পাথেয় টোয়েন্টিফোর ডটকম : সরকারি-বেসরকারি প্রতিষ্ঠানে বেড়েই চলছে সাইবার হামলা। নানা উদ্যোগ আর আলোচনার পরও বাগে আসছে না হ্যাকারদের হানা। বারবার আসছে হামলার হুমকি। সুযোগ বুঝে সাইবার অপরাধীরা ঢুকে পড়ছে দেশের বিভিন্ন গুরুত্বপূর্ণ প্রতিষ্ঠানের নেটওয়ার্কে। বেহাত হচ্ছে লাখ লাখ তথ্য। ঝুঁকিতে পড়ছে দেশ ও মানুষের সুরক্ষা।
এদিকে, সাইবার আক্রমণ ঠেকানোর দায়িত্ব নিচ্ছে না কেউ। তথ্য ও প্রযুক্তি (আইসিটি) বিভাগ সাইবার নিরাপত্তা পরিকাঠামো সাজাতে গত এক যুগে খরচা করেছে প্রায় ১ হাজার ২১৩ কোটি টাকা। তবে সাইবার নিরাপত্তার সার্বিক দায় নিতে নারাজ প্রতিষ্ঠানটি। পরামর্শ আর কারিগরি সহায়তা দিয়ে দায় সারতে চাইছে তারা। আর নিরাপত্তা বাহিনীর সাইবার টিমগুলোর কার্যক্রম তদন্তের বৃত্তেই যেন সীমাবদ্ধ।
বিশেষজ্ঞরা বলছেন, বিপুল বিনিয়োগের পরও অপরিকল্পিত উদ্যোগ এবং অব্যবস্থাপনার কারণে নাগরিকদের তথ্যের সুরক্ষা মিলছে না। পাশাপাশি অসচেতনতা, দায়িত্বহীনতা ও অদক্ষতার কারণে দুর্বল পরিকাঠামোগুলো আরও অরক্ষিত হয়ে পড়ছে।
গত ১৫ আগস্ট সারাদেশে সাইবার হামলার হুমকি দিয়েছিল একটি হ্যাকার দল। তারা ভারতীয় বলে এরই মধ্যে দাবি করেছে। বিভিন্ন হ্যাকার গ্রুপ ১৯ সেপ্টেম্বর ও আগামী ২৬ জানুয়ারি ফের বাংলাদেশে সাইবার হামলার হুমকি দিয়েছে। এসব হুমকির পরিপ্রেক্ষিতে তথ্য ও যোগাযোগ প্রযুক্তি বিভাগের কম্পিউটার ইনসিডেন্ট রেসপন্স টিম (সার্ট) গত শনিবার সতর্কতা জারি করেছে। এ নিয়ে চলতি বছর পাঁচ দফা সতর্কতা জারি করা হলো। জুন থেকে প্রতি মাসেই সাইবার হামলা নিয়ে সতর্ক করে চিঠি দিচ্ছে সার্ট।
দুর্বল নিরাপত্তা কাঠামো
সরকারের তথ্য বাতায়নের আওতায় রয়েছে প্রায় ৫০ হাজার ওয়েবসাইট। এই ওয়েবসাইটগুলোর অধিকাংশ তৈরি করেছে তথ্য ও যোগাযোগ প্রযুক্তি বিভাগের আওতাধীন প্রকল্প এস্পায়ার টু ইনোভেট (এটুআই)। এটুআই জানিয়েছে, ওয়েবসাইট ডেভেলপের পর সেগুলো সংশ্লিষ্ট কর্তৃপক্ষের কাছে বুঝিয়ে দেওয়া হয়। এরপর সেগুলোর নিরাপত্তার দায়িত্ব সংশ্লিষ্ট প্রতিষ্ঠানের। সরকারি ওয়েবসাইটের হোস্টিং ও নিরাপত্তার বিষয়টি তদারকি করে বাংলাদেশ কম্পিউটার কাউন্সিল (বিসিসি)। বিসিসি জানিয়েছে, ওয়েবসাইটগুলো সরকারি ডেটা সেন্টারে হোস্ট করা থাকে। তারা নিরাপত্তার বিষয়টি নিয়মিত নিরীক্ষা করে ফলাফল সার্টকে জানায়। এর পর সার্ট প্রয়োজনে সংশ্লিষ্টদের দরকারি পরামর্শ দেয়। তবে সাইবার নিরাপত্তা বিশ্লেষকদের দাবি, সাইবার হামলার টার্গেট হিসেবে বাংলাদেশ খুবই ঝুঁকিপূর্ণ।
