ঢাকা: নাগরিকদের ব্যক্তিগত তথ্য কেউ ব্ল্যাক মার্কেট বা ডার্ক ওয়েবে বিক্রির চেষ্টা করছে কিনা সে বিষয়েও খোঁজখবর নেওয়া হচ্ছে বলে জানিয়েছেন তথ্যপ্রযুক্তি প্রতিমন্ত্রী জুনায়েদ আহমেদ পলক। সোমবার (২৪ জুলাই) দুপুরে আইসিটি বিভাগে ওয়েবসাইটের তথ্য ফাঁস বিষয়ে পর্যালোচনা সভা শেষে সাংবাদিকদের ব্রিফ করার সময় তিনি একথা বলেন।
প্রতিমন্ত্রী বলেন, নাগরিকদের ব্যক্তিগত তথ্য ফাঁস হয়েছে জন্ম ও মৃত্যু নিবন্ধন রেজিস্ট্রার জেনারেলের কার্যালয়ের ওয়েবসাইট থেকে। এটি হয়েছে মূলত ওয়েব অ্যাপ্লিকেশনের কারিগরি দুর্বলতার কারণে। প্রতিষ্ঠানটির ওয়েব অ্যাপ্লিকেশনগুলোতেও তদারকির অভাব পেয়েছে তথ্য ও যোগাযোগ প্রযুক্তি (আইসিটি) বিভাগ কর্তৃক গঠিত তদন্ত কমিটি। আমরা সেগুলো নিয়ন্ত্রণ এবং সুরক্ষায় কাজ করছি। একইসঙ্গে আমি ব্যক্তিগতভাবেও কিছু উদ্যোগ নিয়েছি এগুলো নিয়ন্ত্রণে। এছাড়া এই তথ্যগুলো কেউ ব্ল্যাক মার্কেট বা ডার্ক ওয়েবে বিক্রির চেষ্টা করছে কি না, সে বিষয়েও এখন খোঁজখবর নেওয়া হচ্ছে।
জাতীয় নির্বাচনকে সামনে রেখে নাগরিকদের এই তথ্য চুরির ঘটনা নির্বাচনে আলাদা কোনো প্রভাব ফেলবে কিনা, এমন প্রশ্নের জবাবে পলক বলেন, এতে কোনো সমস্যা হবে না বা নির্বাচনে কোনো প্রভাব পড়বে না। এছাড়া এখানে শুধু তথ্যই চুরি হয়েছে, আঙুলের ছাপ বা রেটিনার তথ্য আলাদা সার্ভারে থাকায় তা সুরক্ষিত আছে।
তথ্য চুরির ঘটনায় কিছু কারণ ও সুপারিশ প্রতিবেদন দেওয়া হলেও জানা যায়নি কী পরিমাণ তথ্য প্রকাশ পেয়েছে এবং এর জন্য দায়ী কে। একইসঙ্গে আইনি পদক্ষেপ নেওয়ারও কোনো সুপারিশ তদন্ত প্রতিবেদনে নেই। এ বিষয়ে আইসিটি প্রতিমন্ত্রী বলেন, আমরা তদন্ত প্রতিবেদন সম্পর্কে সংশ্লিষ্ট দপ্তরের (জন্ম ও মৃত্যু নিবন্ধন রেজিস্ট্রার জেনারেলের কার্যালয়) প্রতিনিধিকে জানিয়েছি। তিনি অন রেকর্ড এই প্রতিবেদনের যথার্থতা গ্রহণ করেছেন এবং সুপারিশের সাথে একমত পোষণ করেছেন। তবে সেই ওয়েবসাইটের লগ সার্ভার না থাকায় সঠিকভাবে জানা যায়নি ঠিক কী পরিমাণ তথ্য প্রকাশিত হয়েছে। তবে তাদের কাছে জন্ম ও মৃত্যু মিলিয়ে ২২ কোটি নাগরিকের তথ্য রয়েছে।
পলক আরও বলেন, তদন্ত প্রতিবেদনে কাউকে দায়ী করা হয়নি। এখানে কাউকে দায়ী করা বা দোষারোপ করা উদ্দেশ্য ছিল না। এ ধরনের ঘটনা যেন আর না হয়, যেন তথ্যের আদান প্রদানের সংস্কৃতি গড়ে ওঠে সে কারণেই এমন করা হয়েছে। তাদের একজন মাত্র প্রোগ্রামার। তারপক্ষে সবকিছু বুঝে নেওয়াও কঠিন ছিল। তবে পুরো প্রতিবেদন আমরা সংশ্লিষ্ট দপ্তরের মন্ত্রী এবং সচিব বরাবর পাঠিয়েছি।
এ সময় মামলা দায়েরের বিষয়ে জানতে চাওয়া হলে পলক বলেন, এই ঘটনায় যে ভুক্তভোগী তাকেই মামলা করতে হবে। তারা মামলা করবেন কিনা, সেটা এখন তাদের বিষয়। তদন্তে আমরা পেয়েছি, ব্যক্তিগত তথ্য প্রকাশিত হওয়ার ক্ষেত্রে সংশ্লিষ্ট প্রতিষ্ঠানের ওয়েব অ্যাপ্লিকেশনের কারিগরি দুর্বলতা মূল কারণ হিসেবে বিবেচিত হয়েছে। সংশ্লিষ্ট কর্তৃপক্ষ এবং তাদের টেকনিক্যাল টিমের সাথে তদন্ত পর্যালোচনা এবং অনুসন্ধানে প্রতীয়মান হয়, যথাযথ কারিগরি জ্ঞানসম্পন্ন লোকবল না থাকায় তাদের ওয়েব অ্যাপ্লিকেশনসমূহ যথাযথভাবে তদারকির অভাব পরিলক্ষিত হয়। পরবর্তীতে যে এমন হবে না এর কোনো নিশ্চয়তা নেই। এজন্য আমাদের সবাইকে আরও সচেতন থাকতে হবে।
