ঝুঁকিতে সরকারি ওয়েবসাইট

সাইবার হামলা ঠেকাতে নিরাপত্তা যথেষ্ট নয়

প্রকাশ: ৩০ এপ্রিল ২০১৯       প্রিন্ট সংস্করণ     

রাশেদ মেহেদী

সাইবার হামলার ঝুঁকিতে রয়েছে সরকারি সংস্থা ও দপ্তরের বেশিরভাগ ওয়েবসাইট। শাহজালাল বিজ্ঞান ও প্রযুক্তি বিশ্ববিদ্যালয়ের কম্পিউটার সায়েন্স অ্যান্ড ইঞ্জিনিয়ারিং বিভাগের (সিএসই) সাম্প্রতিক এক গবেষণায় এমন তথ্য পাওয়া গেছে। প্রধানমন্ত্রীর কার্যালয়সহ বেশ কয়েকটি গুরুত্বপূর্ণ সরকারি প্রতিষ্ঠানের ওয়েবসাইট পর্যালোচনা করে গবেষকরা দেখতে পান এগুলোর নিরাপত্তা ব্যবস্থা যথেষ্ট দুর্বল।

গবেষক দলের প্রধান শাহজালাল বিশ্ববিদ্যালয়ের ব্লকচেইন অ্যান্ড সিকিউরিটি ল্যাবরেটরির প্রধান ড. সাদেক ফেরদৌস সমকালকে জানান, হোয়াইট টুলস টেস্টিং এবং ব্ল্যাক বক্স টেস্টিং পদ্ধতিতে তারা সরকারি-বেসরকারি মিলিয়ে মোট ৩৪টি প্রতিষ্ঠানের ওয়েবসাইট পরীক্ষা করেছেন। এর মধ্যে গুরুত্বপূর্ণ ২২টি সরকারি প্রতিষ্ঠানের ওয়েবসাইট পর্যালোচনা করে দেখা গেছে এর মধ্যে ১৭টিই ঝুঁকিপূর্ণ। নিরাপদ সাইটগুলোর মধ্যে বেশিরভাগই বেসরকারি প্রতিষ্ঠানের।

এ ব্যাপারে সাইবার নিরাপত্তা বিশেষজ্ঞ সুমন আহমেদ সাবির সমকালকে বলেন, অধিকাংশ সরকারি প্রতিষ্ঠানের ওয়েবসাইট তৈরিতে ওপেন সোর্স বা উন্মুক্ত টুলস ব্যবহার করা হয় এবং নিরাপত্তার ব্যাপারে খুব বেশি যত্ন নেওয়া হয় না।

এ প্রসঙ্গে মন্তব্য জানতে চাইলে সরকারের তথ্য ও যোগাযোগ প্রযুক্তি বিভাগের পরিচালক (সিএ অপারেশন, নিরাপত্তা ও ডাটা সেন্টার) তারেক এম বরকতউল্লাহ সমকালকে বলেন, ওয়েবসাইটের নিরাপত্তা পরীক্ষার জন্য যেসব টুলস প্রয়োজন; বিশ্ববিদ্যালয় পর্যায়ে সেগুলো নেই। কারণ এসব টুলস অত্যন্ত ব্যয়বহুল। তাই একাডেমিক গবেষণায় সবসময় যথাযথ ফলাফল পাওয়া যায় না। তবে ওপেন সোর্স টুলস দিয়ে তৈরি করার ফলে সরকারি ওয়েবসাইট সবসময় কিছুটা ঝুঁকিতে থাকে স্বীকার করে এই কর্মকর্তা বলেন, তথ্যপ্রযুক্তি বিভাগের সাইবার নিরাপত্তা পর্যবেক্ষণ কেন্দ্র থেকে নিয়মিত পর্যবেক্ষণ করা হয়। এর ফলে সরকারি সাইটগুলোতে বর্তমানে সাইবার হামলার ঝুঁকি কম বলেও দাবি করেন তিনি।

গবেষণায় মিলেছে যে চিত্র :সরকারি প্রতিষ্ঠানের মধ্যে প্রধানমন্ত্রীর কার্যালয়, নির্বাচন কমিশন, পররাষ্ট্র মন্ত্রণালয়, স্বরাষ্ট্র মন্ত্রণালয়, অর্থ মন্ত্রণালয়, আইন মন্ত্রণালয়ের আইন ও বিচার বিভাগ, জনপ্রশাসন মন্ত্রণালয়, জাতীয় রাজস্ব বোর্ডের আয়কর বিভাগ, তথ্য ও যোগাযোগ প্রযুক্তি বিভাগ, সরকারি কর্মকমিশন (পিএসসি), বাংলাদেশ ব্যাংক, সোনালী ব্যাংক, ইমিগ্রেশন ও পাসপোর্ট অধিদপ্তর, বাংলাদেশ পুলিশ, র‌্যাপিড অ্যাকশন ব্যাটালিয়ন (র‌্যাব), মিলিটারি সার্ভিস, ঢাকা ও চট্টগ্রাম স্টক এক্সচেঞ্জ, বাংলাদেশ টেলিভিশন (বিটিভি), জাতীয় বিশ্ববিদ্যালয়, জাতীয় শিক্ষা বোর্ড এবং রাষ্ট্রায়ত্ত মোবাইল অপারেটর টেলিটকের ওয়েবসাইট পর্যালোচনা করা হয়েছে বলে জানান গবেষকরা। এ ১৮টি ওয়েবসাইটের মধ্যে বাংলাদেশ ব্যাংক, সোনালী ব্যাংক, মিলিটারি সার্ভিস, র‌্যাব ও টেলিটকের ওয়েবসাইট ছাড়া বাকিগুলো ঝুঁকিপূর্ণ বলে গবেষণায় প্রমাণিত হয়েছে।

