ঢাকা: বাংলাদেশ সরকারের একটি ওয়েবসাইট থেকে দেশের অনেক নাগরিকের নাম, ফোন নম্বর, ই-মেইল ঠিকানা ও জাতীয় পরিচিতি নম্বরসহ বিভিন্ন ব্যক্তিগত তথ্য ফাঁস হয়েছে- এ নিয়ে আন্তর্জাতিক গণমাধ্যমে খবর প্রকাশিত হয়েছে।
বিষয়টি নিয়ে কথা বলেছেন তথ্য ও যোগাযোগ প্রতিমন্ত্রী জুনাইদ আহমেদ পলক।
রোববার (৯ জুলাই) সকালে আগাঁরগাওয়ে বাংলাদেশ কম্পিউটার কাউন্সিল অডিটোরিয়ামে বঙ্গবন্ধু ইন্টারন্যাশনাল সাইবার সিকিউরিটি অ্যাওয়ারনেস অ্যাওয়ার্ড প্রোগ্রামের উদ্বোধনী অনুষ্ঠান শেষে সাংবাদিকদের প্রশ্নে প্রতিমন্ত্রী এ কথা বলেন।
সরকারি একটি ওয়েবসাইটে এত দুর্বলতার দায় কার এবং ব্যবস্থা নেওয়া হবে কি না— এমন প্রশ্নে পলক বলেন, আমরা ২৯টি ক্রিটিক্যাল ইনফ্রাস্ট্রাকচার ঘোষণা করেছিলাম, ধাপে ধাপে এই সংখ্যা বাড়ছে। বাংলাদেশ ব্যাংকে যখন হ্যাক হয় তখন বিশাল অঙ্কের টাকা চুরি হয়ে যায়। তারপর আমরা মারাত্মকভাবে অনুভব করি, সাইবার সিকিউরিটি কতটা গুরুত্বপূর্ণ।
তিনি বলেন, এর আগে কিন্তু আমাদের রেসপন্স টিম বা গাইডলাইন ছিল না, ডিজিটাল নিরাপত্তা আইন ছিল না। সেই ঘটনা ঘটার ফলে উপদেষ্টা সজীব ওয়াজেদ জয়ের নির্দেশনায় সার্ট গঠন করি। তারপর আইন করি এবং প্রতি মাসে মিটিং করে ২৯টি ক্রিটিক্যাল ইনফ্রাস্ট্রাকচার ঘোষণা করি।
পলক বলেন, আশ্চর্যজনক বিষয় হলো আমাদের ক্রিটিক্যাল ইনফ্রাস্ট্রাকচারে ২৭ নম্বর তালিকায় যে প্রতিষ্ঠানকে আগে চিহ্নিত করেছিলাম সেই প্রতিষ্ঠান এই অবস্থার মধ্যে পড়ল। আমরা দেখেছি যে, ওয়েবসাইট থেকে তথ্য পাবলিক হয়ে যায়। সেখানে ন্যূনতম যে সিকিউরিটি নেওয়ার কথা, সেটাও ছিল না।
তিনি বলেন, এটা বিশেষভাবে কেউ চুরি করেছে বা সাইবার হ্যাকাররা হ্যাক করেছে- এরকম কিছু আমরা তদন্তে পাইনি। আমরা যেটা পেয়েছি, সেটা হলো সরকারের ওই ওয়েবসাইটটিতে কিছু টেকনিক্যাল দুর্বলতা ছিল। ফলে আসলে তথ্যটা খুব সহজেই দেখা যাচ্ছিল, পড়া যাচ্ছিল। বলতে গেলে উন্মুক্তই ছিল, যা আমাদের জন্য খুবই দুঃখজনক।
প্রতিমন্ত্রী বলেন, সেই মন্ত্রণালয় বা সংস্থার নাম বলে বিব্রত করতে চাই না। নিরাপত্তা বিষয়ে সব তথ্য পাবলিকলি বলা উচিত না। ২৯টি গুরুত্বপূর্ণ পরিকাঠামোর মধ্যে একটিতে আমরা এ ধরনের দুর্বলতা পেয়েছি। এটা হ্যাকিং না। আন্তর্জাতিক মিডিয়ায় এই খবর প্রকাশ করায় আমাদের দেশের ভাবমূর্তি নষ্ট হয়েছে।
তথ্য ফাঁসের বিষয়ে ব্যবস্থা নেওয়া প্রসঙ্গে তিনি বলেন, যারা দায়িত্বে অবহেলা করেছে, তাদের বিরুদ্ধে সেই মন্ত্রণালয় বা সেই সংস্থা ব্যবস্থা নেবে।
তথ্য ফাঁসের খবর
দক্ষিণ আফ্রিকাভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তাবিষয়ক প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপাওলোস দাবি করেন, বাংলাদেশ সরকারের একটি ওয়েবসাইট থেকে দেশের অনেক নাগরিকের নাম, ফোন নম্বর, ই-মেইল ঠিকানা ও জাতীয় পরিচিতি নম্বরসহ বিভিন্ন ব্যক্তিগত তথ্য ফাঁস হয়েছে।
তিনি বলেন, গত ২৭ জুন হঠাৎ করেই তিনি ফাঁস হওয়া তথ্যগুলো দেখতে পান। এর কিছুক্ষণের মধ্যে তিনি বাংলাদেশ সরকারের কম্পিউটার ইনসিডেন্ট রেসপন্স টিমের (বিজিডি ই-গভ সার্ট) সঙ্গে যোগাযোগ করেন।
