জনগুরুত্বপূর্ণ অবকাঠামো: তালিকা প্রকাশে সাইবার ঝুঁকি বেড়েছে ২৯ প্রতিষ্ঠানের

কাজী মুস্তাফিজ, ঢাকাটাইমস
| আপডেট : ০৮ অক্টোবর ২০২২, ১২:০৪ | প্রকাশিত : ০৬ অক্টোবর ২০২২, ০৭:৪৬

ক্রিটিকাল ইনফরমেশন ইনফ্রাস্ট্রাকচার বা সিআইআই (জনগুরুত্বপূর্ণ তথ্য অবকাঠামো) হিসেবে সরকারের তথ্য ও যোগাযোগপ্রযুক্তি বিভাগ যেভাবে ২৯টি প্রতিষ্ঠানের তালিকা সুনির্দিষ্টভাবে প্রকাশ করেছে তাতে প্রতিষ্ঠানগুলোর ঝুঁকি বেড়েছে বলে জানিয়েছেন সাইবার নিরাপত্তা বিশেষজ্ঞরা। সরকারের গুরুত্বপূর্ণ জায়গা থেকে এ ধরনের কর্মকাণ্ড সংশ্লিষ্টদের স্তম্ভিত করেছে।

সরকারের সংশ্লিষ্ট একজন কর্মকর্তার দাবি, পার্শ্ববর্তী দেশ ভারত, নেপাল ও মালয়েশিয়ায় একইভাবে সিআইআই হিসেবে প্রতিষ্ঠানগুলোর সুনির্দিষ্ট নাম প্রকাশ করা হয় এবং বাংলাদশের সিআইআই গাইডলাইনেও সেভাবেই বলা আছে। তবে এই তিন দেশের ওয়েবসাইটে গিয়ে তার এই বক্তব্যের সত্যতা পাওয়া যায়নি। সাইবার নিরাপত্তা বিশেষজ্ঞরা তার এই মন্তব্যকে উপেক্ষা করে বলছেন, পৃথিবীর কোথাও এভাবে কোনো প্রতিষ্ঠানের নাম সিআইআই বলে উল্লেখ করে সরাসরি প্রকাশ করার নজির নেই। বরং খাতভিত্তিক জনগুরুত্বপূর্ণ অবকাঠামোগুলোকে চিহ্নিত করা হয়, যেন সংশ্লিষ্টরা প্রয়োজনীয় নিরাপত্তা ব্যবস্থা জোরদারে সচেষ্ট থাকে।

গত ২ অক্টোবর সরকারের ডাক, টেলিযোগাযোগ ও তথ্যপ্রযুক্তি মন্ত্রণালয়ের তথ্য ও যোগাযোগপ্রযুক্তি বিভাগ থেকে একটি প্রজ্ঞাপন জারি হয়। এতে বলা হয়, ডিজিটাল নিরাপত্তা আইনের ১৫ ধারা অনুসারে ২৯টি প্রতিষ্ঠানকে গুরুত্বপূর্ণ তথ্য পরিকাঠামো হিসাবে ঘোষণা করা হলো। এর মধ্যে-বাংলাদেশ ব্যাংক, চারটি রাষ্ট্রায়ত্ত ব্যাংক (সোনালী, রূপালী, অগ্রণী ও জনতা), সিকিউরিটিজ অ্যান্ড এক্সচেঞ্জ কমিশন, স্টক এক্সচেঞ্জ ও জাতীয় রাজস্ব বোর্ডের (এনবিআর) মতো প্রতিষ্ঠান রয়েছে।

