপত্তা এজেন্সি, গোয়েন্দা সংস্থা, পুলিশসহ বিভিন্ন সংস্থার প্রতিনিধিরা থাকবেন। তথ্যপ্রযুক্তি বিভাগ বলছে, কমিটিকে ৭ দিনের মধ্যে তদন্ত প্রতিবেদন দিতে বলা হয়েছে। সেই প্রতিবেদন ১০ দিনের মধ্যে উচ্চপর্যায়ে পেশ করা হবে। সংক্ষিপ্তসার তুলে ধরা হবে গণমাধ্যমেও।

২৯টিকে (গুরুত্বপূর্ণ তথ্য পরিকাঠামো) যে ধরনের নিরাপত্তাব্যবস্থা নেওয়া দরকার, সেগুলো অবশ্যই নিতে হবে। এগুলো যদি কেউ প্রয়োগ না করে ও প্রস্তুতি গ্রহণ না করে, তারপর যদি তথ্য বা অর্থ ক্ষতি হয়, তাহলে সেটা মারাত্মক অপরাধ বলে আমরা বিবেচনায় নেব। এই ভুল মার্জনীয় নয়
তথ্যপ্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহ্‌মেদ

কী বলছে সেই সংস্থা

তথ্যপ্রযুক্তির খবর দেওয়া মার্কিন অনলাইন সংবাদমাধ্যম টেকক্রাঞ্চ ৭ জুলাই বাংলাদেশে সরকারি সংস্থার ওয়েবসাইট থেকে লাখ লাখ মানুষের তথ্য ফাঁস হওয়ার খবর জানায়। তারা অবশ্য তখন নিরাপত্তার জন্য সংস্থা বা ওয়েবসাইটের নাম প্রকাশ করেনি। বাংলাদেশে তথ্যপ্রযুক্তি বিভাগও নামটি বলেনি।

যে সংস্থার তথ্য ফাঁস হয়েছে, সেটি স্থানীয় সরকার, পল্লী উন্নয়ন ও সমবায় মন্ত্রণালয়ের অধীন। সংস্থাটিও এ নিয়ে গত দুদিন কোনো কথা বলেনি। তাদের সঙ্গে যোগাযোগের করেও সাড়া পাওয়া যায়নি।

সংস্থাটির কার্যালয়ে গতকাল গেলে এর প্রধান কর্মকর্তা তথ্য ফাঁস হওয়ার বিষয়টি মানতে চাননি। তথ্যপ্রযুক্তি বিভাগে অনুষ্ঠিত বৈঠকে দোষারোপ করা হয়েছে কি না জানতে চাইলে তিনি বলেন, ‘এখানে কাউকেই দোষারোপ করার কিছু নেই। দায় কার, সেটা আগে নিরূপণ হতে হবে।’

ভিক্টর মারকোপোলোস প্রথম আলোকে দেওয়া এক সাক্ষাৎকারে রোববার বলেন, তাঁর পর্যালোচনা অনুযায়ী প্রায় পাঁচ কোটি মানুষের তথ্য ফাঁস হয়েছে। বিষয়টি নিয়ে জানতে চাইলে সংস্থাপ্রধান বলেন, ‘কোটি কোটি তথ্য ফাঁসের কোনো প্রমাণ আমরা পাইনি। তথ্য চুরিও হয়নি, হ্যাকিংও হয়নি। কিছু তথ্য শুধু দেখা যাচ্ছে।’

সরকারি সংস্থার ওয়েবসাইটগুলো সাধারণত চাহিদা অনুযায়ী তৈরি করে দেয় আইসিটি বিভাগের প্রকল্প এটুআই (অ্যাসপায়ার টু ইনোভেট)। ব্যক্তিগত তথ্য অরক্ষিত থাকা সংস্থাটি ওয়েবসাইট তৈরি করিয়েছিল একটি বেসরকারি প্রতিষ্ঠানকে দিয়ে।

সংস্থাপ্রধান প্রথম আলোকে বলেন, সংস্থাটির আইসিটি শাখায় পাঁচজন কর্মী রয়েছেন। এর মধ্যে একজন সরকারি প্রোগ্রামার। বাকি চারজন জাতিসংঘের শিশু তহবিল (ইউনিসেফ) পরিচালিত একটি প্রকল্পের আওতায় কাজ করেন। সংস্থাটিতে নিবন্ধন রয়েছে ২৩ কোটি মানুষের (একেকজনের একাধিকবার থাকতে পারে।)

মূল্যায়নে বেরিয়ে আসে ‘দুর্বলতা’

সরকারের সাইবার নিরাপত্তা নিয়ে কাজ করে বাংলাদেশ কম্পিউটার কাউন্সিলের (বিসিসি) প্রকল্প বিজিডি ই-গভ সার্ট। এর প্রকল্প পরিচালক মো. সাইফুল আলম খান গতকাল প্রথম আলোকে সেই চিঠির কথা বলেন, যেটি তথ্য ফাঁস হওয়া প্রতিষ্ঠানকে দেওয়া হয়েছিল। তিনি বলেন, তাঁরা বিভিন্ন প্রতিষ্ঠানে তথ্যপ্রযুক্তি ব্যবস্থার ঝুঁকি চিহ্নিত করার পরীক্ষা চালান (ভিএপিটি বা ভালনারেবিলিটি অ্যাসেসমেন্ট অ্যান্ড পেনিট্রেশন টেস্ট)। এর অংশ হিসেবে সেই সংস্থার ঝুঁকি মূল্যায়ন করা হয়।