সাইবার নিরাপত্তাবিষয়ক প্রশিক্ষক ও ডিকোডস ল্যাব লিমিটেডের ব্যবস্থাপনা পরিচালক (এমডি) আরিফ মঈনুদ্দিন বলেন, সরকারি প্রতিষ্ঠানের ওয়েবসাইটের ন্যূনতম নিরাপত্তা ব্যবস্থা নেই। এ ছাড়া নিয়মিত দুর্বলতা মূল্যায়ন করা হয় না। তাই তাদের দুর্বলতা চিহ্নিত হয় না। ওয়েবসাইটগুলোও তৈরি করা হয় নামকাওয়াস্তে। খরচ বাঁচাতে দক্ষ প্রোগ্রামারের বদলে নতুনদের দিয়ে কাজ করানো হয়। এতে সাইট অ্যাপ্লিকেশন দুর্বল হওয়ায় সহজে হ্যাক হয়। সরকারি ওয়েবসাইটের ক্ষেত্রে একই সাইট বারবার কপি করে নতুন সাইট তৈরি করা হচ্ছে। অনেক ওয়েবসাইট করা হয় ওয়ার্ডপ্রেসে। ওপেন সোর্স টুলস ব্যবহারের প্রবণতা বেশি। এসব কারণে সাইটগুলোর নিরাপত্তা ব্যবস্থা হয় বেশ নাজুক। এ ছাড়া একবার সাইট তৈরির পর নিয়মিত রক্ষণাবেক্ষণ এবং অ্যাপ্লিকেশন নিয়মিত আপডেট করা হয় না। সরকারি ওয়েবসাইটের বেশির ভাগেই নিরাপত্তার ন্যূনতম স্তর এসএসএল সনদ নেই। সাইবার নিরাপত্তা ঝুঁকির পেছনে পাইরেটেড সফটওয়্যার ব্যবহারকেও দায়ী করেন তিনি। আরিফ মঈনুদ্দিন বলেন, ব্যবহারকারীর ওপরও অনেক কিছু নির্ভর করে। তারা অসচেতন হলে নানা অনাকাঙ্ক্ষিত কুকিজ, অ্যাপস চালু হয়ে নেটওয়ার্ক, সাইট ও সার্ভারের তথ্য বেহাত হতে পারে।
তথ্যপ্রযুক্তি বিশেষজ্ঞ সুমন আহমেদ সাবির বলেন, কয়েক বছর ধরে সরকারি প্রতিষ্ঠান ও বিভিন্ন আর্থিক প্রতিষ্ঠানে সাইবার হামলার ঘটনা ঘটছে। তবে নিরাপত্তার বিষয়ে কর্তৃপক্ষ তেমন সচেতন হচ্ছে না।
যেভাবে ঘটে সাইবার হামলা
সার্টের কর্মকর্তারা জানিয়েছেন, সাইবার আক্রমণের প্রধান কৌশলগুলো হলো ম্যালওয়্যার আক্রমণ, ডি-ডস (ডিস্ট্রিবিউটেড ড্যানিয়েল অব সার্ভিস), অনুপ্রবেশের মাধ্যমে ওয়েবসাইট দখল, ক্ষতিকর ফাইল কোড ব্যবহার করে সার্ভার হ্যাকিং। ডি-ডস অ্যাটাকের ক্ষেত্রে বট সফটওয়্যার ব্যবহার করে প্রতিমুহূর্তে একসঙ্গে অসংখ্য হিট করে সাইটটি ডাউন করা হয়। এর ফলে ব্যবহারকারী তাতে ঢুকতে পারেন না। অনুপ্রবেশের মাধ্যমে আক্রমণের ক্ষেত্রে কোডিং দুর্বলতাকে কাজে লাগিয়ে ওয়েবসাইটের অ্যাডমিন প্যানেল নিয়ন্ত্রণে নিয়ে কনটেন্ট প্রকাশ, মোছা ও পরিমার্জন করা হয়। সার্ভার আক্রমণ করে হ্যাকাররা পুরো সার্ভারের নিয়ন্ত্রণ নিয়ে নেয়। এ জন্য বিভিন্ন পন্থায় (ইমেইল, পেনড্রাইভ, অপরিচিত লিঙ্ক ইত্যাদি) কম্পিউটার বা নেটওয়ার্ক স্থাপন করে তারা সার্ভারে ঢোকে। পরে তথ্য সরিয়ে নেয়। অনেক সময় একটা ব্যাক ডোর ওপেন করা হয়, যাতে নিয়মিত সেই সার্ভারের তথ্য গোপনে ওই হ্যাকারের কাছে চলে যায়।
