দেশের ব্যাংক ও আর্থিক খাতের ডিজিটাল সুরক্ষায় সাইবার নিরাপত্তা ফ্রেমওয়ার্ক প্রকাশ করেছে এই খাতের নিয়ন্ত্রক সংস্থা বাংলাদেশ ব্যাংক। অনাহূত সাইবার ঝুঁকি ও হুমকি মোকাবেলায় তালিকাভূক্ত আর্থিক খাতের সংস্থাগুলোর জন্য সুরক্ষা অবকাঠামোতে রয়েছে ৫টি স্তম্ভ। স্তম্ভগুলো হলো- সুনির্দষ্ট পরিচয়, সুরক্ষা, সনাক্তকরণ, প্রতিক্রিয়া এবং পুনরুদ্ধার।
প্রাথমিকভাবে ISO 27001, জাতীয় আইসিটি নিরাপত্তা নীতি এবং অন্যান্য স্বীকৃত আন্তর্জাতিক মানের সাথে ব্যাংক এবং ব্যাংকের বাইরের আর্থিক সংস্থার (NBFI) জন্য যে আইসিটি নিরাপত্তা নির্দেশিকা থেকে তাকে ভিত্তি করেই এই ফ্রেমওয়ার্কটি তৈরি করা হয়েছে। সুরক্ষার প্রয়োজনীয়তাগুলি পূরণ করার উদ্দেশ্যে বেসলাইন সাইবার নিরাপত্তা মান এবং নিয়ন্ত্রণগুলি প্রতিষ্ঠা করে।
এই কাঠামোটি ব্যাংক, নন-ব্যাংক আর্থিক প্রতিষ্ঠান (NBFIs), মোবাইল আর্থিক পরিষেবা প্রদানকারী (MFSPs), পেমেন্ট পরিষেবা প্রদানকারী (PSPs), পেমেন্ট সিস্টেম অপারেটর (PSOs) এবং অন্যান্য আর্থিক পরিষেবা সংস্থাগুলির জন্য প্রযোজ্য। সংস্থাগুলিকে সম্মিলিতভাবে ‘সংস্থা’ হিসাবে উল্লেখ করা হয়েছে।
সংস্থাগুলোর জন্য নির্ধারণ করা হয়েছে ১১টি মৌলিক বিষয়। এগুলো হলো-
ক) আর্থিক স্থিতিশীলতা রক্ষা করা
খ) সাইবার হুমকি সনাক্ত করা এবং প্রতিক্রিয়া জানানো
গ) সাইবার নিরাপত্তা মোকাবেলার জন্য একটি সাধারণ পদ্ধতি তৈরি;
ঘ) সাইবার নিরাপত্তা অনুশীলনের একটি উপযুক্ত ও ম্যাচিউর স্তরে পৌঁছানো;
ঙ) প্রাসঙ্গিক পক্ষগুলির ভূমিকা এবং দায়িত্ব সংজ্ঞায়ন;
চ) যথাযথ অধ্যবসায় সহ সাইবার নিরাপত্তা অনুশীলনগুলি মোকাবেলা করা;
ছ) নিরাপত্তা এবং গোপনীয়তার প্রয়োজনীয়তা নিশ্চিত করা;
জ) সাইবার পরিবেশে তথ্য সুরক্ষার জন্য স্টেকহোল্ডারদের সচেতনতা গড়ে তোলা;
ঝ) ডেটা প্রক্রিয়াকরণের জন্য একটি নিরাপদ পরিবেশ নিশ্চিত করা;
ঞ) প্রযুক্তির ব্যবহারের সর্বোত্তম অনুশীলন (শিল্পের মান) নিশ্চিত করা।
ট) একটি সাইবার নিরাপত্তা সংস্কৃতি গড়ে তোলা
খসড়া ফ্রেমওয়ার্কটি পর্যালোচনা করলে এর সক্ষমতার পাশাপাশি কিছু অক্ষমতাও পরিলক্ষিত হয়েছে। সাইবার অবকাঠামো বিশ্লেষকরা বলছেন, ঝুঁকি ব্যবস্থাপনা, ঘটনার প্রতিক্রিয়া এবং আইনি দিক দিয়ে বিস্তৃত পরিসরে একটি সুগঠিত ফ্রেমওয়ার্ক উঠে এসেছে খসড়াটিতে। যার ফলে NIST সাইবার সিকিউরিটি ফ্রেমওয়ার্ক এবং ISO 27001-এর মতো স্বীকৃত মানগুলির উপর ভিত্তি করে একটি স্পষ্ট কাঠামো অনুসরণের মাধ্যমে আর্থিক সংস্থাগুলির জন্য একটি শক্ত ভিত্তি দিতে সক্ষমতা রয়েছে। একইসঙ্গে সাইবার ইনসিডেন্ট রেসপন্স টিম সহ বিভিন্ন স্টেকহোল্ডারদের ভূমিকা স্পষ্টভাবে বর্ণনা করে জবাবদিহিতা বাড়িয়েছে। প্রশিক্ষণ এবং সচেতনতার গুরুত্বের উপর জোর দিয়ে প্রতিষ্ঠানের অভ্যন্তরে নিরাপত্তা-সচেতনতা সংস্কৃতি গড়ে তোলার চেষ্টাও দৃশ্যমান। পাশাপাশি সাইবার নিরাপত্তার স্ব-মূল্যায়ন এবং নিয়মিত পর্যালোচনা;স্থানীয় আইন এবং প্রবিধানগুলির সাথে সম্মতির প্রয়োজনীয়তা স্বীকার করানো হয়েছে।
পক্ষান্তরে খসড়া ফ্রেমওয়ার্কটি সাধারণ ব্যবহারকারীদের কাছে জটিল এবং দীর্ঘ মনে হতে পারে। কেননা, প্রক্রিয়া এবং বিভাগগুলির রূপরেখা দিলেও এটি বাস্তবায়নের চিত্রিত করার জন্য নির্দিষ্ট উদাহরণ বা কেস স্টাডির অনুপস্থিতি রয়েছে। একইসাথে কাঠামো বাস্তবায়নে সীমিত ব্যবহারিক নির্দেশিকাটি পরবর্তী পদক্ষেপগুলি সম্পর্কে সংস্থাগুলিকে অনিশ্চিত যাত্রায় নিয়ে যাওয়া শঙ্কা রয়েছে। ডায়নামিক থ্রেট ল্যান্ডস্কেপে এটি সাইবার হুমকির দ্রুত বিকশিত প্রকৃতি সম্পূর্ণরূপে সম্বোধন নাও করতে পারে; প্রযুক্তিগত ভাষার ব্যবহার অ-প্রযুক্তিগত স্টেকহোল্ডারদের বোঝার ক্ষেত্রে বাধা হতে পারে; এবং সবশেষে এর স্কেলেবিলিটি নিয়ে উদ্বেগ রয়েছে।
তাই ফ্রেমওয়োর্কের কার্যকারিতা বাড়ানোর জন্য, এটি সরলীকরণ, ব্যবহারিক উদাহরণ এবং বিকশিত সাইবার হুমকির ল্যান্ডস্কেপের আরও গতিশীল পদ্ধতি প্রত্যাশা করেছেন দেশের আর্থিক খাতের সাইবার আর্মিরা।
