২০০৩ সাল জুড়েই অশান্ত ছিলো দেশের সাইবার আকাশ। বছরের ১২ মাসের মধ্য চলতি বছরের চারটি এবং গত বছরের ছয় ঘটনা নাড়া দিয়েছে সবচেয়ে বেশি। এর মধ্যে জুলাই-আগস্ট ছিলো আলোচনার কেন্দ্রবিন্দুতে। মাসটি আলোচিত হয়েছে অনলাইনে বাংলাদেশি নাগরিকের ৫ কোটিরও বেশি তথ্য ফাঁস হয়ে ‘টেলিগ্রাম চ্যানেল’-এ ভোটারদের তথ্য উন্মুক্ত হওয়ার ঘটনা। আলোচনায় এসেছে কৃষিব্যাংক, বেক্সিমকো, বিমান বাংলাদেশ…। আলোচনায় ছিলো অনেকরই সোশ্যাল মিডিয়া পেজ হাওয়া হওয়ার ঘটনা। যুক্ত হয়েছে উৎপাদনী কারখানাও।
অর্থ নয় ডেটা চুরির মতো নানা দুর্ঘটনার মধ্য দিয়ে আজ বিদায় নিচ্ছে ২০২৩। বছরজুড়ে র্যানসাম ওয়্যার হামলায় নাকাল হয়েছে বাংলাদেশ। এআই ব্যবহার করে আক্রমণে নতুন ঝুঁকিতে আগাম সতর্ক হতে হবে ২০২৪- এ। ফিরে দেখলে স্পষ্ট হবে, ২০০৩ সাল ব্যাংক বা আর্থিক প্রতিষ্ঠানের পাশাপাশি সরকারি সেবা খাতকে টার্গেট করেছিলো সাইবার দুবৃত্তরা। তবে এর প্রতিটি ক্ষেত্রেই অজ্ঞতা, শিথিলতা ও নেটিজেনদের জীবনধারায় সচেতন না থাকাকেই বড় ত্রুটি হিসেবে দেখা গেছে। তাই ব্যক্তিগত, প্রাতিষ্ঠানিক কিংবা ব্যবসায়িক- প্রতিটি স্পর্শকাতর তথ্যকে সুরক্ষিত রাখার চ্যালেঞ্জকে সম্মিলত ভাবে প্রতি পালন করতে হবে পুরো জাতিকে। লিখেছেন- ইমদাদুল হক
ফিরে দেখা সাইবার বাংলা ২০২৩
ঘটনা-১
স্মার্ট এনআইডি ডেটা ফাঁস: ২০২৩ সালের জুলাইয়ে বাংলাদেশি নাগরিকের ৫ কোটিরও বেশি তথ্য অনলাইনে ফাঁস হওয়ার খবর প্রকাশিত হয়। ভোটারদের সেই তথ্য আবার উন্মুক্ত করে দেয়া হয় টেলিগ্রাম চ্যানেলে। মূলত বাংলাদেশ সরকারের একটি ওয়েবসাইটে নিরাপত্তা শিথিলতায় লক্ষ লক্ষ বাংলাদেশি নাগরিকের সংবেদনশীল ব্যক্তিগত তথ্য ইন্টারনেটে উন্মোচিত হয়। ফাঁস হওয়া তথ্যের মধ্যে পাঁচ কোটিরও বেশি ব্যবহারকারীর নাম, জন্ম তারিখ এবং জাতীয় পরিচয়পত্র (এনআইডি) নম্বর রয়েছে, যা গুগলসার্চের মাধ্যমেই চলে আসে হাতের নাগালে। টেলিগ্রাম বটে ১০ ডিজিটের এনআইডি নম্বর লিখলেই মিলে যায় ওই ব্যক্তির নাম, লিঙ্গ, বাবা-মায়ের নাম, ফোন নম্বর, ঠিকানা, ছবি এবং অন্যান্য বিবরণ। এ নিয়ে প্রকাশি প্রতিবেদন অনুযায়ী, ন্যাশনাল টেলিকমিউনিকেশন মনিটরিং সেন্টার (এনটিএমসি) তাদের সিস্টেমের একটি অসুরক্ষিত ডাটাবেসের মাধ্যমে কয়েক মাস ধরে সংবেদনশীল ব্যক্তিগত তথ্য প্রকাশ করেছে হ্যাকাররা।