বিষয়টি নিয়ে অন্তত পাঁচজন সাইবার নিরাপত্তা বিশেষজ্ঞের মতামত নিয়েছে ঢাকাটাইমস। তথ্যপ্রযুক্তিবিদদের আন্তর্জাতিক সংগঠন ইনফরমেশন সিস্টেম অডিট অ্যান্ড কন্ট্রোল অ্যাসোসিয়েশেনের (আইসাকা) ঢাকা চ্যাপ্টারের সদ্য সাবেক প্রেসিডেন্ট ও সরকারের সাবেক অডিটর জেনারেল মোহাম্মদ ইকবাল হোসাইন ২৯টি প্রতিষ্ঠানের তালিকার বিষয়ে বিস্ময় প্রকাশ করেছেন। তিনি ঢাকাটাইমসকে বলেন, ক্রিটিকাল ইনফরমেশন ইনফ্রাসট্রাকচার হিসেবে এভাবে কোনো প্রতিষ্ঠানের নাম সুনির্দিষ্টভাবে প্রকাশ করা হয় না। এতে প্রতিষ্ঠানগুলোর সাইবার ক্রিমিনালদের টার্গেটে পরিণত হয়। এ কারণে সাইবার নিরাপত্তা ঝুঁকি আরও বাড়ে।

বেসরকারি একটি ব্যাংকের প্রধান তথ্যপ্রযুক্তি কর্মকর্তা নাম প্রকাশ না করার শর্তে বলেন, এভাবে সুনির্দিষ্ট প্রতিষ্ঠানের নাম সিআইআই হিসেবে প্রকাশের কোনো নিয়ম পৃথিবীর কোথাও নাই। সরকারি এমন গুরুত্বপূর্ণ দপ্তর থেকে এভাবে বিষয়টি প্রকাশ করা মারাত্মক ভুল হয়েছে। এই বিশেষজ্ঞ বলেন, কোনো প্রতিষ্ঠানের মারাত্মক কোনো ঝুঁকি ধরা পড়লেও প্রয়োজনে ওই প্রতিষ্ঠানকে আলাদাভাবে জানানো যেতে পারে, যাতে প্রয়োজনীয় ব্যবস্থা নেওয়া হয়। কিন্তু পাবলিকলি এভাবে প্রকাশ করা অনুচিত।

সরকারি প্রজ্ঞাপনে বাংলাদেশ ব্যাংক ছাড়াও রাষ্ট্রায়ত্ত চারটি ব্যাংকের নামও উল্লেখ করা হয়েছে। এ বিষয়ে জানতে চাইলে যমুনা ব্যাংকের আইটি বিভাগের প্রধান কম্পিউটার নেটওয়ার্ক প্রকৌশলী সৈয়দ জাহিদ হোসেন ঢাকাটাইমসকে বলেন, এভাবে বিষয়টি উল্লেখ করা ঠিক হয়নি। শরীরে অসুখ হলে সেটি বাইরে বলে বেড়ানো হয় না, বরং নিরাময়ের চেষ্টা করা হয়। এভাবে জনগুরুত্বপূর্ণ অবকাঠামোর ঝুঁকির কথা সুনির্দিষ্টভাবে উল্লেখ না করে বরং খাতভিত্তিক উল্লেখ করা হয়।

সরকারি প্রতিষ্ঠান বাংলাদেশ কম্পিউটার কাউন্সিলের (বিসিসি) পরিচালক (সিএ অপারেশন ও নিরাপত্তা) তারেক এম বরকতউল্লাহ একইসঙ্গে ডিজিটাল নিরাপত্তা এজেন্সিরও (ডিএসএ) পরিচালক (অপারেশন)। ২৯টি প্রতিষ্ঠানের তালিকা প্রকাশের সঙ্গে ডিএসএ সরাসরি সংশ্লিষ্ট। এ বিষয়ে জানতে চাইলে তারেক এম বরকতউল্লাহ বলেন, বাংলাদেশে তৈরি হওয়া সিআইআই গাইডলাইনে যেভাবে বলা হয়েছে সেভাবেই ২৯টি প্রতিষ্ঠানের নামের তালিকা প্রকাশ করা হয়েছে। পাশের দেশ ভারত ছাড়াও নেপাল ও মালয়েশিয়াতেও এভাবে প্রতিষ্ঠানগুলোর নাম প্রকাশ করা হয়।

