কাস্টমাজেশন ছাড়া বিদেশী সফটওয়্যার ব্যবহার মোটেই নিরাপদ নয়। কেননা, এ ক্ষেত্রে সার্ভিলেন্স সিস্টেমে রক্ষক-কে ভক্ষক হয়ে ওঠার ঝুঁকি থাকে। এ ধরনের বেড়ায় খেয়ে ফেলতে পারে গোলার ধান। আর তাই তথ্য প্রযুক্তি অবকাঠামো স্থাপনের ক্ষেত্রে রাউটার, সুইচ, ফায়ারওয়াল, ইমেইল সিকিউরিটি, ওয়েব সিকিউরিটি ও এসআইইএম সহ যত প্রযুক্তি পণ্য ব্যবহারে কাস্টমাইজেশনের গুরুত্বারোপ করেছেন সাইবার ক্রাইম আওয়ার্নেস ফাউন্ডেশন এর উপদেষ্টা প্রকৌশলি মো: মুশফিকুর রহমান।
সাইবার সিকিউরিটি মাস অক্টোবর পালন উপলক্ষে সাইবারোনমিক্স: “How much Risk is Too Much” বিষয়ে কি-নোট উপস্থাপন করে এই বার্তাটিই দিয়েছেন ফার্স্ট সিকিউরিটি ইসলামী ব্যাংক পিএলসি এর এই প্রধান তথ্য প্রযুক্তি কর্মকর্তা।
রাজধানীর অদূরে আশুলিয়ায় স্থাপিত ড্যাফোডিল ইউনিভার্সিটির প্রধান ক্যাম্পাসে দিনব্যাপী সাইবার সচেতনতা বিষয়ক এই উপস্থাপনায় সাইবার আক্রমণের অর্থনৈতিক প্রভাব নিয়ে আলোচনা করেন মো: মুশফিকুর রহমান। একইসঙ্গে এ বিষয়ে বাংলাদেশের বিভিন্ন ইন্ডাস্ট্রিতে অনতিবিলম্বে কী ধরনের ব্যাবস্থা নিয়ে উচিত সে জায়গাগুলোতে আলোকপাত করেন তিনি।
মূল প্রবন্ধ উপস্থাপনার বক্তব্যে তিনি বলেন, বিভিন্ন প্রতিষ্ঠান বিভিন্ন পদ্ধতিতে ডাটা বা তথ্য সংরক্ষণ করে থাকে। কারণ, যে কোন প্রতিষ্ঠানের যে কোন কর্মকর্তাই তথ্য নিজে তৈরী করেন, তথ্য সংরক্ষণ করেন, তথ্য প্রিন্ট করেন এবং তথ্য অন্যজনের সাথে শেয়ার করেন। এই তথ্য উৎপাদন সংরক্ষণ শেয়ার এবং প্রয়োজনের পর তথ্যকে ডিলিট বা নিষ্পত্তি করে ফেলা আবশ্যক। কেননা সংগৃহিত এই তথ্য কতদিন তাদের কাছে থাকবে এবং কিভাবে তার নিরাপত্তা নিশ্চিত করা হবে এটা প্রতিষ্ঠানের রেগুলেট্ৰি রিকোয়ারমেন্ট (নিয়ন্ত্রক প্রয়োজনীয়তা) এর উপর নির্ভর করে। এই তথ্য উৎপাদন সংরক্ষণ শেয়ার এবং প্রয়োজনের পর তথ্যকে ডিলিট বা নিষ্পত্তি করে ফেলা একটি খুবই গুরুত্বপূর্ণ বিষয় কারণ তথ্য কতদিন থাকবে এবং কিভাবে তার নিরাপত্তা নিশ্চিত করা হবে এইটা প্রতিষ্ঠানের রেগুলেট্ৰি রিকোয়ারমেন্ট (নিয়ন্ত্রক প্রয়োজনীয়তা) এর উপর নির্ভর করে এবং এই তথ্য যদি কোন অবাঞ্ছিত লোকের কাছে চলে যায় তাহলে যে কোন ব্যাক্তি সংস্থা বা রাষ্ট্রের নিরাপত্তা ঝুঁকির মধ্যে পড়তে পারে।
