মতামত

রিজার্ভ চুরি থেকে তথ্য ফাঁস: ডিজিটাল নিরাপত্তা কেন এতটা দুর্বল?

বাংলাদেশ ব্যাংকের রিজার্ভ চুরির তদন্তে গঠিত ড. মোহাম্মদ ফরাসউদ্দিন কমিটির রিপোর্ট মতে (১৮ সেপ্টেম্বর ২০১৯ দৈনিক প্রথম আলো), বৈদেশিক মুদ্রার মজুত ব্যবস্থাপনার বড় ধরনের নিরাপত্তা দুর্বলতার সুযোগ নিয়েছেন সাইবার অপরাধীরা। সুইফট সার্ভারের সঙ্গে স্থানীয় নেটওয়ার্ক জুড়ে দিয়ে খোদ কেন্দ্রীয় ব্যাংকই রক্ষিত বৈদেশিক মুদ্রার রিজার্ভের নিরাপত্তাব্যবস্থা অরক্ষিত রেখেছিল। গোপন সংকেত বা পাসওয়ার্ড নির্দিষ্ট দিনপর মেয়াদোত্তীর্ণ করে পুনরায় নবায়নের ব্যবস্থা ছিল না।

প্রতিবেদন মতে, বাংলাদেশ ব্যাংকের অদক্ষতা ও অবহেলায় রিজার্ভের অর্থ চুরি হয়েছে। তথ্যপ্রযুক্তি ব্যবহারে তাড়াহুড়ো, ব্যাক-অফিসে গান শোনা, জন্মদিনের অনুষ্ঠান আয়োজন, আড্ডা দেওয়া, ফেসবুকে চ্যাটিং, কম্পিউটারে গেম খেলা, গোপনীয় পাসওয়ার্ড শেয়ার করা ইত্যাদিতে জনসাধারণের সম্পদ সংরক্ষণে গাফিলতি, খামখেয়ালি ও অদক্ষতার ছাপ স্পষ্ট ছিল। সুইফটের বিশেষজ্ঞ প্রতিনিধি রেড্ডি ও অথরেশ আরটিজিএসের সঙ্গে সুইফটের সংযোগ প্রক্রিয়া চালানোর নির্দেশাবলিও কেন্দ্রীয় ব্যাংকের কারও কাছে হস্তান্তর করেননি। সংযুক্তির প্রাথমিক পর্যায়ে কারিগরি অসুবিধা দেখা দিলে ভিপিএন (ভার্চ্যুয়াল প্রাইভেট নেটওয়ার্ক) সংযোগকালে সুইফটের অ্যান্টি-ভাইরাস অকার্যকর করতে না পেরে শেষ পর্যন্ত নিরাপত্তাব্যবস্থাই পুরোপুরি বন্ধ করে দেন।

সুইফট সার্ভার সর্বক্ষণ অন বা খোলা রাখার জন্য হার্ডওয়্যার সিকিউরিটি মডিউল বা এইচএসএম কার্ড কখনো সরানো যাবে না বলেও নির্দেশ দিয়েছেন, যা সুইফট সার্ভারকে সারাক্ষণ চালু বা লাইভ রাখার ক্ষেত্রে বড় ভূমিকা রাখে। কার্ডটি বিযুক্ত করা থাকলে কোনোক্রমেই ৪ ফেব্রুয়ারি বার্তা পাঠিয়ে রিজার্ভের অর্থ চুরি করা সম্ভব হতো না। ২০১৫ সালের নভেম্বরে আরটিজিএস এর কাজে আসা সুইফট প্রতিনিধি এম নিলাভান্নান কাজ করেছেন একজন যুগ্ম পরিচালক ও একজন উপপরিচালকের আইডি ও পাসওয়ার্ড ব্যবহার করে। তদন্ত কমিটির মতে, নিলাভান্নান আইডি ও পাসওয়ার্ড মুখস্থ বা কপি করে নিতে পারেন।

অর্থাৎ ডিজিটাল ক্রেডিনশিয়াল ম্যানেজমেন্টে বাংলাদেশ ব্যাংক অগ্রহণযোগ্য অপেশাদারি, কারিগরি অযোগ্যতা এবং দায়িত্ব পালনের হীনম্মন্যতা প্রকাশ পেয়েছে। অবাক করার বিষয় হচ্ছে, বিষয়গুলোয় এত বছর পরও কোনো উন্নতি আসেনি। বরং অযোগ্য সাপ্লায়ারকে কাজ দেওয়া এবং লজ্জাজনক আইটি ব্যবস্থাপনার সংস্কৃতি সর্বত্র ছড়িয়ে পড়েছে। বাংলাদেশে আজও ব্যক্তিগত নিরাপত্তা সুরক্ষার জন্য আন্তর্জাতিক মানসম্পন্ন আইন তৈরি হয়নি। উপাত্ত সুরক্ষা আইনের খসড়ায় ডিজিটাল নিরাপত্তার কালো আইন বা ডিএসএর ‘ছায়া’ রেখে নিরাপত্তার বদলে ভীতির সঞ্চার করা হয়েছে।

