প্রতিনিধি ৭ এপ্রিল ২০২৩ , ১:৩৭:২৭ প্রিন্ট সংস্করণ
মাজহারুল ইসলাম।।দেশের সাইবারজগৎ নিরাপদ রাখাসহ গুরুত্বপূর্ণ প্রতিষ্ঠানের সাইবার নিরাপত্তা জোরদারে আইনটিতে যেসব ধারা বা বিধানের উল্লেখ আছে,তা প্রয়োগে সংশ্লিষ্ট ব্যক্তিদের আগ্রহ কম থাকার বিষয়টি খোদ সরকারি সংস্থার প্রতিবেদনেই উঠে এসেছে।আইন অনুযায়ী,পরিকাঠামোভুক্ত প্রতিষ্ঠানগুলোর সাইবারঝুঁকি নিরূপণ করে প্রতিবেদন দেওয়ার কথা।কিন্তু এ ব্যাপারে প্রতিষ্ঠানগুলোর আগ্রহ কম।
এ ছাড়া সাইবার নিরাপত্তার বিষয়গুলো তত্ত্বাবধানকারী সংস্থাটি এখনো পুরোপুরিভাবে গড়ে ওঠেনি।
মন্ত্রিসভা থেকেই নির্দেশ এসেছিল,সাইবার নিরাপত্তায় জোর দিতে হবে।সাইবার নিরাপত্তায় সরকার গুরুত্বপূর্ণ তথ্য পরিকাঠামোর তালিকা প্রকাশ করে।কিন্তু তালিকা প্রকাশের ছয় মাসের মাথায় এ পরিকাঠামোর একটি প্রতিষ্ঠান সাইবার হামলার শিকার হয়।
আপত্তি সত্ত্বেও ২০১৮ সালে সরকার ‘ডিজিটাল নিরাপত্তা আইন’ কার্যকর করে।এ আইনে দেশের সাইবার নিরাপত্তার কাঠামো কেমন হবে,সাইবার নিরাপত্তায় কোন সংস্থা কী কাজ করবে,সেসব বিষয়ে বলা আছে।কিন্তু আইনটির সবচেয়ে বেশি প্রয়োগ দেখা গেছে ভিন্নমত দমনে।
বাংলাদেশে বড় ধরনের সাইবার হামলার ঘটনা ঘটে ২০১৬ সালে ফেব্রুয়ারিতে।সে সময় হ্যাকিংয়ের মাধ্যমে বাংলাদেশ ব্যাংকের রিজার্ভ থেকে ৮ কোটি ১০ লাখ ডলার চুরি হয়। মূলত তারপরই সরকার সাইবার নিরাপত্তা নিয়ে নড়েচড়ে বসে। ডিজিটাল নিরাপত্তা আইনের অধীন জাতীয় ডিজিটাল নিরাপত্তা কাউন্সিলও গঠিত হয়।এ ছাড়া গত বছরের ডিসেম্বরে মন্ত্রিসভার বৈঠকে সাইবার নিরাপত্তায় আরও জোর দেওয়ার নির্দেশনা দেওয়া হয়।পাশাপাশি মন্ত্রিসভা জাতীয় তথ্যভান্ডারের নিরাপত্তার বিষয়টি গুরুত্ব দিয়ে দেখার জন্য বলে।
ডিজিটাল নিরাপত্তা আইনে ‘গুরুত্বপূর্ণ তথ্য পরিকাঠামো’ ঘোষণার কথা বলা আছে।সরকার গত বছরের অক্টোবরে ২৯টি প্রতিষ্ঠানকে ‘গুরুত্বপূর্ণ তথ্য পরিকাঠামো’ হিসেবে ঘোষণা করে তালিকা দেয়।
আইনটি বলা আছে,গুরুত্বপূর্ণ তথ্য পরিকাঠামোভুক্ত প্রতিষ্ঠানগুলো অভ্যন্তরীণ-বহিস্থ পরিকাঠামো পরিবীক্ষণ করে সরকারকে একটি প্রতিবেদন দেবে।তারা ডিজিটাল নিরাপত্তা আইনের অধীন গঠিত ডিজিটাল নিরাপত্তা এজেন্সির মহাপরিচালককেও তা জানাবে।
আইনটির বিধিমালায় বলা আছে,গুরুত্বপূর্ণ তথ্য পরিকাঠামোগুলো প্রতি দুই বছর অন্তর বা বিশেষ পরিস্থিতিতে ডিজিটাল নিরাপত্তাসংক্রান্ত ঝুঁকি নিরূপণের জন্য নিরীক্ষা করবে।নিরীক্ষার প্রতিবেদন তারা ডিজিটাল নিরাপত্তা এজেন্সির মহাপরিচালককে পাঠাবে।
ডিজিটাল নিরাপত্তা এজেন্সির গত দুই অর্থবছরের বার্ষিক প্রতিবেদন থেকে জানা যায়,২০২০-২১ অর্থবছরে ৩টি গুরুত্বপূর্ণ তথ্য পরিকাঠামোসহ মোট ৮টি নিরীক্ষা কার্যক্রম সম্পন্ন হয়।পরের অর্থবছরে (২০২১-২২) গুরুত্বপূর্ণ তথ্য পরিকাঠামোর দুটি নিরীক্ষা হয়।
