তথ্য ফাঁস ঘটনায় কাউকে দায়ী করেননি তদন্ত কমিটি

নিজস্ব প্রতিবেদক।।সরকারের জন্ম ও মৃত্যু নিবন্ধন ওয়েবসাইট থেকে কত নাগরিকের তথ্য ফাঁস হয়েছে বা উন্মুক্ত অবস্থায় ছিল,সে সম্পর্কে কোনও ধারণাই দিতে পারেনি এ ঘটনা তদন্তে গঠিত তথ্যপ্রযুক্তি বিভাগের গঠিত কমিটি।কাদের তথ্য ফাঁস হয়েছে সেটাও জানা যায়নি।

সরকারি গুরুত্বপূর্ণ তথ্য পরিকাঠামোর (সিআইআই) আওতাভুক্ত এই ওয়েবসাইটে নাগরিকদের ব্যক্তিগত তথ্য উন্মুক্ত অবস্থায় রাখার জন্য কাউকে দায়ীও করেনি তদন্ত কমিটি।এমনকি দায়ীদের বিরুদ্ধে কোনো আইনগত বা ফৌজদারি ব্যবস্থা নেওয়ার সুপারিশও করা হয়নি তদন্ত প্রতিবেদনে।

এসব তথ্য জানিয়ে তথ্যপ্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহমেদ পলক বলছেন,কারও বিরুদ্ধে ব্যবস্থা নেওয়ার এখতিয়ার তার নেই। তিনি তদন্ত প্রতিবেদনটি প্রধানমন্ত্রীর দপ্তর ও স্থানীয় সরকার মন্ত্রণালয়ে পাঠিয়ে দেবেন।

জন্ম ও মৃত্যু নিবন্ধন রেজিস্ট্রার জেনারেলের দপ্তরটি স্থানীয় সরকার মন্ত্রণালয়ের অধীন।

তথ্য ফাঁস হওয়ার বিষয়ে গঠিত তদন্ত কমিটির প্রতিবেদন নিয়ে সোমবার ডিজিটাল নিরাপত্তা এজেন্সি ও সংশ্লিষ্টদের সাথে পর্যালোচনা সভা শেষে প্রতিমন্ত্রী সংবাদমাধ্যমকে এসব কথা বলেন।ঢাকার আগারগাঁওয়ের আইসিটি টাওয়ারে ওই সভা হয়।

গত ৬ জুলাই যুক্তরাষ্ট্রভিত্তিক তথ্যপ্রযুক্তি বিষয়ক সংবাদমাধ্যম টেকক্রাঞ্চে বাংলাদেশের সরকারি একটি ওয়েবসাইট থেকে লাখ লাখ নাগরিকের ব্যক্তিগত তথ্য ফাঁস হওয়ার খবর প্রথম প্রকাশিত হয়।

ওই প্রতিবেদনে বলা হয়,সাইবার নিরাপত্তা গবেষক ভিক্টর মার্কোপোলোস ঘটনাচক্রে দেখতে পান যে বাংলাদেশি নাগরিকদের সম্পূর্ণ নাম, ফোন নম্বর, ইমেইল ঠিকানা এবং জাতীয় পরিচয়পত্র নম্বরসহ ব্যক্তিগত তথ্য উন্মুক্ত হয়ে আছে ইন্টারনেটে।

এরপর ১১ জুলাই সরকারের ডিজিটাল সিকিউরিটি এজেন্সির মহাপরিচালককে প্রধান করে আট সদস্যের তদন্ত কমিটি গঠন করে তাদের সাত দিনের মধ্যে প্রতিবেদন জমা দিতে বলা হয়। ১৭ জুলাই প্রতিবেদন জমা দেয় কমিটি।

প্রতিমন্ত্রী পলক বলেন, তদন্ত কমিটিতে বিভিন্ন আইনশৃঙ্খলা রক্ষাকারী বাহিনী,গোয়েন্দা সংস্থা এবং বিজিডি সার্টের কর্মকর্তারা ছিলেন।তারা ‘ঐক্যমতের ভিত্তিতে’ এই প্রতিবেদন জমা দিয়েছেন।

