'নিরাপত্তা দুর্বলতা ও অবহেলার কারণেই তথ্য ফাঁস হচ্ছে'
১৪ জুলাই ২০২৩
ডয়চে ভেলে : সম্প্রতি যে বিপুল সংখ্যক মানুষের তথ্য উন্মুক্ত হওয়ার খবর সামনে এল, এটা কী আসলে কারিগরি দুর্বলতা নাকি অন্যকিছু?
সুমন আহমেদ সাবির : যে কর্তৃপক্ষের মাধ্যমে আমরা খবরটি পেয়েছি, সেটা দেখে মনে হচ্ছে- এখানে বড় ধরনের একটা কারিগরি দুর্বলতা ছিল। এখন প্রশ্ন হচ্ছে কারিগরি দুর্বলতা কেন থাকল? একটা হতে পারে, তারা হয়ত বুঝতেই পারেননি এই ডাটাবেজটা কতটা গুরুত্বপূর্ণ। এই ধরনের একটা স্পর্শকাতর ডাটাবেজ কোন ধরনের প্রোটেকশন ছাড়া, সিকিউরিটি ছাড়া করা উচিৎ না। আরেকটি হতে পারে- যারা এটার ডিজাইন করেছেন তারা সিকিউরিটির বিষয়টি একেবারেই অবহেলা করেছেন। না হলে এটা এভাবে হওয়ার কথা না।
এই দুর্বলতার কথা তো সংশ্লিষ্ট প্রতিষ্ঠানকে ‘বাংলাদেশ ই-গভর্নমেন্ট কম্পিউটার ইন্সিডেন্ট রেসপন্স টিম'(বিজিডি ই-গভ সার্ট) নাকি আগেই জানিয়েছিল। তাহলে তারা ব্যবস্থা নেয়নি কেন?
তারা হয়ত গুরুত্বটা বোঝেইনি। যে এই দুর্বলতা খুঁজে পেয়েছে সে তো কয়েকদফা ই-মেইল করে জানিয়েছে। কিন্তু কেউ তাতে সাড়া দেয়নি। তার মানে ব্যাপারটাকে আমরা একেবারেই গুরুত্ব দিইনি। কাজেই যারা এর দায়িত্বে ছিলেন তারা এর গুরুত্ব বোঝেননি, অথবা তারা একেবারেই অবহেলা করেছেন। এই দুইয়ের বাইরে অন্য কিছু হওয়ার সম্ভাবনা খুবই কম।
আইসিটি প্রতিমন্ত্রী দাবি করেছেন, জন্ম নিবন্ধন ওয়েবসাইট থেকেই এই তথ্য উন্মুক্ত হয়েছে। কিন্তু রেজিস্ট্রার জেনারেল বলছেন, তাদের ওয়েবসাইট অত্যন্ত সুরক্ষিত। এখানে থেকে তথ্য উন্মুক্ত হয়নি। এই ঠেলাঠেলিতে দায়িত্বে অবহেলার বিষয়টি কি আড়ালেই থেকে যাবে?
আসলে ওঁরা যেটা বলছেন তার উপর নির্ভর করেই তো আমরা কথা বলছি। এখানে একজনের উপর আরেকজন দায় না চাপিয়ে একটা নিরপেক্ষ ও পূর্ণাঙ্গ তদন্ত হওয়া প্রয়োজন। যেটা আসলে মূল সমস্যাটা চিহ্নিত করবে। নিশ্চিতভাবেই এখানে সুশাসনের অভাব ছিল। নিশ্চিতভাবেই প্রাথমিক পরিকল্পনা ও তথ্যের জায়গায় গ্যাপ ছিল। এবং সেইসঙ্গে আমি যদি এনআইডি কর্তৃপক্ষের কথা বলি, তারাও যখন কাউকে তাদের ডাটাবেজে প্রবেশাধিকার দিচ্ছেন, তার সমন্ধেও তাদের জানা উচিত। দেখে, বুঝে এটা দেওয়া উচিত। এক্ষেত্রে তারাও অবহেলা করছেন বলে আমার মনে হয়। কাজেই এখানে সাময়িকভাবে অনেকের ব্যর্থতা আসে। আগে কি হয়েছে সেটা না ভেবে এখন যে মূল জিনিসটা দেখা দরকার সেটা হচ্ছে, এই গ্যাপগুলো চিহ্নিত করা এবং সেগুলো বন্ধ করা। একইসঙ্গে ভবিষ্যতে যাতে এই ধরনের ঘটনা না ঘটে তার জন্যে নিয়মিত মনিটরিং এবং যথাযথ আপগ্রেড যেন যথাসময়ে করা হয়। তাহলে ভবিষ্যতে হয়ত আমরা এই ধরনের ঘটনা থেকে রেহাই পাব। আর দ্বিতীয় যে বিষয়টা এখানে দেখা উচিৎ কারো যদি কোন অবহেলা থাকে বা ইচ্ছাকৃত ত্রুটি থাকে তাহলে তার বিরুদ্ধে আইনগত একটা ব্যবস্থা নেওয়া খুবই জরুরি।
কিছুদিন পরপর বাংলাদেশের বিভিন্ন সরকারি দপ্তরের ওয়েবসাইট হ্যাক হয়, আবার সেটা উদ্ধারও করা হচ্ছে। এই পরিস্থিতি থেকে উত্তরণের পথ কী?