এজেন্সির মহাপরিচালক আবু সাঈদ মো. কামরুজ্জামান গত ২৭ মার্চ বলেন,তিনি চলতি বছরের জানুয়ারিতে এ পদে যোগ দিয়েছেন।এ সময়ের মধ্যে কোনো নিরীক্ষা প্রতিবেদন এজেন্সিতে জমা পড়েনি।সাইবার নিরাপত্তা নিয়ে কাজ করা সরকারি প্রকল্প বিজিডি ই-গভ সার্ট তার সক্ষমতা অনুযায়ী নিরীক্ষা কার্যক্রম করছে।এজেন্সি পূর্ণ জনবল পেলে এবং জাতীয় কম্পিউটার ইমার্জেন্সি রেসপন্স টিম (এনসার্ট) গঠিত হলে তখন ডিজিটাল নিরাপত্তা আইনের পূর্ণ প্রয়োগ সম্ভব হবে।
ডিজিটাল নিরাপত্তা আইনে এনসার্ট’ গঠনের কথা বলা আছে। কিন্তু এখনো তা গঠন করা হয়নি।সরকারের তথ্য ও যোগাযোগ প্রযুক্তি (আইসিটি) বিভাগের সংস্থা বাংলাদেশ কম্পিউটার কাউন্সিলের প্রকল্প ‘বিজিডি ই-গভ সার্ট’ আপাতত সরকারের অনুমোদন সাপেক্ষে ‘এনসার্ট’ হিসেবে কাজ করছে।
বিজিডি ই-গভ সার্ট তার কার্যক্রমের অংশ হিসেবে সাইবার নিরাপত্তাসংক্রান্ত সতর্কবার্তা নিয়মিত বিভিন্ন সংস্থা-প্রতিষ্ঠানে পাঠিয়ে থাকে।২০২০-২১ অর্থবছরে তারা ১১টি তথ্য পরিকাঠামোতে ৯০টি ‘সাইবার সেন্সর’ প্রতিবেদন বা সতর্কবার্তা পাঠায়।২০২১-২২ অর্থবছরে ১১টি তথ্য পরিকাঠামোতে ১০৬টি প্রতিবেদন পাঠানো হয়।
এ ছাড়া গত বছরের অক্টোবর থেকে চলতি বছরের ফেব্রুয়ারি পর্যন্ত সরকারি-বেসরকারি খাত মিলিয়ে বিভিন্ন সংস্থা-প্রতিষ্ঠানে ৫৩টি সতর্কবার্তা পাঠায় বিজিডি ই-গভ সার্ট। এগুলোর মধ্যে গুরুত্বপূর্ণ তথ্য পরিকাঠামোসহ ২৬টি সরকারি সংস্থা রয়েছে।
সূত্র বলছে,গুরুত্বপূর্ণ তথ্য পরিকাঠামো প্রতিষ্ঠানই যে সাইবার নিরাপত্তার বিষয়টিকে গুরুত্ব দেয় না,তার সবশেষ উদাহরণ রাষ্ট্রীয় সংস্থা বিমান বাংলাদেশ এয়ারলাইনসের ই-মেইল সার্ভার হ্যাকড হওয়ার ঘটনা।সরকারঘোষিত গুরুত্বপূর্ণ তথ্য পরিকাঠামোভুক্ত বিমানের ই-মেইল সার্ভার গত মার্চে হ্যাকারদের কবলে পড়ে।
ডিজিটাল নিরাপত্তা বিধিমালা অনুযায়ী,কোনো গুরুত্বপূর্ণ তথ্য পরিকাঠামোয় ডিজিটাল নিরাপত্তা বিঘ্নসংক্রান্ত কিছু ঘটলে তা ‘এনসার্টকে’ জানাতে হবে।এনসার্ট’ হিসেবে কাজ করা বিজিডি ই-গভ সার্টের দাবি,তারা বিমানকে আগেই সংস্থাটির সাইবারঝুঁকির বিষয়ে সতর্ক করেছিল।
বিজিডি ই-গভ সার্টের ভাষ্য,গত ফেব্রুয়ারি মাসে সন্দেহজনক ম্যালওয়্যারের গতিবিধি লক্ষ্য করার বিষয়টি জানিয়ে বিমানকে তারা সতর্কবার্তা পাঠিয়েছিল। পরবর্তীকালে গত ১৪ মার্চ বিমানকে জানানো হয়,সংস্থাটির একটি আইপি অ্যাড্রেস ও ই-মেইলের ডোমেইন আক্রান্ত হয়েছে।যদিও বিমান কর্তৃপক্ষের দাবি,তারা কোনো আগাম সতর্কবার্তা পায়নি।