প্রস্তাবিত আইনের ব্যক্তিগত ও কোম্পানি তথ্যের ওপর সরকারের নিয়ন্ত্রণ এতটাই ভীতিকর যে জাতিসংঘ ১০ ধরনের আপত্তি জানিয়েছে। এমনকি নতুন খসড়ায়ও উদ্বেগজনক ধারা রয়ে গেছে, উপাত্ত সুরক্ষা সংস্থার মহাপরিচালক উপাত্ত সরবরাহ করার নির্দেশ দিতে পারবেন যা পালন করতেই হবে, অন্যথায় ব্যক্তি ও কোম্পানি-সংশ্লিষ্টদের জেল ও জরিমানার বিধান আছে। বাংলাদেশ সরকারের দেশের ডিজিটাল বিপ্লবের পরতে পরতে জড়িয়ে তথ্য ফাঁস, ব্যক্তিগত গোপনীয়তা লঙ্ঘন, আর্থিক গোপনীয়তা লঙ্ঘন ও তথ্য-উপাত্তের নিরাপত্তা ঝুঁকি!

বাংলাদেশ সরকারের বিরুদ্ধে সোশ্যাল মিডিয়া আইডি হ্যাক, সিম ক্লোনিং, ইমো, হোয়াটসঅ্যাপ, মেসেঞ্জারসহ মুঠোফোনে আড়িপাতার দীর্ঘ অভিযোগ আছে। জানুয়ারিতে স্বয়ং স্বরাষ্ট্রমন্ত্রী সংসদে জানিয়েছেন, ‘ইন্টারনেটে সামাজিক যোগাযোগমাধ্যম মনিটরিংয়ের (নজরদারি) মাধ্যমে দেশ ও সরকারবিরোধী বিভিন্ন কার্যক্রম বন্ধে এনটিএমসিতে (ন্যাশনাল টেলিকমিউনিকেশন মনিটরিং সেন্টার) ওপেন সোর্স ইন্টেলিজেন্স টেকনোলজির (ওএসআইএনটি) মতো আধুনিক প্রযুক্তি সংযোজিত হয়েছে। একই সঙ্গে একটি ইন্টিগ্রেটেড ল’ফুল ইন্টারসেপশন সিস্টেম (আইনসম্মতভাবে মুঠোফোন ও ইন্টারনেট মাধ্যমে যোগাযোগে আড়িপাতার ব্যবস্থা) চালু করার উদ্যোগ নেওয়া হয়েছে।’

সম্প্রতি দক্ষিণ আফ্রিকাভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তা সমাধান দাতা প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপাওলোস দেখিয়েছেন, বাংলাদেশ সরকারের একটি সংবেদশীল ওয়েবসাইটে দেশের অনেক নাগরিকের নাম, ফোন নম্বর, ই-মেইল ঠিকানা, জাতীয় পরিচিতি নম্বরসহ বিভিন্ন ব্যক্তিগত তথ্য অরক্ষিত আছে এবং ফাঁস হয়েছে। ভিক্টর বাংলাদেশ সরকারের সাইবার নিরাপত্তা ঝুঁকিবিষয়ক রেসপন্স টিমের (বিজিডি ই-গর্ভ সার্ট, বাংলাদেশ ই-গভর্নমেন্ট কম্পিউটার ইনসিডেন্ট রেসপন্স টিম) সঙ্গে যোগাযোগ করে কোনো রেসপন্স পাননি। পরে এই খবর প্রকাশ করে যুক্তরাষ্ট্রের অনলাইন সংবাদমাধ্যম টেকক্রাঞ্চ। তথ্য ফাঁসের বিষয়ে জানতে সরকারের প্রেস অফিস, ওয়াশিংটন ডিসিতে অবস্থিত বাংলাদেশ দূতাবাস এবং নিউইয়র্ক সিটিতে বাংলাদেশি কনস্যুলেটের সঙ্গে যোগাযোগ করে  টেকক্রাঞ্চও কোনো সাড়া পায়নি।

বাংলাদেশ সরকারের সাইবার নিরাপত্তা ঝুঁকিবিষয়ক রেসপন্স টিমের এমন খামখেয়ালি এবং অপেশাদার আচরণ বেশ অবাক করে। রাত-দিন হরদম ‘ডিজিটাল বাংলাদেশ’ বুলি আওড়ানো সরকারের ডিজিটাল নিরাপত্তা যে কতটুকু অরক্ষিত, সেটা এই ঘটনার মাধ্যমে তা প্রকাশ পেয়েছে। দুর্বল সাইবার নিরাপত্তা এবং খামখেয়ালিপূর্ণ মানহীন ব্যবস্থাপনায় বাংলাদেশে নাগরিক এবং সরকারের তথ্য ফাঁস কিংবা সাইবার আক্রমণ উদ্বেগজনকভাবে তীব্র হয়েছে।

