ব্যক্তিগত তথ্যের অনিরাপদ লেনদেন, ঝুঁকিতে নিরাপত্তা

বাংলাদেশে ডিজিটাল লেনদেন ও অনলাইন পরিষেবার ব্যবহার দিন দিন বাড়ছে। নাগরিকদের নাম, জাতীয় পরিচয়পত্র নম্বর, ঠিকানা, ফোন নম্বর, ব্যাংক অ্যাকাউন্ট ও ক্রেডিট কার্ডের তথ্য দৈনন্দিন লেনদেনের সঙ্গে সংশ্লিষ্ট। কিন্তু বাংলাদেশের সরকারি-বেসরকারি প্রতিষ্ঠানগুলোর অনলাইন নিরাপত্তার অবস্থা ভীষণ নাজুক। ফলে প্রায়ই ঘটছে তথ্য চুরির ঘটনা। সর্বশেষ প্রকাশিত হয়েছে জনপ্রিয় সুপারশপ চেইন স্বপ্নের গ্রাহকদের ব্যক্তিগত তথ্য। ফাঁস হওয়া সংবেদনশীল ব্যক্তিগত তথ্য হজে জালিয়াতি, অর্থ চুরি ও প্রতারণার জন্য ব্যবহার করা হয়, যা জাতীয় ও ব্যক্তির নিরাপত্তার  জন্য বড় ধরনের ঝুঁকি তৈরি করছে।

তথ্য বিশেষজ্ঞরা বলছেন, তথ্য চুরি সাধারণত কয়েকটি ধাপে ঘটে। প্রথমে হ্যাকাররা প্রতিষ্ঠান বা ওয়েবসাইটের নেটওয়ার্ক স্ক্যান করে দুর্বলতা খুঁজে বের করে। এরপর তারা ফিশিং ইমেইল, ভুয়া ওয়েবসাইট বা সফটওয়্যার দুর্বলতার সুযোগ নিয়ে ব্যবহারকারীর লগইন তথ্য সংগ্রহ করে। একবার প্রবেশ করলে সংবেদনশীল তথ্য এক্সফিলট্রেশন বা অননুমোদিতভাবে বাইরে নেওয়া হয়। এরপর চুরি হওয়া তথ্য বিক্রি করা হয় বা চাঁদা দাবি করা হয়।

সাইবার বিশেষজ্ঞরা বলছেন, সাইবার নেটওয়ার্কের দুর্বল নিরাপত্তার সুযোগ নিয়ে বারবার হ্যাকাররা বাংলাদেশকে টার্গেট করছে। এমনকি আইটি অডিট এবং ওয়েবসাইটের দুর্বলতা মূল্যায়নে মনোযোগ নেই অনেক প্রতিষ্ঠানের। ভার্চুয়াল যেসব নেটওয়ার্ক অবকাঠামো রয়েছে, তা একবার তৈরির পর প্রয়োজন হলে পুনর্নির্মাণের উদ্যোগ নেওয়া হয় না। সাইবার নিরাপত্তার ঝুঁকি নিয়েই বছরের পর বছর তা খুঁড়িয়ে খুঁড়িয়ে চলতে থাকে। এমনকি বিভিন্ন সরকারি-বেসরকারি প্রতিষ্ঠানের বিশেষায়িত বা স্পর্শকাতর সার্চ ইঞ্জিন ব্যক্তিগত যোগাযোগে ব্যবহার করা হচ্ছে। তবে সাইবার হামলার পর তদন্ত হলেও তার অধিকাংশ আলোর মুখ দেখে না। এ কারণে ঠিক কী ধরনের দুর্বলতার সুযোগ নিয়ে হ্যাকার গ্রুপ সফল মিশন শেষ করেছে, তা অজানা থাকছে।

সাইবার নিরাপত্তা বিশেষজ্ঞ ডিকোডস ল্যাবের আরিফ মঈনুদ্দীন বলেন, দেশীয় প্রতিষ্ঠানের ওয়েবসাইটগুলো অনেক ক্ষেত্রে দুর্বল। অসচেতনতা, নিয়মিত রক্ষণাবেক্ষণের অভাব ও দক্ষতার ঘাটতি সাইবার হামলার প্রবণতা বাড়ায়।

তথ্যপ্রযুক্তি বিশেষজ্ঞ সুমন আহমেদ সাবির বলেন, ‘নাগরিকরা অসচেতন হলে ক্ষতিকর কুকিজ, অজানা অ্যাপস বা লিঙ্ক থেকে তথ্য ফাঁস হতে পারে। নিরাপত্তার ব্যবস্থা সর্বদা হালনাগাদ রাখতে হবে।’

ব্যক্তিগত উপাত্ত সুরক্ষা অধ্যাদেশ অনুসারে ব্যক্তিগত তথ্য সংগ্রহে সংশ্লিষ্ট ব্যক্তির অনুমতি লাগবে। মালয়েশিয়ার ইউনিভার্সিটি অব মালয়ার আইন ও উদীয়মান প্রযুক্তি বিভাগের সহযোগী অধ্যাপক মুহাম্মদ এরশাদুল করিম বলেন, বাংলাদেশের সাধারণ মানুষ খুব বেশি সচেতন নয়। তাই কোনো প্রতিষ্ঠান চাইলেই তারা তথ্য দিয়ে দেয়। এ জন্য প্রাতিষ্ঠানিক ও ব্যক্তিগত দুই পর্যায়েই সচেতনতা জরুরি।