ঘটনা-২
রাজউক এর হ্যাক হওয়া ২৬,৭৭৭টি ডক্যুমেন্ট পুনরুদ্ধার
২০২২ সালের ২৯ ডিসেম্বর রাজধানী উন্নয়ন কর্তৃপক্ষ (রাজউক) ‘৩০ হাজার গ্রাহকের কাগজপত্র’ হারিয়ে যাওয়া ঘটনা প্রকাশ করেছিলো শীর্ষস্থানীয় জাতীয় দৈনিক প্রথমআলো। এরপর ২০২৩ সালের ২ জানুয়ারি রাজউকের সার্ভার থেকে গ্রাহকের রেকর্ড উধাও হওয়ার বিষয়ে ব্যাখ্যা চেয়েছিলেন হাইকোর্ট। ব্যাখ্যা দিতে ৩০ দিনের সময় বেধে দেয়া হয়েছিলো। এ নিয়ে
রাজউকের হলফনামায় বলা হয়, ২০২২ সালের ৬ ডিসেম্বর বিডিসিএসএলের ডাটা সেন্টারে সংরক্ষিত কাগজপত্র মুছে ফেলা হয় এবং বিদ্বেষমূলক ওই হামলার পর কনস্ট্রাকশন পারমিট (সিপি) সিস্টেম বন্ধ করে দেওয়া হয়। পরে ২১ ডিসেম্বর সিস্টেমটি পুনরায় সক্রিয় করা হয়। এরইমধ্যে গত বছর হ্যাক হওয়া ৩০ হাজার নথির মধ্যে ২৬ হাজার ৭টি নথি উদ্ধার করা হয়েছে। তথ্যচুরির অভিযোগের জবাবে রাজউক চেয়ারম্যান জানান, রাজউকের নিজস্ব কোনো সার্ভার নেই। অর্থাৎ ভেন্ডর নির্ভরতা এবং নিরাপত্তা সচেতনতার অভাবই সাইবার হামলার মূল কারণ।
ঘটনা-৩
বিমানের ই-মেইল সার্ভারে র ্যানসমওয়্যার হামলার তদন্ত শুরু
চলতি বছরের ১৭ মার্চ বিমান বাংলাদেশ এয়ারলাইন্সের ই-মেইল সার্ভার হ্যাকড হয়। আক্রমণের পরে, এর সার্ভার ডাউন হয়ে যায় এবং সমস্ত অভ্যন্তরীণ যোগাযোগ ব্যাহত হয়। হ্যাক করা তথ্যের ১০০জিবি ডেটা জনসমক্ষে ফাঁস করে দিতে ১০ দিনের আল্টিমেটাম দেয় হ্যাকাররা। আর সার্ভারে প্রবেশাধিকার পুনরুদ্ধারের জন্য হ্যাকাররা মুক্তিপণ দাবি করে ৫০ লাখ ডলার।
এ নিয়ে প্রকাশিত খবর অনুযায়ী, বিমানের গত ১৭ মার্চ সাইবার হামলার পাশাপাশি হ্যাকাররা ‘হ্যালো’ লেখা একটি বার্তা পাঠিয়েছিল এবং অনন্য ম্যালওয়্যার ‘জিরো ডে অ্যাটাক’ ব্যবহার করে একটি হলুদ, সমান্তরাল আকৃতির লোগো ছিল। গত ২২ মার্চ হ্যাকার দাবি করা ব্যক্তিরা বিমানকে একটি মেসেজ পাঠায়, যেখানে লেখা ছিল, ‘আপনারা গণমাধ্যমে বলছেন, কোনো তথ্য ফাঁস হয়নি। কিন্তু আপনি ভুল করছেন।’