এ ছাড়া ব্যবহারকারীদের অসচেতনতায় বড় আক্রমণের সুযোগ ঘটে। অনেক ব্যবহারকারী ইউজার পাসওয়ার্ড সংরক্ষণ করেন। হ্যাকার ব্রাউজারে সংরক্ষিত এই তথ্যগুলোর মাধ্যমে হ্যাক করে।
ডিজিটাল খাতে বিনিয়োগ
দেশের ডিজিটাল নেটওয়ার্ক ও অবকাঠামো গড়ে তুলতে এবং এ বিষয়ে দক্ষ জনসম্পদ তৈরিতে ২০১০ সাল থেকে তথ্য ও যোগাযোগ প্রযুক্তি বিভাগ প্রায় ২৫ হাজার কোটি টাকার প্রকল্প নেয়। এর মধ্যে অনেক প্রকল্প শেষ হয়েছে, কিছু চলমান। অবকাঠামো খাতে ১৯ হাজার ১৭৯ কোটি টাকা খরচ করা হচ্ছে। প্রযুক্তিগত দক্ষতা বাড়াতে খরচ হচ্ছে ৪ হাজার ৭৯৪ কোটি টাকা। সাইবার নিরাপত্তা পরিকাঠামো গড়ে তুলতে খরচ হচ্ছে প্রায় ১ হাজার ২১৩ কোটি টাকা। বিশেষজ্ঞরা বলছেন, এত বিপুল বিনিয়োগের পরও অপরিকল্পিত উদ্যোগ এবং অব্যবস্থাপনার কারণে নাগরিকদের তথ্যের সুরক্ষা মিলছে না।
সাইবার হামলা চলছেই
দেশ ডিজিটাল হওয়ার সঙ্গে সঙ্গে সাইবার নিরাপত্তার ঝুঁকিও বাড়ছে। ২০১৬ সাল থেকে প্রায় ৫ হাজার ৫৭৬টি সাইবার অ্যাটাকের ঘটনা নথিভুক্ত করেছে। সরকারি সংস্থা, নতুন বাণিজ্যিক প্রতিষ্ঠান, আর্থিক, সামরিক, শিল্প, ব্যবসা-বাণিজ্য, স্বাস্থ্যসেবা ও জ্বালানি খাতকে লক্ষ্য করে এই সাইবার অ্যাটাক চালানো হয়। এর মধ্যে সবচেয়ে বেশি আক্রমণ হয় ২০২০ সালে; ১ হাজার ১৫৪টি। হামলাগুলোর মধ্যে অধিকাংশই ঘটে ওয়েবসাইট বা নেটওয়ার্কের দুর্বলতার কারণে। এ সময়ে মোবাইলেও সাইবার হামলার ঘটনা ঘটে। সার্ট ৭৪টি ইউনিক ম্যালওয়ারের আক্রমণ চিহ্নিত করেছে, যেগুলো সম্মিলিতভাবে দেড় লাখের মতো ডিভাইসে আক্রমণ করেছে।
সাইবার হামলায় ২০২৩ সালের জুনে বিমান বাংলাদেশের কর্মীদের ব্যক্তিগত তথ্যসহ নানা গুরুত্বপূর্ণ উপাত্ত বেহাত হয়েছে। এসব তথ্যের জন্য ৫০ লাখ ডলার দাবি করেছিল হ্যাকার গ্রুপ। এ মাসে রাষ্ট্রীয় একটি বিনিয়োগ কোম্পানিতে সাইবার হামলা চালিয়ে এক লাখ বিনিয়োগকারীর তথ্য চুরি করেছে হ্যাকাররা। গত জুলাইয়ে কৃষি ব্যাংকের সার্ভারে ঢুকে এএলপিএইচভি বা ব্ল্যাকক্যাট নামে পরিচিত হ্যাকার গ্রুপ ১৭০ গিগাবাইটেরও বেশি গুরুত্বপূর্ণ তথ্য চুরি করে। জুলাইয়ে জন্ম ও মৃত্যুনিবন্ধন সংক্রান্ত রেজিস্ট্রার জেনারেলের অফিসের ওয়েবসাইট থেকে হ্যাকাররা পাঁচ কোটির বেশি নাগরিকের