এখনই পদক্ষেপ না নিলে ‘সামনে বিপদ’: সাইবার নিরাপত্তা নিয়ে বিশেষজ্ঞের সতর্কবার্তা

বাংলাদেশ তথ্যপ্রযুক্তিতে দ্রুত এগিয়ে যেতে থাকলেও সাইবার নিরাপত্তার ক্ষেত্রে যে অনেক ঘাটতি থেকে যাচ্ছে, সেদিকে দৃষ্টি আকর্ষণ করে সরকারি সংস্থাগুলোকে কার্যকর করার তাগিদ দিয়েছেন তথ্যপ্রযুক্তিবিদ সুমন আহমেদ সাবির।

তিনি বলেছেন, “সাইবার নিরাপত্তার ক্ষেত্রে আমরা বহু পেছনে পড়ে আছি। আমরা যদি এক্ষেত্রে দ্রুত কাজ না করি, তাহলে তথ্য চুরির মত ঘটনা আরও বেশি দেখতে পাব।”

দেশের তথ্যপ্রযুক্তি খাতে প্রায় তিন দশকের কাজের অভিজ্ঞতা রয়েছে সুমন আহমেদ সাবিরের। লাখ লাখ বাংলাদেশি নাগরিকের তথ্য অনলাইনে উন্মুক্ত হয়ে যাওয়ার ঘটনা যখন উদ্বেগ জাগাচ্ছে, ঠিক সেই সময় বিডিনিউজ টোয়েন্টিফোর ডটকমের আলোচনা অনুষ্ঠান ইনসাইড আউটে এসে বিষয়গুলো নিয়ে খোলামেলা আলোচনা করেছেন তিনি।

রোববার বিডিনিউজ টোয়েন্টিফোর ডটকমের ফেইসবুক পেইজ ও ইউটিউব চ্যানেলে সম্প্রচার করা হয় ইনসাইড আউটের এই সর্বশেষ পর্বটি।

একটি সরকারি ওয়েবসাইট থেকে যেভাবে দেশের নাগরিকদের ব্যক্তিগত তথ্য উন্মুক্ত হয়ে হয়ে পড়ল, তার দায় কেবল একক ব্যক্তিকে দেওয়া যাবে না মন্তব্য করে সুমন বলেন, “পুরো সিস্টেমই ব্যর্থ হয়েছে।

“যেমন- আপনি যদি কিছু গুরুত্বপূর্ণ ডেটা নিয়ে কাজ করেন, আপনাকে সেই ডেটার নিরাপত্তার দেখভালও করতে হবে। যারা আপনার সঙ্গে ডেটা আদানপ্রদান করছে, তাদের ডেটার নিরাপত্তাও আপনাকে দেখতে হবে।”

ইন্টারনেট ও প্রযুক্তি সেবাদাতা কোম্পানি ফাইবার অ্যাট হোমের প্রধান প্রযুক্তি কর্মকর্তা সুমন আহমেদ সাবির তার ক্যারিয়ারে ইন্টারনেট অবকাঠামো উন্নয়ন, ইন্টারনেট নীতি প্রণয়ন, সাইবার নিরাপত্তা, ইন্টারনেট গভর্নেন্সের মত বিষয়গুলো নিয়ে কাজ করেছেন।

ডেটার গুরুত্ব ও সংবেদনশীল প্রকৃতির উপর ভিত্তির করে প্রতিটি ক্ষেত্রে একটি ‘নিরাপত্তা ফ্রেমওয়ার্ক’ থাকা জরুরি মন্তব্য করে তিনি বলেন, “এটা কীভাবে সংরক্ষণ করা হবে, তার নিরাপত্তা নীতি থাকতে হবে।”

বিষয়টি আরও একটু ব্যাখ্যা করে তিনি বলেন, “আপনি যখন কোনো ডেটা শেয়ার করবেন, তখন সেটার জন্য আপনার অবশ্যই সিকিউরিটি ফ্রেমওয়ার্ক থাকতে হবে। ডেটা কি সুরক্ষিতভাবে শেয়ার করা হচ্ছে? যারা অন্য ওয়েবসাইট থেকে অন্য সেবার জন্য ডেটায় প্রবেশ করছেন, তিনি কি এটার জন্য অনুমোদিত? কোন ধরনের ডেটায় তারা প্রবেশ করছেন? এর সবকিছু লিপিবদ্ধ থাকতে হবে।

