শাহীন রহমান: কারিগরি ত্রুটির কারণে একটি সরকারি সংস্থার ওয়বসাইট থেকেই নাগরিকের ব্যক্তিগত তথ্য ফাঁস হয়েছে। এটি কেউ হ্যাক করেনি বলে জানিয়েছে তথ্য ও প্রযুক্তি প্রতিমন্ত্রী (আইসিটি) জুনাইদ আহমেদ। কোন সংস্থা থেকে এসব তথ্য ফাঁস হয়েছে তা তিনি বলেননি। তবে উল্লেখ করেছেন ডিজিটাল নিরাপত্তা আইনের অধীন গত বছরের অক্টোবরে ২৯টি প্রতিষ্ঠানকে ‘গুরুত্বপূর্ণ তথ্য পরিকাঠামো’ হিসেবে ঘোষণা করা হয়েছে। এই তালিকায় থাকা ২৭ নম্বর প্রতিষ্ঠান থেকে মানুষের ব্যক্তিগত তথ্য ফাঁস হয়।
খোঁজ নিয়ে জানা গেছে, সরকারের ঘোষণা করা ২৯টি গুরুত্বপূর্ণ তথ্য পরিকাঠামোর মধ্যে ২৭ নম্বরে রয়েছে জন্ম ও মৃত্যু নিবন্ধনের রেজিস্ট্রার জেনারেল কার্যালয়। অর্থাৎ ফাঁস হওয়া তথ্যগুলো স্থানীয় সরকার মন্ত্রণালয়ের অধীনে মানুষের জন্মনিবন্ধনের ওয়েবসাইট থেকে ফাঁস হয়েছে বলে ধারণা করা হচ্ছে।
তবে নির্বাচন কমিশনের অতিরিক্ত সচিব অশোক কুমার দেবনাথ জানান, প্রাথমিকভাবে দুটি ওয়েবসাইটকে চিহ্নিত করা হয়েছে, যেখান থেকে তথ্য ফাঁস হয়েছে। এই দুটি ওয়েবসাইটের মধ্যে রয়েছে জন্ম ও মৃত্যুনিবন্ধন এবং ভূমি মন্ত্রণালয়ের সার্ভার। তারা তাদের তথ্যগুলো ‘ওপেন’ রাখার কারণেই এমনটা হয়েছে।
তিনি বলেন, প্রায় ১২ কোটি ভোটারের নাগরিক তথ্য সংবলিত এনআইডি সার্ভার ‘অত্যন্ত সুরক্ষিত'। তবে এনআইডির ১৭১টি পার্টনার সার্ভিস আছে, যারা এনআইডি সার্ভারের অ্যাক্সেস পায়। এই পার্টনার সার্ভিস থেকে তথ্য ফাঁস হয়েছে। সরকারি তথ্য ভার্চুয়াল প্রাইভেট নেটওয়ার্ক বা ভিপিএন সার্ভারে থাকে। যাদেরকে এসব তথ্যের অ্যাক্সেস দেয়া হয়, তারা এই ভিপিএন কানেকশনের মাধ্যমে এনআইডি সার্ভার থেকে তথ্য নিতে পারে।
তিনি বলেন, এসব তথ্য তারা সরাসরি গুগল বা কোনো ওপেন সোর্স থেকে পাবে না। এনআইডি সার্ভার থেকে তথ্য নেয়ার পরে এই দুটি পার্টনার সার্ভিস, তাদের তথ্য তারা ওপেন রাখার কারণেই তথ্য ফাঁস হয়েছে। এ কারণে আগামী ১৩ জুলাই সব পার্টনার সার্ভিস সহযোগী সংস্থাকে নিয়ে জরুরি বৈঠক ডেকেছে নির্বাচন কমিশন।
