>>>>কপিরাইট :::::::::::::::::::::::::::
সম্প্রতি বাংলাদেশ ব্যাংকের রিজার্ভের একটি বড় অংকের টাকা লোপাট হওয়ার ঘটনা নিয়ে তোলপাড় চলছে। খুব সংক্ষেপে ঘটনাটা এরকম : বাংলাদেশ ব্যাংকের রিজার্ভের টাকা ছিল ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্কে। এখন হ্যাকাররা প্রায় ১০১ মিলিয়ন মার্কিন ডলারের মতো অর্থ লোপাট করতে সক্ষম হয়। এর মধ্যে ৮১ মিলিয়ন মার্কিন ডলার যায় ফিলিপাইনের ক্যাসিনোতে আর বাকি অর্থ গিয়ে আটকে যায় শ্রীলংকায় চালান হওয়ার পথে একজন হ্যাকারের বানান ভুল হওয়ার কারণে। ধারণা করা হচ্ছে, হ্যাকাররা সর্বমোট ১ বিলিয়ন ডলারের সমপরিমাণ অর্থ লোপাট করার মিশন নিয়ে কাজ শুরু করে এবং তারা হয়তো সফলই হয়ে যেত যদি না বানান ভুলের বিষয়টি সন্দেহের সূচনা না করত। যাই হোক, উপরোক্ত সংক্ষিপ্ত বর্ণনা এতদিনে সবারই জানা এবং এ বিষয়ে নানামুখী বিশ্লেষণেও আমরা সবাই সক্রিয়ভাবে অংশগ্রহণ করে চলেছি প্রতিদিন। আমি এ সুযোগে এই ঘটনাকে একটি বিশেষ দৃষ্টিকোণ থেকে বিশ্লেষণ করতে চাই। একটি অভিজ্ঞতা শুরু করছি একটা গল্প (সত্য ঘটনা) দিয়ে। পড়াশোনার সুবাদে আমাকে একসময় কয়েক বছর লন্ডনে থাকতে হয়েছে। সে প্রায় ১০ বছর আগের কথা। সে সময়ে আমি যে ব্যাংকের গ্রাহক সেই ব্যাংকই আমাকে ক্রেডিট এবং ডেবিট কার্ড সার্ভিস প্রদান করত। আমি তখন মূলত ব্রিটেনের একজন আন্তর্জাতিক ছাত্র। তো পড়াশোনার মাঝামাঝি সময়ে আমি তখন একবার দেশে আসব বলে বিমানের টিকিট কেটেছি আমার ডেবিট কার্ড ব্যবহার করে। পরিবারের সবার টিকিট কাটার কারণে খরচের পরিমাণ প্রায় ১২০০ পাউন্ড স্টার্লিংয়ের কাছাকাছি। সঙ্গে সঙ্গে ব্যাংক থেকে ফোন- আমি আদৌ এ লেনদেনটি করেছি কিনা। অবশ্যই ফোনে কথা বলার সময়ও অনেকভাবে আমি যে সত্যিকারেই আমি তা প্রমাণ করতে হল। প্রথমে খুবই অবাক হলেও, পরে জানলাম যে ব্যাংকের fraud detection সফটওয়্যার আমার এ লেনদেনটিকে সম্ভাব্য fraud বলে ইঙ্গিত করেছে। কেন? কারণ আমার সাধারণ লেনদেনের ধরনের সঙ্গে এটা মেলে না- আমি ছিলাম ছাত্রমানুষ; আমার লেনদেন মূলত বিভিন্ন সুপারমার্কেট কিংবা দোকানপাটে হতো এবং ১০ থেকে ৫০ পাউন্ড স্টার্লিংয়ের মধ্যেই সীমাবদ্ধ থাকত। এরকম ঘটনা আমার জীবনে একবারই যে ঘটেছে তা নয়- একবার লন্ডন থেকে অন্য দেশে সফরে গিয়ে বেকায়দা অবস্থা- আমার ক্রেডিট কার্ডের লেনদেন প্রত্যাখ্যান করা হল। কারণ কী? কারণ আবার আগের মতোই। যেহেতু আমি সবসময় ব্রিটেনের ভেতর থেকেই লেনদেন করে এসেছি, হঠাৎ এই অন্য দেশ থেকে করা লেনদেনকে ব্যাংকের সফটওয়্যার সন্দেহের চোখে দেখেছে। ফেডারেল ব্যাংকের সুরক্ষা