ব্যক্তিগত তথ্য ফাঁসে একজন নাগরিক আর্থিক ও সামাজিকভাবে ক্ষতিগ্রস্ত হতে পারে
স্টাফ রিপোর্টার: বাংলাদেশী লাখ লাখ নাগরিকের গোপন ও ব্যক্তিগত তথ্য একটি সরকারি ওয়েবসাইট থেকে ফাঁস হয়েছে বলে দাবি করেছেন সাইবার নিরাপত্তা বিষয়ক সংস্থা বিটক্রেক-এর গবেষক ভিক্টর মার্কোপোলোস। তিনি বলেছেন, ফাঁস হওয়া তথ্যের মধ্যে রয়েছে নাগরিকদের পূর্ণ নাম, ফোন নম্বর, ইমেইল ঠিকানা এবং জাতীয় পরিচয়পত্রের নম্বর। দেশ-বিদেশের বিভিন্ন গণমাধ্যমে এ সংবাদ দেখে অনেকে উদ্বিগ্ন হয়ে পড়েছেন। অনেকের মধ্যে নানা ধরনের আতঙ্ক বিরাজ করছে। বিশেষজ্ঞরা বলছেন, ব্যক্তিগত তথ্য ফাঁস হলে একজন নাগরিক যেকোনো সময় আর্থিক ও সামাজিকভাবে ক্ষতিগ্রস্ত হতে পারেন। প্রতারকরা এ তথ্য দিয়ে নানা ধরনের প্রতারণার মাধ্যমে ক্ষতি করতে পারেন।
সাইবার নিরাপত্তা বিশেষজ্ঞরা বলছেন, নাগরিকের ফাঁস হওয়া যেকোনো ধরনের তথ্যই অপব্যবহার হতে পারে। এসব তথ্য দিয়ে কোনো অপরাধী অন্য কারও নামে ভার্চুয়াল অ্যাকাউন্ট খুলে ফেলতে পারে, সিম রেজিস্ট্রেশন করে সেগুলো দিয়ে অপরাধ করতে পারে। অপরাধীকে শনাক্ত করতে গেলে ওই নিরীহ সাধারণ নাগরিক ফেঁসে যেতে পারেন। এছাড়া আরএনএ এবং ফিঙ্গারপ্রিন্টের মতো ডাটা ফাঁস হলে এটা উদ্বেগের ব্যাপার। এভাবে নাগরিকদের ডিজিটাল আইডেন্টিটিগুলো ফাঁস হলে অবৈধ লেনদেনেরও আশঙ্কা থাকে। এসব ডাটা নিয়ে অপরাধীরা ওই ব্যক্তিকে নানাভাবে ব্ল্যাকমেইল করতে পারে। ফোন দিয়ে হুমকি দিতে পারে, চাঁদা চাইতে পারে। অনেকসময় এসব তথ্য ব্যাংকে দিয়ে কোনো ব্যক্তির ফাইন্যান্সিয়াল স্ট্যাটাস (আর্থিক অবস্থা) জানতে পারে।
এ বিষয়ে নির্বাচন কমিশনের জাতীয় পরিচয়পত্র (এনআইডি) নিবন্ধন অনুবিভাগের কর্মকর্তারা বলেছেন, নির্বাচন কমিশনের (ইসি) কাছে সংরক্ষিত দেশের নাগরিকদের জাতীয় পরিচয়পত্রের (এনআইডি) তথ্য ১৭১টি প্রতিষ্ঠান ব্যবহার করে। সেগুলোর মধ্যে স্থানীয় সরকার বিভাগের জন্ম ও মৃত্যুনিবন্ধন, রেজিস্ট্রার জেনারেলের কার্যালয়ও রয়েছে। তবে নাম না উল্লেখ করে ইসি বলছে, নিয়মের বাইরে গিয়ে একটি প্রতিষ্ঠান নাগরিকদের ব্যক্তিগত তথ্য সংরক্ষণ করেছে এবং তাদের ওয়েবসাইটে দুর্বলতা থাকায় সেসব তথ্য ফাঁস হয়েছে।
গতকাল রোববার বিকেলে রাজধানীর আগারগাঁওয়ের নির্বাচন ভবনে সংবাদ সম্মেলনে এনআইডির মহাপরিচালক এ কে এম হুমায়ুন কবীর বলেন, নাগরিকদের যে তথ্য ফাঁস হয়েছে, তা নির্বাচন কমিশনের সার্ভার থেকে হয়নি। আমরা ১৭১টি প্রতিষ্ঠানকে এনআইডির তথ্যসেবা প্রদান করে থাকি। চুক্তি মোতাবেক তারা কাজ করতে পারে। আমাদের সার্ভারে যে তথ্য আছে, তাতে বাইরের কোনো তথ্য ঢোকেনি, কোনো হুমকিও আসেনি। ফলে যে তথ্যগুলোর কথা বলা হচ্ছে, তা আমাদের সার্ভার থেকে যায়নি বলে দৃঢ়বিশ্বাস।’
