ফাঁস হয়ে যাচ্ছে ব্যক্তিগত তথ্য

জন্মনিবন্ধন, জাতীয় পরিচয়পত্র তৈরিসহ নানা সেবা নিতে বিভিন্ন সরকারি সংস্থাকে মানুষ তার ব্যক্তিগত তথ্য দেয়। কিন্তু সেই তথ্য অনেক ক্ষেত্রেই সুরক্ষিত থাকছে না, ফাঁস অথবা বেহাত হয়ে যাচ্ছে।

বাংলাদেশের লাখ লাখ মানুষের ব্যক্তিগত তথ্য ফাঁসের সর্বশেষ ঘটনার খবর জানিয়েছে যুক্তরাষ্ট্রের তথ্যপ্রযুক্তিভিত্তিক অনলাইন সংবাদমাধ্যম টেকক্রাঞ্চ। ৭ জুলাই তাদের এক প্রতিবেদনে বলা হয়, বাংলাদেশে এবারের তথ্য ফাঁসের ঘটনা ঘটেছে সরকারি একটি সংস্থার ওয়েবসাইটের মাধ্যমে। কোন ওয়েবসাইট, তা নিরাপত্তার জন্য তারা প্রকাশ করেনি।

সাইবার নিরাপত্তা নিয়ে কাজ করা বাংলাদেশ কম্পিউটার কাউন্সিলের প্রকল্প বিজিডি ই-গভ সার্টের পরিচালক মোহাম্মদ সাইফুল আলম খান প্রথম আলোকে বলেন, তাঁরা বিষয়টি নিয়ে কাজ করছেন।

এদিকে গতকাল রাতে বিজিডি ই-গভ সার্ট এক সংবাদ বিজ্ঞপ্তিতে বলেছে, একটি আন্তর্জাতিক সংবাদমাধ্যমে বাংলাদেশের লাখ লাখ নাগরিকের তথ্য ফাঁসের খবর নজরে আসার পর এ বিষয়ে কাজ শুরু করে সার্ট টিম। পুরো বিষয়টি পুঙ্খানুপুঙ্খরূপে খতিয়ে দেখার উদ্যোগ নেওয়া হয়। এই তথ্য ফাঁসের ব্যাপকতা এবং এর প্রভাব কী হতে পারে, তা নিয়ে ব্যাপক মাত্রায় কাজ করা হয়।

বিজ্ঞপ্তিতে আরও বলা হয়, পরিস্থিতি ঠিক করা, প্রয়োজনীয় সাইবার নিরাপত্তামূলক ব্যবস্থা গ্রহণ এবং ভবিষ্যতে এ ধরনের ঘটনা প্রতিরোধে সংশ্লিষ্টদের প্রতি এক গুচ্ছ পরামর্শ দিয়েছে সার্ট।

বাংলাদেশে নাম প্রকাশে অনিচ্ছুক তথ্যপ্রযুক্তি বিষয়ে অভিজ্ঞ একজন ব্যক্তি জানিয়েছেন, সরকারি ওয়েবসাইটটি থেকে সহজেই মানুষের তথ্য নিয়ে নেওয়া যাচ্ছে। তিনি কয়েক শ মানুষের তথ্য বের করে দেখান, যেখানে ওই সব ব্যক্তির নাম, জন্মতারিখ, জাতীয় পরিচয়পত্র ও মুঠোফোন নম্বর, পেশা ও ঠিকানা রয়েছে।

ব্যক্তিগত তথ্য বলতে বোঝায় মানুষের নাম, ঠিকানা, জন্মনিবন্ধন, মুঠোফোন ও পাসপোর্ট নম্বর, আঙুলের ছাপসহ বিভিন্ন তথ্য, যা দিয়ে তাঁকে শনাক্ত করা যায়। এসব তথ্য বেহাত হলে প্রতারণা ও অপরাধের ঝুঁকির মুখে পড়ার আশঙ্কা থাকে। কীভাবে ক্ষতির আশঙ্কা তৈরি হয়, তার উদাহরণ দেন মালয়েশিয়ার ইউনিভার্সিটি অব মালয়ার আইন ও উদীয়মান প্রযুক্তি বিভাগের জ্যেষ্ঠ প্রভাষক মুহাম্মদ এরশাদুল করিম। তিনি প্রথম আলোকে বলেন, ধরা যাক সন্ত্রাস দমনে কাজ করা একজন পুলিশ কর্মকর্তার ক্ষতি করতে চায় সন্ত্রাসীরা। তারা ইন্টারনেটের অন্ধকার জগৎ ডার্ক ওয়েব থেকে পুলিশ কর্মকর্তার স্ত্রী–সন্তানদের নাম, ছবি, ঠিকানা পেয়ে গেল। এতে তাঁর (পুলিশ কর্মকর্তার) পরিবারের ক্ষতি করার সুযোগ তৈরি হয়।