প্রসঙ্গত, হ্যাক হওয়া তথ্যের মধ্যে যাত্রী, কর্মচারীদের পাসপোর্টের বিবরণ এবং অন্যান্য ক্যারিয়ারের প্রতিবেদন অন্তর্ভুক্ত রয়েছে। হামলাকারীরা মানবসম্পদ ব্যবস্থাপনা, ফাইন্যান্সিয়াল রিসোর্স ম্যানেজমেন্ট এবং এন্টারপ্রাইজ রিসোর্স প্ল্যানিংয়ের জন্য বিমানের সফটওয়্যারে অ্যাক্সেস রয়েছে বলে দাবি করে। সফটওয়্যারটি পরিকল্পনা, অর্থায়ন এবং ইনভেন্টরি রক্ষণাবেক্ষণ সহ অন্যান্য সিস্টেমের সাথে একীভূত ছিলো। হ্যাকাররা দাবি করে ‘বিমানপ্রোড, বিজিডিবিএফ এবং ট্রাইন’ ডাটাবেসে অ্যাক্সেস রয়েছে।
ঘটনা-৪
কৃষি ব্যাংকের সার্ভার দখল
২০২৩ সালের ২১ জুন কৃষি ব্যাংকের সার্ভার দখল করে কুখ্যাত ব্ল্যাকক্যাট হ্যাকাররা। তারা কৃষি ব্যাংক থেকে ১৭০ জিবি সংবেদনশীল ডেটা চুরি করে। দলটি র্যানসমওয়্যার গ্রুপ এএলপিএইচভি নামেও পরিচিত। গত ৭ জুলাই এএলপিএইচভির এক পোস্টে বলা হয়, সফলভাবে ব্যাংকের নিরাপত্তা ব্রিচ করে আমরা ১২দিন ধরে কৃষি ব্যাংকের নেটওয়ার্কে রয়েছি। এখানে ১৭০জিবি’র অধিক সংবেদনশীল ডেটা অ্যাক্সেস পেয়েছি। এই ডেটা ব্যবহার করে যে কোনো ডকুমেন্ট ডাউনলোড এবং কার্যক্রম অচল করে দেয়ার জন্য যথেষ্ট।
ঘটনা-৫
ভারতীয় হ্যাকারদের মাধ্যমে বাংলাদেশের ২৫টি সরকারি ওয়েবসাইট হ্যাকড
সমন্বিত সাইবার হামলার ফলে বাংলাদেশের ২৫টি সরকারি ও বেসরকারি প্রতিষ্ঠানের তথ্য হাতিয়ে নেয় ভারতের একদল হ্যাকার। এই হামলায় ইনভেস্টমেন্ট কর্পোরেশন অব বাংলাদেশ এবং স্বাস্থ্য অধিদপ্তরের মতো স্পর্শকাতর প্রতিষ্ঠানের তথ্য ফাঁস হয়েছে। এরমধ্যে ইনভেস্টমেন্ট কর্পোরেশন অব বাংলাদেশের অফিসিয়াল ওয়েবসাইটে প্রায় ১০ হাজার বিনিয়োগকারী ও বিনিয়োগ আবেদনকারীর তথ্য রয়েছে। তদন্তে জানা যায়, নিরাপত্তা জ্ঞানের অভাব, তৃতীয় পক্ষের নির্ভরতা এবং সাইবার নিরাপত্তা বিশেষজ্ঞের অপ্রতুলতার করণে বছর জুড়েই দফায় দফায় সাইবার দুনিয়ায় নাকাল হতে হয়েছে বাংলাদেশকে।
ঘটনা ৬
সাম্প্রতিক সাইবার হামলায় আক্রান্ত অন্তত ১৪৭ বাংলাদেশি প্রতিষ্ঠান
বাংলাদেশে সম্প্রতি একটি বড় ও সমন্বিত সাইবার হামলার ঘটনা ঘটেছে, যেখানে ব্যাংক ও নন-ব্যাংক আর্থিক প্রতিষ্ঠান (এনবিএফআই) সহ কমপক্ষে ১৪৭টি সরকারি ও বেসরকারি প্রতিষ্ঠান আক্রান্ত হয়েছে। বাংলাদেশ ব্যাংক, বাংলাদেশ টেলিকমিউনিকেশন রেগুলেটরি কমিশন, লংকাবাংলা ফাইন্যান্স, স্ট্যান্ডার্ড ব্যাংক, ট্রাস্ট ব্যাংক, ব্যাংক এশিয়া, ঢাকা ব্যাংক, এভারকেয়ার ম্যানেজমেন্ট গ্রুপ, এভারকেয়ার হসপিটাল ঢাকা, বাংলা ট্র্যাক কমিউনিকেশনস, অগ্নি সিস্টেমসসহ বিভিন্ন সরকারি ও বেসরকারি প্রতিষ্ঠান এই তালিকায় রয়েছে। শুধু বাংলাদেশেই নয়, সারা বিশ্বেই এই হামলা চালানো হয়েছে এবং হ্যাকাররা এমইএসের দুর্বলতার সুযোগ নিয়েছে।
