তথ্য ফাঁস: পদক্ষেপ নিচ্ছে ইসি, আইটি অডিট ও পরিদর্শন শুরু

প্রায় ১২ কোটি নাগরিকের তথ্যভাণ্ডার থেকে যে ১৭১টি প্রতিষ্ঠান সেবা নিচ্ছে, তাদের পর্যায়ক্রমে কারিগরি নিরীক্ষা ও পরিদর্শনের আওতায় আনতে যাচ্ছে নির্বাচন কমিশনের জাতীয় পরিচয় নিবন্ধন অনুবিভাগ।

ইতোমধ্যে প্রাথমিকভাবে ইসির এনআইডি উইংয়ের নিজস্ব কারিগরি টিম তিনটি পার্টনার সার্ভিস অর্গানাইজেশনের বিষয়ে ‘আইটি অডিট’ চালাচ্ছে।

ইসির তথ্য ভাণ্ডার সুরক্ষিত থাকলেও সেবাগ্রহীতা প্রতিষ্ঠানের কোনোটিই যেন তথ্য ফাঁস হওয়ার মতো অনিরাপদ না থাকে, তা নিশ্চিতেই এ কাজ শুরু হয়েছে বলে জানিয়েছেন সংশ্লিষ্ট কর্মকর্তারা।

গত ৬ জুলাই যুক্তরাষ্ট্রভিত্তিক তথ্যপ্রযুক্তি বিষয়ক সংবাদমাধ্যম টেকক্রাঞ্চে বাংলাদেশের সরকারি একটি ওয়েবসাইট থেকে লাখ লাখ নাগরিকের ব্যক্তিগত তথ্য ফাঁস হওয়ার খবর প্রকাশিত হয়।

লাখো নাগরিকের তথ্য ফাঁসের খবর প্রকাশিত হওয়ার এক মাস হতে চলেছে। ভোটার তালিকাভুক্ত নাগরিকদের তথ্য ভাণ্ডার নিয়ে ইসির এনআইডি উই্ং ৯ জুলাই কার্যক্রম শুরু করে।

জরুরি ভিত্তিতে নিরাপত্তা সংক্রান্ত কার্যক্রমের লক্ষ্যে পার্টনার প্রতিষ্ঠানের সঙ্গে যোগাযোগ করে তাদের দুর্বলতা খুঁজে বের করে তা নিরসনে আইটি অডিট কার্যক্রম নেওয়ার পরামর্শ আসে। বুয়েট ও ঢাকা বিশ্ববিদ্যালয়ের আইটি বিশেষজ্ঞদের সমন্বয়ে নিরাপত্তা সংক্রান্ত কারিগরি কমিটি গঠনের পাশাপাশি তথ্য যাচাইয়ের পলিসি শক্তিশালী করা ও মনিটরিং করার সুপারিশ আসে।

এ ধারাবাহিকতায় ১৩ জুলাই বিশেষজ্ঞ, সরকারের বিভিন্ন সংস্থার প্রতিনিধি, কম্পিউটার কাউন্সিল ভেন্ডর প্রতিষ্ঠানসহ অনেকের সঙ্গে বৈঠক করে এনআইডি উইং। এ সভায় জাতীয় পরিচয় তথ্যভাণ্ডারের সার্ভারকে সুরক্ষিত রাখার পাশাপাশি সেবা নেওয়া ১৭১টি প্রতিষ্ঠানের উপর সারাক্ষণ তদারকি চালানোর সুপারিশ এসেছে।

যে পদক্ষেপ নিল এনআইডি উইং

তথ্য ফাঁসের ঘটনার এক মাসের মাথায় ইসির নেওয়া পদক্ষেপের বিষয়ে সোমবার ইসির এনআইডি উইং মহাপরিচালক এ কে এম হুমায়ুন কবীর বলেন, “তথ্য ফাঁসের ঘটনার পর আমরা তদারকি বাড়িয়ে দিয়েছি। ফিজিক্যাল ও আইটি ইন্সপেকশন করা হচ্ছে। একটি কারিগরি টিম করে দেওয়া হয়েছে। ইতোমধ্যে তিনটি প্রতিষ্ঠানের বিষয়ে আইটি অডিট চলছে।”

তিন প্রতিষ্ঠানের বিষয়ে নিরীক্ষা করা হলেও তাদের নাম বলতে চাননি তিনি। কারণ, নাম বললে প্রতিষ্ঠানগুলো ভাবমুর্তি সঙ্কটে পড়তে পারে।