“যারা এই সেবায় প্রবেশ করছে, তাদেরকে যথাযথভাবে প্রশিক্ষিত হতে হবে এবং ডেটার সংবেদনশীলতা বুঝতে হবে। আপাততদৃষ্টিতে মনে হচ্ছে, (সাম্প্রতিক তথ্যফাঁসের ক্ষেত্রে) এসব অনুসরণ করা হয়নি।”

গত ৬ জুলাই যুক্তরাষ্ট্রভিত্তিক তথ্যপ্রযুক্তি বিষয়ক সংবাদমাধ্যম টেকক্রাঞ্চে বাংলাদেশের সরকারি একটি ওয়েবসাইট থেকে লাখ লাখ নাগরিকের ব্যক্তিগত তথ্য ফাঁস হওয়ার খবর প্রকাশিত হয়।

ওই প্রতিবেদনে বলা হয়, বাংলাদেশি নাগরিকদের সম্পূর্ণ নাম, ফোন নম্বর, ইমেইল ঠিকানা এবং জাতীয় পরিচয়পত্র নম্বরসহ ব্যক্তিগত তথ্য উন্মুক্ত হয়ে আছে ইন্টারনেটে।

টেকক্রাঞ্চ জানায়, আকস্মিকভাবে বাংলাদেশি সাইট থেকে নাগরিকদের তথ্য ফাঁসের বিষয়টি বুঝতে পেরে এক গবেষক বাংলাদেশ কম্পিউটার কাউন্সিলের ‘বাংলাদেশ ই-গভর্নমেন্ট কম্পিউটার ইন্সিডেন্ট রেসপন্স টিমের (বিজিডি ই-গভ সার্ট) সঙ্গে যোগাযোগ করেন।

আর বিজিডি ই-গভ. সার্ট জানায়, সরকারি যে প্রতিষ্ঠান থেকে নাগরিকদের তথ্য ফাঁসের ঘটনা ঘটেছে, সেই ওয়েবসাইটের দুর্বলতার বিষয়ে জুন মাসেই সংশ্লিষ্টদের সতর্ক করা হয়েছিল।

তথ্য ও প্রযুক্তি প্রতিমন্ত্রী পলক পরে জানান, হ্যাকিং নয়, কারিগরি ত্রুটির কারণে সরকারি ওয়েবসাইট থেকে নাগরিকদের তথ্য ‘প্রকাশ্য’ হয়ে পড়েছিল। আর সেটা হয়েছিল জন্ম নিবন্ধনের ওয়েবসাইটে।

• বাংলাদেশের সরকারি ওয়েবসাইট থেকে ‘লাখ লাখ নাগরিকের তথ্য ফাঁসের’ খবর

• তথ্য ফাঁস: কারিগরি দুর্বলতার বিষয়ে 'জুনেই সতর্ক করেছিল' সার্ট

• কারিগরি ত্রুটির কারণে তথ্য ফাঁস: পলক

• তথ্য ফাঁস: নাম এল জন্ম নিবন্ধনের সাইটের, রেজিস্ট্রার জেনারেলের অস্বীকার

ফাঁস হওয়া তথ্যের ঝুঁকি কতটা

সরকারি ওই ওয়েবসাইট থেকে যেসব তথ্য উন্মুক্ত হয়ে পড়েছিল, নিজের নাম, পিতা-মাতার নাম, ফোন নম্বর, ঠিকানা এবং বায়োমেট্রিক ডেটাসহ বিভিন্ন তথ্য রয়েছে তার মধ্যে।

এখন ব্যাংক অ্যাকাউন্ট খোলাসহ অনলাইনে যে কোনো কাজের এসব তথ্য ব্যবহার করার কথা তুলে ধরে সুমন আহমেদ সাবির বলেন, “আপনি যদি অনলাইনে আপনার অ্যাকাউন্টে ঢুকতে চান বা আপনি যদি পিন নম্বর পরিবর্তন করতে ব্যাংকে ফোন করেন, তাহলে তারা আপনাকে এসব প্রশ্নই জিজ্ঞাসা করবে- আপনার মায়ের নাম কি? আপনি কোথায় জন্মগ্রহণ করেছেন?