মহাপরিচালক বলেন, যারা তাদের কাছ থেকে সেবা নিচ্ছে, তারা কতটুকু সতর্ক, তা খতিয়ে দেখা হচ্ছে। যদি কারও বিচ্যুতি পাওয়া যায়, তাহলে তাদের সেবা বন্ধ করে দেওয়া হবে। চুক্তির বরখেলাপ করলে চুক্তি বাতিল করা হবে। কোনো প্রতিষ্ঠানের অবহেলার কারণে এ ঘটনা ঘটলে তাদের আইনের আওতায় নেওয়া হবে বলেও ঘোষণা দেন হুমায়ুন কবীর।
জন্ম ও মৃত্যুনিবন্ধন দপ্তরের সঙ্গে ইসির চুক্তি আছে বলে জানান এনআইডি অনুবিভাগের সিস্টেম ম্যানেজার মো. আশরাফ হোসেন। এ সময় আইডিইএ-২ পর্যায় প্রকল্পের আইটি পরিচালক স্কোয়াড্রন লিডার সাদ ওয়ায়েজ তানভীর বলেন, তারা ১৭১টি প্রতিষ্ঠানকে ভিপিএনের মাধ্যমে ডেটা দিয়ে থাকেন। ইসির সার্ভার থেকে নাগরিকদের তথ্য নিতে সেই নাগরিকের শুধু এনআইডি নম্বর নয়, জন্মতারিখও দিতে হয়। প্রতিটি এনআইডির বিপরীতে জন্মতারিখ পরীক্ষা করে তথ্য দেওয়া হয়। তাই বাল্ক অ্যামাউন্ট অব ডেটা কল (অনেক তথ্য চাওয়া) করার সুযোগ নেই।
ব্যাখ্যা করতে গিয়ে সাদ ওয়ায়েজ তানভীর বলেন, মনে করেন, একটা ব্যাংক। তাদের প্রচুর গ্রাহক আসে প্রতিদিন। প্রতিদিন তারা গ্রাহকদের ডেটা নিচ্ছে। এভাবে একটা নির্দিষ্ট সময়ে তারা অনেক নাগরিকের তথ্য নিয়ে থাকে। প্রতিদিন তারা সেসব তথ্য সেভ (সংরক্ষণ) করতে থাকলে একসময় অনেক ডেটা হয়ে যাবে। যার নিরাপত্তা নিশ্চিত করা সম্ভব হবে না। সে কারণে চুক্তিতে উল্লেখ করে দেওয়া হয়, তারা ডেটা সংরক্ষণ করতে পারবে না।
একটি প্রতিষ্ঠানের ওয়েবসাইটে ভঙ্গুরতা থাকার কথা ইসি জানতে পেরেছে বলে জানান সাদ ওয়ায়েজ তানভীর। তিনি বলেন, একটা সাইট যখন চালু করা হয়, তখন যে লিংক দেখা যায়, তার বাইরেও কিছু লিংক থাকে যা সাধারণ ব্যবহারকারীরা দেখতে পারে না। কিন্তু স্ক্যান করে লিংকগুলো চিহ্নিত করা যায়। ওই লিংকগুলো চিহ্নিত করার মাধ্যমে ওইখানে তারা একটা স্ক্রিপ্ট চালায়, নাগরিক তথ্যগুলো তারা ওখান থেকে এক্সেস (প্রবেশ) করতে পেরেছে। আমরা ধারণা করছি যে পার্টনার সার্ভিসের সাইট থেকে (হ্যাকারেরা) এক্সেস নিয়েছে, তাদের ওখানে এই ডেটা সংরক্ষিত ছিল।
কারিগরি ত্রুটির কারণে তথ্য ফাঁস: পলক