এনআইডি ডিজি বলেন, প্রতি মাসে পর্যায়ক্রমিক নিরীক্ষা করার উদ্যোগ হয়েছে। সেবাদাতা ১৭১ টি প্রতিষ্ঠানের মধ্যে প্রতিনিয়ত কি পরিমাণ হিট তথ্যভাণ্ডারে হচ্ছে, তাও নজরদারিতে রাখা হয়েছে। একই সঙ্গে নিরাপত্তা সক্ষমতা নিয়ে সনদ দেওয়ায় আনুষঙ্গিক সহায়তা চেয়ে আইসিটি বিভাগকেও চিঠি দেওয়া হবে।

“চুক্তির শর্ত ভঙ্গ করলে তাদের বিরুদ্ধে ব্যবস্থা নেওয়া হবে। সবগুলো প্রতিষ্ঠান অডিটের আওতায় আসায় তথ্য লিকেজের বিষয়েও সতর্ক থাকতে বাধ্য হবে।”

সাইবার হামলার শঙ্কার বিষয়ে সংশ্লিষ্টরা সজাগ রয়েছেন জানিয়ে হুমায়ুন কবির বলেন, “আমাদের এখানে সাইবার থ্রেটের সেরকম সুযোগ নেই। তবুও সব প্রতিষ্ঠানকে সতর্ক করা হয়েছে। ১৫ অগাস্টের সাইবার হামলার শঙ্কা শুধু নয়, আগামীতে দীর্ঘ সময়েও এ ধরনের শঙ্কা যেন এড়ানো যায় সে বিষয়ে আমাদের নজর রয়েছে।”

ব্যত্যয় ঘটলে সার্ভিস বন্ধ

এনআইডি উইংয়ের সিস্টেম ম্যানেজার (কারিগরি) মুহাম্মদ আশরাফ হোসেন বলেন, “আমরা একটা তদন্ত কমিটি গঠন করেছি। কমিটি কিছু প্রতিষ্ঠানকে ইনকোয়ারি করে রিপোর্ট দেবে। এ অ্যাকশনটা নেওয়া হয়েছে। এর ভেতরে দুয়েকটা প্রতিষ্ঠানকে (ডাকা হয়েছে), সবাইকে আমরা ডাকিনি, ভবিষ্যতে ডাকার প্ল্যান আছে। সবাইকে একটা ইন্সট্রাকশন দেওয়া হবে।”

তিনি জানান, বছরখানেক আগে সেবা গ্রহীতা প্রতিষ্ঠানগুলোর সঙ্গে বৈঠক করা হয়েছিল, তা আবার হবে।

শর্ত প্রতিপালন করছে না, এমন নজরে এলেই সার্ভিস বন্ধ করে দেওয়া হয় বলে জানান এ কর্মকর্তা।

‘তথ্য সংরক্ষণ করা যাবে না’ এবং দ্বিতীয় পক্ষ ইসির তথ্য-উপাত্ত কোনো অবস্থাতেই অন্য কোনো ব্যক্তি বা প্রতিষ্ঠানকে হস্তান্তর, বিনিময়, বিক্রয় বা অন্য কোনো পন্থায় দেওয়া যাবে না বলে চুক্তিতে রয়েছে।

আশরাফ হোসেন বলেন, “বিষয় হল, আমাদের এন্ডে আমরা যেভাবে সার্ভিসটি দেই, ওদের এন্ডে অপরাধ করলে এটা তাদের বিষয়। তারা ভুল করলে তাদের বিরুদ্ধে আইনগত ব্যবস্থা নেওয়া হবে।”

সিকিউরিটি অডিটও দরকার

সেবা গ্রহীতা পার্টনার প্রতিষ্ঠানের একটিরও যেন নিরাপত্তার ঘাটতি না থাকে, তা নিশ্চিতে পদক্ষেপ নেওয়ার জন্য বলেছেন কারিগরি বিশেষজ্ঞ দলের সদস্য, বঙ্গবন্ধু শেখ মুজিবুর রহমান ডিজিটাল ইউনিভার্সিটির উপাচার্য অধ্যাপক মুহাম্মদ মাহফুজুল ইসলাম।