“আর সেসব তথ্যই ফাঁস হয়ে গেছে। এই তথ্য যদি কারও হাতে পড়ে, তাহলে কারও ভুয়া পরিচয় নিয়ে হাজির হওয়া খুব সহজ।”

সুমন বলেন, “প্রধান ঝুঁকি হল, যেটাকে আমরা বলি আইডেনটিটি থেফট, আমি আপনি বলে ভান করতে পারি, আমি আপনার ক্রেডিট কার্ড ব্যবহারের চেষ্টা চালাতে পারি এবং ব্যাংক অ্যাকাউন্টে প্রবেশ করতে পারি, আমি আপনার নামে ঋণও নিতে পারি এবং আপনার পরিচয়ে গিয়ে আপনার পক্ষ থেকে কারও কাছে কোনো কিছু বিক্রিও করে দিতে পারি।

“যারা এ ধরনের অপরাধ করে, তাদের জন্য কাজ সহজ হয়ে গেল। ব্যক্তিগত পর্যায়ে এটাই মূলত ঝুঁকির জায়গা।”

এভাবে তথ্য ফাঁস হলে বা উন্মু্ক্ত হয়ে গেলে ডিজিটাল সেবাদাতা প্রতিষ্ঠানগুলোও যে বিপাকে পড়ে, সেকথাও সুমন বলেন।

তিনি বলেন, “ডিজিটাল সেবাদাতারা নির্ভর করছে এসব তথ্যের উপর। সুতরাং তাদের সুরক্ষা ব্যবস্থাও কমপ্রোমাইজড হয়ে যাচ্ছে, কেননা বেশিরভাগ তথ্যই ফাঁস হয়ে গেছে।

“এ কারণে তাদেরকে অথেনটিকেশন ও আইডেন্টিফিকেশনের ক্ষেত্রে বাড়তি কিছু যোগ করতে হবে বা নতুন পদ্ধতি নিতে হবে। সুতরাং এটা দুদিকের সমস্যা, একদিকে ব্যবহারকারী, অন্যদিকে সেবাদাতা প্রতিষ্ঠানের জন্য। সুতরাং এমন কিছু যাতে না ঘটে, সেজন্য উভয়পক্ষকে সতর্ক হতে হবে।”

২০১৬ সালে বাংলাদেশ ব্যাংকের রিজার্ভ চুরি থেকে শুরু করে সম্প্রতি বিমানের ওয়েবসাইট হ্যাকারের কবলে পড়ার প্রসঙ্গ ধরে সুমন বলেন, “এ ধরনের ঘটনা নতুন নয়। প্রতিনিয়তই ঘটছে। সুতরাং এটা স্পষ্ট যে, আমরা সত্যিকার অর্থে ডিজিটাল নিরাপত্তার সেরা পদ্ধতিগুলো অনুসরণ করছি না। এখানে বড় রকমের প্রভাব পড়ছে। আমরা নিশ্চিতভাবে কোথাও একটা ভুল করছি।”

তথ্যের সংবেদনশীলতা ও গুরুত্বের বিষয়ে সবাইকে সচেতন করতে পারলে সুরক্ষা দেওয়ার কাজটি ৮০ শতাংশ এগিয়ে যায় বলে মনে করেন এই তথ্যপ্রযুক্তিবিদ।

তিনি বলেন, “যারা এসব তথ্যের ব্যবস্থাপনা করছে, তারা হুমকির বিষয়ে সচেতন নয়। নয়ত তারা এটাকে অবজ্ঞা করছে ও দায়দায়িত্ব নিচ্ছে না। তাহলে এটা অপরাধ। সুতরাং হয় তারা ঝুঁকির বিষয়ে জানে না অথবা তারা এটাকে অবজ্ঞা করে গুরুতর অপরাধ করছে।”

