স্মার্ট কার্ডের স্মার্ট ফাঁস

স্মার্ট বাংলাদেশ গড়ে তুলতে নাগরিকদের যতটা স্মার্ট হওয়া প্রয়োজন, আমরা আদৌ সেরকম কিছু হতে পেরেছি কিনা সেটা বেশ বড় প্রশ্ন। নাগরিকদের স্মার্টনেসের মতোই প্রশ্নবিদ্ধ হয়ে দাঁড়িয়েছে স্মার্ট কার্ডের সার্ভার ও সিস্টেমের নিরাপত্তার বিষয়াদি। সম্প্রতি গণমাধ্যমে প্রকাশ পেয়েছে যে, বিভিন্ন সামাজিক যোগাযোগ মাধ্যম বিশেষ করে টেলিগ্রামের একটি (মতান্তরে একাধিক) চ্যানেলে এনআইডি নম্বর ও জন্মতারিখ দিলেই বেরিয়ে আসছে নাগরিকদের ব্যক্তিগত তথ্য। এক্ষেত্রে এনআইডি নম্বর হিসাবে ব্যবহার করা হচ্ছে স্মার্ট কার্ডের নম্বর। উল্লেখ্য, স্মার্ট কার্ডের তথ্য সংরক্ষিত থাকে ইলেকশন কমিশনের নিয়ন্ত্রণাধীন জাতীয় পরিচয়পত্রের সার্ভারে। ১২ কোটির বেশি ভোটারের তথ্য রয়েছে জাতীয় পরিচয়পত্রের সার্ভারে; এরই মধ্যে আছে সাড়ে পাঁচ কোটি স্মার্ট কার্ডের তথ্য।

এ তো গেল কী হচ্ছে তার কথা। কিন্তু কী হতে পারে, সেদিকে নজর দেয়া যাক। জাতীয় পরিচয়পত্রের সার্ভারে বা সিস্টেমে যে তথ্য থাকে কোনো একজন ব্যক্তির সম্পর্কে, সেগুলোকে বলা হয় ‘ব্যক্তিগতভাবে শনাক্ত-যোগ্য তথ্য’ বা ‘Personally Identifiable Information’ বা পিআইআই (PII)। মূলত ডিজিটালি এই তথ্যকে ব্যবহার করে কোনো একজন মানুষকে শনাক্ত করা সম্ভব। পাশাপাশি এই সব তথ্য একসঙ্গে মিলে একজন ব্যক্তির ডিজিটাল নিরাপত্তা শক্তিশালী করে। উদাহরণস্বরূপ বলা চলে, আমরা আমাদের মোবাইলের সংযোগ বা সিম কিনতে এই তথ্যগুলোই ব্যবহার করি। আবার অর্থনৈতিক প্রেক্ষাপটে বলা চলে, ব্যাংক অ্যাকাউন্ট খুলতে এইসব তথ্য লাগে; আর মোবাইল ফিনান্সিয়াল সার্ভিসের (এমএফএস) ক্ষেত্রে এই তথ্যই সব। মোদ্দাকথা, ডিজিটাল যুগে একজন মানুষের অস্তিত্ব জানান দিতে এগুলোই ভরসা।

বাংলাদেশই প্রথম নয়, এর আগে সরকারি সংস্থা থেকে বিশ্বের বিভিন্ন দেশে ফাঁস হয়েছে তথ্য। যেমন ২০১৭ সালে এস্তোনিয়ার জাতীয় পরিচয়পত্র ডেটাবেইজ থেকে ফাঁস হয় সাড়ে সাত লাখের বেশি নাগরিকের তথ্য। একই বছর যুক্তরাজ্যের জাতীয় স্বাস্থ্য সেবা সংস্থার সার্ভার থেকে অনেক রোগীর ব্যক্তিগত তথ্য ফাঁস হয়। একাধিকবার ভারতের পরিচয়পত্র ব্যবস্থা ‘আধার’ থেকে ফাঁস হয় কয়েক কোটি মানুষের তথ্য। বলা হয়ে থাকে ‘আধার’ হচ্ছে বিশ্বের অন্যতম বৃহৎ বায়োমেট্রিক সিস্টেম। প্রযুক্তিবিদ ও নিরাপত্তা বিশেষজ্ঞদের মতে এ জাতীয় তথ্য ফাঁস হয়ে যাওয়াতে যেসব নিরাপত্তা ঝুঁকি আছে তার মধ্যে আইডেন্টিটি থেফট বা পরিচয় চুরি, আর্থিক প্রতারণা, জাল দলিল/কাগজ তৈরি ইত্যাদি।