“ব্যক্তিগত তথ্য ফাঁস হওয়ার মূল কারণ যেটা কমিটি বলেছে তা হচ্ছে- জন্ম নিবন্ধন ওয়েবসাইটের ওয়েব অ্যাপ্লিকেশনের কারিগরি দুর্বলতা। যথাযথ কারিগরি জ্ঞান সম্পন্ন লোকবল না থাকায় তাদের ওয়েব অ্যাপ্লিকেশনগুলো যথাযথভাবে তদারকি করা হয়নি। ওই দপ্তরের অ্যাপ্লিকেশন সিস্টেমে কোনো লগ ফাইল সংরক্ষণ করা হয় না।”

কারও দায় চিহ্নিত করা হয়নি

এই তথ্য ফাঁসের ঘটনায় কাউকে শাস্তি দেওয়া হবে কি না- এমন প্রশ্নের উত্তরে জুনাইদ আহমেদ পলক বলেন, “এখানে কাউকে শাস্তি দেওয়ার সুপারিশ আসে নাই।এখানে আসছে যে একজন মাত্র প্রোগ্রামার এই পুরো ইনফ্রাস্ট্রাকচারটা (পরিকাঠামো) দেখে বুঝে নিয়েছে ভেন্ডরের (নির্মাণকারী প্রতিষ্ঠান) কাছ থেকে।আমাদের তদন্ত কমিটির সুপারিশে কাউকে কোনো আর্থিক বা আইনগত শাস্তির সুপারিশ করা হয়নি।”

এত বড় ঘটনায় কাউকে দায়ী না করা ‘দায়মুক্তির সংস্কৃতি’ তৈরি করবে কি না,এমন প্রশ্নের উত্তরে প্রতিমন্ত্রী বলেন, “না,এটা দায়মুক্তির সংস্কৃতি তৈরি করবে না। আমরা চাচ্ছি, এমন একটা সংস্কৃতি তৈরি করতে- যাতে নিজেদের দায়টা নেওয়ার সাহস ও আন্তরিকতা থাকে।”

যারা (ভেন্ডর) ওই ওয়েবসাইটটি তৈরি করেছেন, তাদের কোনও দুর্বলতা বা অবহেলা ছিল কি না– এ প্রশ্নে পলক বলেন, “এটা ওই প্রতিষ্ঠান বলতে পারবে।উই আর নট দ্যাট অথরিটি।আমরা সুপারিশটা করছি ওই সংস্থার যে দায়িত্বপ্রাপ্ত মন্ত্রণালয়ের কাছে।”

তথ্যপ্রযুক্তি প্রতিমন্ত্রীর ভাষ্য, “এটা একটা প্রযুক্তিগত তদন্ত রিপোর্ট।কোন কারণে সাইটটা উন্মুক্ত হয়ে পড়ল,তারা কেবল সেটুকু বলেছে।এই ধরনের ঘটনা যাতে আগামীতে না ঘটে- তার জন্য তারা কিছু সুপারিশও দিয়েছে।“এখন আমরা ওই প্রতিষ্ঠানের দায়িত্বপ্রাপ্ত মন্ত্রী ও সচিবকে সুপারিশটা পাঠাব।যারা সাইবার সিকিউরিটি এক্সপার্ট, তারা তো জানেন না আইনে কী শাস্তি বলা আছে বা কতোটুকু দোষারোপ করা হবে।“

তথ্য ফাঁস বা চুরির ক্ষেত্রে কোনো সরকারি কর্মকর্তার অবহেলা থাকলে- তাকে কোন আইনে শাস্তি দেওয়া হবে- এ প্রশ্নের উত্তরে পলক বলেন, “এটা সম্পর্কে আমার ভালো ধারণা নেই।”

নাগরিকদের তথ্য সুরক্ষার জন্যই সরকার ডিজিটাল নিরাপত্তা আইন করার কথা বলে আসছে,অথচ এত বড় তথ্য ফাঁসের ঘটনার পর এখনো কোনও মামলা হয়নি।