সুমন বলেন, বাংলাদেশ দিনকে দিন আরও ডিজিটাল হওয়ার দিকে এগোচ্ছে। ফলে সুরক্ষার বিষয়টিও এমনভাবে এগিয়ে নিতে হবে, যাতে মানুষকে সহযোগিতা করার বদলে সেটা বোঝা হয়ে না দাঁড়ায়।

“আমাদেরকে থ্রেট ফ্যাক্টর অ্যানালাইজ করতে হবে, সম্ভাব্য কী ঝুঁকি আসতে পারে, প্রথম দিন থেকে আমাদেরকে সেটা মোকাবেলার পরিকল্পনা থাকতে হবে। আর এটা একদিনের কাজ নয়। হুমকির উপাদানগুলো দিনে দিনে পরিবর্তন হচ্ছে। নতুন নতুন সফটওয়্যার ও প্রযুক্তি আসছে, যা পুরোনোটিকে কম্প্রোমাইজড করতে পারে।

“সুতরাং আপনাকে নিয়মিত ও সময়ে সময়ে আপনার সুরক্ষা নীতি ও মেকানিজম আপগ্রেড করতে হবে। পর্যবেক্ষণ হতে হবে রিয়েল-টাইম। সবসময় আপনাকে দেখতে হবে, কী ধরনের অ্যাকসেস সেখানে ঘটছে, কোনো ব্যত্যয় বা অবৈধ অ্যাকসেস ঘটছে কি না?”

• ব্যক্তিগত তথ্য ফাঁস হলে কী এমন সমস্যা?

ব্যক্তির কী করণীয়

কোনো ব্যক্তির তথ্য যদি বেহাত হয়, তাহলে তার কী কী পদক্ষেপ নিতে হবে, এক প্রশ্নে সে বিষয়েও পরামর্শ দেন প্রযুক্তিবিদ সুমন।

তিনি বলেন, “প্রথমত আপনাকে দেখতে হবে, কী ধরনের অনলাইন সার্ভিস আপনি ব্যবহার করছেন। আপনি জানেন, কী ধরনের সুরক্ষা ব্যবস্থা তাদের রয়েছে, এর পাসওয়ার্ড বা অন্যান্য নিশ্চিতকরণ প্রক্রিয়া। যদি আপনি দেখেন, এনআইডি ডেটার তথ্যের কারণে আপনার সেগুলো বেহাত হয়ে যায়নি, তাহলে আপনি নিজেকে নিরাপদ ভাবতে পারেন।

“যদি আপনি দেখেন, যে তথ্যগুলো ফাঁস হয়েছে, তার সঙ্গে আপনার এসব তথ্যের মিল পাওয়া যাচ্ছে। তাহলে তথ্য ও অথেনটিকেশন ব্যবস্থায় পরিবর্তনের আনার জন্য সেবাদাতা প্রতিষ্ঠানের সঙ্গে যোগাযোগ করা উচিত।”

তথ্য ফাঁসের পর পরিস্থিতি মোকাবেলার জন্য কী ধরনের বাড়তি সুরক্ষা ব্যবস্থা নেওয়া উচিত, তা সেবাদাতা প্রতিষ্ঠানকে বিবেচনা করতে হবে বলে মন্তব্য করেন সুমন।

অথেনটিকেশনের জন্য ইমেইল বা মেসেজে আসা বার্তার বিষয়ে সতর্ক থাকার পরামর্শ দিয়ে তিনি বলেন, ব্যক্তি যদি অপরিচিত কারও থেকে অথেনটিকেশনের ইমেইল বা মেসেজ পান, তাহলে সেটাতে তিনি সাড়া দেবেন না, বরং সেবাদাতাকে ফোন করবেন যে, ‘দেখুন আমি এ ধরনের মেসেজ পাচ্ছি, আমি এটা পাঠাইনি। কারা আমার তথ্য চুরির করার চেষ্টা করছে খতিয়ে দেখুন।’