ভিক্টর টেকক্রাঞ্চকে বলেন, গুগলে সার্চ করার সময় ফাঁস হওয়া তথ্যগুলো আপনা-আপনিই হাজির হয়েছে। তথ্যগুলো খোঁজার কোনো চেষ্টা তিনি করেননি। গুগলে একটি এসকিউএল এরর সার্চ করার সময় দ্বিতীয় ফলাফল হিসেবে এগুলো হাজির হয়। (এসকিউএল ডেটাবেজ থেকে তথ্য পড়ার একটি প্রোগ্রামিং ভাষা)। ব্যক্তিগত ও সংবেদনশীল তথ্য হিসেবে ব্যক্তির ই-মেইল ঠিকানা, ফোন নম্বর এবং জাতীয় পরিচিতি নম্বর ফাঁস হওয়াটা বেশ ঝুঁকির। ওয়েব অ্যাপ্লিকেশনে ঢোকা, অ্যাপ্লিকেশনগুলো মডিফাই বা ডিলিট করাসহ জন্মনিবন্ধনের রেকর্ড ফাঁস হওয়ায়, এখন এ তথ্যগুলো ব্যবহারের ঝুঁকি তৈরি হয়েছে, কেননা, এর সঠিকতা ও স্বচ্ছতা প্রশ্নবিদ্ধ হয়ে পড়েছে।

অনিরাপদ আইটি অবকাঠামো এবং ভঙ্গুর ডিজিটাল সিকিউরিটির এই সমস্যা দেশে ক্রমাগত চলছে। নিরাপত্তা ঠিক না থাকায় সম্প্রতি ‘ডিস্ট্রিবিউটেড ডিনায়াল অব সার্ভিস (DDoS)’ আক্রমণ হয়েছে। এর মাধ্যমে সার্ভারকে ইন্টারনেট ট্র্যাফিক দিয়ে প্লাবিত করে যাতে ব্যবহারকারীদের সংযুক্ত অনলাইন পরিষেবা এবং সাইটগুলোতে প্রবেশে বাধা দেওয়া হয়। পাশাপাশি BDRIS ফাঁসের ঘটনা ঘটেছে, যা আরও ভয়ংকর, কারণ, এতে সংবেদনশীল, ব্যক্তিগত তথ্য এবং সরকারি তথ্য জনগণের সামনে উন্মোচিত হচ্ছে। এই মুহূর্তে বাংলাদেশ কৃষি ব্যাংকের সার্ভার একটি র‍্যানসমওয়্যারের দ্বারা আক্রমণের মুখে রয়েছে, যা কোর ব্যাংকিং সিস্টেমকে এনক্রিপ্ট করেছে। কিছুদিন আগেই বাংলাদেশ বিমানের সাইট ও সার্ভার হ্যাক হয়েছে। এর আগে করদাতাদের তথ্যও বেহাত হয়েছে। অর্থাৎ ডিজিটাল নিরাপত্তা ঝুঁকি দেশের আইটি অবকাঠামোর প্রায় সর্বত্র।

গতকাল ১১ জুলাই নির্বাচন কমিশনের এনআইডি ওয়েবসার্ভার (ptd.gv.bd), ডাক ও টেলিযোগাযোগ বিভাগের ওয়েবসাইট (ptd.gov.bd) ‘নট সিকিউরড’ পাওয়া গেছে। অর্থাৎ সাইট দুটিতে এসএসএল নিরাপত্তা বিধান করা হয়নি। কিছু সরকারি সাইটের সার্টিফিকেশন নন-এপ্রুভুড অথোরিটি থেকে নেওয়া অর্থাৎ রুট সার্টিফিকেট প্রদানকারী কর্তৃপক্ষ থেকে নেওয়া হয়নি। অথচ সার্টিফিকেশনে সরকারের সঙ্গে ‘বিশেষ গোষ্ঠীর’ মালিকানাধীন কোম্পানির চুক্তি রয়েছে, কোম্পানিগুলো অর্থ নিচ্ছে কিন্তু কাজ করছে না।

ভিক্টর মারকোপাওলোস এবং টেকক্রাঞ্চ বলছে, বাংলাদেশের নিরাপত্তা ঝুঁকিপূর্ণ সরকারি ওয়েবসাইটের একটি ‘পাবলিক সার্চ টুলে’ প্রশ্ন করার অংশে পরীক্ষা চালিয়ে ফাঁস হওয়া ডেটাবেজের মধ্যে থাকা অন্য তথ্যগুলোও ওই ওয়েবসাইটে পাওয়া গেছে। নিবন্ধনের জন্য আবেদন করা ব্যক্তির নাম, কারও কারও মা-বাবার নাম পাওয়া গেছে।