মূল জায়গাটা হল, আমরা অনেক ধরনের সেবা নতুন করে যোগ করছি। কিন্তু আমরা চিন্তা করছি না, এর ফলে কী কী ঝুঁকি তৈরি হচ্ছে। সেগুলোকে আগে চিহ্নিত করা এবং প্রতিরোধের ব্যবস্থা করেই সেই সেবাটি শুরু করা উচিত এখানে প্রতিরোধের ব্যবস্থাটি হতে হবে, যে ধরনের ডেটা সেখানে থাকছে তার গুরুত্ব বিবেচনায়। সেগুলোর আর্থিক গুরুত্ব কত? সামাজিক বা রাজনৈতিক গুরুত্ব কত? সেই মাত্রায় নিরাপত্তার ব্যবস্থা করতে হবে। নানা কথা বলা হচ্ছে, কিন্তু যেভাবে যতটা নিরাপত্তার ব্যবস্থা করা দরকার সেটা করা হচ্ছে না। এই জায়গায় আমাদের পরিকল্পনাগত ত্রুটি প্রথমেই থেকে যাচ্ছে। এটা ঠিক না হলে কখনই এর থেকে বের হওয়া যাবে না। অনেকবারই আমরা বিপদে পড়েছি, কিন্তু সেই জায়গা থেকে বের হয়ে সঠিকভাবে পরিচালনার জায়গায় পৌঁছতে পারছি না।
আমরা তো ডিজিটাল বাংলাদেশ থেকে স্মার্ট বাংলাদেশের দিকে যাচ্ছি। অনেক কিছুই ডিজিটাল করে ফেলেছি। কিন্তু সুরক্ষার ব্যবস্থা কতটুকু হয়েছে?
এটা তো বলাই বাহুল্য। গত তিন বছরের চিত্র যদি আমি দেখি, যতগুলো দুর্ঘটনা ঘটেছে, যত ধরনের দুর্ঘটনা ঘটেছে তাতে আসলে প্রতিটি সেক্টরেই অনেক অনেক নিরাপত্তাজনিত দুর্বলতা রয়ে গেছে। কাজেই এই সিকিউরিটির জায়গাটাতে যতটা গুরুত্বের সঙ্গে নেওয়া উচিত তার জন্য যে প্রয়োজনীয় বাজেট বরাদ্দ, তার জন্যে দক্ষ জনশক্তির ব্যবস্থা করা, যারা এটা নিরাপত্তাবিধান করবেন এর প্রতিটি জায়গায় একটা গ্যাপ রয়ে গেছে। আমরা সবাই ভাবছি, আমার কিছু হবে না, আমি নিরাপদ থাকব। এই অদ্ভুত আত্মবিশ্বাস থেকে হয়ত আমরা এই কাজ করে যাচ্ছি দিনের পর দিন।
যাদের তথ্য উন্মুক্ত হয়েছে তারা কী ধরনের ক্ষতির মুখে পড়তে পারেন?
