সাইবার হামলার হুমকি, কীভাবে মিলবে সুরক্ষা

0
100
সাইবার হামলার হুমকি

সরকারি-বেসরকারি প্রতিষ্ঠানে বেড়েই চলছে সাইবার হামলা। নানা উদ্যোগ আর আলোচনার পরও বাগে আসছে না হ্যাকারদের হানা। বারবার আসছে হামলার হুমকি। সুযোগ বুঝে সাইবার অপরাধীরা ঢুকে পড়ছে দেশের বিভিন্ন গুরুত্বপূর্ণ প্রতিষ্ঠানের নেটওয়ার্কে। বেহাত হচ্ছে লাখ লাখ তথ্য। ঝুঁকিতে পড়ছে দেশ ও মানুষের সুরক্ষা।

এদিকে, সাইবার আক্রমণ ঠেকানোর দায়িত্ব নিচ্ছে না কেউ। তথ্য ও প্রযুক্তি (আইসিটি) বিভাগ সাইবার নিরাপত্তা পরিকাঠামো সাজাতে গত এক যুগে খরচা করেছে প্রায় ১ হাজার ২১৩ কোটি টাকা। তবে সাইবার নিরাপত্তার সার্বিক দায় নিতে নারাজ প্রতিষ্ঠানটি। পরামর্শ আর কারিগরি সহায়তা দিয়ে দায় সারতে চাইছে তারা। আর নিরাপত্তা বাহিনীর সাইবার টিমগুলোর কার্যক্রম তদন্তের বৃত্তেই যেন সীমাবদ্ধ।

বিশেষজ্ঞরা বলছেন, বিপুল বিনিয়োগের পরও অপরিকল্পিত উদ্যোগ এবং অব্যবস্থাপনার কারণে নাগরিকদের তথ্যের সুরক্ষা মিলছে না। পাশাপাশি অসচেতনতা, দায়িত্বহীনতা ও অদক্ষতার কারণে দুর্বল পরিকাঠামোগুলো আরও অরক্ষিত হয়ে পড়ছে।

গত ১৫ আগস্ট সারাদেশে সাইবার হামলার হুমকি দিয়েছিল একটি হ্যাকার দল। তারা ভারতীয় বলে এরই মধ্যে দাবি করেছে। বিভিন্ন হ্যাকার গ্রুপ ১৯ সেপ্টেম্বর ও আগামী ২৬ জানুয়ারি ফের বাংলাদেশে সাইবার হামলার হুমকি দিয়েছে। এসব হুমকির পরিপ্রেক্ষিতে তথ্য ও যোগাযোগ প্রযুক্তি বিভাগের কম্পিউটার ইনসিডেন্ট রেসপন্স টিম (সার্ট) গত শনিবার সতর্কতা জারি করেছে। এ নিয়ে চলতি বছর পাঁচ দফা সতর্কতা জারি করা হলো। জুন থেকে প্রতি মাসেই সাইবার হামলা নিয়ে সতর্ক করে চিঠি দিচ্ছে সার্ট।

দুর্বল নিরাপত্তা কাঠামো

সরকারের তথ্য বাতায়নের আওতায় রয়েছে প্রায় ৫০ হাজার ওয়েবসাইট। এই ওয়েবসাইটগুলোর অধিকাংশ তৈরি করেছে তথ্য ও যোগাযোগ প্রযুক্তি বিভাগের আওতাধীন প্রকল্প এস্পায়ার টু ইনোভেট (এটুআই)। এটুআই জানিয়েছে, ওয়েবসাইট ডেভেলপের পর সেগুলো সংশ্লিষ্ট কর্তৃপক্ষের কাছে বুঝিয়ে দেওয়া হয়। এরপর সেগুলোর নিরাপত্তার দায়িত্ব সংশ্লিষ্ট প্রতিষ্ঠানের। সরকারি ওয়েবসাইটের হোস্টিং ও নিরাপত্তার বিষয়টি তদারকি করে বাংলাদেশ কম্পিউটার কাউন্সিল (বিসিসি)। বিসিসি জানিয়েছে, ওয়েবসাইটগুলো সরকারি ডেটা সেন্টারে হোস্ট করা থাকে। তারা নিরাপত্তার বিষয়টি নিয়মিত নিরীক্ষা করে ফলাফল সার্টকে জানায়। এর পর সার্ট প্রয়োজনে সংশ্লিষ্টদের দরকারি পরামর্শ দেয়। তবে সাইবার নিরাপত্তা বিশ্লেষকদের দাবি, সাইবার হামলার টার্গেট হিসেবে বাংলাদেশ খুবই ঝুঁকিপূর্ণ।