আইডেন্টিটি থেফট (Identity Theft) বা পরিচয় চুরির ক্ষেত্রে অপরাধীরা চুরি হওয়া তথ্য ব্যবহার করে ভুক্তভোগীর নামে নতুন ব্যাংক অ্যাকাউন্ট খুলতে, অনলাইনে কেনাকাটা করতে, এমনকি ঋণও নিতে পারে। উদাহরণস্বরূপ, ২০১৩ সালে ভারতে ‘আধার’ ডেটাবেইজটি হ্যাক করে প্রায় ১.১ বিলিয়ন ভারতীয়ের ব্যক্তিগত তথ্যসহ তাদের জাতীয় পরিচয়পত্র নম্বর চুরি হয়েছিল। এই তথ্য ব্যবহার করে লাখ লাখ মানুষের পরিচয় চুরি করা হয়। আর এভাবেই লক্ষাধিক ভুক্তভোগীর নামে ব্যাংক অ্যাকাউন্ট খুলে ফেলা হয়, এমনকি ব্যাংক থেকে উত্তোলন করা হয় ঋণও।

অপরাধীরা চুরি হওয়া ব্যক্তিগত তথ্য ব্যবহার করে প্রতারণা করতে পারে, এর মধ্যে বিশ্বের বিভিন্ন দেশে জাল কর রিটার্ন দাখিল করা ও জালিয়াতি করে ব্যাংক অ্যাকাউন্ট খোলার ঘটনা দেখা গেছে। ২০১৭ সালে, ইকুইফ্যাক্সের (একটি বেসরকারি আমেরিকান ক্রেডিট রেটিং সংস্থা) একজন প্রাক্তন কর্মচারী ১৪৫ মিলিয়নেরও বেশি আমেরিকানের ব্যক্তিগত তথ্য বিক্রি করে দিয়েছিলেন অপরাধীদের কাছে। পরে বিভিন্ন ধরনের প্রতারণামূলক কার্যকলাপ করতে এই তথ্য ব্যবহৃত হয়েছিল। ভুয়া কর রিটার্ন দাখিল করা এবং জালিয়াতির সাহায্যে ব্যাংক অ্যাকাউন্ট খোলাসহ এসব ব্যাংক অ্যাকাউন্ট মাদক ব্যবসা, সন্ত্রাসবাদে অর্থায়নসহ বিভিন্ন অপরাধমূলক কাজে ব্যবহৃত হয়। ফলে যার তথ্য এখানে ব্যবহার করা হচ্ছে তিনি নিজের অজান্তেই আইনি জটিলতায় পড়ছেন।

বিশ্বজুড়ে বেশ কয়েকটি দেশের সরকার জাতীয় পরিচয়পত্রের তথ্য সুরক্ষার জন্য বিভিন্ন ব্যবস্থা গ্রহণ করেছে। যেমন, অস্ট্রেলিয়ান সরকার জাতীয় পরিচয়পত্রের তথ্যসহ ব্যক্তিগত তথ্য সুরক্ষার তত্ত্বাবধান করার জন্য অস্ট্রেলিয়ান ইনফরমেশন কমিশনারের অফিস (OAIC) প্রতিষ্ঠা করেছে। OAIC-এর ডেটা লঙ্ঘন/ফাঁস তদন্ত করার এবং ডেটা সুরক্ষা আইন লঙ্ঘনকারীদের জরিমানা করার ক্ষমতা রয়েছে। অন্যদিকে কানাডিয়ান সরকার ২০০০ সালে ব্যক্তিগত তথ্য সুরক্ষা এবং ইলেকট্রনিক ডকুমেন্ট আইন (PIPEDA) পাস করেছে। PIPEDA আইন অনুসারে জাতীয় পরিচয়পত্রের তথ্যসহ ব্যক্তিগত তথ্য সংগ্রহ, ব্যবহার এবং প্রকাশ কোন কোন সংস্থা করতে পারবে তা নির্ধারণ করে। একইরকম ধারণা নিয়ে সিঙ্গাপুর সরকার ২০০৯ সালে ব্যক্তিগত তথ্য সুরক্ষা কমিশন (PDPC) প্রতিষ্ঠা করে। PDPC-এর ডেটা লঙ্ঘন তদন্ত করার এবং ডেটা সুরক্ষা আইন লঙ্ঘনকারী সংস্থাগুলোকে জরিমানা আরোপ করার ক্ষমতা রয়েছে।

