বাংলাদেশের একটি সরকারি ওয়েবসাইট থেকে ৫ কোটিরও বেশি নাগরিকের সংবেদনশীল ব্যক্তিগত তথ্য ফাঁস হওয়ায় নানা শঙ্কা দেখা দিয়েছে নাগরিকদের মাঝে। গতকাল সরকারের তরফে তথ্য ফাঁসের বিষয়টি স্বীকার করার পর এই শঙ্কা আরও বেড়েছে। অভিযোগ উঠেছে, গুগলে সার্চ করলেই যে কেউ ওয়েবসাইটটিতে প্রবেশ করে নাগরিকের নাম, জন্ম তারিখ, মোবাইল নম্বর, ইমেইল ঠিকানা ও এনআইডি নম্বর দেখতে পারছেন। চলতি বছরের গত ২৭শে জুন এটি দেখতে পান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মার্কোপোলোস। তথ্য ফাঁস হওয়ার কথা স্বীকার করে তথ্য ও প্রযুক্তি প্রতিমন্ত্রী (আইসিটি) জুনাইদ আহমেদ পলক বলেছেন, সরকারি একটি সংস্থার ওয়েবসাইট থেকে মানুষের তথ্য ফাঁসের ঘটনাটি ঘটেছে কারিগরি দুর্বলতায়। কেউ ওয়েবসাইটটি হ্যাক করেনি। ওয়েবসাইটের নাম উল্লেখ না করলেও গুরুত্বপূর্ণ তথ্য পরিকাঠামোর তালিকার ২৭ নম্বর প্রতিষ্ঠান থেকে মানুষের ব্যক্তিগত তথ্য ফাঁস হয়েছে বলে জানান তিনি। সরকারের প্রজ্ঞাপন অনুযায়ী, ২৭ নম্বর প্রতিষ্ঠান হচ্ছে রেজিস্ট্রার জেনারেলের কার্যালয় (জন্ম ও মৃত্যু নিবন্ধন)।
সাধারণ নাগরিকদের তথ্য ফাঁস কোন ধরনের অপরাধের পর্যায়ে পড়ে। এ ছাড়া তথ্য ফাঁস হলে তারা কী কী ঝুঁকিতে পড়তে পারেন। এ বিষয়ে কথা বলেছেন নিরাপত্তা বিশ্লেষক, সাইবার সিকিউরিটি বিশেষজ্ঞ, আইনজীবীসহ অনেকেই।
তাদের মতে, ব্যক্তিগত তথ্য ফাঁস হলে একজন নাগরিক যেকোনো সময় আর্থিক ও সামাজিকভাবে ক্ষতিগ্রস্ত হতে পারেন। ভুক্তভোগীরা চাইলে জড়িতদের বিরুদ্ধে ডিজিটাল নিরাপত্তা আইনে মামলা করতে পারেন।
সাবেক নির্বাচন কমিশনার ও নিরাপত্তা বিশ্লেষক ব্রিগেডিয়ার জেনারেল (অব.) এম সাখাওয়াত হোসেন বলেন, সাধারণ নাগরিকদের তথ্য ফাঁস সাইবার সিকিউরিটির পর্যায়ে পড়ে। কারা, কীভাবে এবং কোন সংস্থার মাধ্যমে এই তথ্য ফাঁস হয়েছে এটি খুঁজে বের করতে হবে এবং জড়িত সংস্থাগুলোকে এর সকল দায়িত্ব নিতে হবে। তথ্য সংরক্ষণের দায়িত্বে যারা রয়েছেন তাদের জবাবদিহিতার আওতায় আনতে হবে। তাদের সিকিউরিটি সিস্টেম কী ছিল, তাদের তথ্য দেয়ার সময় কী কী শর্ত দেয়া হয়েছিল এবং ডিজিটাল সিকিউরিটির জন্য তারা কী করেছিল প্রতিটি বিষয় তদন্ত করে দেখতে হবে।
