জাতীয় তথ্যভাণ্ডারে সংরক্ষিত থাকা লাখ লাখ বাংলাদেশির ব্যক্তিগত তথ্য ফাঁসের খবরে দেশজুড়ে এখন তোলপাড় চলছে। দেশের সরকারি একটি ওয়েবসাইট থেকে নাগরিকের ব্যক্তিগত তথ্য ফাঁসের খবরটি দিয়েছে একটি আমেরিকান ওয়েবসাইট। টেকক্রাঞ্চের ওই খবরে বলা হয়- বাংলাদেশি নাগরিকদের সম্পূর্ণ নাম, ফোন নম্বর, ইমেইল ঠিকানা এবং জাতীয় পরিচয়পত্র নম্বরসহ ব্যক্তিগত তথ্য উন্মুক্ত হয়ে আছে ইন্টারনেটে।
কারিগরি দুর্বলতায় সরকারি একটি সংস্থার ওয়েবসাইট থেকে ‘লাখ লাখ’ মানুষের তথ্য ফাঁসের ঘটনাটি ঘটেছে বলে স্বীকারও করেছেন তথ্যপ্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহমেদ পলক। তবে কোন ওয়েবসাইট থেকে ফাঁস হয়েছে, তা স্পষ্ট করেননি। তিন দিন গড়িয়ে গেলেও তথ্য ফাঁসের কারণ ও দায়ীদের চিহ্নিত করা যায়নি। সরকারের কম্পিউটার ইনসিডেন্ট রেসপন্স টিম জানিয়েছে, তারা বিষয়টি তদন্ত করে দেখছে।
তথ্যপ্রযুক্তি প্রতিমন্ত্রী (আইসিটি) জুনাইদ আহমেদ বলেছেন, সরকারি একটি সংস্থার ওয়েবসাইট থেকে ‘লাখ লাখ’ মানুষের তথ্য ফাঁসের ঘটনাটি ঘটেছে কারিগরি দুর্বলতায়। কেউ ওয়েবসাইটটি হ্যাক করেনি। এই দায় এড়ানোর সুযোগ নেই।
প্রতিমন্ত্রী বলেন, ‘ওই সিস্টেমটা (ওয়েবসাইট) নিজে থেকেই ঝুঁকিপূর্ণ ছিল। আমি সেই ওয়েবসাইটটির নাম নিতে চাই না। কিন্তু আমরা জেনেছি, এখানে একটা কারিগরি ত্রুটি ছিল। যার কারণে ওই তথ্যগুলো প্রকাশ্য হয়ে পড়ে। এটা সাইবার অপরাধী বা হ্যাকারদের দ্বারা আক্রান্ত হয়নি। সেখানে একটা কারিগরি ত্রুটি ছিল। যার কারণে যখন তারা কোনো একটা তথ্য যাচাইয়ের জন্য সেখানে ইনপুট দেওয়া হয়, এটা খুব সহজেই উন্মুক্ত হয়ে পড়ে।’
প্রতিমন্ত্রী বলেন, ‘আমি আমাদের ২৯টি সিআইআইকে জানালাম। আমি তাদের নিয়মিত মেইল করি, কল করি। কিন্তু তাদের কেউ কেউ দুর্ভাগ্যবশত ঠিকমতো রেসপন্স করেন না। তারা তথ্য সুরক্ষার গাইডলাইনগুলোও ঠিকমতো অনুসরণ করছেন না। যে কারণে কখনো কখনো এই ধরনের ঘটনা ঘটছে।
এদিকে নির্বাচন কমিশনের এনআইডি সার্ভার ‘সুরক্ষিত আছে’ বলে জানিয়েছেন জাতীয় পরিচয় নিবন্ধন অনুবিভাগের মহাপরিচালক একেএম হুমায়ূন কবীর। ইসির সার্ভার থেকে কোনো তথ্য ফাঁস হয়নি দাবি করে তিনি বলেছেন, ইসির কাছ থেকে ১৭১টি প্রতিষ্ঠান ও সংস্থা সেবা নিয়ে থাকে। সার্ভারের তথ্যাবলির ওপরে কোনো রকমের থ্রেট আসেনি। আমাদের সার্ভার