“ইসির একটা নিজস্ব সিকিউরিটি টিম থাকবে। এ টিম (১৭১ প্রতিষ্ঠানকে) সার্বক্ষণিক মনিটরিং করবে। জাতীয় পর্যায়ের যে সব প্রতিষ্ঠান রয়েছে, তাদের দিয়ে সিকিউরিটি অডিট করাতে হবে। ইসি সিকিউরড থাকলেও ১৭১ টি প্রতিষ্ঠান যেনো সিকিউরড থাকে তা নিশ্চিত করতে হবে।”

তিনি জানান, সিকিউরিটি অডিটের ইন্টারন্যাশনাল কিছু গাইডলাইন রয়েছে। বিজিডি ই-গভ সার্ট, বুয়েটসহ কিছু প্রতিষ্ঠান সিকিউরিটি অডিট করে, এ ধরনের জাতীয় প্রতিষ্ঠানের মাধ্যমে করা যায়।

সাম্প্রতিক তথ্য ফাঁস নিয়ে তিনি বলেন, ইসির ডেটাবেজ বেশ সুরক্ষিত, এখানে এনআইডি উইংয়ের কোনো দুর্বলতা ছিল না। কিন্তু সরকারের যে ২৭টি প্রতিষ্ঠান তথ্য যাচাই সেবা নিচ্ছে। এরমধ্যে একটি প্রতিষ্ঠানের সফটওয়্যারের দুর্বলতা ছিল। তারা যে সফটওয়্যার দিয়ে ডেটাবেইজের তথ্য যাচাই করছিল, সেটা নিরাপদ ছিল না। তাতে ডেটাবেজ ওপেন ছিল, তবে হ্যাকড হয়নি।

নিরাপত্তার দিকটিতে জোর দিয়ে অধ্যাপক মাহফুজুল বলেন, “সিকিউরিটি তো একটা ভালনারেবল ইস্যু। একটি ডেটাবেইজ যখন ১৭১টি প্রতিষ্ঠান (তথ্য যাচাইয়ে) শেয়ার করছে, তাদের প্রতিটি প্রতিষ্ঠানকে সিকিউরড হতে হবে। একটি প্রতিষ্ঠানও যদি ইনসিকিউরড হয়, তাহলে ডেটাবেজ ভারনারেবল হয়ে যাবে। কোনো প্রতিষ্ঠান সিকিউরিটি মেনটেইন করতে না পারলে সাথে সাথে সার্ভিস বন্ধ রাখতে সুপারিশ করা হয়েছে।”

এদিকে দেশজুড়ে ব্যাপক আলোচনার মধ্যে সরকারের তথ্য ও যোগাযোগ প্রতিমন্ত্রী জুনাইদ আহমেদ পলক ৯ জুলাই জানান, হ্যাকিং নয়, কারিগরি ত্রুটির কারণে সরকারি ওয়েবসাইট থেকে নাগরিকদের তথ্য প্রকাশ্য হয়ে পড়েছিল। কর্মকর্তাদের কেউ কেউ তথ্য সুরক্ষার গাইডলাইনগুলো ঠিকমত অনুসরণ করছেন না। যার কারণে এ রকম ঘটনা ঘটছে।

এরপর ১১ জুলাই সরকারের ডিজিটাল সিকিউরিটি এজেন্সির মহাপরিচালককে প্রধান করে আট সদস্যের তদন্ত কমিটি গঠন করে তাদের সাত দিনের মধ্যে প্রতিবেদন জমা দিতে বলা হয়।

১৭ জুলাই প্রতিবেদন জমা দেয় কমিটি। তথ্য উন্মুক্ত অবস্থায় রাখার জন্য কাউকে দায়ীও করেনি তদন্ত কমিটি। এমনকি দায়ীদের বিরুদ্ধে কোনো আইনগত বা ফৌজদারি ব্যবস্থা নেওয়ার সুপারিশও করা হয়নি তদন্ত প্রতিবেদনে।

একনজরে তথ্য যাচাই সেবা

১৭ কোটি মানুষের মধ্যে তথ্যভাণ্ডারে বর্তমানে ১১ কোটি ৯১ লাখ ৫১ হাজার ৪৪০ জন (মার্চের হালনাগাদ তালিকা অনুযায়ী চূড়ান্ত) নাগরিকের তথ্য সংরক্ষিত রয়েছে।

