সম্প্রতি সরকারি ওয়েবসাইট থেকে কোটি নাগরিকের ব্যক্তিগত তথ্য ফাঁস হওয়ার ঘটনায় আলোচনা-সমালোচনা চলছে দেশব্যাপী। প্রশ্ন উঠেছে নাগরিকের ব্যক্তিগত তথ্যের সুরক্ষায় সংশ্লিষ্ট প্রতিষ্ঠানগুলোর সক্ষমতা নিয়েও। একইসঙ্গে সরকারি ওয়েবসাইট থেকে তথ্য বেহাত হওয়ায় রাষ্ট্রীয় নিরাপত্তা ঝুঁকিও সামনে আসছে। তবে সরকারের সাইবার ইস্যু দেখভালকারী প্রতিষ্ঠান বিজিডি ই-গভ. সার্টের দাবি তারা আগ থেকেই বিষয়টি অবগত ছিল।
৮ই জুন এ বিষয়ে সরকারকে রিপোর্ট দিয়ে সতর্ক করেছিল প্রতিষ্ঠানটি। কিন্তু এ বিষয়ে সংশ্লিষ্টরা যথাযথ পদক্ষেপ নেয়নি। অন্যদিকে কোটি নাগরিকের তথ্য ফাঁসের বিষয়টি প্রকাশ্যে নিয়ে আসা দক্ষিণ আফ্রিকাভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তা বিষয়ক প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির ইনফরমেশন সিকিউরিটি কনসালট্যান্ট ভিক্টর মারকোপোলোস বিষয়টি অবগত করতে সরকারের সঙ্গে যোগাযোগের চেষ্টা করেও ব্যর্থ হন। তার দাবি তিনি এ বিষয়ে পৃথক তিনটি ঠিকানায় বিজিডি ই-গভ. সার্টকে ৬টি মেইল দিয়েছেন। কিন্তু কোনো মেইলেরই সাড়া দেয়নি প্রতিষ্ঠানটি।
বিশেষজ্ঞরা বলছেন, সরকারি ওয়েবসাইটের সুরক্ষায় সংশ্লিষ্টদের আরও দায়িত্বশীল ভূমিকা রাখতে হবে। এটিকে হালকাভাবে নেয়ার সুযোগ নেই। নিয়মবহির্ভূতভাবে ডেডিকেটেড প্রতিষ্ঠানের তথ্য অন্যান্য প্রতিষ্ঠানে সংরক্ষণ বন্ধ করতে হবে।
এ ছাড়া আইটি সিকিউরিটি অডিট চালু করে নিয়মিত সিকিউরিটি অডিট পরিচালনা করতে হবে। নিয়োগ দিতে হবে নিজস্ব ইথিক্যাল হ্যাকার গ্রুপ। তবেই বড় ধরনের ভালনারিবিলিটি থেকে রাষ্ট্রীয় ওয়েবসাইট সুরক্ষিত থাকবে।
নাগরিকের তথ্য ফাঁসের বিষয়টি জানাতে ভিক্টর মারকোপোলোস বাংলাদেশি কর্তৃপক্ষকে ৬টি মেইল পাঠান গত ২৭ ও ২৮শে জুন, ৩রা জুলাই, ৪ঠা জুলাই, ৫ই জুলাই ও ৭ই জুলাই। কিন্তু কোনো মেইলেরই উত্তর পাননি তিনি। বিজিডি ই-গভ. সার্টকে পাঠানো ই-মেইলে ভিক্টর লেখেন, আপনাদের সিস্টেমে জটিল নিরাপত্তা ঝুঁকি দেখা দিয়েছে।
যে নিরাপত্তা ঝুঁকির কথা আমি বলছি, তা হলো গোপনীয়তা ও আপনার নাগরিকের ব্যক্তিগত তথ্যের নিরাপত্তা ঝুঁকি; বিশেষ করে তাদের জন্মসনদ, এ সংক্রান্ত রেকর্ড। এসব তথ্য কোনো বদমাশ লোকের হাতে পড়লে আইডেনটিটি থেফটের মতো ঘটনা ঘটবে, যার ফল হবে মারাত্মক। আপনাদের ওখানে কীভাবে নাগরিকেরা জন্মনিবন্ধন করে থাকে, সে বিষয়ে আমার জানা নেই। কারণ, আমি বাংলাদেশি নই। ই-মেইল ঠিকানা, ফোন নম্বর, জন্মস্থান ও বর্তমান ঠিকানা-এসব তথ্য প্রকাশ পেয়ে গেছে।
আমি নিশ্চিত করতে চাই- আমার একমাত্র উদ্দেশ্য ব্যক্তিগত গোপনীয়তার নিরাপত্তা। তিনি আরও লেখেন, অনুগ্রহ করে এই ই-মেইলের প্রাপ্তি স্বীকার করুন। যত দ্রুত সম্ভব আমাকে জানান, এ বিষয়ে কথা বলার জন্য উপযুক্ত ব্যক্তি কে? এ বিষয়ে আরও কোনো তথ্যের প্রয়োজন হলে তা সরবরাহ করতে আমি প্রস্তুত আছি। আমার পূর্ণ আস্থা আছে যে, আপনি নাগরিকদের মঙ্গল ও সুরক্ষা দিতে প্রতিশ্রুতিবদ্ধ। আমি আশা করি, ঠিক ঠিকানায় ই-মেইল করেছি। যদি না করে থাকি, তাহলে উপযুক্ত ব্যক্তির কাছে পাঠিয়ে দিন। আমি আপনাদের সাহায্য করতে প্রস্তুত। আর কোনো তথ্য লাগলে জানাবেন।