বাংলাদেশি নাগরিক ও বাংলাদেশের তথ্যপ্রযুক্তি খাতের ওপর নজর রাখা এরশাদুল করিম আরও বলেন, বাংলাদেশে ব্যক্তিগত তথ্য বেহাত হচ্ছে তথ্যপ্রযুক্তিগত সক্ষমতার অভাব ও সংশ্লিষ্ট কর্মকর্তাদের দায়মুক্তির কারণে। যাঁরা সুরক্ষা নিশ্চিতে পদক্ষেপ নেবেন, তাঁদের তো জবাবদিহি নেই।

বাংলাদেশের লাখ লাখ মানুষের তথ্য ফাঁসের খবর দিয়ে টেকক্রাঞ্চ লিখেছে, দক্ষিণ আফ্রিকাভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তাবিষয়ক প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপোলোস এসব তথ্য ফাঁসের বিষয়গুলো দেখতে পান।

মারকোপোলোসের বরাতে টেকক্রাঞ্চ বলেছে, গত ২৭ জুন হঠাৎ করেই তিনি প্রকাশিত থাকা তথ্যগুলো দেখতে পান। গুগলে সার্চ করার সময় প্রকাশ হওয়া তথ্যগুলো আপনাআপনিই হাজির হয়। টেকক্রাঞ্চের দাবি, তারা তথ্য ফাঁসের বিষয়ে জানতে বাংলাদেশের বিজিডি ই-গভ সার্ট, সরকারের প্রেস অফিস, ওয়াশিংটন ডিসিতে অবস্থিত বাংলাদেশ দূতাবাস এবং নিউইয়র্ক সিটিতে বাংলাদেশি কনস্যুলেটের সঙ্গে যোগাযোগ করেছিল। তবে সাড়া পাওয়া যায়নি।

টেকক্রাঞ্চের প্রতিবেদনের বিষয়ে বাংলাদেশের ডিজিটাল নিরাপত্তা এজেন্সির মহাপরিচালক আবু সাঈদ মো. কামরুজ্জামান প্রথম আলোকে বলেন, তাঁর জানামতে এখন পর্যন্ত সরকারি কোনো সংস্থা তথ্য ফাঁস বা প্রকাশ হওয়ার বিষয়ে এজেন্সিতে যোগাযোগ করেনি।

সূত্র জানিয়েছে, বাংলাদেশের যে সংস্থার ওয়েবসাইট থেকে তথ্য ফাঁস হয়েছে, সেটি বিপুলসংখ্যক মানুষের তথ্য সংগ্রহ করে। এই তথ্য খুবই সংবেদনশীল। ঢাকা বিশ্ববিদ্যালয়ের তথ্যপ্রযুক্তি ইনস্টিটিউটের অধ্যাপক বি এম মইনুল হোসেন প্রথম আলোকে বলেন, নাগরিকদের ব্যক্তিগত তথ্য নিয়ে কাজ করা প্রতিটি সংস্থাকে নিজেদের নিরাপত্তা নিশ্চিত করতে হবে। তাদের নিরাপত্তা ত্রুটি থাকলে, সেটার ভুক্তভোগী হয়ে পড়ে রাষ্ট্রের সব নাগরিক।

বাংলাদেশের সবচেয়ে আলোচিত সাইবার হামলার ঘটনাটি ঘটে ২০১৬ সালের ফেব্রুয়ারিতে। সে সময় বাংলাদেশ ব্যাংকের রিজার্ভ থেকে ৮ কোটি ১০ লাখ মার্কিন ডলার (বাংলাদেশি মুদ্রায় ৮১০ কোটি টাকা) চুরি হয়। পরে ফেরত পাওয়া যায় দেড় কোটি ডলার। এ ঘটনায় কারও শাস্তি হয়নি।

রাষ্ট্রীয় সংস্থা বিমান বাংলাদেশ এয়ারলাইনসের তথ্যভান্ডার হ্যাকারদের কবলে পড়ে গত মার্চে। এতে বিমানকর্মীদের ব্যক্তিগত তথ্যসহ নানা গুরুত্বপূর্ণ উপাত্ত বেহাত হয়।

রাজধানী উন্নয়ন কর্তৃপক্ষের (রাজউক) তথ্যভান্ডার থেকে ভবন নির্মাণের অনুমোদনসংক্রান্ত প্রায় ৩০ হাজার গ্রাহকের আবেদনের নথিপত্র গায়েব হয়ে যাওয়ার খবর জানা যায় গত বছরের শেষ দিকে। রাজউক সেখান থেকে ২৬ হাজারের বেশি নথি উদ্ধার করতে পেরেছিল বলে গত ২ মে হাইকোর্টকে জানায়।

জাতীয় পরিচয়পত্র নিবন্ধন বিভাগের সার্ভারে (তথ্যভান্ডার) জালিয়াতি করে অবৈধ পরিচয়পত্র তৈরির একাধিক ঘটনা ঘটেছে। গত বছরের নভেম্বরে চট্টগ্রাম থেকে পুলিশ এক দোকানিকে গ্রেপ্তার করেছিল। তাঁর কাছে ছিল জন্ম ও মৃত্যুনিবন্ধনের সরকারি সার্ভারের পাসওয়ার্ড।