সাইবার নিরাপত্তাবিষয়ক প্রশিক্ষক ও ডিকোডস ল্যাব লিমিটেডের ব্যবস্থাপনা পরিচালক (এমডি) আরিফ মঈনুদ্দিন বলেন, সরকারি প্রতিষ্ঠানের ওয়েবসাইটের ন্যূনতম নিরাপত্তা ব্যবস্থা নেই। এ ছাড়া নিয়মিত দুর্বলতা মূল্যায়ন করা হয় না। তাই তাদের দুর্বলতা চিহ্নিত হয় না। ওয়েবসাইটগুলোও তৈরি করা হয় নামকাওয়াস্তে। খরচ বাঁচাতে দক্ষ প্রোগ্রামারের বদলে নতুনদের দিয়ে কাজ করানো হয়। এতে সাইট অ্যাপ্লিকেশন দুর্বল হওয়ায় সহজে হ্যাক হয়। সরকারি ওয়েবসাইটের ক্ষেত্রে একই সাইট বারবার কপি করে নতুন সাইট তৈরি করা হচ্ছে। অনেক ওয়েবসাইট করা হয় ওয়ার্ডপ্রেসে। ওপেন সোর্স টুলস ব্যবহারের প্রবণতা বেশি। এসব কারণে সাইটগুলোর নিরাপত্তা ব্যবস্থা হয় বেশ নাজুক। এ ছাড়া একবার সাইট তৈরির পর নিয়মিত রক্ষণাবেক্ষণ এবং অ্যাপ্লিকেশন নিয়মিত আপডেট করা হয় না। সরকারি ওয়েবসাইটের বেশির ভাগেই নিরাপত্তার ন্যূনতম স্তর এসএসএল সনদ নেই। সাইবার নিরাপত্তা ঝুঁকির পেছনে পাইরেটেড সফটওয়্যার ব্যবহারকেও দায়ী করেন তিনি। আরিফ মঈনুদ্দিন বলেন, ব্যবহারকারীর ওপরও অনেক কিছু নির্ভর করে। তারা অসচেতন হলে নানা অনাকাঙ্ক্ষিত কুকিজ, অ্যাপস চালু হয়ে নেটওয়ার্ক, সাইট ও সার্ভারের তথ্য বেহাত হতে পারে।

তথ্যপ্রযুক্তি বিশেষজ্ঞ সুমন আহমেদ সাবির বলেন, কয়েক বছর ধরে সরকারি প্রতিষ্ঠান ও বিভিন্ন আর্থিক প্রতিষ্ঠানে সাইবার হামলার ঘটনা ঘটছে। তবে নিরাপত্তার বিষয়ে কর্তৃপক্ষ তেমন সচেতন হচ্ছে না।

যেভাবে ঘটে সাইবার হামলা

সার্টের কর্মকর্তারা জানিয়েছেন, সাইবার আক্রমণের প্রধান কৌশলগুলো হলো ম্যালওয়্যার আক্রমণ, ডি-ডস (ডিস্ট্রিবিউটেড ড্যানিয়েল অব সার্ভিস), অনুপ্রবেশের মাধ্যমে ওয়েবসাইট দখল, ক্ষতিকর ফাইল কোড ব্যবহার করে সার্ভার হ্যাকিং। ডি-ডস অ্যাটাকের ক্ষেত্রে বট সফটওয়্যার ব্যবহার করে প্রতিমুহূর্তে একসঙ্গে অসংখ্য হিট করে সাইটটি ডাউন করা হয়। এর ফলে ব্যবহারকারী তাতে ঢুকতে পারেন না। অনুপ্রবেশের মাধ্যমে আক্রমণের ক্ষেত্রে কোডিং দুর্বলতাকে কাজে লাগিয়ে ওয়েবসাইটের অ্যাডমিন প্যানেল নিয়ন্ত্রণে নিয়ে কনটেন্ট প্রকাশ, মোছা ও পরিমার্জন করা হয়। সার্ভার আক্রমণ করে হ্যাকাররা পুরো সার্ভারের নিয়ন্ত্রণ নিয়ে নেয়। এ জন্য বিভিন্ন পন্থায় (ইমেইল, পেনড্রাইভ, অপরিচিত লিঙ্ক ইত্যাদি) কম্পিউটার বা নেটওয়ার্ক স্থাপন করে তারা সার্ভারে ঢোকে। পরে তথ্য সরিয়ে নেয়। অনেক সময় একটা ব্যাক ডোর ওপেন করা হয়, যাতে নিয়মিত সেই সার্ভারের তথ্য গোপনে ওই হ্যাকারের কাছে চলে যায়।