‘ফাঁসের বিষয়ে জানুক ব্যক্তি’

যাদের তথ্য ফাঁস হয়েছে, তাদের পরবর্তী সুরক্ষার জন্য ফাঁস হওয়ার বিষয়টি জানানোর প্রক্রিয়া থাকা উচিত বলে মনে করেন প্রযুক্তিবিদ সুমন আহমেদ সাবির।

তিনি বলেন, “যদি তথ্য কারও কাছ থেকে ফাঁস হয়, তাকে তদন্ত করতে হবে। প্রথমে নিশ্চিত করতে হবে, আর বেশি তথ্য ফাঁস হবে না। এরপর ডেটা বিশ্লেষণ করা দরকার এবং যাদের তথ্য ফাঁস হয়েছে, তাদেরকে জানাতে হবে যে, ‘আপনার তথ্য ফাঁস হয়েছে আর এই এই তথ্য ফাঁস হয়েছে’।”

সেইসঙ্গে নিজেকে নিরাপদ রাখতে কী কী পদক্ষেপ নিতে হবে, সেই পরামর্শ ব্যক্তিকে দেওয়ার প্রয়োজনীয়তার কথা তিনি তুলে ধরেন।

সুমন বলেন, কয়েক মাস আগে অস্ট্রেলিয়ায় টেলিকম অপারেটরের গ্রাহকদের তথ্য ফাঁসের পর প্রত্যেককে ইমেইলে ও এসএমএসে বিষয়টি জানানো হয় এবং কী পদক্ষেপ নিতে হবে, সেই পরামর্শ দেওয়া হয়।

“সুতরাং তারা জানল, এখন আমাকে কী কী পদক্ষেপ নিতে হবে।”

‘লুকিয়ে রাখার স্বভাব আমাদের’

তথ্য ফাঁসের মত ঘটনা ঘটলে সেটাকে ধামাচাপা দেওয়া বা অস্বীকার করার প্রবণতা বাংলাদেশে রয়েছে বলে মন্তব্য করেন সুমন আহমেদ সাবির।

পুলিশ ডেটাবেজের তথ্য ডার্কওয়েবে বিক্রির বিষয়ে এক প্রশ্নে তিনি বলেন, “আমি আসলে এটা শুনেছি।“

পুলিশের পক্ষ থেকে বিষয়টি স্বীকার না করার বিষয়ে দৃষ্টি আকর্ষণ করা হলে সুমন বলেন, “আমাদের সংস্কৃতিতে হচ্ছে আমরা সবসময় বিভিন্ন জিনিস লুকিয়ে রাখি। মূলত এটা ইচ্ছাকৃত নয়, আমি বিশ্বাস করতে চাই এটা ইচ্ছাকৃত নয়। এমনটা ঘটেই।

“ফাঁসের ঘটনা যখন ঘটল, আমি যদি ওটা স্বীকার করে নিই, তাহলে সেটা মোকাবেলার অনেক উপায় পাব। আপনি যদি এটাকে স্বীকার না করেন, তাহলে আপনি আসলে এটাকে সমাধান করতে পারবেন না।”

তিনি বলেন, “এটা নিউজে এসেছে। এটা যদি হয়ে থাকে, তাহলে কী ধরনের পদক্ষেপ নেওয়া হয়েছে পুলিশের বলা উচিত। পুলিশ যদি এই বলতে ব্যর্থ হয়, এটাকে লুকাতে চায়, তাহলে আমরা আর কাকে বিশ্বাস করব? এটা তাদের দায়িত্ব এটা নিয়ে শুরুতে কথা বলা।”

গত সোমবার খবর প্রকাশিত হয়েছে, জন্ম নিবন্ধনের ওয়েবসাইটের উন্মুক্ত হয়ে পড়া তথ্যে এখনও প্রবেশ করা যাচ্ছে।