এ নিয়ে সতর্ক থাকার আহ্বান জানিয়ে তিনি বলেন, ‘বিভিন্ন ধরণের প্রতিষ্ঠান বিভিন্ন ধরণের তথ্য প্রযুক্তি ব্যবহার করে যেমন এনার্জি সেক্টর, হেলথ কেয়ার, ম্যানুফ্যাকচারিং প্রতিষ্ঠান – ইনফরমেনশন টেকনোলজি (আইটি), অপারেশনাল টেকনোলজি (ওটি) ব্যবহার করে এবং অনেক সময় ইন্টারনেট অফ থিংস (আইওটি) ব্যবহার করে থাকে। তবে কিছু প্রতিষ্ঠান আইটি ওটি আইওটি সকল ধরণের প্রযুক্তি পণ্যই ব্যবহার করে থাকে সেক্ষত্রে আমরা শুধু ইনফরমেশন টেকনোলজি (আইটি) এর উপর মনোযোগ করে থাকি কিন্তু ওটি আইওটি এর লক্ষ্য থাকে না এজন্য ইনফরমেশন টেকনোলজির ভালনারিবিলিটি বা দুর্বলতাগুলো অপারেশনাল টেকনোলজি (ওটি) এবং ইন্টারনেট অফ থিংস (আইওটি) এর উপর ও প্রযোজ্য হতে পারে এবং তার মাধ্যমে যে কোন সিস্টেমকে যে কোন সময় কম্প্রোমাইজ বা বিপদ্গ্রস্ত করা যেতে পারে‘।
বিষয় ভিত্তিক আলোচনায় সাইবার হামলাকারীদের কৌশল ও পদ্ধতির ওপর আলোকপাত করেন মূলপ্রবন্ধ উপস্থাপক। জানিয়েছেন, হ্যাকাররা সাধারণত সাতটি ধাপ অনুসরণ করে তাদের লক্ষ্য পূরণ করে। প্রথম ধাপটি হচ্ছে ইনফরমেশন গ্যাদারিং অর্থাৎ ভিকটিম সম্পর্কে এবং টার্গেট সিস্টেম সম্পর্কে তথ্য সগ্রহ করে এবং অ্যাটাক বা আক্রমণ করার জন্য তারা নিজেরা সফটওয়্যার তৈরী করে যেটাকে আমরা ম্যালওয়্যার বলে থাকি এবং তারপর সেটিকে তারা বিভিন্ন উপায়ে ডেলিভার করে থাকে। সাধারণত দেখা যায়, তথ্য প্রযুক্তি ব্যবহারকারীরা বিভিন্ন ওয়েব সাইট ব্রাউজ করে, গান ডাউনলোড করে, ভিডিও-অডিও ডাউনলোড করে এর মাদ্ধমেও যে কোন সংস্থার ইনফ্রাস্ট্রাকচারে বা আইটি সিস্টেমে ভাইরাস বা ম্যালওয়্যার ডাউনলোড এবং ডেলিভার হয়ে যেতে পারে। তারপর সেই ম্যালওয়্যারটি তারা এক্সপ্লয়েড করে ইনস্টল করে এবং পরবর্তীতে সেটা কমান্ড এন্ড কন্ট্রোল বা ল্যাটারাল মুভমেন্ট করে এবং পরিশেষে অ্যাকশন ওন অবজেক্টিভ অর্থাৎ ডাটা চুরি করে অথবা ফ্রড ট্রান্সকশন করে এই পদ্ধতিগুলো ব্যবহার করে।
তিনি আরও বলেন, এই পদ্ধতির যে সাতটি ধাপ অনুসরণ করে যায়, সেগুলোর যে কোন একটি ধাপেই যদি নিরসনের বা প্রতিরোধের ব্যবস্থা নেওয়া হয়, তাহলে কিন্তু আক্রমণটি আর পরবর্তী স্তরে ছড়াতে পারবে না। এজন্য যারা তথ্য প্রযুক্তি নিয়ে কাজ করেন তারা যখন তথ্য প্রযুক্তিক অবকাঠামো তৈরী করেন সেসময়ই তথ্য প্রযুক্তির অবকাঠামোকে সাইবার এট্যাক এর কথা চিন্তা করে এট্যাক ভেক্টর এবং এট্যাক সারফেসকে মাথায় রেখে যদি তথ্য প্রযুক্তির নিরাপত্তা প্রণয়ন করা হয় তাহলেই সে সিস্টেমকে যে কোন সাইবার এট্যাক থেকে রক্ষা করা সম্ভব হবে।