এ ছাড়া ব্যবহারকারীদের অসচেতনতায় বড় আক্রমণের সুযোগ ঘটে। অনেক ব্যবহারকারী ইউজার পাসওয়ার্ড সংরক্ষণ করেন। হ্যাকার ব্রাউজারে সংরক্ষিত এই তথ্যগুলোর মাধ্যমে হ্যাক করে।

ডিজিটাল খাতে বিনিয়োগ

দেশের ডিজিটাল নেটওয়ার্ক ও অবকাঠামো গড়ে তুলতে এবং এ বিষয়ে দক্ষ জনসম্পদ তৈরিতে ২০১০ সাল থেকে তথ্য ও যোগাযোগ প্রযুক্তি বিভাগ প্রায় ২৫ হাজার কোটি টাকার প্রকল্প নেয়। এর মধ্যে অনেক প্রকল্প শেষ হয়েছে, কিছু চলমান। অবকাঠামো খাতে ১৯ হাজার ১৭৯ কোটি টাকা খরচ করা হচ্ছে। প্রযুক্তিগত দক্ষতা বাড়াতে খরচ হচ্ছে ৪ হাজার ৭৯৪ কোটি টাকা। সাইবার নিরাপত্তা পরিকাঠামো গড়ে তুলতে খরচ হচ্ছে প্রায় ১ হাজার ২১৩ কোটি টাকা। বিশেষজ্ঞরা বলছেন, এত বিপুল বিনিয়োগের পরও অপরিকল্পিত উদ্যোগ এবং অব্যবস্থাপনার কারণে নাগরিকদের তথ্যের সুরক্ষা মিলছে না।

সাইবার হামলা চলছেই

দেশ ডিজিটাল হওয়ার সঙ্গে সঙ্গে সাইবার নিরাপত্তার ঝুঁকিও বাড়ছে। ২০১৬ সাল থেকে প্রায় ৫ হাজার ৫৭৬টি সাইবার অ্যাটাকের ঘটনা নথিভুক্ত করেছে। সরকারি সংস্থা, নতুন বাণিজ্যিক প্রতিষ্ঠান, আর্থিক, সামরিক, শিল্প, ব্যবসা-বাণিজ্য, স্বাস্থ্যসেবা ও জ্বালানি খাতকে লক্ষ্য করে এই সাইবার অ্যাটাক চালানো হয়। এর মধ্যে সবচেয়ে বেশি আক্রমণ হয় ২০২০ সালে; ১ হাজার ১৫৪টি। হামলাগুলোর মধ্যে অধিকাংশই ঘটে ওয়েবসাইট বা নেটওয়ার্কের দুর্বলতার কারণে। এ সময়ে মোবাইলেও সাইবার হামলার ঘটনা ঘটে। সার্ট ৭৪টি ইউনিক ম্যালওয়ারের আক্রমণ চিহ্নিত করেছে, যেগুলো সম্মিলিতভাবে দেড় লাখের মতো ডিভাইসে আক্রমণ করেছে।