সার্ট বলছে, ঝুঁকিগুলো চিহ্নিত করে কিছু পরামর্শ দিয়ে গত ৮ জুন তাদের একটি চিঠিটি পাঠানো হয়। এতে জানানো হয়, সংস্থাটির ওয়েবসাইটের সাইবার নিরাপত্তাব্যবস্থা নাজুক। তবে এই চিঠির পরিপ্রেক্ষিতে তারা কী করেছে, সে সম্পর্কে সার্ট অবহিত নয়।

সার্টের এই চিঠি প্রসঙ্গে তথ্য ফাঁসের শিকার হওয়া সংস্থাটির প্রধান প্রথম আলোকে বলেন, সাইবার নিরাপত্তা সুসংহত করতে তিনি বিসিসির সহযোগিতা চেয়েছিলেন। কিন্তু যেভাবে ভিএপিটি করতে হয়, তারা সেভাবে করেনি। বিসিসি তাঁকে কিছু ছোট ও মাঝারি ধরনের ঝুঁকির কথা বলেছিল। সেই ঝুঁকি তাঁর সংস্থা সমাধান করেছে।

অবশ্য তথ্যপ্রযুক্তি প্রতিমন্ত্রী জুনাই্দ আহমেদ রোববার বলেছিলেন, সরকারি ওয়েবসাইটটিতে ন্যূনতম নিরাপত্তাব্যবস্থা ছিল না। তাই দায় এড়ানোর সুযোগ নেই। তিনি আরও বলেছিলেন, গুরুত্বপূর্ণ তথ্য পরিকাঠামোভুক্ত প্রতিষ্ঠানগুলোর সঙ্গে যোগাযোগ করা হয়, ই-মেইল করা হয়। দুঃখজনকভাবে কেউ কেউ জবাব দেয় না। নির্দেশনা অনুসরণ করে না।

এদিকে স্থানীয় সরকার, পল্লী উন্নয়ন ও সমবায় মন্ত্রণালয়ের অধীন। স্থানীয় সরকারমন্ত্রী মো. তাজুল ইসলাম রোববার প্রথম আলোকে বলেছিলেন, তিনি তথ্য ফাঁসের বিষয়টি জানেন না। জেনে সোমবার কথা বলতে পারবেন। গতকাল সন্ধ্যায় তিনি প্রথম আলোকে বলেন, তিনি কোন প্রতিষ্ঠানের তথ্য উন্মুক্ত ছিল, সে সম্পর্কে অবহিত নন। তাঁর অধীন প্রতিষ্ঠানগুলো তাঁকে নিশ্চিত করেছে, তাদের ব্যবস্থায় কোনো ত্রুটি ছিল না।

ভিক্টরের ই-মেইল ‘আসেনি’

ভিক্টর মারকোপোলোস দাবি করেছেন, তিনি তথ্য অরক্ষিত থাকার বিষয়টি জানিয়ে সরকারের কয়েকটি সংস্থাকে ই-মেইল করেন। অবশ্য সরকারি সংস্থাগুলো ই-মেইল পাওয়ার বিষয়টি অস্বীকার করেছে।

তথ্যপ্রযুক্তি প্রতিমন্ত্রী, তথ্য ফাঁসের শিকার হওয়া সংস্থা ও সার্ট গতকালও দাবি করেছে, তারা ই-মেইল পায়নি। ভিক্টর মারকোপোলোস প্রথম আলোকে দেওয়া সাক্ষাৎকারে বলেছেন, তিনি ই-মেইল করেছেন।

‘আসল কাজে খবর নেই’

চিঠি দেওয়ার পরও পদক্ষেপ না নেওয়া এবং ব্যক্তিগত তথ্য অরক্ষিত থাকার বিষয়ে টেলিযোগাযোগ বিষয়ে আঞ্চলিক গবেষণা সংস্থা লার্ন এশিয়ার জ্যেষ্ঠ পলিসি ফেলো আবু সাঈদ খান প্রথম আলোকে বলেন, ‘আমরা প্রশাসনিক সংস্কৃতিতে ডিজিটাল নিরাপত্তার বিষয়টিকে আত্মস্থ করতে বা ধারণ করতে চরমভাবে ব্যর্থ হয়েছি, এ ঘটনায় এটাই প্রতীয়মান হয়।’ তিনি বলেন, এর বদলে সরকার ডিজিটাল নিরাপত্তার নামে নিবর্তনমূলক ও অবাস্তব বিভিন্ন আইনকানুন করতে ব্যস্ত। আসল কাজের ক্ষেত্রে কোনো খবর নেই।