অনলাইন ডেস্ক:
সরকারি প্রতিষ্ঠানের ওয়েব এপ্লিকেশনের কারিগরি দুর্বলতার কারণে নাগরিকদের ব্যক্তিগত তথ্য ফাঁস হয়েছে বলে জানিয়েছে তথ্য ও যোগাযোগ প্রযুক্তি (আইসিটি) বিভাগ কর্তৃক গঠিত তদন্ত কমিটি। তদন্ত প্রতিবেদনের পর্যালোচনা সভা থেকে এসব তথ্য জানায় আইসিটি বিভাগ।
সোমবার (২৪ জুলাই) রাজধানীর আগারগাঁওয়ে আইসিটি টাওয়ারে তদন্ত প্রতিবেদন নিয়ে এক পর্যালোচনা সভা অনুষ্ঠিত হয়। আইসিটি প্রতিমন্ত্রী জুনাইদ আহমেদ পলক এই সভায় সভাপতিত্ব করেন।
এ সময় এক সংবাদ বিজ্ঞপ্তিতে আইসিটি বিভাগ জানায়, ব্যক্তিগত তথ্য ফাঁস হওয়ার ক্ষেত্রে সংশ্লিষ্ট প্রতিষ্ঠানের ওয়েব এপ্লিকেশনের কারিগরি দুর্বলতা মূল কারণ হিসেবে বিবেচিত হয়েছে। সংশ্লিষ্ট কর্তৃপক্ষ এবং তাদের টেকনিক্যাল টিমের সাথে তদন্ত পর্যালোচনা এবং অনুসন্ধানে প্রতীয়মান হয় যে, যথাযথ কারিগরি জ্ঞানসম্পন্ন লোকবল না থাকায় তাদের ওয়েব এপ্লিকেশনসমূহ যথাযথভাবে তদারকির অভাব পরিলক্ষিত হয়।
সংবাদ সম্মেলনে পলক বলেন, তথ্য চুরির কোনো প্রমাণ পাওয়া যায় নি ৷ তথ্য ফাঁসের ঘটনায় কাউকে দায়ী করেনি কমিটি ৷ তদন্ত প্রতিবেদন স্থানীয় সরকার মন্ত্রী ও সচিবের কাছে জমা দেওয়া হবে ৷
তদন্ত প্রতিবেদনে ক্ষতিগ্রস্ত প্রতিষ্ঠানের তথ্য সুরক্ষায় ৫ দফা সুপারিশ করা হয়েছে ৷ প্রথমত ওই প্রতিষ্ঠানের ওয়েব এপ্লিকেশনের দুর্বলতা মূল্যায়ন (ভিএপিটি) পরীক্ষার প্রতিবেদন পাওয়ার পর প্রয়োজনীয় পদক্ষেপ গ্রহণ করা ৷
বর্তমান ওয়েব সাইটির সফটওয়্যার আর্কিটেকচার কম্পিউটার কাউন্সিলের (বিসিসি) সফটওয়্যার কোয়ালিটি টেস্টিং এন্ড সার্টিফিকেশন সেন্টার (এসকিউটিসি) এবং বিসিসির বাংলাদেশ ন্যাশনাল ডিজিটাল আর্কিটেকচারের (বিএনডিএ) সদস্যদের সমন্বয়ে পরীক্ষা করতে হবে ৷ প্রতিষ্ঠানের টেকনিক্যাল টিমের সদস্য সংখ্যা বৃদ্ধিসহ সার্বিক কারিগরি সক্ষমতা বৃদ্ধি করতে হবে৷ গুরুত্বপূর্ণ তথ্য পরিকাঠামো (সিআইআই) হিসেবে ডিজিটাল নিরাপত্তা এজেন্সির (ডিসিএ) নির্দেশনা অনুসারে কম্পিউটার ইনসিডেন্ট রেসপন্স টিম (সিআইআরটি), সিকিউরিটি অপারেশন সেন্টার (এসওসি) ও নেটওয়ার্ক অপারেশন সেন্ট্র (এনওসি) গঠন করঅর সুপারিশ করেছে কমিটি৷ এছাড়া যে কোন ধরনের সাইবার নিরাপত্তা বিঘ্নিত হওয়ার লক্ষণ দেখা দিলে ডিজিটাল নিরাপত্তা এজেন্সিকে জানাতে হবে।