সেগুলো সুরক্ষিত করতে এত সময় লাগছে কেন- এমন প্রশ্নে সুমন আহমেদ সাবির বলেন, “এটা হতাশাজনক, এটা অবিশ্বাস্য। এটা যদি হয়, তাহলে আমাদেরকে আরও ডিজিটাল হওয়ার বিষয়ে চিন্তা করতে হবে।

“এটা কীভাবে হতে পারে যে, ডেটা ফাঁস হল, জানাজানি হল- এটা তাৎক্ষণিকভাবে বন্ধ করতে পারা উচিত। এটা এভাবে উন্মুক্ত থাকতে পারে না। আমি জানি না এটা সত্য কি-না, যদি হয় তাহলে এটা খুবই খুবই দুশ্চিন্তার।

‘প্রাতিষ্ঠানিকভাবে সুরক্ষা নীতি দরকার’

সুমন আহমেদ সাবির বলেন, সরকারের শীর্ষ অগ্রাধিকারের তালিকায় সাইবার নিরাপত্তার বিষয়টি থাকলেও বাস্তবে তা কাজ দিচ্ছে না, কারণ নিরাপত্তা পরিকল্পনার দায়িত্ব পৃথক প্রতিষ্ঠান বা সংস্থাগুলোর ওপর থাকে।

“যারাই ডিজিটাল সেবা দেয়, সেটা সরকারি-বেসরকারি যা-ই হোক না কেন, তাদেরকে সম্ভাব্য ঝুঁকির বিষয় অনুধাবন করতে হবে। এবং সেটা কীভাবে মোকাবেলা করা হবে, অবশ্যই তার পরিকল্পনা ও ফ্রেমওয়ার্ক থাকতে হবে। এই দিকটি মূল্যায়ন করতে আমরা ব্যর্থ হচ্ছি।”

ব্যর্থ হওয়ার দুটি কারণও তিনি বলেন। সেগুলো হল– সক্ষমতার অভাব এবং ঝুঁকির বিশ্লেষণ ও তা মোকাবেলায় প্রযুক্তিগত জ্ঞানের অভাব।

“অথবা, তারা সেটা মোকাবেলায় যথেষ্ট বরাদ্দ দিচ্ছে না। কারণ, এখানে খরচের বিষয়, আপনি সুরক্ষার খরচে সরাসরি মুনাফা পাবেন না। কিন্তু আপনি যদি বেশি টাকা খরচ করেন, তাহলে আপনি বেশি সুরক্ষা পাবেন।”

সুরক্ষার জন্য পদক্ষেপ নেওয়ার তাড়না কোম্পানির শীর্ষ পর্যায় থেকে আসতে হবে মন্তব্য করে তিনি বলেন, “আইটির কর্মীরা পরামর্শ দিতে পারেন, তারা বলতে পারন যে আমাদের এই ধরনের সুরক্ষা লাগবে এবং যেটা আছে সেটা যথেষ্ট কি-না।

“এটা এমন কিছু নয় যে, আমরা নতুনভাবে করছি। এটা পৃথিবীর সব জায়গায় হচ্ছে। প্রত্যেক দেশের নিজস্ব সমস্যা রয়েছে এবং আমাদেরকে ভালো উদাহরণ নিয়ে এগোতে হবে। কোনো ধরনের কোম্পানিতে কী ধরনের সুরক্ষা লাগবে, সেই অনুযায়ী পদক্ষেপ নিতে হবে।”

ক্রমান্বয়ে ক্লাউড পরিষেবার দিকে যাওয়ার কারণে সুরক্ষার বিষয়টি আরও চ্যালেঞ্জিং হয়ে উঠছে বলে মনে করেন সুমন।

বিষয়টি ব্যাখ্যা করে তিনি বলেন, “আমরা ডেটা সংরক্ষণের জন্য অন্যের উপর নির্ভর করছি। এ কারণে বহুমুখী দিক থেকে সুরক্ষা লাগবে। আমরা যদি এই সমস্যাটাকে আন্দাজ করতে না পারি, আমরা এ ধরনের সমস্যার মুখোমুখি হতে থাকব।

