ঢাকা: জাতীয় পরিচয়পত্র (এনআইডি) সার্ভার থেকে কেবল নাগরিকের পরিচয় যাচাই করার কথা থাকলেও পার্টনার সার্ভিসগুলো (সেবাদানকারী প্রতিষ্ঠানগুলো) চুক্তি ভঙ্গ করে নাগরিকের এনআইডি তথ্য নিজেদের কাছে সংরক্ষণ করে বা করার চেষ্টা করে। আর এ কারণেই এসব তথ্য ঝুঁকির মুখে পড়েছে।
বর্তমানে সরকারি-বেসরকারি ১৭১টি প্রতিষ্ঠান এনআইডি সার্ভার থেকে তথ্য যাচাই করে নাগরিকদের সেবা প্রদানে ইসির সঙ্গে চুক্তিবদ্ধ। এর মধ্যে মোবাইল অপারেটর, ব্যাংক-বিমাসহ আর্থিক প্রতিষ্ঠান এবং আইনশৃঙ্খলা রক্ষাকারী বাহিনীসহ বিভিন্ন সরকারি সেবামূলক প্রতিষ্ঠানও রয়েছে।
এনআইডি সার্ভার থেকে তথ্য যাচাইয়ের এই কার্যক্রমের শুরু থেকেই বিভিন্ন প্রতিষ্ঠান চুক্তি ভঙ্গের কাণ্ডটি করে আসছিল। কেননা, প্রতিটি এনআইডি যাচাই করে নিতে একটি নির্দিষ্ট অঙ্কের টাকা সংশ্লিষ্ট প্রতিষ্ঠানকে দিতে হয় ইসিকে। আর যদি যাচাইকৃত এনআইডির তথ্য সেভ করে রাখা যায়, তাহলে সংশ্লিষ্ট প্রতিষ্ঠানকে পরে আর ইসি থেকে যাচাই করা এবং ওই নির্দিষ্ট অর্থ পরিশোধ করার প্রয়োজন পড়ে না। বিষয়টি নিয়ে এতদিন ইসি কর্মকর্তাদের মধ্যে কানাঘুষা চললেও এবার তা সামনে এলো।
এনআইডি মহাপরিচালক একেএম হুমায়ুন কবীর রোববার (৯ জুলাই) নির্বাচন ভবনে আয়োজিত এক সংবাদ সম্মেলনে বলেন, ‘মাঝে মাঝেই এরকম হয়ে যায়। এটা হয় কীভাবে… যারা (পার্টনার সার্ভিস) সেবাটা নেয়, তাদের আউটসোর্সিংয়ে অনেকেই থাকে। তারা যখন থাকে, এটা হলো সিস্টেম, যিনি তথ্য নেবেন, তিনি ওখানে হা করে বসে থাকেন। যখন উঠে আপনি বাথরুমে গেলেন, এই পাঁচ মিনিটের মধ্যে অনেকগুলো তথ্য আপনি নিয়ে নিতে পারবেন। এ কারণে উনাকে সতর্ক থাকতে হবে। আমাদের এখানে আমরা কিন্তু সবসময় সতর্ক থাকি। কিন্তু উনার এখানে কতটা সতর্ক অবস্থা আছে, আমরা এটা মাঝে ভেরিফাই করি। তাদের অ্যাবনরমাল হিট হলে আমরা তাদের কোয়েরি করি। আমাদের এখানে কিন্তু এ পর্যন্ত অ্যাবনরমাল হিটের ডেটা পাচ্ছি না। ওদের ওখানে অ্যাবনরমাল হিট হলে সেটা আমার এখানেও হবে। কিন্তু সেটা কিন্তু হয়নি। ’