সার্বিকভাবে দেশের সব ধরনের প্রতিষ্ঠানের তথ্যের সুরক্ষার জন্য ৬ দফা সুপারিশ করা হয়েছে প্রতিবেদনে। এগুলো ন্যাশনাল ডিজিটাল আর্কিটেকচার (বিএনডিএ) নির্দেশিকা, স্ট্যান্ডার্ডস ও গাইডলাইন অনুসরণ করে যেকোন ধরনের সিস্টেম, সফটওয়্যার ও ওয়েব এপ্লিকেশন প্রস্তুত করতে হবে ৷ বিভিন্ন দপ্তরে ব্যবহৃত আইসিটি সিস্টেম, সফটওয়্যার ও ওয়েব এপ্লিকেশন বিএনডিএ ফ্রেমওয়ার্কের সাপেক্ষে পর্যালোচনা করতে হবে৷ সফটওয়্যার/ওয়েব এপ্লিকেশন প্রস্তুতের পর বিসিসি’র সফটওয়্যার কোয়ালিটি টেস্টিং এবং সার্টিফিকেশন সেন্টার হতে প্রতিবেদন গ্রহণ করতে হবে ৷ নিয়মিত আইটি অডিট করতে হবে ৷ সফটওয়্যার/ওয়েব এপ্লিকেশনের সোর্স কোডে কোন ধরনের পরিবর্তন/পরিবর্ধন/পরিমার্জন করলে সংশ্লিষ্ট প্রতিষ্ঠান নিজ উদ্যোগে পরীক্ষা করবে এবং তা পরবর্তীতে অবশ্যই বিসিসি’র এসকিউটিসি সেন্টার ও বিজিডি ই-গভ সার্টের মাধ্যমে মূল্যায়ন করতে হবে। দক্ষ জনবল বাড়াতে হবে৷
প্রসঙ্গত, গত ৮ জুলাই বিশ্বখ্যাত ওয়েবসাইট টেকক্রাঞ্চের এক প্রতিবেদনে জানিয়েছে বাংলাদেশ সরকারের একটি ওয়েবসাইট থেকে নাগরিকদের নাম, ফোন নম্বর, ইমেল আইডি এবং জাতীয় পরিচয়পত্র নম্বরসহ ব্যক্তিগত তথ্য ফাঁস হয়েছে।
বিটক্র্যাক সাইবার সিকিউরিটির জন্য কাজ করা গবেষক ভিক্টর মার্কোপোলোস বলেছেন, তিনি ঘটনাক্রমে ২৭ জুন ফাঁসটি আবিষ্কার করেন এবং এর কিছুক্ষণ পরেই বাংলাদেশি ই-গভর্নমেন্ট কম্পিউটার ইনসিডেন্ট রেসপন্স টিমের (সিইআরটি) সঙ্গে যোগাযোগ করেন। ফাঁসের মধ্যে লাখ লাখ বাংলাদেশি নাগরিকের তথ্য রয়েছে বলেও জানান তিনি।
প্রতিবেদনে বলা হয়, ফাঁস হওয়া তথ্যগুলো বৈধ কিনা তা টেকক্রাঞ্চ একটি পাবলিক সার্চ টুলের মাধ্যমে যাচাই করছে। তবে টেকক্রাঞ্চ সরকারি ওয়েবসাইটির নাম জানায়নি। কেননা তথ্যগুলো এখনও অনলাইনে পাওয়া যাচ্ছে।
টেকক্রাঞ্চ জানায়, অন্য কাজ করার সময় অনিচ্ছাকৃতভাবেই এই ফাঁসের বিষয় ধরতে পারেন মার্কোপোলোস। তিনি বলেছেন, ডাটাগুলো পাওয়া খুব সহজ ছিল। তবে এটি খোঁজার কোনো ইচ্ছাই আমার ছিল না। এটা শুধু একটি গুগল সার্চের ফলাফল হিসেবে পেয়েছি। আমি গুগলে এসকিউএল ত্রুটি নিয়ে কাজ করার সময় এই তথ্যগুলো পেয়ে যাই।
১৮ বছর বা তার বেশি বয়সী প্রতিটি নাগরিককে একটি জাতীয় পরিচয়পত্র দেয়া হয় বাংলাদেশে, যা প্রত্যেক নাগরিককে একটি অনন্য পরিচয়পত্র প্রদান করে। কার্ডটি বাধ্যতামূলক এবং নাগরিকদের বিভিন্ন পরিষেবাতে অ্যাক্সেস দেয়, যেমন একটি ড্রাইভিং লাইসেন্স, পাসপোর্ট, জমি কেনা-বেচা এবং ব্যাঙ্ক অ্যাকাউন্ট খোলা।
বাংলাদেশের সিইআরটি, সরকারের প্রেস অফিস, ওয়াশিংটন ডিসিতে দেশটির দূতাবাস এবং নিউইয়র্ক সিটিতে তাদের কনস্যুলেটে এই বিষয়ে মন্তব্যের জন্য যোগাযোগ করে কোনো সাড়া পাওয়া যায়নি বলেও প্রতিবেদনে বলা হয়েছে।