বিজিডি ই-গভ সার্ট প্রকল্পের পরিচালক সাইফুল আলম খান বলেন, ‘নিয়মিত পর্যবেক্ষণ কার্যক্রমের অংশ হিসেবে আমরা বিমানকে সতর্কবার্তা পাঠিয়েছিলাম।যখনই কোনো সংস্থার সাইবার নিরাপত্তার ক্ষেত্রে সন্দেহজনক কিছু নজরে আসে, বিজিডি ই-গভ সার্ট থেকে সঙ্গে সঙ্গে তা সংশ্লিষ্ট ব্যক্তিদের জানিয়ে প্রয়োজনীয় ব্যবস্থা নিতে বলা হয়।’
বিজিডি ই-গভ সার্ট বিভিন্ন সংস্থাকে সতর্কবার্তা পাঠালেও অনেকে তা গুরুত্বসহকারে নেয় না বলে সংশ্লিষ্ট সূত্রের ভাষ্য। ডিজিটাল নিরাপত্তা এজেন্সির একাধিক কর্মকর্তা নাম প্রকাশ না করার শর্তে বলেন,সতর্কবার্তা-সংক্রান্ত প্রতিবেদন পাঠালে কেউ সাড়া দেয়,কেউ দেয় না।
বিজিডি ই-গভ সার্টের ‘বাংলাদেশের সাইবার থ্রেট ল্যান্ডস্কেপ ২০২২’ প্রতিবেদনে বলা হয়,অর্থ,শিল্প,বাণিজ্য,স্বাস্থ্য, জ্বালানি,স্টার্ট আপসহ বিভিন্ন খাত লক্ষ্য করে সাইবার হামলা শনাক্ত করা গেছে।সাইবার অপরাধীরা সব সময় দুর্বল পরিষেবাগুলোকে হামলার নিশানা বানানোর সুযোগ খুঁজতে থাকে। গুরুত্বপূর্ণ তথ্য পরিকাঠামো,সরকারি-বেসরকারি খাতের অনেক নাজুক পরিষেবা অরক্ষিত।এগুলো সাইবার অপরাধীদের হামলার সহজ নিশানা হতে পারে।
গত বছরের সেপ্টেম্বরে প্রকাশিত বিজিডি ই-গভ সার্টের ‘র্যানসামওয়্যার ল্যান্ডস্কেপ বাংলাদেশ ২০২২’ শীর্ষক প্রতিবেদনে বলা হয়,কোনো প্রতিষ্ঠান নিজেদের সাইবার হামলা-সম্পর্কিত তথ্য অংশীজন,গ্রাহক বা সার্টকে জানায় না। প্রতিষ্ঠানগুলোর সাইবার হুমকি পর্যালোচনা ও শনাক্তের পদ্ধতি পর্যাপ্ত নয়।সাইবার নিরাপত্তা নিয়ে সক্ষমতা বাড়ানোর বিষয়ে প্রতিষ্ঠানগুলোর উচ্চপর্যায়ের কর্মকর্তাদের সচেতনতার অভাব রয়েছে।
বেসরকারি ড্যাফোডিল ইন্টারন্যাশনাল ইউনিভার্সিটির কম্পিউটার সায়েন্স অ্যান্ড ইঞ্জিনিয়ারিং বিভাগের প্রধান অধ্যাপক তৌহিদ ভূঁইয়া গত ৩০ মার্চ বলেন,ডিজিটাল নিরাপত্তা আইনটি সাইবার নিরাপত্তা জোরদারে যতটা ব্যবহার হচ্ছে,তার চেয়ে বেশি ব্যবহৃত হচ্ছে রাজনৈতিক মতাদর্শিক বিষয়ে।আইনটির প্রকৃত ব্যবহারের লক্ষণ সীমিত।সাইবার নিরাপত্তা জোরদারে একটি শক্তিশালী সংস্থা গঠন করতে হবে। এ সংস্থার দায়িত্ব এমন কাউকে দিতে হবে,যিনি এসব বিষয় ভালো বোঝেন।সাইবার নিরাপত্তায় কী করতে হবে,সে ব্যাপারে এ প্রতিষ্ঠান সবাইকে পথ দেখাবে।গুরুত্বপূর্ণ সব প্রতিষ্ঠানে সাইবার নিরাপত্তানীতির পাশাপাশি ইনসিডেন্ট রেসপন্স অ্যান্ড ম্যানেজমেন্ট টিম থাকতে হবে।এ ছাড়া ঊর্ধ্বতন কর্তৃপক্ষেরও সাইবার ঝুঁকিসংক্রান্ত বিষয়ে স্বচ্ছ ধারণা থাকতে হবে।
সাইবার নিরাপত্তায় দেশের ব্যাংকগুলোর প্রতি কেন্দ্রীয় ব্যাংকের নির্দেশনা আছে জানিয়ে তৌহিদ ভূঁইয়া বলেন, নিয়মিত সাইবার ঝুঁকি নিরূপণের নিরীক্ষা করে তা বাংলাদেশ ব্যাংককে জানানোর জন্য বলা আছে।কিন্তু এ ক্ষেত্রে উদাসীনতা লক্ষ করা যায়।বিমানের ই-মেইল সার্ভার হ্যাকড হওয়ার ঘটনার পর বাকি গুরুত্বপূর্ণ তথ্য পরিকাঠামোগুলোর এখনই সতর্ক হওয়া প্রয়োজন।