তথ্য ও যোগাযোগ প্রতিমন্ত্রী জুনাইদ আহমেদ পলক বলেছেন, হ্যাকিং নয়, কারিগরি ত্রুটির কারণে সরকারি ওয়েবসাইট থেকে নাগরিকদের তথ্য প্রকাশ্য হয়ে পড়েছিল। কর্মকর্তাদের কেউ কেউ তথ্য সুরক্ষার গাইডলাইনগুলো ঠিকমত অনুসরণ করছেন না। যার কারণে এ রকম ঘটনা ঘটছে। সাইবার স্পেসে তথ্যের সুরক্ষার জন্য আইনের খসড়া তৈরির কাজ চলছে বলেও জানিয়েছেন প্রতিমন্ত্রী।
গতকাল রোববার আগারগাঁওয়ে বাংলাদেশ কম্পিউটার কাউন্সিল মিলনায়তনে আয়োজিত ‘বঙ্গবন্ধু ইন্টারন্যাশনাল সাইবার সিকিউরিটি অ্যাওয়ারনেস অ্যাওয়ার্ড’ কর্মসূচির উদ্বোধনী অনুষ্ঠানে তিনি এসব কথা বলেন।
প্রতিমন্ত্রী বলেন, ওই সিস্টেমটা (ওয়েবসাইট) নিজে থেকেই ঝুঁকিপূর্ণ ছিল। আমি সেই ওয়েবসাইটটির নাম নিতে চাই না। কিন্তু আমরা জেনেছি, এখানে একটা কারিগরি ত্রুটি ছিল। যার কারণে ওই তথ্যগুলো প্রকাশ্য হয়ে পড়ে। এটা সাইবার অপরাধী বা হ্যাকারদের দ্বারা আক্রান্ত হয়নি। সেখানে একটা কারিগরি ত্রুটি ছিল। যার কারণে যখন তারা কোনো একটা তথ্য যাচাইয়ের জন্য সেখানে ইনপুট দেওয়া হয়, এটা খুব সহজেই উন্মুক্ত হয়ে পড়ে।
তিনি বলেন, আমরা কম্পিউটার ইনসিডেন্ট রেসপন্স টিম (সার্ট) করেছি, আমাদের জাতীয় নিরাপত্তার জন্য গুরুত্বপূর্ণ এমন ২৯টি ক্ষেত্রে ‘ক্রিটিক্যাল কম্পিউটার ইনফ্রাস্ট্রাকচার (সিআইআই)’ ঘোষণা করেছি। একই সময়ে প্রতিটি পৃথক সিআইআই তাদের সাইবার নিরাপত্তার জন্য পৃথক সার্ট গঠন করেছে।
গত বছর সরকারের গুরুত্বপূর্ণ সংস্থা, কার্যালয় ও ব্যাংক মিলিয়ে ২৯টি সংস্থাকে ক্রিটিকাল কম্পিউটার ইনফ্রাস্টাকচার (সিআইআই) ঘোষণা করে সরকার। এর মধ্যে প্রধানমন্ত্রীর দপ্তর, কেন্দ্রীয় ব্যাংক, বিমান বাংলাদেশ এয়ারলাইন্সসহ অনেকগুলো সংস্থা ও দপ্তর রয়েছে।
প্রতিমন্ত্রী বলেন, আমি আমাদের ২৯টি সিআইআইকে জানালাম। আমি তাদের নিয়মিত মেইল করি, কল করি। কিন্তু তাদের কেউ কেউ দুর্ভাগ্যবশত ঠিকমত রেসপন্স করেন না। তারা তথ্য সুরক্ষার গাইডলাইনগুলোও ঠিকমত অনুসরণ করছেন না। যে কারণে কখনো কখনো এই ধরনের ঘটনা ঘটছে।”
এটা শুধু বাংলাদেশে না, এই ধরনের ঘটনা সারা পৃথিবীতে ঘটছে মন্তব্য করে প্রতিমন্ত্রী বলেন, “আমরা কোভিড মহামারীর সময় যুক্তরাষ্ট্রে এরকম ঘটনা দেখেছি। মায়েরসক শিপিং লাইন এই ধরনের ঘটনার শিকার হয়েছে। অনেকগুলো দেশে অনেক ব্যাংক, টেলকো, পাওয়াও ও এনার্জি কোম্পানি হ্যাকিংয়ের শিকার হয়েছে।”