ইসির এনআইডি অনুবিভাগের স্মার্টকার্ড প্রকল্পের পরিচালক (তথ্য ও যোগাযোগ প্রযুক্তি) স্কোয়াড্রন লিডার সাদ ওয়ায়েজ তানভীর বিষয়টির অধিকতর ব্যাখ্যা দিয়ে বলেন, ‘আমাদের ডাটা সেন্টারের সিকিউরিটি ফিজিক্যাল এবং লজিক্যাল; বোথ সিকিউরিটি নিশ্চিতে পর্যাপ্ত ব্যবস্থা নেওয়া হয়েছে। টাইম টু টাইম আপডেট করার ব্যবস্থাও নেওয়া হয়েছে। আমাদের সিকিউরিটি অপারেশন সেন্টার (এসওসি) বা সক আছে। সক কন্টিনিউয়াসলি মনিটর করে যে, আমার নেটওয়ার্কে এবং আমাদের সার্ভারে কী পরিমাণ হিট আসছে, কল আসছে এবং রিকোয়েস্ট আসছে। যদি কোনো অ্যাবনরমালিটি পাই, সঙ্গে সঙ্গে সতর্কতামূলক ব্যবস্থা নেওয়া হয়। ’
তিনি বলেন, ‘এখন আমাদের ১৭১টি পার্টনার সার্ভিস ভিপিএনের মাধ্যমে ডাটা কল করে (যাচাই করার জন্য)। পার্টনার সার্ভিস… এখন একটা ব্যাংক মনে করুন তার কাস্টমারের জন্য প্রতিদিন কিন্তু ডাটা কল করছে। একটা নির্দিষ্ট সময়ে সে কিন্তু বিরাট সংখ্যক নাগরিকের তথ্য কল করছে। এখন আমরা আমাদের নিরাপত্তা নিশ্চিতের জন্য প্রত্যেক পার্টনার সার্ভিসের সঙ্গে চুক্তিবদ্ধ হওয়ার ক্ষেত্রে উল্লেখ করে দিই, তারা নিজস্ব সার্ভার রাখতে পারবে না। এই যে প্রতিদিন ডাটাগুলো কল করে, তারা যদি প্রতিদিন এগুলো সেভ করতে থাকে, একটা টাইমে কিন্তু একটা লার্জ ভলিউমে ডাটা তাদের কাছে সেভ হয়ে যাবে। যেটা কিন্তু নিরাপত্তা নিশ্চিত করা আমাদের পক্ষে সম্ভব হবে না। তখন তাদেরই দায়িত্ব নিয়ে নিরাপত্তা নিশ্চিত করতে হবে। তাই ওই রিস্কে না গিয়ে আমরা চুক্তির মধ্যেই আমরা উল্লেখ করে দিই এ ধরনের কার্যক্রম তারা নিতে পারবে না। তারপরও অতীতে যেটা হয়েছে, বিভিন্ন প্রতিষ্ঠান, তারা তাদের মাধ্যমে ডাটা রিচ করেছে। ’
এদিকে সাদ ওয়ায়েজ তানভীর বলেন, ‘কী ব্যবস্থা নিয়েছি তা আপনারা (সাংবাদিকরা) জানতে চাইলেন। আমরা কিন্তু তাদের বিষয়গুলো অবহিত করা, তাদের এপিআইটাকে (এপ্লিকেশন প্রোগ্রামেবল ইন্টারফেজ) সাময়িক বন্ধ রেখে সল্যুশনে গিয়ে তারপর তাদের সার্ভিস চালু করার ব্যবস্থা নিয়েছি। এখন মনে করুন, আমাদের পার্টনার সার্ভিসের অন্তর্ভুক্ত প্রত্যেকে কিন্তু নাগরিক সেবা দিচ্ছে প্রতিদিন। পাঁচ মিনিটের জন্য যদি নাগরিক সেবাদানকারী প্রতিষ্ঠানের এই সেবা সার্ভিস বন্ধ করে দেওয়া হয়, এর ভুক্তভোগী হবে সাধারণ নাগরিক। কল আসতে থাকবে প্রচুর। তাই বন্ধ করে দেওয়ার সুযোগ নেই। আমাদের মাথাব্যথার জন্য মাথা কেটে ফেলতে পারব না। এজন্য সমাধানে যাব। এজন্য টেকনিক্যাল বিষয় প্রয়োগ করে আসছি। ’