উপাত্ত সুরক্ষা অধ্যাদেশ নাগরিকদের ব্যক্তিগত তথ্য সুরক্ষিত রাখতে এবং তথ্য ফাঁস হলে কর্তৃপক্ষকে অবিলম্বে জানাতে বাধ্যবাধকতা আরোপ করেছে। তবে বাস্তবায়ন এখনও আংশিক। বিশেষজ্ঞরা বলছেন, আইনের যথাযথ প্রয়োগ ও সংবেদনশীল তথ্য সংরক্ষণের মান উন্নত না হলে নাগরিকদের নিরাপত্তা নিশ্চিত করা কঠিন।

স্বপ্ন জানিয়েছে, হ্যাকাররা গত বছর তাদের গ্রাহক ডেটাবেজে অননুমোদিত প্রবেশ করে। গত ২০ আগস্ট আন্তর্জাতিকভাবে কুখ্যাত র‍্যানসমওয়্যার গ্রুপের হ্যাকাররা ডেটাবেজে প্রবেশাধিকার পেতে ১৫ লাখ মার্কিন ডলার দাবি করে।

‘স্বপ্ন’-এর ব্যবস্থাপনা পরিচালক সাব্বির হাসান নাসির সাংবাদিকদের জানান, হ্যাকাররা প্রথমে কোম্পানির ডেটাবেজ নিয়ন্ত্রণে নেয় এবং পুনরায় প্রবেশাধিকার চাইতে চাঁদা দাবি করে।

জানা গেছে, বর্তমানে দেশের ৬৩টি জেলায় ৮১২টি আউটলেট পরিচালিত হয় স্বপ্নর, যেখানে নিবন্ধিত গ্রাহকের সংখ্যা ৪০ লাখের বেশি। হ্যাক হওয়া তথ্যের মধ্যে রয়েছে– গ্রাহকদের নাম, মোবাইল নম্বর ও কেনাকাটার বিস্তারিত।

স্বপ্ন তাদের এক বিবৃতিতে জানিয়েছে, সাইবার অপরাধীদের অযৌক্তিক ও বেআইনি দাবির কাছে ‘স্বপ্ন’ কোনো ধরনের আপস করেনি। ঘটনার পরপরই হামলার বিষয়ে একটি পুঙ্খানুপুঙ্খ অডিট পরিচালনা করা হয়। নিবিড় বিশ্লেষণে সিস্টেমের সর্বশেষ অবস্থা পর্যালোচনা করে তাৎক্ষণিক প্রতিরোধমূলক ব্যবস্থা নেওয়া হয়। এ ছাড়া আইটি অবকাঠামোকে বিশ্বমানের নিরাপত্তাবলয়ে ঢেলে সাজাতে ইতোমধ্যে নানা পদক্ষেপ নিয়েছে।

ইন্টারনেট ও নেটওয়ার্ক সুরক্ষায় বিশ্বমানের নেক্সট-জেনারেশন ফায়ারওয়াল এবং সার্ভারের সুরক্ষায় শীর্ষস্থানীয় এন্টারপ্রাইজ-গ্রেড সিকিউরিটি সলিউশন স্থাপন করা হয়েছে। সব সার্ভার, হেড অফিসের সব কম্পিউটার এবং দেশব্যাপী আউটলেটগুলোতে বিশ্বের অন্যতম অত্যাধুনিক এন্ডপয়েন্ট প্রটেকশন ও অ্যাডভান্সড অ্যান্টিভাইরাস সিস্টেম নিশ্চিত করা হয়েছে। ফায়ারওয়াল লগ ও নেটওয়ার্ক ট্রাফিক সার্বক্ষণিক মনিটর করার জন্য ডেডিকেটেড দেশি-বিদেশি সাইবার সিকিউরিটি স্পেশালিস্ট নিয়োগ করা হয়েছে।

বিশেষজ্ঞরা বলছেন, তথ্যের নিরাপত্তার জন্য প্রতিষ্ঠানগুলোকে ফায়ারওয়াল, এন্ডপয়েন্ট প্রটেকশন, নেটওয়ার্ক মনিটরিং, নিয়মিত নিরাপত্তা আপডেট এবং তথ্যের গোপনীয়তা নিশ্চিত করতে হবে। নাগরিকদেরও সচেতন থাকতে হবে। অজানা লিঙ্কে ক্লিক না করা যাবে না। যেখানে সেখানে ব্যক্তিগত তথ্য দেওয়া যাবে না।

বাংলাদেশে সাইবার হামলা নতুন নয়। ২০১৬ সালে বাংলাদেশ ব্যাংক হ্যাকে ১০ কোটি ডলার চুরি হয়। সাম্প্রতিককালে বিমান বাংলাদেশ, কৃষি ব্যাংক এবং সরকারি ওয়েবসাইটগুলোতে তথ্য ফাঁসের ঘটনা ঘটেছে। জাতীয় পরিচয়পত্র সংক্রান্ত তথ্য অনলাইনে সহজে পাওয়ার ঘটনা ঘটেছে। পরবর্তী সময় নির্বাচন কমিশন, ব্যাংক ও সরকারি প্রতিষ্ঠানের ডেটা সেন্টারেও অননুমোদিত প্রবেশ ও তথ্য চুরি ঘটে।