ব্যক্তিগত তথ্য চুরি করে। আগস্টে একটি পেমেন্ট গেটওয়ে, আইন প্রয়োগকারী সংস্থা, ব্যাংক খাত সাইবার আক্রমণের শিকার হয়। সবচেয়ে বেশি আক্রমণ হয় ১৫ আগস্ট ৷ এদিন কমবেশি ২৫টি সাইট আক্রান্ত হয়। এর মধ্যে ইনভেস্টমেন্ট করপোরেশনের (আইসিবি) গ্রাহকের ৪০ হাজার ডেটা উন্মুক্ত করে দেয়। এ ছাড়া রেলের ই-টিকিট সেবা, বাংলাদেশ ব্যাংক, এনবিআর, বিডি ই-সেবা, সহজ ডটকম ও স্কয়ার হাসপাতালের সাইটে সাইবার হামলা চালানো হয়েছে । ১৬ আগস্ট ভারতেশ্বরী হোমস, ঢাকা স্টক মার্কেট, কক্সবাজার পুলিশ, বিমানবাহিনী, সেনাবাহিনীর সাইট ডাউন করে রাখার দাবি করেছে হ্যাকার গ্রুপটি। পাশাপাশি কক্সবাজার পুলিশের ৬৪ মেগা ডেটা প্রকাশ করে দিয়েছে।
আর্থিক খাতে সাইবার জালিয়াতি
সাইবার হামলার মাধ্যমে ২০১৪ সালে সোনালী ব্যাংকের দুই কোটি টাকা তুরস্কের একটি অ্যাকাউন্টে সরিয়ে নেয় হ্যাকার গোষ্ঠী। ২০১৬ সালের সাইবার অপরাধীরা বাংলাদেশ ব্যাংকের সুইফট নেটওয়ার্কে অনুপ্রবেশ করে রিজার্ভ থেকে প্রায় এক বিলিয়ন ডলার সরিয়ে নেয়। ২০১৯ সালে বাংলাদেশের তিনটি স্থানীয় বেসরকারি ব্যাংক বড় সাইবার হামলার শিকার হয়; যেখানে হ্যাকাররা সাইপ্রাস, রাশিয়া ও ইউক্রেনের ক্যাশ মেশিনে ক্লোন করা কার্ডের মাধ্যমে প্রায় তিন মিলিয়ন মার্কিন ডলার চুরি করে। সার্ট ডার্ক ওয়েবে বাংলাদেশের বিভিন্ন ব্যাংকের ৩ হাজার ৬৩৯টি ব্যাংক কার্ড আবিষ্কার করেছে; যেগুলোর মাধ্যমে ৪ কোটি ৩৬ লাখ ডলার হাতিয়ে নেওয়ার শঙ্কা রয়েছে।
একের পর এক হুমকি
গত ৩০ জুলাই হ্যাকার গোষ্ঠী নিজেদের ভারতীয় দাবি করে ১৫ আগস্ট বাংলাদেশে সাইবার হামলার হুমকি দেয়। নানা সরকারি সংস্থার সতর্কতার পরও ১৫ থেকে ২০ আগস্ট পর্যন্ত প্রায় ৩৬টি ওয়েবসাইট ও নেটওয়ার্কে হামলার তথ্য জানা গেছে। এর বাইরে আরও বেশি হামলা হলেও তা প্রকাশ পাচ্ছে না বলে বিশেষজ্ঞদের ধারণা। এর মধ্যেই ১৯ সেপ্টেম্বর ওই হ্যাকার গ্রুপ আবার বাংলাদেশে আক্রমণের হুমকি দিয়েছে। এরপর ২৬ জানুয়ারি চীন, পাকিস্তান, ইন্দোনেশিয়ার পাশাপাশি বাংলাদেশেও সাইবার হামলা চালানো হবে বলে হুমকি দেওয়া হয়েছে। গত শনিবার জারি করা সার্টের সতর্কতায় বলা হয়, সার্ট লক্ষ্য করেছে, বিশ্বজুড়ে গুরুত্বপূর্ণ তথ্য পরিকাঠামো, যেমন– স্বাস্থ্যসেবা, ব্যাংকিং, সরকারি প্রতিষ্ঠান বিভিন্ন হ্যাকার গ্রুপের লক্ষ্যবস্তুতে পরিণত হয়েছে। এ বিষয়ে বাংলাদেশকেও সতর্ক থাকতে হবে।
হামলা থেকে বাঁচাবে কে?