সাইবার হামলায় ২০২৩ সালের জুনে বিমান বাংলাদেশের কর্মীদের ব্যক্তিগত তথ্যসহ নানা গুরুত্বপূর্ণ উপাত্ত বেহাত হয়েছে। এসব তথ্যের জন্য ৫০ লাখ ডলার দাবি করেছিল হ্যাকার গ্রুপ। এ মাসে রাষ্ট্রীয় একটি বিনিয়োগ কোম্পানিতে সাইবার হামলা চালিয়ে এক লাখ বিনিয়োগকারীর তথ্য চুরি করেছে হ্যাকাররা। গত জুলাইয়ে কৃষি ব্যাংকের সার্ভারে ঢুকে এএলপিএইচভি বা ব্ল্যাকক্যাট নামে পরিচিত হ্যাকার গ্রুপ ১৭০ গিগাবাইটেরও বেশি গুরুত্বপূর্ণ তথ্য চুরি করে। জুলাইয়ে জন্ম ও মৃত্যুনিবন্ধন সংক্রান্ত রেজিস্ট্রার জেনারেলের অফিসের ওয়েবসাইট থেকে হ্যাকাররা পাঁচ কোটির বেশি নাগরিকের ব্যক্তিগত তথ্য চুরি করে। আগস্টে একটি পেমেন্ট গেটওয়ে, আইন প্রয়োগকারী সংস্থা, ব্যাংক খাত সাইবার আক্রমণের শিকার হয়। সবচেয়ে বেশি আক্রমণ হয় ১৫ আগস্ট ৷ এদিন কমবেশি ২৫টি সাইট আক্রান্ত হয়। এর মধ্যে ইনভেস্টমেন্ট করপোরেশনের (আইসিবি) গ্রাহকের ৪০ হাজার ডেটা উন্মুক্ত করে দেয়। এ ছাড়া রেলের ই-টিকিট সেবা, বাংলাদেশ ব্যাংক, এনবিআর, বিডি ই-সেবা, সহজ ডটকম ও স্কয়ার হাসপাতালের সাইটে সাইবার হামলা চালানো হয়েছে । ১৬ আগস্ট ভারতেশ্বরী হোমস, ঢাকা স্টক মার্কেট, কক্সবাজার পুলিশ, বিমানবাহিনী, সেনাবাহিনীর সাইট ডাউন করে রাখার দাবি করেছে হ্যাকার গ্রুপটি। পাশাপাশি কক্সবাজার পুলিশের ৬৪ মেগা ডেটা প্রকাশ করে দিয়েছে।

আর্থিক খাতে সাইবার জালিয়াতি

সাইবার হামলার মাধ্যমে ২০১৪ সালে সোনালী ব্যাংকের দুই কোটি টাকা তুরস্কের একটি অ্যাকাউন্টে সরিয়ে নেয় হ্যাকার গোষ্ঠী। ২০১৬ সালের সাইবার অপরাধীরা বাংলাদেশ ব্যাংকের সুইফট নেটওয়ার্কে অনুপ্রবেশ করে রিজার্ভ থেকে প্রায় এক বিলিয়ন ডলার সরিয়ে নেয়। ২০১৯ সালে বাংলাদেশের তিনটি স্থানীয় বেসরকারি ব্যাংক বড় সাইবার হামলার শিকার হয়; যেখানে হ্যাকাররা সাইপ্রাস, রাশিয়া ও ইউক্রেনের ক্যাশ মেশিনে ক্লোন করা কার্ডের মাধ্যমে প্রায় তিন মিলিয়ন মার্কিন ডলার চুরি করে। সার্ট ডার্ক ওয়েবে বাংলাদেশের বিভিন্ন ব্যাংকের ৩ হাজার ৬৩৯টি ব্যাংক কার্ড আবিষ্কার করেছে; যেগুলোর মাধ্যমে ৪ কোটি ৩৬ লাখ ডলার হাতিয়ে নেওয়ার শঙ্কা রয়েছে।

একের পর এক হুমকি

গত ৩০ জুলাই হ্যাকার গোষ্ঠী নিজেদের ভারতীয় দাবি করে ১৫ আগস্ট বাংলাদেশে সাইবার হামলার হুমকি দেয়। নানা সরকারি সংস্থার সতর্কতার পরও ১৫ থেকে ২০ আগস্ট পর্যন্ত প্রায় ৩৬টি ওয়েবসাইট ও নেটওয়ার্কে হামলার তথ্য জানা গেছে। এর বাইরে আরও বেশি হামলা হলেও তা প্রকাশ পাচ্ছে না বলে বিশেষজ্ঞদের ধারণা। এর মধ্যেই ১৯ সেপ্টেম্বর ওই হ্যাকার গ্রুপ আবার বাংলাদেশে আক্রমণের হুমকি দিয়েছে। এরপর ২৬ জানুয়ারি চীন, পাকিস্তান, ইন্দোনেশিয়ার পাশাপাশি বাংলাদেশেও সাইবার হামলা চালানো হবে বলে হুমকি দেওয়া হয়েছে। গত শনিবার জারি করা সার্টের সতর্কতায় বলা হয়, সার্ট লক্ষ্য করেছে, বিশ্বজুড়ে গুরুত্বপূর্ণ তথ্য পরিকাঠামো, যেমন– স্বাস্থ্যসেবা, ব্যাংকিং, সরকারি প্রতিষ্ঠান বিভিন্ন হ্যাকার গ্রুপের লক্ষ্যবস্তুতে পরিণত হয়েছে। এ বিষয়ে বাংলাদেশকেও সতর্ক থাকতে হবে।

হামলা থেকে বাঁচাবে কে?