তিনি বলেন, কোথা থেকে করেছে, কে করেছেন, কেন করেছে সে বিষয়গুলো এখনো স্পষ্ট নয়। তবে তথ্য সুরক্ষার দায়িত্বে যারা ছিলেন, তাদের অবহেলার কারণে এটা হলে দায়ীদের বিরুদ্ধে ডিজিটাল নিরাপত্তা আইনে মামলা হতে পারে। এ ধরনের তথ্য ফাঁস শুধুমাত্র সাধারণ মানুষকে নয়, রাষ্ট্রকে বিপদে ফেলবে উল্লেখ করে এই নিরাপত্তা বিশ্লেষক বলেন, এর মাধ্যমে সাধারণ মানুষের স্বাক্ষর, বায়োডাটা নকল করে যে কেউ অপরাধ কার্যক্রম সংঘটিত করতে পারে। বিভিন্ন দেশে এ ধরনের তথ্য ব্যবহার করে বিভিন্ন ধরনের ক্রাইম করার পাশাপাশি অসৎ উদ্দেশ্য হাসিল করতে পারেন। এসব তথ্য সমষ্টিগতভাবে-ব্যক্তিগতসহ একাধিকভাবে ব্যবহার হতে পারে।
বাংলাদেশ ইউনিভার্সিটি অব বিজনেস অ্যান্ড টেকনোলজির সহকারী অধ্যাপক ও সাইবার নিরাপত্তা বিশেষজ্ঞ তানভীর হাসান জোহা বলেন, নাগরিকের ফাঁস হওয়া যেকোনো ধরনের তথ্যই অপব্যবহার হতে পারে। এসব তথ্য দিয়ে কোনো অপরাধী অন্য কারও নামে ভার্চ্যুয়াল অ্যাকাউন্ট খুলে ফেলতে পারে, ভুয়া ব্যাংক অ্যাকাউন্ট খুলতে পারে। ট্যাক্স আইডেন্টিফিকেশন নম্বর (টিআইএন) রেজিস্ট্রেশন, মেডিকেল রেজিস্ট্রেশন ও এফডিআর খোলা হতে পারে। এ ছাড়া সিম রেজিস্ট্রেশন করে সেগুলো দিয়ে অপরাধ করা হতে পারে। অপরাধীকে শনাক্ত করতে গেলে ওই নিরীহ সাধারণ নাগরিক ফেঁসে যেতে পারেন। এ ছাড়া আরএনএ এবং ফিঙ্গারপ্রিন্টের মতো ডাটা ফাঁস হলে এটা উদ্বেগের ব্যাপার। নাগরিকদের ডিজিটাল আইডেন্টিটিগুলো ফাঁস হলে অবৈধ লেনদেনেরও আশঙ্কা থাকে। নাগরিকরা যাতে কোনো সমস্যায় না পড়ে সেজন্য এনআইডি নম্বর পরিবর্তন করতে হবে বলে জানান তিনি।
সাইবার ক্রাইম অ্যাওয়ারনেস (সিসিএ) ফাউন্ডেশনের উপদেষ্টা মুশফিকুর রহমান বলেন, যে ধরনের ডাটা গিয়েছে বলে আমরা জেনেছি, এগুলো একজন মানুষের পার্সোনালি আইডেন্টিফাইয়েবল ইনফরমেশন। যেমন: একজনের বাসার ঠিকানা, জাতীয় পরিচয়পত্র নম্বর, ফোন নম্বর ইত্যাদি দিয়ে সহজেই তাকে এবং তার অবস্থানকে নিশ্চিত করা যায়। যেহেতু আইডেন্টিফাইয়েবল সব তথ্য আছে, সেক্ষেত্রে এসব ডাটা নিয়ে অপরাধীরা ওই ব্যক্তিকে নানাভাবে ব্ল্যাকমেইল করতে পারে।