যুক্তরাষ্ট্রের তথ্যপ্রযুক্তিভিত্তিক অনলাইন সংবাদমাধ্যম টেকক্রাঞ্চ ৭ জুলাই এক প্রতিবেদনে জানায়, বাংলাদেশে একটি সরকারি সংস্থার ওয়েবসাইটের মাধ্যমে লাখ লাখ মানুষের তথ্য ফাঁস হয়েছে। কোন ওয়েবসাইট, তা নিরাপত্তার জন্য তারা প্রকাশ করেনি। সাইবার নিরাপত্তা নিয়ে কাজ করা বাংলাদেশ কম্পিউটার কাউন্সিলের প্রকল্প বিজিডি ই-গভ সার্ট বিষয়টি নিয়ে গত শনিবার রাতে এক বিজ্ঞপ্তিতে বলেছে, একটি আন্তর্জাতিক সংবাদমাধ্যমে বাংলাদেশের লাখ লাখ নাগরিকের ব্যক্তিগত তথ্য ফাঁসের খবর নজরে আসার পর এ বিষয়ে কাজ শুরু করে সার্ট টিম। পুরো বিষয়টি পুঙ্খানুপুঙ্খরূপে খতিয়ে দেখার উদ্যোগ নেয়া হয়। এই তথ্য ফাঁসের ব্যাপকতা এবং এর প্রভাব কী হতে পারে, তা নিয়ে ব্যাপক মাত্রায় কাজ করা হয়।
তবে এ বিষয়ে সাইবার নিরাপত্তা বিশেষজ্ঞরা বলছেন, ব্যক্তিগত তথ্য ফাঁস হলে একজন নাগরিক যেকোনো সময় আর্থিক ও সামাজিকভাবে ক্ষতিগ্রস্ত হতে পারেন। বাংলাদেশ ইউনিভার্সিটি অব বিজনেস অ্যান্ড টেকনোলজির সহকারী অধ্যাপক ও সাইবার নিরাপত্তা বিশেষজ্ঞ তানভীর হাসান জোহা বলেছেন, নাগরিকের ফাঁস হওয়া যেকোনো ধরনের তথ্যই অপব্যবহার হতে পারে।
এসব তথ্য দিয়ে কোনো অপরাধী অন্য কারো নামে ভার্চুয়াল অ্যাকাউন্ট খুলে ফেলতে পারে, সিম রেজিস্ট্রেশন করে সেগুলো দিয়ে অপরাধ করতে পারে। অপরাধীকে শনাক্ত করতে গেলে ওই নিরীহ সাধারণ নাগরিক ফেঁসে যেতে পারেন। এছাড়া আরএনএ এবং ফিঙ্গারপ্রিন্টের মতো ডাটা ফাঁস হলে এটা উদ্বেগের বিষয়। এভাবে নাগরিকদের ডিজিটাল আইডেন্টিটিগুলো ফাঁস হলে অবৈধ লেনদেনেরও আশঙ্কা থাকে।
এদিকে তথ্য ফাঁসের বিষয়ে স্বরাষ্ট্রমন্ত্রী আসাদুজ্জামান খান কামাল বলেছেন, নাগরিকদের ব্যক্তিগত তথ্য ফাঁসের সঙ্গে যদি কেউ জড়িত থাকে বা সহায়তা করে, তবে তার বিরুদ্ধে আইনি ব্যবস্থা নেয়া হবে। কাউকে ছাড় দেয়া হবে না। বিষয়টি নিয়ে আইনশৃঙ্খলা বাহিনী কাজ করার মতো কোনো উপাদান এখনো হাতে পায়নি। আমাদের সাইবার ইউনিট এ বিষয়ে কাজ করছে। আগে দেখতে হবে কী ফাঁস হয়েছে। সেগুলো বের করে নিরাপত্তা ব্যবস্থা আরো জোরদার করা হবে।
এদিকে সরকারি ওয়েবসাইট থেকে লাখ লাখ নাগরিকের গোপন ও ব্যক্তিগত তথ্য ফাঁসের ঘটনায় তদন্তে নেমেছে র্যাপিড অ্যাকশন ব্যাটালিয়ন (র্যাব)।
র্যাব জানিয়েছে, কোন প্রতিষ্ঠান থেকে তথ্য ফাঁস হয়েছে, প্রাতিষ্ঠানিক দুর্বলতার সুযোগে হ্যাক করে তথ্য হাতিয়ে নেয়া হয়েছে কিনা, নাকি ইচ্ছাকৃতভাবে তথ্য পাচার করা হয়েছে এসব বিষয় তদন্ত করে দেখা হচ্ছে। র্যাব সদর দপ্তরের লিগ্যাল অ্যান্ড মিডিয়া উইংয়ের পরিচালক কমান্ডার খন্দকার আল মঈন বলেন, আমরা এ বিষয়ে কাজ করছি। পুলিশ ও র্যাবসহ আইনশৃঙ্খলা বাহিনীর সব সাইবার টিম সমন্বিতভাবে বিষয়টি তদন্ত করছে। তদন্তে তথ্য ফাঁসের বিষয়ে আমলযোগ্য অগ্রগতির আগে কিছু বলা যাচ্ছে না।