থেকে কোনো রকম তথ্য যায়নি। তারপরেও এই বিষয়ে কোনো ত্রুটিবিচ্যুতি পেলে, চুক্তিপত্র বরখেলাপ হলে তা বাতিল করব। তিনি বলেন, এনআইডি সার্ভার কোনো থ্রেটের মধ্যে নেই। ১৭১টি প্রতিষ্ঠান ও সংস্থা তথ্য নিয়ে থাকে। এসব প্রতিষ্ঠান ও সংস্থার সঙ্গে চুক্তি রয়েছে, তারা কোনো তথ্য সংরক্ষণ করে রাখতে পারবেন না।
তবে নাম না উল্লেখ করে ইসি বলছে, নিয়মের বাইরে গিয়ে একটি প্রতিষ্ঠান নাগরিকদের ব্যক্তিগত তথ্য সংরক্ষণ করেছে এবং তাদের ওয়েবসাইটে দুর্বলতা থাকায় সেসব তথ্য ফাঁস হয়েছে। স্থানীয় সরকার বিভাগের জন্ম ও মৃত্যুনিবন্ধন রেজিস্ট্রার জেনারেলের কার্যালয়ের সঙ্গে ইসির চুক্তি আছে বলে জানান এনআইডি অনুবিভাগের সিস্টেম ম্যানেজার মো. আশরাফ হোসেন।
একটি প্রতিষ্ঠানের ওয়েবসাইটে ভঙ্গুরতা থাকার কথা ইসি জানতে পেরেছে বলে জানান আইডিইএ-২ পর্যায় প্রকল্পের আইটি পরিচালক স্কোয়াড্রন লিডার সাদ ওয়ায়েজ তানভীর। তিনি বলেন, একটা সাইট যখন চালু করা হয়, তখন যে লিংক দেখা যায়, তার বাইরেও কিছু লিংক থাকে যা সাধারণ ব্যবহারকারীরা দেখতে পারেন না। কিন্তু স্ক্যান করে লিংকগুলো চিহ্নিত করা যায়। ওই লিংকগুলো চিহ্নিত করার মাধ্যমে ওইখানে তারা একটা স্ক্রিপ্ট চালায়, নাগরিক তথ্যগুলো তারা ওখান থেকে এক্সেস (প্রবেশ) করতে পেরেছে। আমরা ধারণা করছি যে পার্টনার সার্ভিসের সাইট থেকে (হ্যাকারেরা) এক্সেস নিয়েছে, তাদের ওখানে এই ডেটা সংরক্ষিত ছিল।
এদিকে ডিজিটাল নিরাপত্তা আইনের ১৫ নম্বর ধারা অনুযায়ী সরকারি ২৯টি প্রতিষ্ঠানকে গুরুত্বপূর্ণ তথ্য পরিকাঠামো (সিআইআই) হিসেবে ঘোষণা করে প্রজ্ঞাপন জারি করেছে সরকার। প্রতিমন্ত্রী পলক বলেন, সরকারি ২৯টি প্রতিষ্ঠানকে গুরুত্বপূর্ণ তথ্য পরিকাঠামো হিসেবে চিহ্নিত করি। এই ২৯টি প্রতিষ্ঠানের প্রজ্ঞাপনের তালিকা থেকে ২৭ নম্বর প্রতিষ্ঠানটি এ পরিস্থিতির মধ্যে পড়েছে। আমরা আগেই এই বিষয়টি শনাক্ত করেছিলাম। এই প্রতিষ্ঠানের ত্রুটিতে তথ্যগুলো উন্মুক্ত ছিল। যাদের গাফিলতিতে এ তথ্যগুলো উন্মুক্ত ছিল, তাদের বিরুদ্ধে শাস্তির সুপারিশ করব।
জানা গেছে, সরকারের প্রজ্ঞাপন অনুযায়ী, ২৭ নম্বর প্রতিষ্ঠান হচ্ছে রেজিস্ট্রার জেনারেলের কার্যালয় (জন্ম ও মৃত্যুনিবন্ধন)। তথ্য ফাঁসের ঘটনায় এরই মধ্যে প্রতিষ্ঠানটির দুর্বলতার দিকে ইঙ্গিত করছেন অনেকে।