“একটা দিক হচ্ছে, আমরা হুমকির গভীরতা চিহ্নিত করতে পারিনি। দ্বিতীয়ত, সুরক্ষা নিশ্চিতের জন্য আমাদের পর্যাপ্ত সম্পদ ও লোকবল নেই। বিশেষ করে, দীর্ঘ আমলাতান্ত্রিক প্রক্রিয়ার জন্য সরকারি প্রতিষ্ঠানের জন্য নতুন লোক নিয়োগ করা চ্যালেঞ্জের।

“আমরা যদি কোনো প্রতিষ্ঠানকে ডিজিটালে যেতে বলি, তাহলে পরিচালনা ও দেখভালের পাশাপাশি সুরক্ষা নিশ্চিতের জন্য প্রচুর লোকবলের প্রয়োজন। কয়টা প্রতিষ্ঠানে সাইবার নিরাপত্তা নিশ্চিতের জন্য লোকবল রয়েছে? আপনি অত বেশি পাবেন না।”

সাইবার নিরাপত্তার পদক্ষেপ ঠিকমত বাস্তবায়ন করা হচ্ছে কি-না, তা নিরীক্ষার জন্যও প্রতিষ্ঠান দরকার বলে মনে করেন সুমন।

তিনি বলেন, “এটা যদি আপনি না করেন, তাহলে আপনি এ ধরনের দুর্যোগপ্রবণ অবস্থায় থাকবেন।”

সার্ট নামে পরিচিতি কম্পিউটার কাউন্সিলের ‘বাংলাদেশ ই-গভর্নমেন্ট কম্পিউটার ইন্সিডেন্ট রেসপন্স টিমের’ কার্যক্রম বিস্তৃত না হওয়ার কথা তুলে ধরে সুমন বলেন, সার্ট কেবল পর্যবেক্ষণ করে, কোনো ঘটনার পর কেউ রিপোর্ট করলে তারা সেটা দেখভাল করে।

“কিন্তু প্রতিরোধের জন্য কাজ করে না। যদি কোনো কিছু ঘটে থাকে, তাহলে তারা বিশ্লেষণ করে বলতে পারে, এটা ঘটেছে এবং কী কী করতে হবে।”

নিজস্ব সিস্টেমকে সুরক্ষার জন্য প্রত্যেক প্রতিষ্ঠানেরই নিজস্ব টিম থাকা দরকার বলে মন্তব্য করেন প্রযুক্তিবিদ সুমন।

সরকারের সাইবার সিকিউরিটি এজেন্সি থাকলেও তাদের ‘দৃশ্যমান’ কোনো কাজ না দেখার কথা তুলে ধরে তিনি বলেন, “দেশের জন্য তাদের সাইবার নিরাপত্তা কৌশল থাকা উচিত। সব প্রতিষ্ঠানের জন্য কী ধরনের সুরক্ষা ব্যবস্থার দরকার, এই এজেন্সিকে সেটা পথনির্দেশ করতে হবে।

প্রত্যেক প্রতিষ্ঠানে সাইবার সিকিউরিটি ফ্রেমওয়ার্ক তৈরির পাশাপাশি লোকবল ও সার্বক্ষণিক পর্যবেক্ষণ ব্যবস্থা গড়ে তোলার পরামর্শ দিয়ে তিনি বলেন, “বেশিরভাগ সরকারি প্রতিষ্ঠানে নিরাপত্তা দেওয়ার মত ভালো লোকের অভাব রয়েছে। কেউ কেউ সেবাটা কোনোমতে চালিয়ে নিচ্ছে, কিন্তু অবকাঠামোটাকে নিরাপদ রাখার জন্য যথাযথ প্রশিক্ষণ তাদের নেই।”

ব্যাংকের ক্লাউড সার্ভিসের জন্য বাংলাদেশ ব্যাংকের গাইডলাইনের প্রশংসা করে তিনি বলেন, সব নিয়ন্ত্রক সংস্থাকে সেই খাতের প্রতিষ্ঠানের এ ধরনের গাইডলাইন তৈরি করা দরকার। পাশাপাশি ওই গাইডলাইন মানা হচ্ছে কি-না, এমন ব্যবস্থাপনাও থাকতে হবে।

বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ঘটনার প্রতিবেদন গত সাত বছরে প্রকাশ না হওয়ার আক্ষেপ প্রকাশ করলেও অবকাঠামো সুরক্ষায় গাইডলাইন তৈরিতে কেন্দ্রীয় ব্যাংকের প্রশংসা করেন সুমন।

তিনি বলেন, “আমরা বাইরের প্রতিবেদন দেখেছি, কিন্তু উৎস থেকে কোনো প্রতিবেদন পাইনি। বাংলাদেশ ব্যাংক তাদের অবকাঠামো সুরক্ষায় দৃঢ় পদক্ষেপ নিয়েছে। অন্যান্য ব্যাংক যাতে তাদের অবকাঠামো সুরক্ষিত রাখতে পারে, সেজন্য গাইডলাইন প্রকাশ করেছে।

“তারা তাদের ক্লাউড সিকিউরিটি নীতি প্রকাশ করেছে, কোনো ব্যাংক যদি ক্লাউড পরিবেশে যায়, তাহলে কী ধরনের রক্ষাকবচ গ্রহণ করবে তা তুলে ধরা হয়েছে। নীতি হিসাবে এটা অনেক ভালো। সবসময় ভালো করার সুযোগ আছে।”

ব্যাংকগুলো সেই গাইডলাইন মেনে কার্যক্রম পরিচালনা করছে কি-না, এখন সেটা পর্যবেক্ষণে মনোযোগ দেওয়ার পরামর্শ দেন তিনি।

সাইবার নিরাপত্তায় পর্যাপ্ত লোকবল আছে?

সাইবার নিরাপত্তা নিশ্চিত করার জন্য বাংলাদেশে পর্যাপ্ত দক্ষ লোকবল তৈরি হয়েছে কি-না জানতে চাইলে সুমন আহমেদ সাবির বলেন, “দুর্ভাগ্যজনকভাবে না।”

এর পেছনে দুটি কারণ চিহ্নিত করেন তিনি।

“প্রথমত, এখনো মানুষ সাইবার নিরাপত্তাকে বড় সমস্যা হিসাবে দেখছে না। কেননা, সাইবার নিরাপত্তার জন্য আপনার সত্যিকার অর্থে দক্ষ (এক্সপার্ট) লোক দরকার, এটা এমন না যে, নবীশ কেউ এটা করতে পারবে।

“সেই কাজের জন্য তাকে পর্যাপ্ত বেতন দিতে হবে। কিন্তু প্রতিষ্ঠানগুলো সেই পরিমাণ টাকা খরচ করছে না। এ কারণে সাইবার নিরাপত্তায় দক্ষ লোকদের বিপুল চাহিদার কারণে তারা বিদেশে পাড়ি জমাচ্ছে। আমারা লোকবল তৈরি করছি এবং তারা চলে যাচ্ছে।”

সুমন বলেন, “প্রত্যেক প্রতিষ্ঠান যদি সাইবার নিরাপত্তার জন্য দক্ষ লোক রাখে, তাহলে চাকরির ‍সুযোগ তৈরি হবে। আর, ভালো বেতন, মর্যাদা ও সম্মানের সঙ্গে চাকরির ‍সুযোগের বিষয়ে জানা থাকলে মানুষও এটা শিখতে উৎসাহী হবে। এটা না করতে পারলে আমরা এই খাতে মানবসম্পদ তৈরি করতে পারব না।”

লোকবল তৈরির অবকাঠামো ও সুযোগ দেশে রয়েছে কি-না, এমন প্রশ্নে সুমন বলেন, “বিশ্ববিদ্যালয়গুলোতে কম্পিউটার সায়েন্স বিভাগ রয়েছে, তারা কর্মক্ষেত্রের প্রয়োজনীয়তার ওপর ভিত্তির করে সাইবার সিকিউরিটি নিয়ে বিশেষ কোর্স সংযুক্ত করলেই হবে। চাহিদা তৈরি করতে হবে, তা না হলে লোকবল তৈরি হবে না।”