তথ্য ও সাইবার নিরাপত্তা নিয়ে কাজ করা প্রতিষ্ঠান ডিকোডস ল্যাব লিমিটেডের চিফ এক্সিকিউটিভ অফিসার (সিইও) এবং সাইবার সিকিউরিটি বিশেষজ্ঞ আরিফ মঈনুদ্দীন মানবজমিনকে বলেন, জন্মনিবন্ধনের তথ্য ফাঁস হলে এক ধরনের ঝুঁকি আর এনআইডি’র তথ্য ফাঁস হলে আরেক ধরনের ঝুঁকি। তিনি বলেন, এসব তথ্য ফাঁস হলে অপরাধীরা দেশের নাগরিকদের নানাভাবে ব্ল্যাকমেইল করতে পারে। একইসঙ্গে সোশ্যাল মিডিয়ায় ফেক অ্যাকাউন্ট খুলে ওই এনআইডি দিয়ে অ্যাকাউন্ট ভেরিফাইড করতে পারে।
পরবর্তীতে সেই অ্যাকাউন্ট দিয়ে রাষ্ট্রদ্রোহি বিভিন্ন অপরাধে যুক্ত হতে পারে। তখন নিরীহ সাধারণ নাগরিক ফেঁসে যেতে পারেন। অনেক সময় এসব তথ্য ব্যাংকে দিয়ে কোনো ব্যক্তির ফাইন্যান্সিয়াল স্ট্যাটাস (আর্থিক অবস্থা) জানতে পারে। এ ছাড়া ব্যাংকের ক্রেডিট কার্ড ব্লক করে দিতে পারে ও ভার্চ্যুয়ালি প্রডাক্ট কিনতে পারে। জন্মনিবন্ধনের তথ্য ফাঁস হলে মৃত ব্যক্তির তথ্য প্রকাশ করে অপরাধমূলক কর্মকাণ্ড করতে পারে। আরিফ মঈনুদ্দিন বলেন, এসব তথ্য অনেক সময় মার্কেটিং বা ক্যাম্পেইন রিলেটেড কাজের জন্য মোটা অঙ্কের বিনিময়ে বিক্রি করা হয়ে থাকে। বিভিন্ন কর্পোরেট প্রতিষ্ঠান ব্যবসায়ের স্বার্থে এসব তথ্য ক্রয় করে থাকে।
সুপ্রিম কোর্টের আইনজীবী ড. শাহদীন মালিক বলেন, এ ধরনের তথ্য ফাঁসের ঘটনা খুব সম্ভবত ডিজিটাল নিরাপত্তা আইনের অধীনেই পড়বে।
ব্যারিস্টার জ্যোতির্ময় বড়ুয়া এ বিষয়ে বলেন, যখনই অপরাধের কথা আসে তখন দেখতে হবে আইনে এ সংক্রান্ত নিরাপত্তা হিসেবে কি দেয়া আছে। আমাদের তথ্য এখন পর্যন্ত সুরক্ষার জন্য কোনো আইন নেই। একটি ড্রাফট আলোচনার পর্যায়ে রয়েছে। কিন্তু আমাদের সংবিধানের ব্যক্তিগত তথ্যের গোপনীয়তা সুরক্ষার কথা বলা আছে। পাশাপাশি আমাদের জাতীয় পরিচয়পত্র তৈরির সময় দেয়া তথ্যের সুরক্ষার জন্য ২০১০ এর যে বিধি সেখানে সুরক্ষার বিষয়টি নিশ্চিত করা আছে। তথ্যগুলো কীভাবে সংরক্ষণাবেক্ষণ করবেন একই আইনের বিধিবিধান সেই ২০১০ আইনের মতোই রয়ে গেছে ন্যাশনাল আইডি সংক্রান্ত আইনের মধ্যে।
