বেটা
জুলাই ১১, ২০২৩, ০২:৫৮ পিএম
ফাইল ছবি
সরকারি যে সংস্থার ওয়েবসাইট থেকে ‘লাখ লাখ মানুষের ব্যক্তিগত তথ্য ফাঁস’ হয়েছে, সেটিকে আগেই সতর্ক করেছিল সরকারের সাইবার নিরাপত্তা নিয়ে কর্মরত বাংলাদেশ কম্পিউটার কাউন্সিলের (বিসিসি) প্রকল্প বিজিডি ই-গভ সার্টের কর্মীরা। গত ৮ জুন নিরাপত্তার ঘাটতির কথা জানিয়ে সংস্থাটিকে চিঠিও দেওয়া হয়েছিল। তারপরও সুরক্ষাব্যবস্থা নেওয়া হয়নি।
সতর্ক করার পরও পদক্ষেপ না নেওয়ার কারণেই গত ২৭ জুন ব্যক্তিগত তথ্যগুলো অরক্ষিত থাকার বিষয়টি দেখতে পান দক্ষিণ আফ্রিকাভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তাবিষয়ক প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপোলোস।
৭ জুলাই বাংলাদেশে সরকারি সংস্থার ওয়েবসাইট থেকে লাখ লাখ মানুষের তথ্য ফাঁস হওয়ার খবর জানায় তথ্যপ্রযুক্তির খবর দেওয়া মার্কিন অনলাইন সংবাদমাধ্যম টেকক্রাঞ্চ। তারা অবশ্য তখন নিরাপত্তার জন্য সংস্থা বা ওয়েবসাইটের নাম প্রকাশ করেনি। বাংলাদেশে তথ্যপ্রযুক্তি বিভাগও নামটি বলেনি।
এদিকে তথ্য ফাঁসের খবরের পর সরকারি পর্যায়ে বিষয়টি নিয়ে ব্যাপক তোড়জোড় শুরু হয়েছে। সোমবার ২৯টি গুরুত্বপূর্ণ তথ্য পরিকাঠামো প্রতিষ্ঠানকে নিয়ে বৈঠক করেছে তথ্যপ্রযুক্তি (আইসিটি) বিভাগ। বৈঠকে তথ্যপ্রযুক্তি বিভাগের পক্ষ থেকে সাইবার নিরাপত্তা নিশ্চিতে কী কী করণীয়, তা বলা হয়। আর প্রতিষ্ঠানগুলো তাদের সক্ষমতা কতটুকু, সমস্যা কোথায়, তা তুলে ধরেছে।
নতুন গঠিত কমিটি দুটিতে তথ্যপ্রযুক্তি বিভাগ, সরকারের সাইবার নিরাপত্তা দল, ডিজিটাল নিরাপত্তা এজেন্সি, গোয়েন্দা সংস্থা, পুলিশসহ বিভিন্ন সংস্থার প্রতিনিধিরা থাকবেন। তথ্যপ্রযুক্তি বিভাগ বলছে, কমিটিকে ৭ দিনের মধ্যে তদন্ত প্রতিবেদন দিতে বলা হয়েছে। সেই প্রতিবেদন ১০ দিনের মধ্যে উচ্চপর্যায়ে পেশ করা হবে। সংক্ষিপ্তসার তুলে ধরা হবে গণমাধ্যমেও।
ভিক্টর মারকোপোলোস বলেন, তাঁর পর্যালোচনা অনুযায়ী প্রায় পাঁচ কোটি মানুষের তথ্য ফাঁস হয়েছে। বিষয়টি নিয়ে জানতে চাইলে সংস্থাপ্রধান বলেন, ‘কোটি কোটি তথ্য ফাঁসের কোনো প্রমাণ আমরা পাইনি। তথ্য চুরিও হয়নি, হ্যাকিংও হয়নি। কিছু তথ্য শুধু দেখা যাচ্ছে।’
সরকারি সংস্থার ওয়েবসাইটগুলো সাধারণত চাহিদা অনুযায়ী তৈরি করে দেয় আইসিটি বিভাগের প্রকল্প এটুআই (অ্যাসপায়ার টু ইনোভেট)। ব্যক্তিগত তথ্য অরক্ষিত থাকা সংস্থাটি ওয়েবসাইট তৈরি করিয়েছিল একটি বেসরকারি প্রতিষ্ঠানকে দিয়ে।
যে সংস্থার তথ্য ফাঁস হয়েছে, সেটি স্থানীয় সরকার, পল্লী উন্নয়ন ও সমবায় মন্ত্রণালয়ের অধীন। সংস্থাটিও এ নিয়ে গত দুদিন কোনো কথা বলেনি। সংস্থাটির প্রধান কর্মকর্তা তথ্য ফাঁস হওয়ার বিষয়টি মানতে চাননি।