এনআইডির যে তথ্য উন্মুক্ত হয়েছে, সেখানে প্রত্যেকটি মানুষের ব্যক্তিগত তথ্য রয়েছে। এই তথ্য হয়ত অনেকের কাছে পৌঁছে গেছে। এখানে যে সমস্যা হতে পারে, ব্যক্তিগত এই তথ্য ব্যবহার করে বিভিন্ন মানুষকে প্রতারণার শিকার করা যেতে পারে। একজন আরেকজনের পরিচয় ব্যবহার করে তার কোনো তথ্য বেহাত করতে পারেন। তার সোশ্যাল মিডিয়া একাউন্ট হোক, ব্যাংকিং একাউন্ট হোক, মোবাইল ব্যাংকিং অ্যাকাউন্ট হোক বা অন্য কোন ডিজিটাল সেবার ক্ষেত্রে কেউ তার নাম ব্যবহার করে প্রতারণা করতে পারেন। এমন হতে পারে কারও নাম ব্যবহার করে কেউ ঋণ নিয়ে ফেলতে পারে। এই জাতীয় ঘটনাগুলো ঘটতে পারে।এই ধরনের প্রতারণার একটা সম্ভাবনা তৈরি হয়েছে আমি বলব। এখন যেটা করা যেতে পারে কারও নামে কোন তথ্য আসলে সেটা তিনি নিজে করেছেন কিনা সেটা গুরুত্বের সঙ্গে নিতে হবে। একটা উদাহরণ দেই, অনেক সময় আমাদের কাছে মেইল আসে আপনি ফেসবুকের পাসওয়ার্ড পরিবর্তন করেছেন কিনা? এটা যদি আপনি করে থাকেন তাহলে কিছু করার দরকার নেই, কিন্তু যদি আপনি না করে থাকেন তাহলে রিপোর্ট করুন। এমন কোন ঘটনা নজরে এলে দ্রুত ব্যবস্থা নিতে হবে। আরেকটা জিনিস খুব গুরুত্বপূর্ণ। যারা ডিজিটাল সেবা দিচ্ছেন, সেটা আর্থিক হোক, সোশ্যাল মিডিয়া হোক, ই-কমার্স হোক বা যে কোন সেবাই হোক, তাদের একটা জিনিস চিন্তা করতে হবে, তারা তো এই তথ্যগুলোর উপর নির্ভর করে একজন মানুষকে শনাক্ত করেন। ফলে তাদের এই তথ্যগুলোর বাইরে অন্য কোন তথ্য দিয়ে ব্যবহারকারী চিহ্নিত করা সম্ভব কিনা? তা যদি না থাকে তাহলে শনাক্তকরণ সিস্টেমে পরিবর্তন আনতে হবে। একটু আধুনিকায়ন করতে হবে, নতুন কোন তথ্য সংযোজন করতে হবে। যাতে ব্যবহারকারীরা প্রতারিত না হন।
সরকারি দপ্তরের অবহেলায় কারও তথ্য যদি উন্মুক্ত হয়ে যায় এবং তিনি ক্ষতির শিকার হন তাহলে এখানে ক্ষতিপূরণের ব্যবস্থা কী?
এখন পর্যন্ত এমন কোন ঘটনা ঘটেছে কিনা তা আমি শুনিনি। তবে আমাদের যে ডিজিটাল নিরাপত্তা আইন আছে তাতে ক্ষতিগ্রস্থ ব্যক্তি অবশ্যই ক্ষতিপূরণ দাবি করতে পারেন।
কেউ কি চাইলে আইনগত ব্যবস্থা নিতে পারেন?
হ্যাঁ নেওয়ার সুযোগ আছে। আমাদের দেশের আইনে মামলা করারও সুযোগ আছে। তবে এখন পর্যন্ত মামলার কোন উদাহরণ আমরা দেখিনি। এমনকি ক্ষতিপূরণের কোন ঘটনাও আমরা দেখিনি। তবে আইনে সুযোগ আছে।
এবারের যে ঘটনাটি সেটা কি সরকারকে বেকায়দায় ফেলতে ষড়যন্ত্র হতে পারে? নাকি স্বাভাবিক একটা ঘটনা, সবকিছু পর্যালোচনা করে আপনার কী মনে হচ্ছে?
এখানে তেমন কোন ঘটনা রয়েছে বলে আমার মনে হয়নি। এখানে মূল বিষয়টাই আমার মনে হয়েছে যে, সঠিক পরিকল্পনার অভাব অথবা অবহেলা।