সম্প্রতি ফাঁস হওয়া তথ্যের মধ্যে কোনো ধরনের তথ্য রয়েছে সেগুলো বিবেচনা করা জরুরি। সেখানে ব্যক্তির জাতীয় পরিচয় পত্র, পাসপোর্ট থেকে শুরু করে ব্যক্তিগত সকল তথ্যই কিন্তু আসলে ফাঁস হয়ে গেছে। অর্থাৎ এগুলো আইনের ভাষায় বলা হয়, প্রাইভেট, পার্সোনাল ড্যাটা-সেনসেটিভ ড্যাটা। পার্সোনাল ড্যাটা যেগুলো আদালতের অনুমতি ছাড়া এসব তথ্য প্রকাশ বা প্রবেশ করার অধিকার নেই কোনো কোনো ক্ষেত্রে। কিন্তু আমার সাংবিধানিক ব্যক্তিগত তথ্যের গোপনীয়তার যে অধিকার আমাকে সংবিধান দিচ্ছে সেটা ভঙ্গ করার জন্য যে ডিপার্টমেন্ট অথরিটি বা সরকারি কর্তৃপক্ষের পক্ষ থেকে ফাঁস হয়েছে তাদের বিরুদ্ধে ক্ষতিপূরণের মামলা হতে পারে।
এদিকে তথ্য ফাঁস হওয়ার কথা স্বীকার করে তথ্য ও প্রযুক্তি প্রতিমন্ত্রী (আইসিটি) জুনাইদ আহমেদ পলক বলেছেন, যে ওয়েবসাইট থেকে তথ্যগুলো প্রকাশিত হয়েছে, সেখানে ন্যূনতম সিকিউরিটি সার্টিফিকেট ছিল না এবং যেই এপিআইটা তৈরি করা হয়েছে, সেখান থেকে ইচ্ছা করলেই কেউ তথ্যগুলো দেখতে পাচ্ছে। যেটা আমাদের জন্য খুবই দুঃখজনক। তিনি বলেন, সরকারি ২৯টি প্রতিষ্ঠানকে গুরুত্বপূর্ণ তথ্য পরিকাঠামো হিসেবে চিহ্নিত করি। এই ২৯টি প্রতিষ্ঠানের প্রজ্ঞাপনের তালিকা থেকে ২৭ নম্বর প্রতিষ্ঠানটি এ পরিস্থিতির মধ্যে পড়েছে। আমরা আগেই এই বিষয়টি শনাক্ত করেছিলাম। এই প্রতিষ্ঠানের ত্রুটিতে তথ্যগুলো উন্মুক্ত ছিল। যাদের গাফিলতিতে এ তথ্যগুলো উন্মুক্ত ছিল, তাদের বিরুদ্ধে শাস্তির সুপারিশ করবো।
তথ্য ফাঁসের তদন্ত হচ্ছে, দায় এড়ানোর সুযোগ নেই: স্বরাষ্ট্রমন্ত্রী
বাংলাদেশের লাখ লাখ নাগরিকের ব্যক্তিগত তথ্য ফাঁস হওয়ার ঘটনায় কেউ যুক্ত থাকলে আইন অনুযায়ী ব্যবস্থা নেয়া হবে বলে জানিয়েছেন স্বরাষ্ট্রমন্ত্রী আসাদুজ্জামান খান কামাল। তিনি বলেন, তথ্য ফাঁস হওয়ার বিষয়টি আমরাও শুনেছি। এটি তদন্ত হচ্ছে। বিস্তারিত জানতে হবে। এ ঘটনার দায় এড়ানোর সুযোগ নেই। আমাদের সাইবার ইউনিট কাজ শুরু করেছে আরও তথ্য জানার জন্য। গতকাল দুপুরে সচিবালয়ে বঙ্গবন্ধুর ৪৮তম শাহাদাতবার্ষিকী পালন ও আইনশৃঙ্খলা সংক্রান্ত সভা শেষে তিনি এসব কথা বলেন।