তার ভাষ্যমতে, বাংলাদেশের লাখ লাখ নাগরিকের তথ্য ফাঁস হয়েছে।
তথ্য ফাঁস হওয়ার এ খবরটির সত্যতা যাচাই করে তথ্যপ্রযুক্তির খবর দেওয়া যুক্তরাষ্ট্রের অনলাইন সংবাদমাধ্যম টেকক্রাঞ্চ।
তথ্য ফাঁসের বিষয়ে জানতে বাংলাদেশের বিজিডি ই-গভ সার্ট, সরকারের প্রেস অফিস, ওয়াশিংটন ডিসিতে অবস্থিত বাংলাদেশ দূতাবাস এবং নিউইয়র্ক সিটিতে বাংলাদেশি কনস্যুলেটের সঙ্গে যোগাযোগ করেছিল টেকক্রাঞ্চ। তবে সাড়া পাওয়া যায়নি।
মারকোপাওলোস বলেন, তথ্যগুলো খুব সহজেই পাওয়া যাচ্ছে। টেকক্রাঞ্চকে তিনি বলেন, গুগলে সার্চ করার সময় ফাঁস হওয়া তথ্যগুলো আপনাআপনিই হাজির হয়। তথ্যগুলো খোঁজার কোনো চেষ্টা করেননি তিনি।
গুরুত্বপূর্ণ তথ্য পরিকাঠামো
সরকারি ২৯টি প্রতিষ্ঠানকে গুরুত্বপূর্ণ তথ্য পরিকাঠামো হিসেবে ঘোষণা করে ২০২২ সালের ২ অক্টোবর প্রজ্ঞাপন জারি করে তথ্য ও যোগাযোগ প্রযুক্তি বিভাগ।
প্রতিষ্ঠানগুলো হলো রাষ্ট্রপতির কার্যালয়, প্রধানমন্ত্রীর কার্যালয়, বাংলাদেশ ব্যাংক, জাতীয় রাজস্ব বোর্ড, বাংলাদেশ ডেটা সেন্টার কোম্পানি লিমিটেড, সেতু বিভাগ, ইমিগ্রেশন ও পাসপোর্ট অধিদপ্তর, জাতীয় ডেটা সেন্টার (বাংলাদেশ কম্পিউটার কাউন্সিল), বাংলাদেশ টেলিযোগাযোগ নিয়ন্ত্রণ কমিশন, জাতীয় পরিচয় নিবন্ধন অনুবিভাগ (নির্বাচন কমিশন সচিবালয়), সেন্ট্রাল প্রকিউরমেন্ট টেকনিক্যাল ইউনিট, সোনালী ব্যাংক, অগ্রণী ব্যাংক, জনতা ব্যাংক, রূপালী ব্যাংক, রূপপুর পারমাণবিক বিদ্যুৎকেন্দ্র স্থাপন প্রকল্প, বিমান বাংলাদেশ এয়ারলাইনস, ইমিগ্রেশন পুলিশ, বাংলাদেশ টেলিকমিউনিকেশন কোম্পানি লিমিটেড, বাংলাদেশ বিদ্যুৎ উন্নয়ন বোর্ড, পাওয়ার গ্রিড কোম্পানি অব বাংলাদেশ, তিতাস গ্যাস ট্রান্সমিশন অ্যান্ড ডিস্ট্রিবিউশন কোম্পানি লিমিটেড, সেন্ট্রাল ডিপজিটরি বাংলাদেশ লিমিটেড, বঙ্গবন্ধু স্যাটেলাইট কোম্পানি লিমিটেড, বাংলাদেশ সিকিউরিটিজ অ্যান্ড এক্সচেঞ্জ কমিশন, সিভিল এভিয়েশন অথরিটি বাংলাদেশ, রেজিস্ট্রার জেনারেল কার্যালয় (জন্ম ও মৃত্যুনিবন্ধন), ঢাকা স্টক এক্সচেঞ্জ ও চট্টগ্রাম স্টক এক্সচেঞ্জ।
এই তালিকায় ২৭ নম্বরে রয়েছে জন্ম ও মৃত্যু নিবন্ধনের রেজিস্ট্রার জেনারেল কার্যালয়। আইসিটি প্রতিমন্ত্রী নাম না বললেও ২৭ নম্বরটির কথা উল্লেখ করেছেন।
গুরুত্বপূর্ণ তথ্য পরিকাঠামো ঘোষণার সময় আইসিটি বিভাগের কর্মকর্তারা জানিয়েছিলেন, এসব ইনফ্রাস্ট্রাকচার যদি সাইবার হামলার শিকার হয়, তাহলে অনেক মানুষ ক্ষতিগ্রস্ত হতে পারেন, বেশি সংখ্যক তথ্য ও অর্থের ক্ষতি হতে পারে এবং যেগুলো জাতীয় নিরাপত্তার জন্য হুমকি। সব বিষয় বিবেচনায় রেখে ২৯টি প্রতিষ্ঠানকে গুরুত্বপূর্ণ তথ্য পরিকাঠামো হিসেবে ঘোষণা করা হয়েছে।
ডিজিটাল নিরাপত্তা আইন-২০১৮ এর ১৫ ধারায় বলা আছে, সরকারি গেজেটে প্রজ্ঞাপন দ্বারা কোনো কম্পিউটার সিস্টেম, নেটওয়ার্ক বা তথ্য পরিকাঠামোকে গুরুত্বপূর্ণ তথ্য পরিকাঠামো হিসাবে ঘোষণা করতে পারবে সরকার।
এ সংক্রান্ত আইনে সর্বোচ্চ যাবজ্জীবন কারাদণ্ড বা অনধিক পাঁচ কোটি টাকা অর্থদণ্ডে বা উভয় দণ্ডে দণ্ডিত করার বিধান রাখা হয়েছে।