তিনি আরও বলেন, ‘গতকাল যখন নিউজটা হলো, সেটার আপডেট হলো, তাৎক্ষণিক আমরা যোগাযোগ করেছি। একটা সাইটে তারা ভালনারেবিলিটি পেয়েছে। আমরা ধারণা করেছি যে, পার্টনার সার্ভিস থেকে তারা ডাটাগুলো পেয়েছে, এই ডাটাগুলো সেখানে সেভ করা ছিল। ফারদার এই জিনিসগুলোর ক্ষেত্রে স্থায়ী সমাধানের জন্য পার্টনার সার্ভিসের এই ধরনের কর্মকাণ্ডের জন্য যাতে নাগরিক তথ্য ঝুঁকির সম্মুখীন না হয় সে ব্যবস্থা আমরা নেব। ’
তবে এ বিষয়ে এনআইডি মহাপরিচালক বলেন, ‘আমাদের কাছ থেকে ১৭১টি প্রতিষ্ঠান ও সংস্থা সেবা নিয়ে থাকে। আমাদের সার্ভারের তথ্যাবলির ওপর কোনো রকমের থ্রেড আসেনি। আমাদের সার্ভার থেকে কোনো রকম তথ্য যায়নি। তারপরও এই বিষয়ে কোনো ত্রুটি-বিচ্যুতি পেলে বা চুক্তিপত্রের বরখেলাপ হলে তা বাতিল করব। প্রয়োজনে আইনানুগ ব্যবস্থা নেব। ’ইসির এনআইডি শাখার সিস্টেম ম্যানেজার মুহাম্মদ আশরাফ হোসেন এ বিষয়ে ব্যাখ্যা দিয়ে বলেন, ‘যে রিপোর্টটি এসেছে সেটা অনুযায়ী, যারা আমাদের সেবা নিচ্ছেন তার সিস্টেমটি হ্যাক হয়েছে। এনআইডি নম্বরটি সেই সিস্টেম থেকে নিচ্ছে। কিন্তু এনআইডির এগেইনস্টে যে তথ্যগুলো থাকে তা কিন্তু পাচ্ছে না। তারপরও বলছি যে প্রতিনিয়ত আমরা অনুসন্ধান করে থাকি। ১৭১টি সেবাগ্রহীতা প্রতিষ্ঠানের মধ্যে কে কীভাবে সার্ভিসগুলো ইউজ করে থাকে, এর আগেও আমরা সেগুলো দেখেছি। যেগুলো আমাদের সন্দেহ হয়, সেগুলো আমরা সাময়িকভাবে বন্ধ করে থাকি। এখনো গতকাল থেকে আমরা বেশ তৎপর আছি। অনুসন্ধান চালিয়ে যাচ্ছি। কিছু আমাদের ডাউট লিস্টে এসেছে। আমরা অনুসন্ধান করছি। ’
তিনি বলেন, ‘এনআইডি ওয়েবসাইটের সঙ্গে এনআইডি ডাটাবেজের কোনো সম্পর্ক নেই। এটা সম্পূর্ণভাবে পৃথক সিস্টেম। বলতে পারেন এটা একেবারে সিকিউরড সিস্টেম। আমাদের ডাটাবেজ পাবলিক নেটওয়ার্কে নাই। এখন যখন সিদ্ধান্ত নিয়েছি যে, বেসরকারি প্রতিষ্ঠান বা সেবার ক্ষেত্রে এটা প্রয়োজন, তখন কিন্তু আমরা সিকিউরিটি নিশ্চিত করি। একটি হলো ভার্চ্যুয়াল প্রাইভেট নেটওয়ার্ক, যেটি হলো আমাদের নেটওয়ার্ক। এখানে ডেটা ছাড়া অন্য কিছু যাবে না। ভিপিএন ব্যবহার করি আমরা। ১৭১টি প্রতিষ্ঠান এখানে আলাদা আলাদাভাবে