সমালোচিত ডিজিটাল নিরাপত্তা আইন অনুসারে, দেশের সাইবার নিরাপত্তার জন্য গঠিত হয়েছে ডিজিটাল নিরাপত্তা এজেন্সি। এরই একটি প্রকল্প সার্ট। তারা দেশের ওয়েবসাইটগুলোর ওপর সাইবার আক্রমণের হুমকি পর্যালোচনা করে পরামর্শ দেয়। বাংলাদেশ কম্পিউটার কাউন্সিল মাঝেমধ্যে বিভিন্ন সরকারি প্রতিষ্ঠানের সাইটের নিরাপত্তা কাঠামো পরীক্ষা-নিরীক্ষা করে। বড় বেসরকারি প্রতিষ্ঠানগুলোর নিজস্ব সাইবার নিরাপত্তা দল রয়েছে। পাশাপাশি আইনশৃঙ্খলা রক্ষাকারী বাহিনীর কয়েকটি ইউনিট সাইবার নিরাপত্তা নিয়ে কাজ করে। এগুলোর মধ্যে রয়েছে পুলিশ সাইবার সাপোর্ট ফর ওমেন; যারা অনলাইনে হয়রানির শিকার নারীদের আইনি সহায়তা দেয়। এ ছাড়া কাউন্টার টেররিজম অ্যান্ড ট্রান্সন্যাশনাল ক্রাইম (সিটিটিসি) ইউনিট, মহানগর গোয়েন্দা সংস্থা (ডিবি), র‌্যাপিড অ্যাকশন ব্যাটালিয়ন (র‌্যাব), পুলিশের অপরাধ তদন্ত বিভাগের (সিআইডি) নিজস্ব সাইবার ইউনিট রয়েছে। এগুলোর অধিকাংশের কার্যক্রম ঢাকাকেন্দ্রিক। জেলা পর্যায়ে সাইবার অপরাধ নিয়ে কাজ করার জন্য আলাদা কর্মকর্তা বা অফিস নেই। ফলে সার্বিকভাবে দেশের সাইবার নিরাপত্তার দায়িত্ব আসলে কার– তা নিয়ে ধোঁয়াশা রয়েছে।

সার্টের প্রকল্প পরিচালক সাইফুল আলম খান বলেন, প্রতিটি প্রতিষ্ঠানকে নিজস্ব সাইবার নিরাপত্তা টিম গড়ে তুলতে হবে। আমরা প্রয়োজনীয় পরামর্শ দিয়ে সহায়তা করে থাকি। কোনো প্রতিষ্ঠান সাইবার নিরাপত্তা বিষয়ে সহযোগিতা চাইলে তা দেওয়া হয়। তবে মূল নিরাপত্তার বিষয়টি সংশ্লিষ্ট প্রতিষ্ঠানকে দেখতে হবে।
এ ব্যাপারে তথ্য ও যোগাযোগ প্রযুক্তি সচিব সামসুল আরেফিন সমকালকে বলেন, সাইবার হামলা মোকাবিলায় সরকার কাজ করে যাচ্ছে। গুরুত্বপূর্ণ তথ্য পরিকাঠামোসহ (সিআইআই) প্রতিষ্ঠানগুলোকে এরই মধ্যে সতর্ক করা হয়েছে। পরিস্থিতি মোকাবিলায় সিআইআই, আইনশৃঙ্খলা রক্ষাকারী বাহিনীসহ সংশ্লিষ্ট মন্ত্রণালয় ও সংস্থাগুলোকে নিয়ে আজ মঙ্গলবার একটি বৈঠক ডাকা হয়েছে।

হাসনাইন ইমতিয়াজ

একটি উত্তর ত্যাগ

আপনার মন্তব্য লিখুন দয়া করে!
এখানে আপনার নাম লিখুন দয়া করে

This site uses Akismet to reduce spam. Learn how your comment data is processed.