বাংলাদেশ ইউনিভার্সিটি অব বিজনেস অ্যান্ড টেকনোলজির সহকারী অধ্যাপক ও সাইবার নিরাপত্তা বিশেষজ্ঞ তানভীর হাসান জোহা বলেন, নাগরিকের ফাঁস হওয়া যে কোনো ধরনের তথ্যই অপব্যবহার হতে পারে। এসব তথ্য দিয়ে কোনো অপরাধী অন্য কারও নামে ভার্চুয়াল অ্যাকাউন্ট খুলে ফেলতে পারে, সিম রেজিস্ট্রেশন করে সেগুলো দিয়ে অপরাধ করতে পারে। অপরাধীকে শনাক্ত করতে গেলে ওই নিরীহ সাধারণ নাগরিক ফেঁসে যেতে পারেন।
এ ছাড়া আরএনএ এবং ফিঙ্গারপ্রিন্টের মতো ডাটা ফাঁস হলে এটা উদ্বেগের ব্যাপার। এভাবে নাগরিকদের ডিজিটাল আইডেন্টিটিগুলো ফাঁস হলে অবৈধ লেনদেনেরও আশঙ্কা থাকে। তিনি আরও বলেন, বিষয়টি তদন্ত করে কারও অবহেলা পাওয়া গেলে তাদের বিরুদ্ধে ব্যবস্থা গ্রহণ করতে হবে। এই দায় সংশ্লিষ্টরা এড়াতে পারেন না।
সুপ্রিমকোর্টের আইনজীবী ব্যারিস্টার জ্যোতির্ময় বড়ুয়া বলেন, তথ্য সুরক্ষা নিয়ে এখন পর্যন্ত কোনো আইন নেই। আমরা আইনের একটি ড্রাফট হাতে নিয়েছি। এটা এখনো চূড়ান্ত হয়নি। তবে সংবিধানে ব্যক্তিগত তথ্যের গোপনীয়তা রক্ষার কথা বলা হয়েছে। সংরক্ষিত তথ্য ফাঁস করা হলে নাগরিকের সাংবিধানিক অধিকার খর্ব করা হয়। কেউ যদি মনে করেন, তিনি ব্যক্তিগতভাবে ক্ষতিগ্রস্ত হয়েছেন সেক্ষেত্রে তিনি সুপ্রিমকোর্টের সাইবার বিভাগে এসে মামলা করে ক্ষতিপূরণ দাবি করতে পারবেন।
এদিকে নাগরিকের ব্যক্তিগত তথ্য ফাঁস হওয়ার খবর প্রকাশ হওয়ার পর তদন্তে নামার কথা জানিয়েছে সরকারের কম্পিউটার ইনসিডেন্ট রেসপন্স টিম (বিজিডি ই-গভ. সার্ট)। শনিবার রাতে বিজিডি ই-গভ. সার্টের এক সংবাদ বিজ্ঞপ্তিতে বলা হয়, একটি আন্তর্জাতিক সংবাদমাধ্যমে বাংলাদেশের লাখ লাখ নাগরিকের তথ্য ফাঁসের খবর নজরে আসার পর এ বিষয়ে কাজ শুরু করে সার্ট টিম। পুরো বিষয় পুঙ্খানুপুঙ্খরূপে খতিয়ে দেখার উদ্যোগ নেওয়া হয়। এই তথ্য ফাঁসের ব্যাপকতা এবং এর প্রভাব কী হতে পারে, তা নিয়ে ব্যাপকমাত্রায় কাজ করা হয়।
পরিস্থিতি ঠিক করা, প্রয়োজনীয় সাইবার নিরাপত্তামূলক ব্যবস্থা গ্রহণ এবং ভবিষ্যতে এ ধরনের ঘটনা প্রতিরোধে সংশ্লিষ্টদের প্রতি একগুচ্ছ পরামর্শ দিয়েছে সার্ট। তারা বলেছে, ক্রমবর্ধমান সাইবার হুমকি মোকাবিলায় সক্ষমতা বাড়াতে হবে। গুরুত্বপূর্ণ সেবা, যেমন ডিএনএস, এনটিপি ও নেটওয়ার্ক মিডলবক্সগুলোর সুরক্ষা নিশ্চিতের পাশাপাশি এসব ইন্টারনেটে উন্মুক্ত নেই, তা নিশ্চিত করতে হবে।