সমালোচিত ডিজিটাল নিরাপত্তা আইন অনুসারে, দেশের সাইবার নিরাপত্তার জন্য গঠিত হয়েছে ডিজিটাল নিরাপত্তা এজেন্সি। এরই একটি প্রকল্প সার্ট। তারা দেশের ওয়েবসাইটগুলোর ওপর সাইবার আক্রমণের হুমকি পর্যালোচনা করে পরামর্শ দেয়। বাংলাদেশ কম্পিউটার কাউন্সিল মাঝেমধ্যে বিভিন্ন সরকারি প্রতিষ্ঠানের সাইটের নিরাপত্তা কাঠামো পরীক্ষা-নিরীক্ষা করে। বড় বেসরকারি প্রতিষ্ঠানগুলোর নিজস্ব সাইবার নিরাপত্তা দল রয়েছে। পাশাপাশি আইনশৃঙ্খলা রক্ষাকারী বাহিনীর কয়েকটি ইউনিট সাইবার নিরাপত্তা নিয়ে কাজ করে। এগুলোর মধ্যে রয়েছে পুলিশ সাইবার সাপোর্ট ফর ওমেন; যারা অনলাইনে হয়রানির শিকার নারীদের আইনি সহায়তা দেয়। এ ছাড়া কাউন্টার টেররিজম অ্যান্ড ট্রান্সন্যাশনাল ক্রাইম (সিটিটিসি) ইউনিট, মহানগর গোয়েন্দা সংস্থা (ডিবি), র্যাপিড অ্যাকশন ব্যাটালিয়ন (র্যাব), পুলিশের অপরাধ তদন্ত বিভাগের (সিআইডি) নিজস্ব সাইবার ইউনিট রয়েছে। এগুলোর অধিকাংশের কার্যক্রম ঢাকাকেন্দ্রিক। জেলা পর্যায়ে সাইবার অপরাধ নিয়ে কাজ করার জন্য আলাদা কর্মকর্তা বা অফিস নেই। ফলে সার্বিকভাবে দেশের সাইবার নিরাপত্তার দায়িত্ব আসলে কার– তা নিয়ে ধোঁয়াশা রয়েছে।
সার্টের প্রকল্প পরিচালক সাইফুল আলম খান বলেন, প্রতিটি প্রতিষ্ঠানকে নিজস্ব সাইবার নিরাপত্তা টিম গড়ে তুলতে হবে। আমরা প্রয়োজনীয় পরামর্শ দিয়ে সহায়তা করে থাকি। কোনো প্রতিষ্ঠান সাইবার নিরাপত্তা বিষয়ে সহযোগিতা চাইলে তা দেওয়া হয়। তবে মূল নিরাপত্তার বিষয়টি সংশ্লিষ্ট প্রতিষ্ঠানকে দেখতে হবে।
এ ব্যাপারে তথ্য ও যোগাযোগ প্রযুক্তি সচিব সামসুল আরেফিন বলেন, সাইবার হামলা মোকাবিলায় সরকার কাজ করে যাচ্ছে। গুরুত্বপূর্ণ তথ্য পরিকাঠামোসহ (সিআইআই) প্রতিষ্ঠানগুলোকে এরই মধ্যে সতর্ক করা হয়েছে। পরিস্থিতি মোকাবিলায় সিআইআই, আইনশৃঙ্খলা রক্ষাকারী বাহিনীসহ সংশ্লিষ্ট মন্ত্রণালয় ও সংস্থাগুলোকে নিয়ে আজ মঙ্গলবার একটি বৈঠক ডাকা হয়েছে।
সূত্র: সমকাল