কানেক্টেড। তারা কানেক্টেড হওয়ার পর তাদের এক্সেস দিই না। তারা শুধু তাদের জায়গা থেকে রিকুইজিশন দিতে পারে এনআইডি নম্বর ও জন্ম তারিখ দিয়ে। এই দুটো ম্যাচ করলে, সিস্টেম ডিসাইড করবে যে তাকে চুক্তি অনুযায়ী তথ্যগুলো দিয়ে দেবে। তথ্য দেওয়ার পরে তার একটা ট্রানজেকশন শেষ। এরপর ফিডব্যাকের কোনো সুযোগ নেই। এক্ষেত্রে আমাদের সার্ভার থেকে কোটি কোটি এনআইডি ডাটা নেওয়ার সুযোগ নেই। ’
সাদ ওয়ায়েজ তানভীর বলেন, ‘তথ্যগুলো পার্টনার সার্ভিসের দুর্বলতার কারণে নিতে পেরেছে। ওয়েবসাইটের দুর্বলতার কারণে কিছু জিনিস হিডেন থাকার কথা, কিন্তু তা ছিল না, যে কারণে হ্যাকার বা রিসার্চার, হি ইজ এ রিসার্চার তিনি দেখছেন এই দুর্বলতা ছিল। এরপর তিনিই যোগাযোগ করে জানিয়েছেন যে এই দুর্বলতা ছিল। এখন ওই ওয়েবসাইটের সঙ্গে ইসির সার্ভারের সংযোগ নেই। ’
তথ্য ফাঁসের খবর
দক্ষিণ আফ্রিকাভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তাবিষয়ক প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপাওলোস দাবি করেন, বাংলাদেশ সরকারের একটি ওয়েবসাইট থেকে দেশের অনেক নাগরিকের নাম, ফোন নম্বর, ই-মেইল ঠিকানা ও জাতীয় পরিচিতি নম্বরসহ বিভিন্ন ব্যক্তিগত তথ্য ফাঁস হয়েছে।
গত ২৭ জুন হঠাৎ করেই তিনি ফাঁস হওয়া তথ্যগুলো দেখতে পান। এর কিছুক্ষণের মধ্যে তিনি বাংলাদেশ সরকারের কম্পিউটার ইনসিডেন্ট রেসপন্স টিমের (বিজিডি ই-গভ সার্ট) সঙ্গে যোগাযোগ করেন। তার ভাষ্যমতে, বাংলাদেশের লাখ লাখ নাগরিকের তথ্য ফাঁস হয়েছে।
গুরুত্বপূর্ণ পরিকাঠামো থেকে তথ্য ফাঁস!
আন্তর্জাতিক গণমাধ্যমে খবর প্রকাশের পর দেশের গণমাধ্যমগুলোও ফলাও করে সংবাদটি প্রকাশ করলে তথ্য ও যোগাযোগ প্রতিমন্ত্রী জুনাইদ আহমেদ পলক সাংবাদিকদের বলেন, ‘গুরুত্বপূর্ণ তথ্য পরিকাঠামোর তালিকার ২৭ নম্বর প্রতিষ্ঠান থেকে মানুষের ব্যক্তিগত তথ্য ফাঁস হয়েছে। ’ বাংলাদেশ সরকারের গুরুত্বপূর্ণ তথ্য পরিকাঠামোর তালিকায় ২৭ নম্বর প্রতিষ্ঠানটি হলো জন্ম ও মৃত্যু নিবন্ধনের রেজিস্ট্রার জেনারেল কার্যালয়। আইসিটি প্রতিমন্ত্রী নাম না বলে ২৭ নম্বর শব্দ দুটো উল্লেখ করেন।
ইসির এনআইডি সার্ভারে বর্তমানে ১১ কোটি ৯০ লাখ ৬১ হাজার ১৫৮ জনের বেশি নাগরিকের তথ্য রয়েছে।