প্রতিমন্ত্রী বলেন, “সাইবার সিকিউরিটি ইন্ডাস্ট্রিটা তিন ট্রিলিয়ন ডলারের। আর প্রতি বছরই দেশে দেশে বিভিন্ন সংস্থা সাইবার হামলায় ট্রিলিয়ন ট্রিলিয়ন ডলার হারাচ্ছে। তাই আমরা ইউএনডিপির সঙ্গে এই বঙ্গবন্ধু সাইবার সিকিউরিটি অ্যাওয়ারনেস অ্যাওয়ার্ড অনুষ্ঠানের আয়োজন করেছি। এর আগে আমরা মনে করতাম পয়সা বাঁচানোই সাইবার নিরাপত্তার প্রধান বিষয়। কিন্তু এখন আমরা বুঝতে পারছি তথ্যই হচ্ছে নতুন যুগের মুদ্রা। আমাদেরকে আমাদের অর্থ (মানি) ও তথ্য (ডেটা) রক্ষা করতে হবে। এই দুটো হচ্ছে সবচেয়ে মূল্যবান বিষয় যা আমাদের সাইবার নিরাপত্তা কর্মসূচিগুলোতে আলোচ্যের মধ্যে থাকতে হবে। সঠিক সিদ্ধান্ত ও প্রস্তুতি না নিলে এ ধরনেরর ঘটনা বারবারই ঘটবে বলে সতর্কও করেন তথ্য ও যোগাযোগ প্রতিমন্ত্রী।
তিনি বলেন, এজন্য আমাদের তথ্য সুরক্ষা আইন প্রয়োজন। প্রধানমন্ত্রীর তথ্যপ্রযুক্তি উপদেষ্টা সজীব ওয়াজেদ জয়ের নির্দেশনায় সেই আইনের খসড়ার কাজ চলছে। এই ডেটা প্রটেকশন অ্যাক্ট কে আরও লিবারেল ও রিল্যাক্স করার জন্য তিনি নির্দেশনা দিয়ে যাচ্ছেন, যাতে স্টার্টআপদের জন্য আরও ব্যবসার সুযোগ তৈরি হয়। একইসঙ্গে আমাদের নাগরিকদের তথ্যের গোপনীয়তা ও আমাদের ডেটার সার্বভৌমত্বের বিষয়গুলো এখানে গুরুত্ব পাবে। একই সঙ্গে আমাদের ডিজিটাল নিরাপত্তা আইন কী করে আমাদের নাগরিকদের এবং বৈশ্বিক কমিউনিটির কাছে আরও প্রাসঙ্গিক ও গ্রহণযোগ্য করে তোলা যায় সেই আলোচনাও চলছে।
জুনায়েদ আহমেদ বলেন, সাইবার নিরাপত্তা বা প্রযুক্তি বিষয়ে তিনি নিজে বিশেষজ্ঞ নন। তবে ‘কমন সেন্স’ থেকে তার ধারণা, সাইবার স্পেসকে নিরাপদ করতে হলে বাংলাদেশকে চারটি বিষয়ে নজর দিতে হবে।
“প্রথমত- আমাদের নাগরিকদের সচেতন করে তুলতে হবে। আমাদের পরিবারের মধ্যে, আমাদের কর্মক্ষেত্রে, শিক্ষা প্রতিষ্ঠানগুলোতে, আমাদের শিক্ষার্থীদের, আমাদের ছেলে-মেয়েদের সচেতন করতে হবে এবং তাদের দিকে খেয়াল রাখতে হবে। সাইবার জ্ঞান দিতে হবে, সাইবার নিরাপত্তা বিষয়ে ধারণা দিতে হবে এবং তারা কীভাবে তাদের সামাজিক যোগাযোগকে নিয়ন্ত্রণ করছে এই তিনটি বিষয় আমাদের পরবর্তী প্রজন্মকে জানাতে হবে।
“দ্বিতীয়ত হচ্ছে- কারিগরি সক্ষমতা বৃদ্ধি। কাগিরগরি সক্ষমতা ও মানবসম্পদের সক্ষমতা না বাড়িয়ে আমরা আমাদের সাইবার ক্ষেত্রকে নিরাপদ করতে পারব না।”
প্রতিমন্ত্রী বলেন, “তৃতীয়ত, খুবই কঠোর আইন ও বিধিমালার প্রয়োগ করা হচ্ছে। পাঁচটি সাইবার নিরাপত্তা গাইডলাইন আমরা তৈরি ও শেয়ার করেছি। আমরা সিআইআইগুলোতে নিয়মিত সভা করছি।
“কিন্তু একা কোন দেশ তাদের সাইবার স্পেসকে নিরাপদ করতে পারে না। আমাদের সাইবার স্পেসকে নিরাপদ করতে হলে আঞ্চলিক ও আন্তর্জাতিক প্ল্যাটফরম করতে হবে।