পর্যবেক্ষণ বলছে, ব্যাংকিং খাতে তথ্য-প্রযুক্তিগত অবকাঠামোর দিক দিয়ে ‘ভয়াবহ উন্নয়ন’ হয়েছে। তারপরও ব্যাংকগুলোকে সাইবার আক্রমণের হাত থেকে রক্ষা করার জন্য যথেষ্ট নিরাপত্তা ব্যবস্থার অভাব রয়েছে। তবে সাইবার নিরাপত্তা সচেতনতা এবং সফল প্রস্তুতি আক্রমণের ঝুঁকি উল্লেখযোগ্যভাবে হ্রাস করতে পারে। এজন্য কর্মীদের যথাযথ প্রশিক্ষণ বা শক্তিশালী সুরক্ষা প্রোটোকল সরবরাহ করতে হবে। সামনে সোশ্যাল ইঞ্জিনিয়ারিং বা ফিশিং পরিস্থিতিতে আরও ঝুঁকিপূর্ণ করে তুলতে পারে।
ঝুঁকি নিয়ন্ত্রণে সাইবার ক্রাইম অ্যাওয়ারনেস ফাউন্ডেশনের উপদেষ্টা ইঞ্জিনিয়ার মুশফিকুর রহমান এর পরামর্শ তথ্যপ্রযুক্তি ব্যবহারকারী প্রতিষ্ঠানকে অবশ্যই নিরপত্তার ব্যাপারে খুবই সতর্ক থাকতে হবে। কেননা বাংলাদেশে ব্যবহৃত প্রযুক্তির ৯৮ ভাগই বিদেশীদের তৈরি। তাই আমাদের ওপেন সোর্স প্রযুক্তির ব্যবহার ও কাস্টমাইজ সফটওয়্যার ও অ্যাপ বানিয়ে সাইবারওয়্যারে নিজেদের রক্ষা কররা পাশাপাশি বৈদেশিক মুদ্রা অর্জন করা সম্ভব হবে।
তিনি বলেন, দেশের তথ্য প্রযুক্তি বিশেষজ্ঞদের তথ্যপ্রযুক্তি কনফিগার করার পাশাপাশি বিশ্ববিদ্যালয়ের কারিকুলাম তৈরিতে ইন্ডাস্ট্রিকেও সঙ্গে নিতে হবে। দেশী সফটওয়্যার, অ্যাপ তৈরিতে উদ্যোগ নিতে হবে।
অপরদিকে ঢাকা মেট্রোপলিটন পুলিশের সিটিটিসি’র অতিরিক্ত ডেপুটি কমিশনার নাজমুল ইসলাম বলেছেন, সারা দুনিয়া জুড়ে ল এনফোর্সমেন্ট এর মাথা ব্যাথার কারণ ChatGPT বা Artificial Intelligence হলেও এরই মাঝে সমাধানও লুকিয়ে আছে। আমরা reverse engineering মেকানিজম ব্যবহার করে চেনা ইস্যু গুলো দিয়ে Machine Learning পদ্ধতি ব্যবহার করে আশু অপরাধ গুলোর একটা pattern ও সম্ভাব্য response combinations দ্বারা একটা সমন্বিত প্রতিহত সিস্টেম বানাতে পারি। তাই বাংলাদেশের প্রযুক্তিবিদদের আহবান জানাই যে, আমরা একসাথে একটা competent system তৈরি করতে কাজ করতে পারি। আগ্রহীরা সাড়া দিলে funding এর জন্য সবাই মিলে তৎপর হতে বেশী সময় নেয়ার আগেই মাঠে নামতে হবে।