এসময় তিনি ২০১৪ সালের টার্গেটে সাইবার এট্যাক এবং ২০১৬ সালের ৩০টি দেশের প্রায় ১০০ ব্যাংকে যে সাইবার এট্যাক হয় এবং ১ বিলিয়ন ডলার নিয়ে যায় এবং এনার্জি সেক্টর বা পাওয়ার সেক্টরে ২০০০ থেকে ২০২১ সাল পর্যন্ত যে বিভিন্ন সাইবার এট্যাকের কথা উল্লেখ করেন। ২০২১ কলোনিয়াল পাইপলাইনে রেনসমওয়্যার এট্যাকের কথা উল্লেখ করে এগুলো শুধুমাত্র সঠিকভাবে সিস্টেম কনফিগার না করা, ম্যানেজ না করা এবং মনিটরিং না করার কারণে ঘটেছে বলে মন্তব্য করেন মুশফিক।
মূল প্রবন্ধে তিনি আরও উল্লেখ করেছেন, তথ্যপ্রযুক্তি অবকাঠামো স্থাপনের ক্ষেত্রে রাউটার, সুইচ, ফায়ারওয়াল, ইমেইল সিকিউরিটি, ওয়েব সিকিউরিটি, এসআইইএম এর মতো কমিউনিকেশন অ্যান্ড সার্ভিলেন্স প্রযুক্তি পণ্যের সফটওয়্যার কাস্টমাইজেশনে সাধারণ উন্নাসিকতার বিষয়।
তিনি বলেন, একমাত্র কিছু কাস্টমাইজড বিজনেস এপ্লিকেশন বাদে সমস্ত তথ্য প্রযুক্তি পণ্য আমরা বিদেশী পণ্য ব্যবহার করি যেগুলো আমরা নিজেরা তৈরী করি না। কিন্তু আমরা ভুলে যাই, সিকিউরিটি ডিভাইসে মেইনটেনেন্স হুক বলে একটা বিষয় থাকে যার মাধ্যমে উৎপাদনকারী প্রতিষ্ঠান যে কোন সময় এই সিস্টেমগুলোতে অনুপ্রবেশ করতে পারে এবং তার মাধ্যমে তথ্য প্রযুক্তি চুরি করে নিয়ে যেতে পারে; একইসঙ্গে সাইবার হামলা চালাতে পারে। এজন্য স্মার্ট বাংলাদেশ প্রণয়নের ক্ষেত্রে আমাদের নিজেদের সফটওয়্যার নিজেদের টেকনোলজি বা প্রযুক্তি পণ্য নিজেরদেরকে উৎপাদন করতে হবে।
পরামর্শের সপক্ষে ফরচুন ৫০০ কোম্পনি’র উদারহরণ টেনে আনেন সাইবার প্রকৌশলী মুশফিকুর রহমান। স্মরণ করিয়ে দেন, এই কোম্পানিগুলো তাদের কোর ইনফ্রাস্ট্রাকচারে কখনই বিদেশী সফটওয়্যার ব্যবহার করে না। তারা তাদের নিজেদের জন্য কাশমাইস্ড হোয়াইট কোড তথ্য প্রযুক্তি পণ্য ব্যবহার করে তাদের নিরাপত্তা ব্যবস্থা নিশ্চয়তা করে।
উপস্থাপনার শেষে উন্নত বাংলাদেশ, স্মার্ট বাংলাদেশের স্বপ্ন বাস্তবায়নে সমস্ত তথ্য প্রযুক্তিবিদ – নেটওয়ার্ক এডমিনিস্ট্রেটর, সিস্টেম এডমিনিস্ট্রেটর, সফটওয়্যার ইঞ্জিনিয়ার, সাইবার সিকিউরিটি প্রফেশনালদেরকে এভাবে নিরাপদ তথ্য প্রযুক্তি অবকাঠামো তৈরী করে বাংলাদেশের উন্নয়নে ভূমিকা রাখার জন্য আহ্বান জানান ক্রাইম আওয়ার্নেস ফাউন্ডেশন এর উপদেষ্টা।