একইরকম অবস্থান থেকে বাংলাদেশে প্রণয়ন করা হয়েছে ‘জাতীয় পরিচয় নিবন্ধন আইন, ২০১০’। আইনে জাতীয় পরিচয়পত্রধারী ও কর্তৃপক্ষ উভয়েরই কর্তব্য বর্ণনা করা হয়েছে। একই সাথে পরিচয়পত্র প্রণয়নের ক্ষেত্রে মিথ্যা তথ্য প্রদান, তথ্যের বিকৃতি বা বিনষ্ট করা, দায়িত্ব অবহেলার জন্য শাস্তির বিধান আছে। এছাড়া অননুমোদিতভাবে প্রবেশ করলে বা বে-আইনিভাবে তথ্য-উপাত্ত ব্যবহার করলে পাঁচ বছর পর্যন্ত জেল এবং সর্বোচ্চ পঞ্চাশ হাজার টাকা জরিমানার বিধান রয়েছে।

বাংলাদেশে এর আগেও তথ্য ফাঁসের ঘটনা ঘটেছে। চলতি বছরের জুলাই মাসে বাংলাদেশ সরকারের রেজিস্ট্রার জেনারেল কার্যালয়ের জন্ম ও মৃত্যু নিবন্ধন ওয়েবসাইট থেকে তথ্য ফাঁসের ঘটনা ঘটে। ওই সময়ে দক্ষিণ আফ্রিকা-ভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তা-বিষয়ক প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপাওলোস উল্লেখিত সংস্থার সিস্টেমের কারিগরি দুর্বলতা সম্পর্কে জানান। আর চলতি মাসের ঘটনা তো ওপরেই বলা হল। এ বিষয়ে জাতীয় পরিচয় নিবন্ধন (এনআইডি) অনুবিভাগের মহাপরিচালক (ডিজি) একেএম হুমায়ুন কবীর দাবি করেন নির্বাচন কমিশনের সার্ভার হ্যাক হয়নি বা সেখান থেকে কোনে তথ্য ফাঁস হয়নি। তিনি দাবি করেন নির্বাচন কমিশনের এনআইডি সার্ভারের সাথে যুক্ত ১৭৪টি প্রতিষ্ঠানের মধ্যে কোনো একটি থেকেও তথ্য ফাঁস হতে পারে। এছাড়া তিনি আশঙ্কা করেন পুরো ঘটনার সাথে মোবাইল অপারেটরও কেউ জড়িত থাকতে পারে। এক্ষেত্রে প্রশ্ন আসে যে, নিরাপত্তা, মান ও বিশ্বাসযোগ্যতা পরিমাপ না করেই কি ইলেকশন কমিশন তাদের সার্ভারের সাথে অন্য প্রতিষ্ঠানকে যুক্ত করছে? নাগরিকের ব্যক্তিগত তথ্য শেয়ার করার ক্ষেত্রে কোন মানদণ্ড ব্যবহার করছে জাতীয় পরিচয় নিবন্ধন অনুবিভাগের কর্মকর্তারা?

ডিজিটাল দুনিয়ায় সাইবার ঝুঁকি বাড়ছে ক্রমশ। ব্যক্তিগত তথ্য ফাঁসসহ যেকোনো সাইবার হামলাকে প্রতিহত করার জন্য বাংলাদেশকে অবশ্যই একটি সক্রিয় ও শক্তিশালী সাইবার নিরাপত্তা পরিকল্পনা করার পাশাপাশি নিশ্চিত করতে হবে টেকসই বাস্তবায়নকে। ইতোমধ্যে দেশে প্রণয়ন করা হয়েছে শক্তিশালী আইন, স্থাপন করা হয়েছে ডিজিটাল সিকিউরিটি এজেন্সি, আর ন্যাশনাল সার্ট (CIRT); যারা প্রতিনিয়ত পর্যবেক্ষণ করছে তালিকাভুক্ত গুরুত্বপূর্ণ তথ্য পরিকাঠামোসমূহ (Critical Information Infrastructure-CII)। কিন্তু এত আইন আর প্রযুক্তি ব্যবহারের পরও যেভাবে ফাঁস হচ্ছে সংবেদনশীল তথ্যাদি তা দুশ্চিন্তার। কর্তৃপক্ষকে আরও বেশি মনযোগী হতে হবে নিয়মিত মনিটরিং এবং বিভিন্ন প্রতিষ্ঠানে সংযোগ প্রদানের ক্ষেত্রে। আর আবশ্যিকভাবে নজরদারিতে রাখতে হবে নিজেদের এবং সংযুক্ত প্রতিষ্ঠানসমূহের কর্মীদের কার্যকলাপ।