তিনি বলেন, বিভিন্ন প্রতিষ্ঠানের সংরক্ষিত তথ্য এক জায়গায় পাওয়া গেছে। তথ্যগুলো যে কোথা থেকে কীভাবে এলো তা এখন পর্যন্ত বোধগম্য নয়। সেটাই জানার চেষ্টা করছি। তথ্যটি এনআইডি থেকে ফাঁস হয়েছে নাকি লোকাল কোনো সার্ভার থেকে হয়েছে আমরা তা জানার চেষ্টা করছি। তথ্য কীভাবে ফাঁস হয়েছে, সার্ভার হ্যাক হয়েছিল কিনা, নাকি সার্ভারের দুর্বলতা ছিল, নাকি কেউ কাউকে ইচ্ছাকৃতভাবে তথ্য দিয়েছে আমরা সেসব জানতে কাজ করছি।
এদিকে জাতীয় পরিচয়পত্র নিবন্ধন অনুবিভাগ থেকে কোনো নাগরিকের তথ্য ফাঁস হয়নি বলে জানিয়েছে প্রতিষ্ঠানটি। নির্বাচন কমিশনের অধীনে থাকা এনআইডি সার্ভার সুরক্ষিত আছে বলে জানিয়েছেন সংস্থাটির মহাপরিচালক এ কে এম হুমায়ূন কবীর। রোববার দুপুরে রাজধানীর আগারগাঁওয়ে নির্বাচন ভবনের মিডিয়া সেন্টারে এনআইডির সিকিউরিটি বিষয়ে সংবাদ সম্মেলনে তিনি এ কথা জানান।
মহাপরিচালক বলেন, ‘আমাদের কাছ থেকে ১৭১টি প্রতিষ্ঠান ও সংস্থা সেবা নেয়। আমাদের সার্ভারের তথ্যের ওপর কোনো রকমের থ্রেট আসেনি। আমাদের সার্ভার থেকে কোনো তথ্য যায়নি। তারপরেও কোনো ত্রুটি-বিচ্যুতি পেলে চুক্তিপত্র বরখেলাপ হলে তা বাতিল করা হবে
তিনি বলেন, এখন পর্যন্ত আমাদের ডাটা সেন্টার ও ম্যানেজমেন্টে কোনো সমস্যা হচ্ছে না। আমাদের সার্ভারে এখনো অ্যাবনর্মাল হিট নজরে আসেনি। এখান থেকে তথ্য ফাঁস হয়নি। ইসির সার্ভার সুরক্ষিত রয়েছে। তারপরও সার্ভারের অধিকতর সুরক্ষা নিশ্চিত করার জন্য আইসিটি বিশেষজ্ঞদের পরামর্শ নেয়া হবে। আমরা ওয়াসা ও বিদ্যুৎ বিল দিয়ে থাকি। ওদের পোর্টাল অরক্ষিত থাকলে কিছু তথ্য লিক হতে পারে। এমন কিছু হয়েছে কিনা, খতিয়ে দেখছি।
সংবাদ সম্মেলনে জানানো হয়, এনআইডি সার্ভার থ্রেটের মধ্যে নেই। এনআইডি একটা পৃথক সাইট। আমাদের কাছ থেকে ১৭১টি প্রতিষ্ঠান ও সংস্থা তথ্য নিয়ে থাকে। এসব প্রতিষ্ঠান ও সংস্থার সঙ্গে আমাদের চুক্তি আছে যে, তারা কোনো তথ্য সংরক্ষণ করে রাখতে পারবেন। তাই তাদের কোটি কোটি ডাটা নেয়ার কোনো সুযোগ নেই। সার্ভার পাবলিক প্রপার্টি নয়, এটা নিজস্ব সম্পদ। এখানে কেউ কিছু লিখতে পারে না।
এনআইডি সিকিউরিটি নিশ্চিত করতে আমরা কাজ করছি। নিয়মিত মনিটরিং করি কী পরিমাণ হিট আসছে। ১৭১টি পার্টনার সার্ভিস সিকিউরভাবে কাজ করছে। তথ্য ফাঁসের সংবাদের বিষয়ে তারা বলেন, ‘সংবাদ দেখার পর আমরা বিষয়টি নিয়ে কাজ শুরু করেছি। এখানে একটা সাইট দুর্বল পাওয়া গেছে। মাথাব্যথা হলে কাটব না। এটা সমাধান করব, যেন নাগরিক সেবা ঝুঁকিপূর্ণ না হয়।’