বেসরকারি প্রতিষ্ঠানের মধ্যে ডাচ্‌-বাংলা ব্যাংক, প্রথম আলো, কালের কণ্ঠ, বিডিনিউজ, বিডি জবস, পিপীলিকা, বিক্রয় ডটকম, দারাজ বিডি, টরেন্ট বিডি এবং সামহোয়ার ইন ব্লগের ওয়েবসাইট পরীক্ষা করা হয়েছে। এর মধ্যে সামহোয়ার ইন বাদে বাকি ওয়েবসাইটগুলো নিরাপদ বলে প্রমাণিত হয়েছে।

যে পদ্ধতিতে গবেষণা :ড. সাদেক ফেরদৌসের নেতৃত্বে গবেষণা দলে কাজ করেছেন শাহজালাল বিজ্ঞান ও প্রযুক্তি বিশ্ববিদ্যালয়ের সিএসই বিভাগের শিক্ষক ফরিদা চৌধুরী এবং চতুর্থ সেমিস্টারের ছাত্র মনিরুজ্জামান। জানুয়ারি মাসজুড়ে তারা প্রতিটি ওয়েবসাইটের নিরাপত্তা খতিয়ে দেখেন এবং পরবর্তী সময়ে অধিকতর যাচাই-বাছাইয়ের পর গবেষণার ফল প্রকাশ করা হয়।

ড. সাদেক বলেন, বিদ্যমান আইনি কাঠামোর ভেতরে থেকে এ ধরনের গবেষণা করাটা অত্যন্ত চ্যালেঞ্জিং। খুব সচেতনভাবে আইনি কাঠামোর ভেতরে থেকে এ গবেষণা করতে হয়েছে। তিনি আরও জানান, যে দুটি পদ্ধতিতে এই গবেষণা করা হয়েছে; তার মধ্যে একটি হোয়াইট টুলস টেস্টিং। এ পদ্ধতিতে পরীক্ষার জন্য ওয়েবসাইটের ঠিকানা (ইউআরএল) দিয়ে এইচটিএম এল সোর্স কোড (ওয়েবসাইট নির্মাণের সাংকেতিক ভাষা) ডাউনলোড করে আক্রমণের ধরন খোঁজার চেষ্টা করা হয়। আর ব্ল্যাক বক্স টেস্টিং পদ্ধতিতে সাইটের সঙ্গে নানাভাবে যোগাযোগ স্থাপন করে নিরাপত্তা কতটা মজবুত তা নির্ধারণ করা হয়।

গবেষণায় ব্যবহূত দুটি টুলসের মাধ্যমে কখনও কখনও বিভ্রান্তিকর তথ্য পাওয়া যায় বলেও জানান ড. সাদেক ফেরদৌস। প্রচলিত আইনি কাঠামোর মধ্যে থেকে সেসব তথ্য যাচাই করা কঠিন এবং নিরাপত্তা বিষয়টি খতিয়ে দেখতে আরও গভীরভাবে পরীক্ষা করা প্রয়োজন বলেও জানান তিনি। সাদেক ফেরদৌস আরও বলেন, সরকারি ওয়েবসাইট রক্ষণাবেক্ষণের দায়িত্বে যারা রয়েছেন, ঝুঁকির বিষয়টি তাদের নজরে আনতেই এই গবেষণা করা হয়েছে। তবে গবেষণা প্রতিবেদন প্রকাশের পর সরকারি কোনো দপ্তর থেকে তাদের সঙ্গে যোগাযোগ করা হয়নি। এ ব্যাপারে জানতে চাইলে সর্বোচ্চ সহযোগিতার চেষ্টা করা হবে।

শাহজালাল বিজ্ঞান ও প্রযুক্তি বিশ্ববিদ্যালয়ের ব্লক চেইন অ্যান্ড সিকিউরিটি ল্যাবরেটরিতে অ্যাডভান্সড সিকিউরিটি, প্রাইভেসি এবং ব্লকচেইন প্রযুক্তি নিয়ে গবেষণা করা হচ্ছে জানিয়ে ল্যাবপ্রধান ড. সাদেক বলেন, ব্লকচেইন প্রযুক্তি সেবা ব্যবহার করে সাইবার নিরাপত্তা জোরদার এবং সরকারি সেবা জনগণের দোরগোড়ায় পৌঁছে দিতে চান তারা।

বিষয় : সাইবার হামলা ওয়েবসাইট