স্বরাষ্ট্রমন্ত্রী বলেন, এনআইডি আমাদের অধীনে। কিন্তু এখনো আমরা কার্যক্রম শুরু করিনি। এখনো এই কার্যক্রম আমাদের নির্বাচন কমিশনের হাতেই রয়েছে। আইনি কিছু জটিলতা রয়েছে। সেগুলো শেষ করে শিগগিরই স্বরাষ্ট্র মন্ত্রণালয়ের কাছে আসবে। তখন থেকে আমরা পূর্ণাঙ্গভাবে কাজ করতে পারবো। আমরাও বিষয়টি সম্পর্কে শুনেছি। বিস্তারিত আমাদের জানতে হবে। এই মুহূর্তে আমাদের কাছে বিস্তারিত তথ্য নেই। ঘটনাটি কী ঘটেছে, কতোখানি ফাঁস হয়েছে আমরা অবশ্যই দেখবো। যদি দেখি কেউ এর সঙ্গে যুক্ত আছে, কেউ এতে সহযোগিতা করেছে, অবশ্যই তার বিরুদ্ধে আইন অনুযায়ী ব্যবস্থা নেয়া হবে। স্বরাষ্ট্র মন্ত্রণালয় কখনো কাউকে ছাড় দেয় না এটা আপনারা ইতিপূর্বে দেখেছেন।
আইনশৃঙ্খলা বাহিনী কাজ শুরু করেছে কিনা জানতে চাইলে তিনি বলেন, আমাদের সাইবার ইউনিট কাজ শুরু করছে আরও তথ্য জানার জন্য। এদিন সকালে আগারগাঁওয়ে বঙ্গবন্ধু ইন্টারন্যাশনাল সাইবার অ্যাওয়ারনেস অ্যাওয়ার্ড অনুষ্ঠানে ডাক, টেলিযোগাযোগ ও তথ্য প্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহমেদ পলক বলেন, ওয়েবসাইটটির তথ্যগুলো পাবলিক হয়ে গেছে। সেখানে ন্যূনতম যে সিকিউরিটি সার্টিফিকেট নেয়ার কথা ছিল সেটাও ছিল না। এবং এপিআই’টা যেটা ক্রিয়েট করা হয়েছে সেখান থেকে ইচ্ছা করলেই কেউ তথ্যগুলো দেখতে পারছে। কোনো বিশেষ সাইবার হ্যাকার-ক্রিমিনাল এটা হ্যাক করেছে বা তথ্য চুরি করে নিয়ে গেছে এখন পর্যন্ত আমরা তদন্তে এমন কিছু পাইনি।
আমরা যেটা পেয়েছি, আমাদের সরকারের ওয়েবসাইটটিতে কিছু টেকনিক্যাল দুর্বলতা ছিল। যার ফলে খুব সহজেই দেখা যাচ্ছিল। পড়া যাচ্ছিল এবং সবার জন্য, বলতে গেলে প্রায় উন্মুক্ত ছিল। এটা আমাদের জন্য খুবই দুঃখজনক। তিনি বলেন, আমাদের কম্পিউটার ইনসিডেন্ট রেসপন্স টিম তদন্ত করছে। সেখানে আমরা দেখেছি এটি আসলে টেকনিক্যাল ফল্ট। এটিকে ঠিক হ্যাকিং বলা মুশকিল। আমরা অবশ্যই এটার ব্যবস্থা নেবো। আমরা ২৯টি ক্রিটিক্যাল ইনফরমেশন ইনফ্রাস্ট্রাকচার ঘোষণা করেছিলাম। ধাপে ধাপে এটার সংখ্যা বাড়ছে। সংশ্লিষ্ট প্রতিষ্ঠানের গাফিলতি আছে কিনা জানতে চাইলে প্রতিমন্ত্রী বলেন, অবশ্যই গাফিলতি রয়েছে। যারা এখানে দায়িত্বে অবহেলা করেছে তাদের বিরুদ্ধে সংশ্লিষ্ট মন্ত্রণালয় শক্ত ব্যবস্থা নেবে।