এদিকে তথ্য ফাঁসের বিষয় নিয়ে রোববার সংবাদিকদের সঙ্গে কথা বলেন তথ্যপ্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহমেদ পলক। আগারগাঁওয়ে বঙ্গবন্ধু ইন্টারন্যাশনাল সাইবার অ্যাওয়ারনেস অ্যাওয়ার্ড অনুষ্ঠানে তিনি বলেন, যে ওয়েবসাইটটার তথ্যগুলো পাবলিক হয়ে গেছে, সেখানে ন্যূনতম যে সিকিউরিটি সার্টিফিকেট নেয়ার কথা ছিল সেটাও ছিল না এবং এপিআইটা যেটা ক্রিয়েট করা হয়েছে, সেখান থেকে ইচ্ছা করলেই কেউ তথ্যগুলো দেখতে পারছে।
এর জন্য কোনো বিশেষভাবে সাইবার হ্যাকার-ক্রিমিনাল এটা হ্যাক করেছে বা তথ্যটা চুরি করে নিয়ে গেছে এ রকম এখন পর্যন্ত তদন্তে পাইনি। আমরা যেটা পেয়েছি, আমাদের সরকারের ওয়েবসাইটটিতে কিছু টেকনিক্যাল দুর্বলতা ছিল। যার ফলে খুব সহজেই দেখা যাচ্ছিল, পড়া যাচ্ছিল এবং সবার জন্য, বলতে গেলে প্রায় উন্মুক্ত ছিল। এটা আমাদের জন্য খুবই দুঃখজনক।
তিনি আরো বলেন, খবরটি জানার পরে আমরা এটির তদন্ত করি। সেখানে আমরা দেখেছি যে, এটি আসলে টেকনিক্যাল ফল্ট। এটিকে ঠিক হ্যাকিং বলা মুশকিল। এক প্রশ্নের জবাবে তিনি বলেন, ‘আমরা অবশ্যই এটার ব্যবস্থা নেব। আমাদের ২৯টি ক্রিটিক্যাল ইনফরমেশন ইনফ্রাস্ট্রাকচার ঘোষণা করেছিলাম। ধাপে ধাপে এটার সংখ্যা বাড়ছে। সংশ্লিষ্ট প্রতিষ্ঠানের গাফিলতি আছে কিনা জানতে চাইলে ডাক, টেলিযোগাযোগ ও তথ্যপ্রযুক্তি প্রতিমন্ত্রী বলেন, ‘অবশ্যই গাফিলতি আছে। যারা এখানে দায়িত্বে অবহেলা করেছে তাদের বিরুদ্ধে সংশ্লিষ্ট মন্ত্রণালয় শক্ত ব্যবস্থা নেবে।’
গত ৭ জুলাই দক্ষিণ আফ্রিকাভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তাবিষয়ক প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপাওলোস দাবি করেন, বাংলাদেশ সরকারের একটি ওয়েবসাইট থেকে দেশের অনেক নাগরিকের নাম, ফোন নম্বর, ই-মেইল ঠিকানা ও জাতীয় পরিচিতি নম্বরসহ বিভিন্ন ব্যক্তিগত তথ্য ফাঁস হয়েছে।
তিনি বলেন, গত ২৭ জুন হঠাৎ করেই তিনি ফাঁস হওয়া তথ্যগুলো দেখতে পান। এর কিছুক্ষণের মধ্যে তিনি বাংলাদেশ সরকারের কম্পিউটার ইনসিডেন্ট রেসপন্স টিমের (বিজিডি ই-গভ সার্ট) সঙ্গে যোগাযোগ করেন। তথ্য ফাঁস হওয়ার এ খবরটির সত্যতা যাচাই করে তথ্যপ্রযুক্তির খবর দেয়া যুক্তরাষ্ট্রের অনলাইন সংবাদমাধ্যম টেকক্রাঞ্চ।