এ বিষয়ে কোনো ফৌজদারি ব্যবস্থা নেওয়া হবে কি না প্রশ্ন করলে প্রতিমন্ত্রী বলেন, “আমরা যাব না,কারণ আমরা তো পুলিশ না।এফআইআর করার সুযোগ আছে যে ক্ষতিগ্রস্ত তার অথবা পুলিশ স্বপ্রণোদিত হয়ে মামলা করতে পারে।”

তাহলে মামলার সুপারিশ করা হচ্ছে কি না,সেই প্রশ্নে পলকের উত্তর, “না করিনি। আমাদের কমিটি যে সুপারিশ করেছে,সেখানে মামলার বিষয়ে বলা নেই।

“বাংলাদেশ ব্যাংকের টাকা চুরির ঘটনায় বাংলাদেশ ব্যাংক মামলা করেছে। এখানে তথ্য যার ফাঁস হয়েছে,মামলা করলে তাকেই করতে হবে।”

বই আকারে বাঁধানো পূর্ণাঙ্গ তদন্ত প্রতিবেদন দেখিয়ে জুনাইদ আহমেদ পলক বলেন,আমাদের প্রতিবেদন হচ্ছে টেকনিক্যাল। এটার মধ্যে জিরো ওয়ান… কীসব আছে আমি নিজেও বুঝি না।কোনো সাইবার হ্যাকার তথ্য নিয়ে গেছে- সেটা না; তারা প্রমাণ পেয়েছে যে তথ্যগুলো উন্মুক্তই ছিল।”

কেউ তো পরিকল্পিতভাবে তথ্যভাণ্ডার উন্মুক্ত রাখতে পারে-এমন সন্দেহ করা হচ্ছে কি না- এই প্রশ্নের উত্তরে তিনি বলেন, “সেটাতো আমরা জানি না।প্রযুক্তিবিদরা কী করে বুঝবে এটাতে কোনো ক্রিমিনাল ইনটেনশন ছিল কি না?”

প্রতিমন্ত্রীই তখন প্রশ্ন রাখেন, “এই তদন্ত কে করবে?”

তখন সাংবাদিকদের তরফ থেকে জবাব আসে, “অবশ্যই আমাদের রাষ্ট্র করবে।”

এরপর পলক বলতে থাকেন, “আমাদের ডিজিটাল এনকোয়ারি আমরা করেছি; এটার জন্য টেকনোলজিক্যাল কী কী ব্যবস্থা নেওয়া যেতে পারে- সেটা দিয়ে। আইনগত কী কী ব্যবস্থা নেওয়া যেতে পারে- এটা তো সংশ্লিষ্ট মন্ত্রণালয়ের বিষয়।”

কোনো ফৌজদারী বা বিচারিক তদন্ত হওয়া প্রয়োজন কি না- এমন প্রশ্নে প্রতিমন্ত্রী বলেন, “ব্যক্তিগতভাবে আমার এটা বলার এখতিয়ার নেই। এটা সংশ্লিষ্ট মন্ত্রণালয়ের কর্তৃপক্ষকে দায়িত্ব নিতে হবে।”

তথ্যের সুরক্ষার জন্য ডিজিটাল নিরাপত্তা আইনের অধীনে ২৯টি প্রতিষ্ঠানকে সরকার গত ২১ সেপ্টেম্বর ‘গুরুত্বপূর্ণ তথ্য পরিকাঠামো’ ঘোষণা করে।

এসব পরিকাঠামোর কম্পিউটার,ডিজিটাল ডিভাইস, ডিজিটাল নেটওয়ার্ক বা ডিজিটাল তথ্য ব্যবস্থায় বেআইনি প্রবেশ এবং তথ্য ব্যবস্থাপনায় বাধাগ্রস্ত করার ক্ষেত্রে বিভিন্ন মেয়াদে শাস্তির বিধান রয়েছে আইনে।