করোনাকালে বাংলাদেশের মানুষকে টিকা দিতে সুরক্ষা নামে যে ওয়েবসাইট তৈরি করা হয়েছিল, সেখানেও জালিয়াতি করে সনদ দেওয়ার অভিযোগ উঠেছিল।

শুধু সরকারি সংস্থা নয়, বেসরকারি সংস্থার কাছ থেকেও তথ্য ফাঁসের ঘটনা ঘটেছে।

২০১৮ সালে করা ডিজিটাল নিরাপত্তা আইনের অধীনে গত বছরের অক্টোবরে ২৯টি প্রতিষ্ঠানকে ‘গুরুত্বপূর্ণ তথ্য পরিকাঠামো’ হিসেবে ঘোষণা করে তালিকা প্রকাশ করা হয়। কিন্তু এসব প্রতিষ্ঠান যে নিরাপত্তায় যথেষ্ট পদক্ষেপ নিচ্ছে না, তা উঠে এসেছে বিজিডি ই-গভ সার্টের প্রতিবেদনেই।

উল্লেখ্য, সরকারের সাইবার নিরাপত্তাসংক্রান্ত বিষয়গুলো দেখভালের জন্য ২০১৬ সালে বাংলাদেশ কম্পিউটার কাউন্সিল একটি প্রকল্প করে। যেটির নাম ই-গভর্নমেন্ট কম্পিউটার ইনসিডেন্ট রেসপন্স টিম (বিজিডি ই-গভ সার্ট)।

সাইবার নিরাপত্তাকে জোর দিতে ডিজিটাল নিরাপত্তা আইনে জাতীয় কম্পিউটার ইমার্জেন্সি রেসপন্স টিম (এনসার্ট) গঠনের কথা বলা আছে। কিন্তু আইন পাসের সাড়ে চার বছর পার হলেও তা হয়নি। তবে বিজিডি ই-গভ সার্টই এনসার্ট হিসেবে দায়িত্ব পালন করছে।

এদিকে সম্প্রতি তথ্য ফাঁস, সাইবার হামলার শিকার হিসেবে যেসব সংস্থার নাম সামনে এসেছে বা জানা গেছে, সেগুলোর মধ্যে গুরুত্বপূর্ণ তথ্য পরিকাঠামোভুক্ত কয়েকটি প্রতিষ্ঠান রয়েছে।

বিশেষজ্ঞরা বলছেন, সরকার ডিজিটাল জগতে সাধারণ মানুষের নিরাপত্তার বিষয়টি সামনে এনে ডিজিটাল নিরাপত্তা আইন করেছিল। কিন্তু এখন অভিযোগ উঠছে, আইনটি মানুষের নিরাপত্তার বদলে সংবাদমাধ্যম ও বিরোধী কণ্ঠ রোধেই বেশি ব্যবহার করা হচ্ছে। এখন সরকার উপাত্ত সুরক্ষা আইন করছে। এই আইনের খসড়া নিয়ে অংশীজনদের আপত্তি রয়েছে। তাঁদের আশঙ্কা, ডিজিটাল নিরাপত্তা আইনের মতো এই আইনও কণ্ঠ রোধে ব্যবহার করা হবে।

ব্যক্তিগত তথ্য ফাঁসের ঘটনা অনেক দেশেই ঘটে। সেখানে কঠোর ব্যবস্থাও নেওয়া হয়। যেমন ২০১৯ সালে সিঙ্গাপুরে রোগীদের ব্যক্তিগত তথ্য বেহাতের ঘটনায় দেশটির সমন্বিত স্বাস্থ্য তথ্য ব্যবস্থাকে সাড়ে ৭ লাখ মার্কিন ডলার (প্রায় ৮ কোটি টাকা) জরিমানা করা হয়েছিল।

বাংলাদেশে জাতীয় পরিচয়পত্র (এনআইডি), জন্মনিবন্ধন, পাসপোর্ট ছাড়াও গাড়ি চালানোর লাইসেন্স, ব্যবসা নিবন্ধন, কর শনাক্তকরণ নম্বরসহ (টিআইএন) বিভিন্ন কাজে সরকারি সংস্থাকে ব্যক্তিগত তথ্য দেয় মানুষ। বেসরকারি প্রতিষ্ঠানও বিভিন্ন কাজে মানুষের ব্যক্তিগত তথ্য সংগ্রহ করে।

টেলিযোগাযোগ বিষয়ে আঞ্চলিক গবেষণা সংস্থা লার্ন এশিয়ার জ্যেষ্ঠ পলিসি ফেলো আবু সাঈদ খান প্রথম আলোকে বলেন, কোথাও কোনো তথ্য বেহাত বা হামলার ঘটনা ঘটলে সভ্য দেশের নিয়ম হচ্ছে মানুষকে তা জানানো। কিন্তু এখানে তার উল্টোটা ঘটে। প্রতিটি ঘটনায় সরকার নীরব থাকছে, যা আত্মঘাতী।