গুরুত্বপূর্ণ তথ্য পরিকাঠামো: সরকারি ২৯টি প্রতিষ্ঠানকে গুরুত্বপূর্ণ তথ্য পরিকাঠামো হিসেবে ঘোষণা করে ২০২২ সালের ২ অক্টোবর প্রজ্ঞাপন জারি করে তথ্য ও যোগাযোগ প্রযুক্তি বিভাগ। প্রতিষ্ঠানগুলো হলো রাষ্ট্রপতির কার্যালয়, প্রধানমন্ত্রীর কার্যালয়, বাংলাদেশ ব্যাংক, জাতীয় রাজস্ব বোর্ড, বাংলাদেশ ডেটা সেন্টার কোম্পানি লিমিটেড, সেতু বিভাগ, ইমিগ্রেশন ও পাসপোর্ট অধিদপ্তর, জাতীয় ডাটা সেন্টার (বাংলাদেশ কম্পিউটার কাউন্সিল), বাংলাদেশ টেলিযোগাযোগ নিয়ন্ত্রণ কমিশন, জাতীয় পরিচয় নিবন্ধন অনুবিভাগ (নির্বাচন কমিশন সচিবালয়), সেন্ট্রাল প্রকিউরমেন্ট টেকনিক্যাল ইউনিট, সোনালী ব্যাংক, অগ্রণী ব্যাংক, জনতা ব্যাংক, রূপালী ব্যাংক, রূপপুর পারমাণবিক বিদ্যুৎকেন্দ্র স্থাপন প্রকল্প, বিমান বাংলাদেশ এয়ারলাইনস, ইমিগ্রেশন পুলিশ, বাংলাদেশ টেলিকমিউনিকেশন কোম্পানি লিমিটেড, বাংলাদেশ বিদ্যুৎ উন্নয়ন বোর্ড, পাওয়ার গ্রিড কোম্পানি অব বাংলাদেশ, তিতাস গ্যাস ট্রান্সমিশন অ্যান্ড ডিস্ট্রিবিউশন কোম্পানি লিমিটেড, সেন্ট্রাল ডিপজিটরি বাংলাদেশ লিমিটেড, বঙ্গবন্ধু স্যাটেলাইট কোম্পানি লিমিটেড, বাংলাদেশ সিকিউরিটিজ অ্যান্ড এক্সচেঞ্জ কমিশন, সিভিল এভিয়েশন অথরিটি বাংলাদেশ, রেজিস্ট্রার জেনারেল কার্যালয় (জন্ম ও মৃত্যুনিবন্ধন), ঢাকা স্টক এক্সচেঞ্জ ও চট্টগ্রাম স্টক এক্সচেঞ্জ। এই তালিকায় ২৭ নম্বরে রয়েছে জন্ম ও মৃত্যু নিবন্ধনের রেজিস্ট্রার জেনারেল কার্যালয়। আইসিটি প্রতিমন্ত্রী নাম না বললেও ২৭ নম্বরটির কথা উল্লেখ করেছেন।
গুরুত্বপূর্ণ তথ্য পরিকাঠামো ঘোষণার সময় আইসিটি বিভাগের কর্মকর্তারা জানিয়েছিলেন, এসব ইনফ্রাস্ট্রাকচার যদি সাইবার হামলার শিকার হয়, তাহলে অনেক মানুষ ক্ষতিগ্রস্ত হতে পারেন, বেশি সংখ্যক তথ্য ও অর্থের ক্ষতি হতে পারে এবং যেগুলো জাতীয় নিরাপত্তার জন্য হুমকি। সব বিষয় বিবেচনায় রেখে ২৯টি প্রতিষ্ঠানকে গুরুত্বপূর্ণ তথ্য পরিকাঠামো হিসেবে ঘোষণা করা হয়েছে।
ডিজিটাল নিরাপত্তা আইন-২০১৮ এর ১৫ ধারায় বলা আছে, সরকারি গেজেটে প্রজ্ঞাপন দ্বারা কোনো কম্পিউটার সিস্টেম, নেটওয়ার্ক বা তথ্য পরিকাঠামোকে গুরুত্বপূর্ণ তথ্য পরিকাঠমো হিসাবে ঘোষণা করতে পারবে সরকার। এ সংক্রান্ত আইনে সর্বোচ্চ যাবজ্জীবন কারাদন্ড বা অনধিক পাঁচ কোটি টাকা অর্থদন্ডে বা উভয় দন্ডে দন্ডিত করার বিধান রাখা হয়েছে।
ভোরের আকাশ/নি