আইসাকা ঢাকা চ্যাপ্টারের আরেকজন কর্মকর্তা বেসরকারি একটি ব্যাংকের প্রযুক্তি প্রধান নাম প্রকাশ না করার শর্তে এ বিষয়ে ঢাকাটাইমসকে বলেন, মূলত সরকারের সংশ্লিষ্ট কর্মকর্তাদের বিষয়গুলো জানার ঘাটতি থেকে এমনটা হতে পারে। এভাবে কোথাও সিআইআই হিসেবে প্রতিষ্ঠানের নাম প্রকাশ করা হয় না, খাতগুলোর কথা উল্লেখ করা হয়।

এই সাইবার নিরাপত্তা বিশেষজ্ঞ বলেন, সাইবার নিরাপত্তার মতো স্পর্শকাতর বিষয়ে কোনো চূড়ান্ত পদক্ষেপ নেওয়ার আগে সংশ্লিষ্ট সরকারি-বেসরকারি অংশীজনদের সঙ্গে আলোচনা বা পরামর্শ করে নিলে বিষয়গুলো আরো ফলপ্রসু হবে।

ক্রিটিকাল ইনফরমেশন ইনফ্রাস্ট্রাকচার মূলত কী:

ক্রিটিক্যাল ইনফরমেশন ইনফ্রাস্ট্রাকচার-সিআইআই বা ক্রিটিকাল ন্যাশনাল ইনফ্রাস্ট্রাকচার (সিএনআই) বলতে এমন জনগুরুত্বপূর্ণ স্থাপনা এবং সেগুলোর নিরাপত্তাকে বর্ণনা করে, যা একটি সমাজ এবং অর্থনীতির নিরাপত্তা রক্ষার জন্য অপরিহার্য অবকাঠামো।

জনগুরুত্বপূর্ণ অবকাঠামোতে সব সম্পদ, সিস্টেম এবং নেটওয়ার্ক অন্তর্ভুক্ত থাকে ভৌত এবং ভার্চুয়ালি, যা একটি সমাজের অর্থনীতি, জাতীয় জনস্বাস্থ্য বা নিরাপত্তার জন্য প্রয়োজনীয়। গুরুত্বপূর্ণ অবকাঠামোর মধ্যে রয়েছে খাদ্য ও কৃষি খাত, পরিবহনব্যবস্থা (যেমন, সড়ক, রেলপথ, মহাসড়ক, বিমানবন্দর), পানি সরবরাহব্যবস্থা, ইন্টারনেট এবং মোবাইল ফোন নেটওয়ার্ক, জনস্বাস্থ্য সংশ্লিষ্ট প্রতিষ্ঠান, জ্বালানি (তেল এবং গ্যাস), বৈদ্যুতিক উপযোগিতা, আর্থিক পরিষেবা, টেলিযোগাযোগ, প্রতিরক্ষা, এবং আরও অনেক কিছু। যদিও মৌলিক জীবনযাত্রার প্রয়োজনের কারণে সব দেশে জনগুরুত্বপূর্ণ অবকাঠামো একই রকম, তবে গুরুত্বপূর্ণ বিবেচিত অবকাঠামো একটি জাতির অনন্য চাহিদা, সম্পদ এবং উন্নয়নের স্তর অনুসারে পরিবর্তিত হতে পারে।

জনগুরুত্বপূর্ণ অবকাঠামোর নিরাপত্তা নিশ্চয়তার প্রয়োজনীয়তা:

জনগুরুত্বপূর্ণ অবকাঠামো প্রায়ই শিল্প নিয়ন্ত্রণ ব্যবস্থা (আইসিএস) অন্তর্ভুক্ত করে, যার মধ্যে রয়েছে সুপারভাইজরি কন্ট্রোল এবং ডেটা অধিগ্রহণ (এসসিএডিএ) সিস্টেম, যা জনগুরুত্বপূর্ণ অবকাঠামো শিল্পে শিল্প প্রক্রিয়াগুলোকে স্বয়ংক্রিয় করতে ব্যবহৃত হয়। এসসিএডিএ এবং অন্যান্য শিল্প নিয়ন্ত্রণ ব্যবস্থার বিরুদ্ধে সাইবার দুর্বৃত্তদের আক্রমণ গুরুতর উদ্বেগের বিষয়। পরিবহন, তেল এবং গ্যাস সরবরাহ, বৈদ্যুতিক গ্রিড, আর্থিক খাত, পানি সরবরাহের মতো গুরুত্বপূর্ণ ব্যবস্থাগুলোতে সাইবার হামলার আশঙ্কা রয়েছে। অবকাঠামো ব্যবস্থা এবং খাতগুলোর মধ্যে সংযোগ এবং আন্তঃনির্ভরতার অর্থ হলো- যদি এক বা একাধিক ফাংশন ব্যর্থ হয় বা ব্ল্যাকআউটের অভিজ্ঞতা হয়, তবে একাধিক সেক্টরের উপর তাৎক্ষণিক নেতিবাচক প্রভাব পড়তে পারে। যেমন: ২০২১ সালের মে মাসে, সাইবার অপরাধীরা কলোনিয়াল পাইপলাইনে সাইবার হামলা চালানো হয়, যা পূর্ব উপকূল বরাবর প্রবাহিত প্রায় অর্ধেক পেট্রল, জেট ফুয়েল এবং ডিজেল নিয়ন্ত্রণ করে। একটি পাসওয়ার্ড হাতিয়ে নেওয়ার মাধ্যমে সাইবার অপরাধীরা মার্কিন যুক্তরাষ্ট্রের বৃহত্তম জ্বালানি পাইপলাইনটির নিয়ন্ত্রণ নিয়েছিল, যার ফলে পূর্ব উপকূলে জ্বালানি সরবরাহ তীব্রভাবে বিঘ্নিত হয়।

শিল্প নিয়ন্ত্রণ ব্যবস্থার বিরুদ্ধে সাইবার হামলার হুমকির আর্থিক প্রভাবও রয়েছে। সাইবার অপরাধীরা ক্রিটিকাল ইনফ্রাস্ট্রাকচারে আইটি সিস্টেম, ওটি (অপারেশনাল টেকনোলজি) সিস্টেম, আইওটি (ইন্টারনেট অব থিংস)সহ সব ধরনের তথ্যপ্রযুক্তিনির্ভর ব্যবস্থাপনা সবসময় অপরাধীদের আক্রমণের লক্ষবস্তু হিসেবে থাকে।

সাংবাদিকদের তথ্য সংগ্রহ ও তথ্য অধিকার প্রসঙ্গ:

প্রজ্ঞাপনে তালিকাভুক্ত প্রতিষ্ঠানগুলোর বিষয়ে সংবাদ সংগ্রহ বা তথ্য অধিকার আইনের অধীনে তথ্য সংগ্রহ করার ক্ষেত্রে প্রতিবন্ধকতা সৃষ্টি হওয়ার আশঙ্কা নিয়ে যে প্রশ্ন উঠেছে সেটি জনগুরুত্বপূর্ণ অবকাঠামোর বিষয়ের সঙ্গে প্রাসঙ্গিক নয় বলে জানিয়েছেন তারেক এম বরকতউল্লাহ।

এ সংশ্লিষ্ট অন্যান্যরা জানান, তথ্য অধিকার আইন অনুযায়ী সুনির্দিষ্ট নিয়ম মেনে আগ্রহী ব্যক্তিকে কাঙ্ক্ষিত তথ্যসংশ্লিষ্ট প্রতিষ্ঠানে আবেদন করতে হয়। অন্যদিকে ডিজিটাল নিরাপত্তা আইন অনুযায়ী জনগুরুত্বপূর্ণ খাতগুলোর মধ্যে কম্পিউটার, সফটওয়্যার ও নেটওয়ার্ক সিস্টেমের নিরাপত্তায় গুরুত্ব দেওয়া হয়।

(ঢাকাটাইমস/০৬অক্টোবর/কেএম)

সংবাদটি শেয়ার করুন

বিশেষ প্রতিবেদন বিভাগের সর্বাধিক পঠিত

বিশেষ প্রতিবেদন বিজ্ঞান ও তথ্যপ্রযুক্তি বিনোদন খেলাধুলা
  • সর্বশেষ
  • সর্বাধিক পঠিত

শিরোনাম :