ব্যবস্থা এবার মূল প্রসঙ্গে ফিরি। আমি ওপরের কাহিনী বর্ণনা করে সহৃদয় পাঠকের ধৈর্য পরীক্ষা করলাম একটাই কারণে- একজন সাধারণ গ্রাহকের একটি সাধারণ অ্যাকাউন্টের সুরক্ষার জন্য একটি সাধারণ ব্যাংক আজ থেকে ১০ বছর আগেই কী ধরনের ব্যবস্থা গ্রহণ করত তার একটা চিত্র নিজের জীবনের অভিজ্ঞতা থেকে তুলে ধরা। তাহলে ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্কের ক্ষেত্রে এবং তাতে বাংলাদেশ ব্যাংকের অ্যাকাউন্টের ক্ষেত্রে সুরক্ষা ব্যবস্থা কিরূপ ছিল বা হওয়ার কথা তা সহজেই অনুমেয়। কিন্তু তাহলে এ ঘটনাটা এতদূর পর্যন্ত ঘটে গেল কেমন করে? এ ক্ষেত্রে কয়েকটা গুরুত্বপূর্ণ বিষয় আলোচ্য। প্রথম কথা হল, আমরা জানতে পেরেছি যে হ্যাকাররা প্রায় ৩০টি অ্যাডভাইস পাঠায় যার মধ্যে প্রথম ৫টি অ্যাডভাইস সফল হয়। আমরা এ অ্যাডভাইসগুলো সম্পর্কে আরও কী জানি? আমরা জানি, এই অ্যাডভাইসগুলো ইস্যু হয়েছে ৪ থেকে ৫ ফেব্রুয়ারি এবং এ ক্ষেত্রে প্রাপক (recipient/beneficiary) হল ফিলিপাইন ও শ্রীলংকার কিছু এনজিও। এখন স্বভাবতই প্রশ্ন করা যেতে পারে, এ লেনদেনগুলোকে কি স্বাভাবিক লেনদেন বলা যায়? বাংলাদেশ ব্যাংক নিশ্চয়ই নিয়মিত এ ধরনের লেনদেন করে না। তাহলে এরকম লেনদেনের ক্ষেত্রে ফেডারেল রিজার্ভ ব্যাংকের fraud detection সফটওয়্যার বিষয়টি ডিটেক্ট করতে ব্যর্থ হল কেন? নাকি আসলে তারা ব্যর্থ হয়নি এবং হয়তো ই-মেইল বা এসএমএস অথবা অন্যান্য অ্যালার্ট ঠিকই পাঠানো হয়েছিল; কিন্তু যার বা যাদের কাছে এ অ্যালার্ট আসে তারা কর্তব্যে অবহেলা করেছেন কিংবা তারা এই পুরো দুষ্কর্মের সঙ্গে জড়িত! এ প্রশ্নের উত্তর আমাদের জানতে হবে। লেনদেনের ধরন ও Fraud Detection আরেকটি সূক্ষ্ম বিষয় আলোচনা করা দরকার। Fraud Detection সফটওয়্যারগুলো বিভিন্ন পদ্ধতি/এলগরিদম অবলম্বন করে কাজ করে। তবে এ সফটওয়্যারগুলোর সঠিকভাবে কাজ করার জন্য সাধারণত তারা কিছু মৌলিক প্যারামিটারের ওপর নির্ভর করে থাকে। এসব প্যারামিটার সঠিকভাবে দেয়া থাকলে তবেই এ সফটওয়্যার সবচেয়ে বেশি কার্যকর হতে পারে। এখন এ প্যারামিটারগুলো কিন্তু বিভিন্ন ধরনের গ্রাহকের জন্য বিভিন্ন রকম হতে পারে। একটি সহজ এবং স্থূল উদাহরণ হল সাপ্তাহিক ছুটির দিনের ব্যাপারটি। পশ্চিমা বিশ্বে সাপ্তাহিক ছুটির দিন হল শনি এবং রোববার। সুতরাং, সাধারণভাবে ধরেই নেয়া যায়, ওই দেশগুলোর কোনো অফিসের/ব্যাংকের বড় বাণিজ্যিক লেনদেনগুলো এ দু’দিনে হওয়ার কথা নয়। এখন এই সাপ্তাহিক ছুটির দিনের ব্যাপারটিকে আমরা একটা প্যারামিটার হিসেবে যদি চিন্তা করি, তাহলে এ সফটওয়্যারটি যখন কোনো গ্রাহকের