তথ্য ফাঁস: কাউকে দায়ী করেনি তদন্ত কমিটি
আর এসব পরিকাঠামো দেখভালের দায়িত্ব আইনে দেওয়া হয়েছে ডিজিটাল নিরাপত্তা এজেন্সির মহাপরিচালককে। তথ্য ফাঁসের ঘটনায় আলোচিত জন্ম ও মৃত্যু নিবন্ধনের রেজিস্ট্রার জেনারেলের কার্যালয় এই ২৯ প্রতিষ্ঠানেরই একটি।

ছোটখাট ঘটনাতেও ডিজিটাল নিরাপত্তা আইনে লোকজনকে গ্রেপ্তার নিয়ে অনেক সমালোচনা আছে। এখন সরকার ঘোষিত গুরুত্বপূর্ণ তথ্য পরিকাঠামো থেকে এতোবড় তথ্য ফাঁসের ঘটনাতেও কারও দায় চিহ্নিত করা গেল না, কোন মামলাও হলো না কেন- এমন প্রশ্নের জবাব দিতে গিয়ে পলক বলেন, “আমাদের সাইবার সিকিউরিটি এক্সপার্টরা যে টেকনিক্যাল সুপারিশ দিয়েছে, সেটাই আমরা প্রধানমন্ত্রীর দপ্তর ও সংশ্লিষ্ট মন্ত্রণালয়ে পাঠাব। সাথে আমরা একটা সুপারিশ পাঠাচ্ছি, যাতে ওই প্রতিষ্ঠানে আগামী দিনে এমন কিছু ঘটতে না পারে।”

প্রশ্নোত্তরে যাওয়ার আগে প্রতিমন্ত্রী তার বক্তব্যে বলেন, “আমরা ফিল্ড লেবেলের সমস্যাগুলো খোলামেলা শুনেছি। আমরা সবাইকে দোষী-দায়ী করে তাদেরকে নিরুৎসাহিত করতে চাইনি। এটা আসলে দোষারোপ করা বা একজনের দায় এড়িয়ে যাওয়া- এটা না।

“সামগ্রিকভাবে সবাই যাতে দেশের সাইবার সিকিউরিটির জন্য- যেন একটা টিম স্পিরিট নিয়ে কাজ করে, সেই পরিবেশ আমরা তৈরি করতে চাই। প্রয়োজন অনুযায়ী তাদের প্রযুক্তিগত সহায়তা দেওয়া, অর্থ বরাদ্দের ব্যবস্থা করা এবং পাশপাশি কোন লেবেলে কার কতোটুকু প্রশিক্ষণ দরকার, সেটাকে গ্রুপ ওয়াইজ নিয়ে আমরা কাজ করব।“

কতো তথ্য ফাঁস, জানা যায়নি

সাইবার নিরাপত্তা গবেষক ভিক্টর মার্কোপোলোস বিভিন্ন সংবাদমাধ্যমকে পাঁচ কোটি মানুষের তথ্য ফাঁস হওয়ার অনুমানের কথা বলেছিলেন। তবে বাংলাদেশের তথ্যপ্রযুক্তি বিভাগের তদন্তকারীরা সংখ্যার বিষয়ে কোনো ধারণা দিতে পারেননি।

কতো মানুষের তথ্য ফাঁস হয়েছে, জানতে চাইলে প্রতিমন্ত্রী পলক বলেন, “কতো মানুষের তথ্য লিক হয়েছে, সেই সংখ্যাটা এখনও জানা সম্ভব হয়নি। কারণ ওই ওয়েবসাইটের গঠনে একটা দুর্বলতা ছিল। সেখানে কোনো লগ সিস্টেম ছিল না।”

জুনাইদ আহমেদ পলক বলেন, “ব্যক্তির নাম, বাবার নাম, মায়ের নাম, জাতীয় পরিচয়পত্র নম্বর, মোবাইল নম্বর, ঠিকানা ইত্যাদি তথ্য ধরে যদি কেউ এক্সপার্ট হয়, তাহলে তার আগে-পরের আবেদনকারীর (জন্ম নিবন্ধনের জন্য) তথ্যগুলো সেখান থেকে বের করে নিতে পারতেন। আমাদের সৌভাগ্য যে আমাদের ডেটাবেজটা সুরক্ষিত থেকেছে। সেখান থেকে কোনো তথ্য যায়নি।

“প্রতিদিন তো শত শত আবেদন পড়ছে, যারা নতুন জন্ম নিবন্ধন করতে চায় বা সংশোধন চায়- সেই তথ্যগুলো কিন্তু একেবারে উন্মুক্ত হয়ে ছিল। তবে কতো মানুষের তথ্য ফাঁস হয়েছে, সেই সংখ্যাটা জানা যায়নি।”

তাহলে গবেষক ভিক্টর মার্কোপোলোস তথ্য ফাঁসের যে সংখ্যার কথা বলছেন সেটাই সত্যি কি না, জানতে চাইলে প্রতিমন্ত্রী বলেন, ওই সংখ্যা তাদের কাছে ‘গ্রহণযোগ্য নয়’।

কিসের ভিত্তিতে এটা বলছেন জানতে চাইলে পলক বলেন, “আমাদের কাছ থেকে কেউ ১০ হাজার ডেটা নিয়ে গেছে, নাকি ১০ লক্ষ- সেটা তো আমরা বলতে পারছি না। উন্মুক্ত অবস্থায় যে ডেটাটা ছিল, সেটা ৫০ লাখের কম।”

জন্ম ও মৃত্যু নিবন্ধনের ওই ওয়েবসাইটে ২২ কোটি মানুষের তথ্য রয়েছে বলে জানান প্রতিমন্ত্রী।

কাদের তথ্য ফাঁস হয়েছে সেটাও জানতে পারেনি তদন্ত কমিটি। প্রতিমন্ত্রী পলক বলছেন, সবাইকেই তথ্য সুরক্ষার বিষয়ে সতর্ক হতে হবে।

যে নাগরিকদের তথ্য ফাঁস হয়েছে,তারা কী ধরনের সমস্যায় পড়তে পারেন-এমন প্রশ্নের উত্তরে তিনি বলেন, “প্রথমত হচ্ছে কাদের তথ্য ফাঁস হয়েছে, সেটা আমরা এখনও জানি না। দ্বিতীয়ত,আমাদের প্রত্যেকেরই ব্যক্তিগত তথ্য সুরক্ষার জন্য সতর্কতা দরকার।

“আমাদের যদি ডেটা ফাঁস নাও হয়ে থাকে, তবুও প্রত্যেক নাগরিকের সতর্কতামূলক প্রস্তুতি নেওয়া দরকার। যেমন- ইমেইল পাসওয়ার্ড, ডেবিট-ক্রেডিট কার্ডের পাসওয়ার্ড নিয়মিত পরিবর্তন করতে হবে।”

সামনে নির্বাচন, এর আগে এ ধরনের তথ্য ফাঁস আসলে কতোটা ঝুঁকি তৈরি করছে- এমন প্রশ্নের উত্তর দিতে গিয়ে পলক বলেন, “এটা আমাদের জন্য ঝুঁকিপূর্ণ না। কারণ নির্বাচন কমিশনের ডেটাবেইজের সঙ্গে এটার কোনো সম্পর্কই নেই। জাতীয় পরিচয়পত্র বা ভোটার তালিকার সঙ্গে এটার কোনোসম্পর্ক নেই।

“এটা শুধুমাত্র জন্ম ও মৃত্যু নিবন্ধন কর্তৃপক্ষের কাছে নতুন আবেদনের তথ্যগুলো কেউ ইচ্ছে করলে নিয়ে যেতে পারছিল- এটিই ছিল মূল দুর্বলতা। আমরা এটাও খবর নিচ্ছি যে এই তথ্যগুলো ডার্ক ওয়েবে বা অন্য কোথাও বিক্রি হচ্ছে কি না। এখন পর্যন্ত এমন কোনো তথ্য পাওয়া যায়নি।”