২০০৭-২০০৮ সালে ছবিসহ ভোটার তালিকা প্রণয়নের সময় নাগরিকদের ডেমোগ্রাফিক ও বায়োমেট্রিক তথ্য সংগ্রহ ও সংরক্ষণের মাধ্যমে জাতীয় ‘ডিজিটাল তথ্যভাণ্ডার’ গড়ে তোলা হয়। এ ডেটাবেজ ধরে এনআইডি দেওয়া হয়।

২০১০ সালে জাতীয় পরিচয় নিবন্ধন আইন ও ২০১১ সালে জাতীয় পরিচয় নিবন্ধন অনুবিভাগ করা হয়। স্মার্ট কার্ড দিতে নেওয়া হয় আইডিইএ (আইডেন্টিফিকেশন সিস্টেম ফর এনহ্যান্সিং এক্সেস টু সার্ভিস) প্রকল্প। জাতীয় পরিচয়পত্র ও তথ্য উপাত্ত সংক্রান্ত প্রবিধানমালা জারি হয় ২০১৪ সালে।

ভেরিফিকেশন সার্ভিস: বায়োমেট্রিক তথ্য দিয়ে মোবাইল সিম দেওয়া, কেন্দ্রীয় ব্যাংকে ই-কেওয়াইসি, ব্যাপক জনগোষ্ঠীকে আর্থিক সেবায় আনতে জাতীয় আর্থিক অন্তর্ভূক্তি কৌশল (এনএফআইএস) বাস্তবায়ন, আর্থিক ব্যবস্থাপনা শক্তিশালী করণ ও নানা ধরনের নাগরিক সেবা নিশ্চিতে এনআইডির সঠিকতা যাচাইয়ের প্রয়োজন পড়ে।

১৭১টি প্রতিষ্ঠানের সঙ্গে দ্বিপক্ষীয় চুক্তি: সরকারি প্রতিষ্ঠান ৫৪, মোবাইল কোম্পানি ৬, বাণিজ্যিক প্রতিষ্ঠান ৬৩, আর্থিক প্রতিষ্ঠান ২৮, মোবাইল ফিন্যান্সিল কোম্পানি ৮, বীমা কোম্পানি ৮ ও অন্যান্য প্রতিষ্ঠান ৭টি।

• নির্ধারিত পদ্ধতি ও শর্তে কোনো ব্যক্তি বা প্রতিষ্ঠান ইসির কাছ থেকে তথ্য উপাত্ত পেতে আবেদন করতে পারবে এবং চুক্তির আওতায় এলে কমিশন তা সরবরাহ করতে পারবে। প্রবিধি অনুযায়ী নির্ধারিত হারে ফি ও চার্জ পরিশোধের বিধান রয়েছে।

• চুক্তিবদ্ধ প্রতিষ্ঠান সরাসরি সরকারি কোষাগারে জমা দেয় এ অর্থ। জানুয়ারি পর্যন্ত ইসি মোট ২৫৩ কোটি ৪৮ লাখ ৭৪ হাজার ৩১৬ টাকা রাজস্ব জমা দিয়েছে এ খাতে।

রাজস্ব আয়: সরকারি প্রতিষ্ঠানগুলোর ক্ষেত্রে এপ্লিকেশন প্রোগ্রাম ইন্টারফেস (এপিআই) ও বেসরকারি প্রতিষ্ঠানগুলোর ক্ষেত্রে পোর্টাল বেইজড কানেকটিভিটির মাধ্যমে এনআইডি যাচাই সেবা দিয়ে থাকে।

সতর্কতা ব্যবস্থা: ভিপিএন কানেকটিভিটি স্থাপনকালে এপিআই ডকুমেন্ট এর গোপনীয়তা রক্ষা; সংশ্লিষ্ট প্রতিষ্ঠান কর্তৃক মনোনীত কর্মকর্তাকে সিলগালা খামের ইউজার আইডি ও পাসওয়ার্ড প্রদান; এনআইডি নম্বরের পাশাপাশি বাধ্যতামূলকভাবে জন্মতারিখসহ অনুসন্ধানের ব্যবস্থা; ‘তথ্য সংরক্ষণ করা যাবে না’ এবং দ্বিতীয় পক্ষ ইসির তথ্য-উপাত্ত কোনো অবস্থাতেই অন্য কোনো ব্যক্তি বা প্রতিষ্ঠানকে হস্তান্তর, বিনিময়, বিক্রয় বা অন্য কোনো পন্থায় দেওয়া যাবে না বলে চুক্তিপত্রের বিধান অনুসরণ।