লেনদেনের ধরন learn করবে, তখন কিন্তু এ বিষয়টিও বিবেচনায় থাকবে। কিন্তু প্রশ্ন হল ফেডারেল রিজার্ভ ব্যাংকের Fraud Detection সফটওয়্যার কি গ্রাহক হিসেবে বাংলাদেশ ব্যাংকের এই যে বিশেষ অবস্থা অর্থাৎ আন্তর্জাতিক সাপ্তাহিক ছুটির দিনের থেকে আমাদের ছুটির দিনের পার্থক্য জানে এবং সেই ভিত্তিতে লেনদেনের ধরন learn করেছে? যদি করে থাকে, তাহলে তো ৪ থেকে ৫ ফেব্রুয়ারি অর্থাৎ শুক্র এবং শনিবারে যেহেতু এ লেনদেনের এতগুলো অ্যাডভাইস এসেছে, তাতে তৎক্ষণাতই একটি red flag জ্বলে ওঠার কথা! এর সঙ্গে সম্পর্কিত আরেকটি প্রশ্ন চলে আসে। যখন বাংলাদেশ ব্যাংক ফেডারেল রিজার্ভ ব্যাংকের গ্রাহক হয়, তখন নিশ্চয়ই একটি চুক্তি হয় এবং টার্মস অব সার্ভিসেস ঠিক হয়। সেই সময় কি আমাদের পক্ষ fraud detectionএর বিষয়ে অন্যান্য গ্রাহকের সঙ্গে বাংলাদেশের লেনদেনের ধরনের পার্থক্যের দিকগুলো ভেবে তা উল্লেখপূর্বক টার্মস অব সার্ভিসেসে সংশ্লিষ্ট বিষয়গুলো যোগ করেছে? আমার ধারণা, এ জিনিসগুলো করার সময় যথোপযুক্ত বিশেষজ্ঞদের পরামর্শ নেয়ার কথা সংশ্লিষ্টরা চিন্তাই করেননি। যদি আমাদের দেশীয় বিশেষজ্ঞরা এ চুক্তির সময় পুরো প্রক্রিয়ায় অংশ নিতেন, আমি নিশ্চিত টার্মস অব সার্ভিসেসের মধ্যেই অনেক কিছু অন্তর্ভুক্ত করা যেত যা কিনা গ্রাহক হিসেবে বাংলাদেশ ব্যাংকের সুরক্ষা আরও নিশ্চিত করত। সিকিউরিটি বিশেষজ্ঞ যাই হোক, আমাদের এ অবস্থায় কী করণীয় তা নিয়ে কিছুটা আলোকপাত করার চেষ্টা করি। এটি তো অবশ্যই করতে হবে যে সুষ্ঠু তদন্তের মাধ্যমে পুরো চিত্রটা আমাদের সামনে নিয়ে আসতে হবে। সেই তদন্ত কমিটিতেও কম্পিউটার সিকিউরিটি বিশেষজ্ঞ থাকা জরুরি। সে ব্যাপারে আমাদের সঠিক যোগ্য মানুষকে খুঁজে বের করতে হবে। আবার একই সঙ্গে আমাদের দীর্ঘমেয়াদি চিন্তাভাবনা শুরু করতে হবে। আমাদের একটা প্রবণতা হল যে কোনো কিছুতেই বিদেশী পরামর্শক নিয়োগ দেয়া। সেই পরামর্শকের ফি ঘণ্টায় কয়েকশ’ মার্কিন ডলারেরও বেশি হতে পারে; অবশ্য শোনা যায়, সাধারণত এরূপ পরামর্শকরা পুরো ফি নিজে নেন না আর তাই বিদেশী পরামর্শক নিয়োগের ব্যাপারে অনেক ক্ষেত্রেই আমাদের আগ্রহই বেশি থাকে। যাই হোক, আমাদের বিদেশী পরামর্শকদের বাদ দিয়ে দেশী যোগ্য মানুষদের খুঁজে বের করতে হবে। বুয়েট এবং অন্যান্য বিশ্ববিদ্যালয়ে যারা সিকিউরিটি নিয়ে নিয়মিত গবেষণা করে যাচ্ছেন তাদের অভিজ্ঞতাকে ব্যবহার করতে হবে; তাদের মতামতকে গ্রহণ করতে হবে। কম্পিউটার সিকিউরিটির এ বিষয়গুলোতে তত্ত্বীয় জ্ঞানের পাশাপাশি অনেক প্রায়োগিক জ্ঞানের প্রয়োজন হয়। প্রয়োজনে বিদেশী বিশেষজ্ঞ এনে প্রশিক্ষণ দিয়ে আমাদের দেশী বিশেষজ্ঞ তৈরি করতে হবে। আবার বিদেশে প্রশিক্ষণের চিন্তা মাথা থেকে দূর করে ফেলতে হবে। বিদেশ সফরের বিষয় থাকলেই আগ্রহী মানুষের সংখ্যা বেড়ে যায়। আর যদি উপায়ান্তর না থাকে, তাহলে এক বা দু’জন সিকিউরিটিতে গবেষণারত মেধাবী তরুণ বিশ্ববিদ্যালয়ের শিক্ষকদের বিদেশে পাঠিয়ে প্রশিক্ষিত করে পরবর্তী সময়ে তাদের দ্বারা অন্যদের প্রশিক্ষণ দিতে হবে। বাংলাদেশ ব্যাংক এবং এ ধরনের সংবেদনশীল রাষ্ট্রীয় গুরুত্বপূর্ণ প্রতিষ্ঠানের সবচেয়ে সংবেদনশীল বিষয়গুলোতে বিদেশীদের ওপর নির্ভর করা আমাদের খাল কেটে কুমির আনার থেকেও বিপজ্জনক এবং চরম অদূরদর্শিতা। উপসংহার আমরা সবসময় ডিজিটাল বাংলাদেশের কথা বলি। কিন্তু ডিজিটাল বাংলাদেশকে ধারণ করার জন্য আমাদের যে প্রস্তুতি দরকার সেটা নিয়ে আমরা ভাবি না। একটু আগেই বলেছি, আমাদের বিদেশী পরামর্শক-নির্ভরতার কথা। মনে হয়, বিদেশীদের দিয়েই আমরা আমাদের দেশকে ডিজিটাল করে ফেলব। আসলে এভাবে হবে না। আমাদের দেশের মানুষই একমাত্র পারবে প্রকৃত অর্থে একটি ডিজিটাল বাংলাদেশ গড়ে তুলতে। আর সেজন্য দরকার যথোপযুক্ত প্রশিক্ষণ, সচেতনতা এবং শিক্ষা। একটা উদাহরণ দেই। খোঁজ নিলে দেখা যাবে, আমাদের বেশিরভাগ সরকারি অফিসের বড় অফিসারদের কম্পিউটারের পাসওয়ার্ড জানে তাদের আরদালিরা। বস্তুত প্রায় সবখানেই একই অবস্থা। সম্প্রতি অন্য একটি ব্যাংকের সিকিউরিটি অডিটের সময় আমাদের (বুয়েটের সিএসই বিভাগের) বিশেষজ্ঞ দল জানতে পারে যে যদিও SWIFT-এর মাধ্যমে স্থানান্তর করার ক্ষেত্রে দুটি অনুমোদনের ধাপ পার হতে হয়, সেই দুটি অনুমোদনই একই কম্পিউটার মেশিন থেকেই দু’জন অফিসার দুটি ভিন্ন Role-এ লগ ইন করে দিয়ে থাকেন। এখন চিন্তা করুন, কোনো হ্যাকার যদি কোনোভাবে এই একটা কম্পিউটার হ্যাক করতে পারে, তাহলেই হল : দু’জনের Role-ই সে হ্যাক করে ফেলল। তার কাজটা কত সোজা হয়ে গেল! আবার আরও জানা গেল যে, কখনও একজন অফিসার ছুটি নিলে, অন্যজনকে তার Role-এর পাসওয়ার্ড দিয়ে যান। বুঝুন অবস্থা! যাই হোক, আমরা আশা করি, এ ঘটনাটি আমাদের চোখ খুলে দিয়েছে এবং আমরা নিজেরাও সচেতন হব এবং সরকারসহ প্রতিটি মহলেই এসব বিষয় এখন থেকে অত্যন্ত গুরুত্বের সঙ্গে বিবেচনা করা হবে। ব্যাংকসহ সব আর্থিক প্রতিষ্ঠান তাদের পুরো প্রক্রিয়া আমাদের দেশের যোগ্য মেধাবী বিশেষজ্ঞদের সাহায্যে সিকিউরিটি অডিট করবে এবং এ ধরনের ঘটনা থেকে সুরক্ষিত থাকবে। ড. মো. সোহেল রহমান : অধ্যাপক ও চেয়ারম্যান, কম্পিউটার সায়েন্স অ্যান্ড ইঞ্জিনিয়ারিং বিভাগ, বুয়েট [email protected]
সর্বশেষ এডিট : ১৬ ই মার্চ, ২০১৬ রাত ১১:৩৩