সভায় সংশ্লিষ্ট প্রতিষ্ঠানের জন্য যেসব সুপারিশ দেওয়া হয় সেগুলো হলো- (১) সংশ্লিষ্ট প্রতিষ্ঠানের ওয়েব এপ্লিকেশনের পূর্ণাঙ্গ VAPT প্রতিবেদন পাওয়া সাপেক্ষে প্রয়োজনীয় পদক্ষেপ গ্রহণপূর্বক সকল ত্রুটি নিরসন করা; (২) বিদ্যমান ওয়েব এপ্লিকেশনটির সফটওয়্যার আর্কিটেকচার বাংলাদেশ কম্পিউটার কাউন্সিল (বিসিসি) সফটওয়্যার কোয়ালিটি টেস্টিং অ্যান্ড সার্টিফিকেশন সেন্টার (SQTC) এবং বিসিসি’র বিএনডিএ সদস্যদের সমন্বয়ে পরীক্ষা করা; (৩) সংশ্লিষ্ট প্রতিষ্ঠানের টেকনিক্যাল টিমের সদস্য সংখ্যা বৃদ্ধিসহ সার্বিক কারিগরি সক্ষমতা বৃদ্ধির সুপারিশ করা; (৪) গুরুত্বপূর্ণ তথ্য পরিকাঠামো (CII) হিসেবে ডিজিটাল নিরাপত্তা এজেন্সির নির্দেশনা মোতাবেক CIRT, SOC এবং NOC গঠনপূর্বক সাইবার নিরাপত্তা নিশ্চিত করার সুপারিশ করা; (৫) যেকোনো ধরনের সাইবার নিরাপত্তা বিঘ্নিত হওয়ার লক্ষণ পরিলক্ষিত হলে CII গাইডলাইন অনুসরণে ডিজিটাল নিরাপত্তা এজেন্সিকে রিপোর্ট করার সুপারিশ করা।
ভবিষ্যতে কোনো দপ্তরে এমন ঘটনার পুনরাবৃত্তি এড়াতে যেসব সুপারিশ করা হয়, সেগুলো হলো- (১) বাংলাদেশ ন্যাশনাল ডিজিটাল আর্কিটেকচার (বিএনডিএ) নির্দেশিকা এবং সংশ্লিষ্ট স্ট্যান্ডার্ডস ও গাইডলাইন অনুসরণ করে যেকোনো ধরনের সিস্টেম/সফটওয়্যার/ওয়েব অ্যাপ্লিকেশন প্রস্তুত করার সুপারিশ করা হলো। এছাড়াও, বিভিন্ন দপ্তরে ব্যবহৃত আইসিটি ভিত্তিক গুরুত্বপূর্ণ সিস্টেম/ সফটওয়্যার/ওয়েব অ্যাপ্লিকেশন বিএনডিএ ফ্রেমওয়ার্কের সাপেক্ষে পর্যালোচনা ও Architectural Review করার সুপারিশ করা; (২) সফটওয়্যার/ওয়েব অ্যাপ্লিকেশন প্রস্তুতের পর বিসিসি’র সফটওয়্যার কোয়ালিটি টেস্টিং এবং সার্টিফিকেশন (SQTC) সেন্টার হতে প্রতিবেদন গ্রহণ করা; (৩) নিয়মিত আইটি অডিট করে সুপারিশ অনুযায়ী পদক্ষেপ গ্রহণ করা; (৪) সফটওয়্যার/ওয়েব অ্যাপ্লিকেশনের সোর্স কোডে কোনো ধরনের পরিবর্তন/পরিবর্ধন/পরিমার্জন করলে সংশ্লিষ্ট প্রতিষ্ঠান নিজ উদ্যোগে পরীক্ষা করা এবং তা পরবর্তীতে অবশ্যই বিসিসি’র SQTC সেন্টার ও এজেন্সি’র নির্দেশনা মোতাবেক CIRT (বিজিডি ই-গভ সার্ট) কর্তৃক VAPT করা; (৫) গুরুত্বপূর্ণ তথ্য পরিকাঠামো (CII) সমূহকে ডিজিটাল নিরাপত্তা SOC এবং NOC গঠনপূর্বক সাইবার নিরাপত্তা নিশ্চিত করা; (৬) গুরুত্বপূর্ণ তথ্য পরিকাঠামোসহ সরকারের অন্যান্য প্রতিষ্ঠানে আইসিটি বিষয়ক জ্ঞান সম্পূর্ণ দক্ষ জনবল নিয়োগ করা এবং নিয়মিত প্রশিক্ষণের ব্যবস্থা গ্রহণ করা।
পর্যালোচনা সভায় আইসিটি বিভাগের বিভিন্ন সংস্থার কর্মকর্তা, জন্ম ও মৃত্যু নিবন্ধন রেজিস্ট্রার জেনারেল কার্যালয়ের প্রোগ্রামার ফাহমিদা শেখ ও গুরুত্বপূর্ণ তথ্য পরিকাঠামো ভুক্ত প্রতিষ্ঠানের প্রতিনিধিরা উপস্থিত ছিলেন।
বাংলাদেশ সময়: ১৬০১ ঘণ্টা, জুলাই ২৪, ২০২৩
এইচএমএস/এমজে