সংস্থাপ্রধান বলেন, সংস্থাটির আইসিটি শাখায় পাঁচজন কর্মী রয়েছেন। এর মধ্যে একজন সরকারি প্রোগ্রামার। বাকি চারজন জাতিসংঘের শিশু তহবিল (ইউনিসেফ) পরিচালিত একটি প্রকল্পের আওতায় কাজ করেন। সংস্থাটিতে নিবন্ধন রয়েছে ২৩ কোটি মানুষের (একেকজনের একাধিকবার থাকতে পারে।)
তথ্য ফাঁস হওয়া প্রতিষ্ঠানকে চিঠি দেয়া প্রসঙ্গে বিজিডি ই-গভ সার্ট-এর প্রকল্প পরিচালক মো. সাইফুল আলম খান বলেন, তাঁরা বিভিন্ন প্রতিষ্ঠানে তথ্যপ্রযুক্তি ব্যবস্থার ঝুঁকি চিহ্নিত করার পরীক্ষা চালান (ভিএপিটি বা ভালনারেবিলিটি অ্যাসেসমেন্ট অ্যান্ড পেনিট্রেশন টেস্ট)। এর অংশ হিসেবে সেই সংস্থার ঝুঁকি মূল্যায়ন করা হয়।
সার্ট বলছে, ঝুঁকিগুলো চিহ্নিত করে কিছু পরামর্শ দিয়ে গত ৮ জুন তাদের একটি চিঠিটি পাঠানো হয়। এতে জানানো হয়, সংস্থাটির ওয়েবসাইটের সাইবার নিরাপত্তাব্যবস্থা নাজুক। তবে এই চিঠির পরিপ্রেক্ষিতে তারা কী করেছে, সে সম্পর্কে সার্ট অবহিত নয়।
সার্টের এই চিঠি প্রসঙ্গে তথ্য ফাঁসের শিকার হওয়া সংস্থাটির প্রধান বলেন, সাইবার নিরাপত্তা সুসংহত করতে তিনি বিসিসির সহযোগিতা চেয়েছিলেন। কিন্তু যেভাবে ভিএপিটি করতে হয়, তারা সেভাবে করেনি। বিসিসি তাঁকে কিছু ছোট ও মাঝারি ধরনের ঝুঁকির কথা বলেছিল। সেই ঝুঁকি তাঁর সংস্থা সমাধান করেছে।
চিঠি দেওয়ার পরও পদক্ষেপ না নেওয়া এবং ব্যক্তিগত তথ্য অরক্ষিত থাকার বিষয়ে টেলিযোগাযোগ বিষয়ে আঞ্চলিক গবেষণা সংস্থা লার্ন এশিয়ার জ্যেষ্ঠ পলিসি ফেলো আবু সাঈদ খান বলেন, ‘আমরা প্রশাসনিক সংস্কৃতিতে ডিজিটাল নিরাপত্তার বিষয়টিকে আত্মস্থ করতে বা ধারণ করতে চরমভাবে ব্যর্থ হয়েছি, এ ঘটনায় এটাই প্রতীয়মান হয়।’ তিনি বলেন, এর বদলে সরকার ডিজিটাল নিরাপত্তার নামে নিবর্তনমূলক ও অবাস্তব বিভিন্ন আইনকানুন করতে ব্যস্ত। আসল কাজের ক্ষেত্রে কোনো খবর নেই।
অবশ্য তথ্যপ্রযুক্তি প্রতিমন্ত্রী জুনাই্দ আহমেদ বলেছিলেন, সরকারি ওয়েবসাইটটিতে ন্যূনতম নিরাপত্তাব্যবস্থা ছিল না। তাই দায় এড়ানোর সুযোগ নেই। তিনি আরও বলেছিলেন, গুরুত্বপূর্ণ তথ্য পরিকাঠামোভুক্ত প্রতিষ্ঠানগুলোর সঙ্গে যোগাযোগ করা হয়, ই-মেইল করা হয়। দুঃখজনকভাবে কেউ কেউ জবাব দেয় না। নির্দেশনা অনুসরণ করে না।
স্থানীয় সরকারমন্ত্রী মো. তাজুল ইসলাম বলেন, তিনি কোন প্রতিষ্ঠানের তথ্য উন্মুক্ত ছিল, সে সম্পর্কে অবহিত নন। তাঁর অধীন প্রতিষ্ঠানগুলো তাঁকে নিশ্চিত করেছে, তাদের ব্যবস্থায় কোনো ত্রুটি ছিল না।
ভিক্টর মারকোপোলোস দাবি করেছেন, তিনি তথ্য অরক্ষিত থাকার বিষয়টি জানিয়ে সরকারের কয়েকটি সংস্থাকে ই-মেইল করেন। অবশ্য সরকারি সংস্থাগুলো ই-মেইল পাওয়ার বিষয়টি অস্বীকার করেছে।
তথ্যপ্রযুক্তি প্রতিমন্ত্রী, তথ্য ফাঁসের শিকার হওয়া সংস্থা ও সার্ট গতকালও দাবি করেছে, তারা ই-মেইল পায়নি। ভিক্টর মারকোপোলোস বলেছেন, তিনি ই-মেইল করেছেন।