এ ছাড়া সব গ্রাহক, ভোক্তা ও কর্মীদের জন্য সাইবার নিরাপত্তা বিষয়ে প্রয়োজনীয় তথ্য পাওয়ার সুযোগ নিশ্চিত করা ও তাদের প্রয়োজনীয় প্রশিক্ষণ দেওয়ার ব্যবস্থা করতে হবে। এটা করতে হবে, যাতে কোনো অসংগতি বা সন্দেহজনক কিছু চোখে পড়লে তা সংশ্লিষ্টদের জানাতে পারে। সার্বক্ষণিক নেটওয়ার্ক এবং ব্যবহারকারীদের কার্যক্রম তদারক করতে হবে। নিয়মিত সিস্টেমের দুর্বলতা পর্যালোচনা এবং অনুপ্রবেশ পরীক্ষা (ভিএপিটি) পরিচালনা করতে হবে। বিষয়টি নিয়ে জানতে চাইলে বিজিডি ই-গভ. সার্টের প্রকল্প পরিচালক মোহাম্মদ সাইফুল আলম খান বলেন, তারা বিষয়টি নিয়ে কাজ করছেন।
জানা গেছে, সার্ট বাংলাদেশের সাইবার নিরাপত্তা বৃদ্ধিতে বিভিন্ন সরকারি প্রতিষ্ঠান, যেমন ক্রিটিকাল ইনফরমেশন ইনফ্রাস্ট্রাকচার (সিআইআই), বিভিন্ন আর্থিক প্রতিষ্ঠান এবং আইনশৃঙ্খলা বাহিনী, সুশীল সমাজের সঙ্গে মিলে কাজ করে থাকে।
টেকক্রাঞ্চ লিখেছে, দক্ষিণ আফ্রিকাভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তাবিষয়ক প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপাওলোস এসব তথ্য ফাঁসের বিষয়গুলো দেখতে পান। মারকোপাওলোস জানিয়েছেন, গত ২৭ জুন হঠাৎ করেই তিনি ফাঁস হওয়া তথ্যগুলো দেখতে পান। এর কিছুক্ষণের মধ্যে তিনি বাংলাদেশ সরকারের কম্পিউটার ইনসিডেন্ট রেসপন্স টিমের (বিজিডি ই-গভ. সার্ট) সঙ্গে যোগাযোগ করেন।
মারকোপাওলোসের ভাষ্যমতে, বাংলাদেশের লাখ লাখ নাগরিকের তথ্য ফাঁস হয়েছে। তথ্য ফাঁস হওয়ার এ খবরটির সত্যতা যাচাই করেছে টেকক্রাঞ্চ। তারা বলছে, সংশ্লিষ্ট ওয়েবসাইটের একটি ‘পাবলিক সার্চ টুলে’ প্রশ্ন করার অংশটি ব্যবহার করে এ পরীক্ষা চালানো হয়েছে। এতে ফাঁস হওয়া ডেটাবেজের মধ্যে থাকা অন্য তথ্যগুলোও ওই ওয়েবসাইটে পাওয়া গেছে। যেমন নিবন্ধনের জন্য আবেদন করা ব্যক্তির নাম, কারও কারও বাবা-মায়ের নাম পাওয়া গেছে। ১০টি ভিন্ন ধরনের ডেটা ব্যবহার করে এ পরীক্ষা চালায় টেকক্রাঞ্চ।
সরকারের কোন ওয়েবসাইট থেকে তথ্য ফাঁস হয়েছে, তার নাম উল্লেখ করেনি টেকক্রাঞ্চ। কারণ, মারকোপাওলোস বলেছেন, তথ্যগুলো এখনো অনলাইনে সহজেই পাওয়া যাচ্ছে। তথ্য ফাঁসের কথা জানাতে এবং এ ব্যাপারে প্রতিক্রিয়া জানতে টেকক্রাঞ্চের পক্ষ থেকে বাংলাদেশের কয়েকটি সরকারি সংস্থাকে ইমেইল পাঠানো হয়েছিল। তবে কোনো সংস্থার কাছ থেকেই জবাব পাওয়া যায়নি।
এসএইচ-০২/১০/২৩ (অনলাইন ডেস্ক)