এদিকে বিজিডি ই-গভ. সার্টের দাবি তারা ভিক্টর প্রকাশ্যে আনার আগেই বিষয়টি জানতে পেরেছে। এ বিষয়ে ৮ই জুন সরকারের দয়িত্বপ্রাপ্ত প্রতিষ্ঠানকে চিঠিও দেয়া হয়েছে। কিন্তু এতদিনেও তারা বিষয়টি গুরুত্ব সহকারে দেখেননি। যে কারণে এখন ঘটনা এতদূর গড়িয়েছে। সার্ট বলছে, এটাকে তথ্য ফাঁস বা হ্যাক বলা যাবে না। নির্দিষ্ট ওয়েবসাইটে গিয়ে তথ্য সার্চ দিয়ে বিশেষ কৌশলে লুকিয়ে দেখা যাবে। এ বিষয়ে গতকালও সংশ্লিষ্ট সংস্থাকে অবহিত করা হয়েছে।
এখন তারা কী পদক্ষেপ নেয় সেটি দেখার অপেক্ষায় সার্ট। নাগরিকের তথ্য প্রকাশ্যে আসার জন্য একক কোনো প্রতিষ্ঠানের ওপর দায় চাপানোর সুযোগ নেই বলে জানিয়েছে সার্ট। এদিকে সার্টকে পৃথক তিন ঠিকানায় ভিক্টর মারকোপোলোসের ৬টি ই-মেইল করার বিষয়ে বিজিডি ই-গভ. সার্টের প্রকল্প পরিচালক মোহাম্মদ সাইফুল আলম খান মানবজমিনকে বলেন, আমরা ভিক্টর এর কোনো মেইল পাইনি। এক্ষেত্রে অনেকগুলো প্রক্রিয়ার মধ্যদিয়ে আমাদের কাছে মেইল আসে। আমরা তার মেইল খুঁজে দেখেছি। আমরা আরও সময় নিয়ে পরীক্ষা করে দেখবো আসলেই তিনি আমাদের মেইল করেছেন কিনা।
জানতে চাইলে ঢাকা বিশ্ববিদ্যালয়ের কম্পিউটার সায়েন্স অ্যান্ড ইঞ্জিনিয়ারিং বিভাগের প্রফেসর ড. মো. আসিফ হোসাইন খান মানবজমিনকে বলেন, যে ডাটাগুলো ফাঁস হয়েছে এটা ডেডিকেটেড ওয়েসবাইট ছাড়া অন্য কোথাও থাকার কথা না। কিন্তু আমাদের এখানে বাজে অনুশীলনের কারণে এ ডাটাগুলো অন্য ওয়েবসাইটেও ছিল। তাই সেখান থেকে এটা ফাঁস হয়েছে। তাই এ ধরনের অনুশীলন বন্ধ করতে হবে। তবেই স্পর্শকাতর ডাটাগুলোর সিকিউরিটি নিশ্চিত হবে।
একইসঙ্গে সিকিউরিটি অ্যাওয়ারনেসও প্রয়োজন। সিকিউরিটি অ্যাওয়ারনেস বাড়ালে এ ধরনের ভালনারিবিলিটি দূর করা সম্ভব। এসব ওয়েবসাইটের দায়িত্বে যারা রয়েছেন তাদের যে এ বিষয়ে জ্ঞান নেই তা নয় বরং সিকিউরিটি অ্যাওয়ারনেসের অভাবে ভালনারিবিলিটি দূর করা সম্ভব হচ্ছে না। সরকারি ওয়েবসাইটের সিকিউরিটি নিশ্চিতে তিনি বলেন, আমাদের দেশে বিজিডি ই-গভ. সার্ট এসব বিষয় অ্যাক্টিভলি মনিটর করে বিভিন্ন প্রতিষ্ঠানকে তাদের দুর্বলতাগুলো অবহিত করে থাকে।
কিন্তু সংশ্লিষ্ট প্রতিষ্ঠান এটিকে গুরুত্ব দেয় না। আর তখনই এ ধরনের ভালনারিবিলিটির ঘটনা ঘটে। তাই এটাকে সিরিয়াসলি দেখতে হবে। একইসঙ্গে আইসিটি অডিট, সিকিউরিটি অডিটের প্রয়োজন। তখন দুর্বলতাগুলো নিয়মিত শনাক্ত করা সম্ভব হবে। সিকিউরিটি অডিট আমাদের কাছে ব্যয়বহুল মনে হতে পারে। কিন্তু সারা বিশ্বেই এ বিষয়ে জোর দেয়া হচ্ছে। আমাদেরও এটাতে মনযোগ দেয়ার সময় এসেছে। এ ছাড়াও সরকারের ইথিক্যাল হ্যাকিং গ্রুপ থাকতে হবে।
তারা নিয়মিত সরকারি ওয়েবসাইটগুলো হ্যাকিং করার চেষ্টা করবে। এরা সরকারের রেগুলার আইটি পারসন হিসেবে কাজ করবে। তাহলে সরকার নিজেই দুর্বলতা শনাক্ত করতে পারবে। অন্যান্য হ্যাকার গ্রুপের হ্যাকিং থেকে আমরা নিজেদের সুরক্ষিত রাখতে পারবো। এটা বিজি সার্টের নিয়ন্ত্রণেই থাকতে পারে। বিভিন্ন দেশে এমন হ্যাকিং গ্রুপ আছে। আর আইসিটির এ যুগে আইটি ক্যাডার সার্ভিস চালু করতে হবে। তা না হলে আমাদের মেধাবী গ্রাজুয়েটরা অন্যান্য সেক্টরে নিজেদের কর্মসংস্থান খুঁজবে। ভালো মানের আইটি পারসন সরকার পাবে না। তাহলে এ ধরনের ভালনারিবিলিটি থেকে আমরা নিজেদের সুরক্ষিত রাখতে পারবো।