১০টি ভিন্ন ধরনের ডেটা ব্যবহার করে এ পরীক্ষা চালায় টেকক্রাঞ্চ। এর মাধ্যমে প্রমাণিত হচ্ছে যে ডেটাবেজের ফ্রন্ট ও ব্যাক সার্ভারের ফায়ারওয়াল কাজ করছে না। এটা একেবারে অগ্রহণযোগ্য। ঘটনার পর জাতীয় এনআইডি সার্ভারের নিরাপত্তা ঝুঁকি নেই দাবি করা হলেও বাংলাদেশে অন্য অনেক প্রতিষ্ঠান ব্যক্তিগত গোপনীয় তথ্য ই-কেওয়াইসি করে। অর্থাৎ জন্মনিবন্ধন, গাড়ি চালানোর লাইসেন্স, পাসপোর্ট, জমি বেচাকেনা, ব্যাংক অ্যাকাউন্ট খোলা, মুঠোফোন সিম ক্রয়, নিবন্ধনসহ বিভিন্ন সেবা নেওয়ার তথ্যশালা এই মুহূর্তে তথ্য ঝুঁকিপূর্ণ।

বাংলাদেশ ন্যাশনাল ডিজিটাল আর্কিটেকচার সাইটে গিয়ে অ্যাপ্লিকেশন, ফ্রন্ট ডেটাবেজ, ব্যাক এনআইডি ডেটাবেজ, আর্কিটেকচার বাস, এপিআই কমিউনিকেশন ফ্লো ইত্যাদি আর্কিটেকচার উন্মুক্ত করে রাখা হয়েছে, যেটা পুরোপুরি অগ্রহণযোগ্য। এসব তথ্য সংবেদনশীল এবং গোপনীয় থাকার কথা।

লেখক ব্যক্তিগতভাবে ডিপার্টমেন্টাল অ্যাপগুলোর ব্যবস্থাপকদের কয়েকজনের সঙ্গে আলাপে জেনেছেন যে ফান্ড-সংকট এবং খামখেয়ালির কারণে সরকারের ‘ডিপার্টমেন্টাল অ্যাপ্লিকেশন’ যেমন জন্মনিবন্ধন, এনবিআর, পাসপোর্ট বিভাগের সফটওয়্যার অ্যাপ এবং ‘স্কিম অ্যাপ্লিকেশন’ যেমন ব্যাংকিং ও টেলিকমের ই-কেওয়াইসি ইত্যাদি অ্যাপগুলোর অধিকাংশই হালনাগাদ করা নেই। সফটওয়্যার ভার্সন অনেক পুরোনো যেখানে অনেক ‘ক্রিটিক্যাল সিকিউরিটি থ্রেট’ বা জটিল নিরাপত্তা ঝুঁকি রয়েছে।

অর্থাৎ ফার্মওয়্যার আপডেট এবং সফটওয়্যার আপগ্রেড উভয়েই বাকি। আপগ্রেড এবং আপডেট না থাকায় অনেক জায়গায় ‘সিকিউরিটি ব্রেচ’ বা লিক রয়ে গেছে। ‘লোকাল ডিবি’ এবং ‘সেন্ট্রাল ডিবি’ এই দুয়ের মধ্যকার ফায়ারওয়াল এবং অ্যাপ্লিকেশনগুলোর ভিভিএন সংযোগ নিরাপত্তার দিক থেকে সেকেলে ও দুর্বল। অ্যাপ সার্ভার ও ওয়েব সার্ভারের কোডিং লিকে ঢুকে ‘এপিআই কল’ করে ফ্রন্ট ডেটাবেজ, এমনকি সেন্ট্রাল ডেটাবেজে এক্সেস করা যাচ্ছে। একটা দেশের আইটি ব্যবস্থাপনার এমন দশা সত্যি চরম হতাশাজনক।

  • ফয়েজ আহমদ তৈয়্যব টেকসই উন্নয়নবিষয়ক লেখক। সিনিয়র সফটওয়্যার আর্কিটেক্ট, ভোডাফোন জিজ্ঞো নেদারল্যান্ডস। গ্রন্থকার: চতুর্থ শিল্পবিপ্লব ও বাংলাদেশ; বাংলাদেশ: অর্থনীতির ৫০ বছর; অপ্রতিরোধ্য উন্নয়নের অভাবিত কথামালা; বাংলাদেশের পানি, পরিবেশ ও বর্জ্য। ই-মেইল: faiz.taiyeb@gmail.com