জাতীয় পরিচয়পত্র (এনআইডি) সার্ভার থেকে কেবল নাগরিকের পরিচয় যাচাই করার কথা থাকলেও পার্টনার সার্ভিসগুলো (সেবাদানকারী প্রতিষ্ঠানগুলো) চুক্তি ভঙ্গ করে নাগরিকের এনআইডি তথ্য নিজেদের কাছে সংরক্ষণ করে বা করার চেষ্টা করে। আর এ কারণেই এসব তথ্য ঝুঁকির মুখে পড়েছে। বাংলাদেশ সরকারের একটি ওয়েবসাইট থেকে দেশের অনেক নাগরিকের নাম, ফোন নম্বর, ইমেইল ঠিকানা ও জাতীয় পরিচিতি নম্বরসহ বিভিন্ন ব্যক্তিগত তথ্য ফাঁস হয়েছে–আন্তর্জাতিক গণমাধ্যমে এমন খবর প্রকাশিত হওয়ার পর পার্টনার সার্ভিসগুলোর ওই অপকর্মের কথা জানালেন খোদ এনআইডি মহাপরিচালক একেএম হুমায়ূন কবীর। কীভাবে নাগরিকের তথ্য ঝুঁকির মুখে পড়ছে, সে বিষয়টিও উঠে এসেছে তথ্য ও যোগাযোগ প্রযুক্তিবিদদের মুখে। বর্তমানে সরকারি–বেসরকারি ১৭১টি প্রতিষ্ঠান এনআইডি সার্ভার থেকে তথ্য যাচাই করে নাগরিকদের সেবা প্রদানে ইসির সঙ্গে চুক্তিবদ্ধ। এর মধ্যে মোবাইল অপারেটর, ব্যাংক–বিমাসহ আর্থিক প্রতিষ্ঠান এবং আইনশৃঙ্খলা রক্ষাকারী বাহিনীসহ বিভিন্ন সরকারি সেবামূলক প্রতিষ্ঠানও রয়েছে। খবর বাংলানিউজের।
বিডিনিউজ জানিয়েছে, নির্বাচন কমিশনের তথ্যভাণ্ডার থেকে জাতীয় পরিচয়পত্রের (এনআইডি) তথ্য যাচাইয়ের সময় চুক্তি ভেঙে তথ্য সংরক্ষণ করা হচ্ছে কিনা তা নিয়ে সেবাগ্রহণকারী ১৭১টি প্রতিষ্ঠানের সঙ্গে বসতে যাচ্ছে নির্বাচন কমিশন। পাশাপাশি নাগরিকদের তথ্যের সুরক্ষার স্থায়ী সমাধানের করণীয় নির্ধারণের কথাও জানিয়েছেন এক কর্মকর্তা। আগামী সপ্তাহে এ বৈঠক হতে পারে বলে জানিয়েছেন নির্বাচন কমিশনের (ইসি) অতিরিক্ত সচিব অশোক কুমার দেবনাথ। আগামী ১৩ জুলাই ওই বৈঠকের সম্ভাব্য সময় নির্ধারণের কথা জানিয়েছেন তিনি। তিনি বলেন, বৈঠকে এসব প্রতিষ্ঠানকে সার্বিক সতর্কতা নিয়ে নির্দেশনা দেওয়া হবে। তারা কী পদক্ষেপ নিচ্ছে, কোথাও গাফিলতি হচ্ছে কিনা তাও জানতে পারব আমরা।
বর্তমানে ইসির তথ্যভান্ডারে প্রায় ১২ কোটি ভোটারের তথ্য সংরক্ষিত রয়েছে। সেখানে ভোটারদের ছবি, আঙুলের ছাপসহ অন্তত ৪০টির তথ্য সম্বলিত তথ্যভান্ডার সংরক্ষিত রয়েছে। এর মধ্যে চুক্তি অনুযায়ী কয়েকটি তথ্যের ভেরিফিকেশন সার্ভিস দেয় ইসি।
বাংলানিউজ জানায়, এনআইডি সার্ভার থেকে তথ্য যাচাইয়ের এই কার্যক্রমের শুরু থেকেই বিভিন্ন প্রতিষ্ঠান চুক্তি ভঙ্গের কাণ্ডটি করে আসছিল। কেননা, প্রতিটি এনআইডি যাচাই করে নিতে একটি নির্দিষ্ট অংকের টাকা সংশ্লিষ্ট প্রতিষ্ঠানকে দিতে হয় ইসিকে। আর যদি যাচাইকৃত এনআইডির তথ্য সেভ করে রাখা যায়, তাহলে সংশ্লিষ্ট প্রতিষ্ঠানকে পরে আর ইসি থেকে যাচাই করা এবং ওই নির্দিষ্ট অর্থ পরিশোধ করার প্রয়োজন পড়ে না। বিষয়টি নিয়ে এতদিন ইসি কর্মকর্তাদের মধ্যে কানাঘুষা চললেও এবার তা সামনে এলো।
এনআইডি মহাপরিচালক একেএম হুমায়ুন কবীর গতকাল নির্বাচন ভবনে আয়োজিত সংবাদ সম্মেলনে বলেন, মাঝে মাঝেই এ রকম হয়ে যায়। এটা হয় কীভাবে… যারা (পার্টনার সার্ভিস) সেবাটা নেয়, তাদের আউটসোর্সিংয়ে অনেকেই থাকে। তারা যখন থাকে, এটা হলো সিস্টেম, যিনি তথ্য নেবেন, তিনি ওখানে হাঁ করে বসে থাকেন। যখন উঠে আপনি বাথরুমে গেলেন, এই পাঁচ মিনিটের মধ্যে অনেকগুলো তথ্য আপনি নিয়ে নিতে পারবেন। এ কারণে উনাকে সতর্ক থাকতে হবে। আমাদের এখানে আমরা কিন্তু সবসময় সতর্ক থাকি। কিন্তু উনার এখানে কতটা সতর্ক অবস্থা আছে, আমরা এটা মাঝে ভেরিফাই করি। তাদের অ্যাবনরমাল হিট হলে আমরা তাদের কোয়েরি করি। আমাদের এখানে কিন্তু এ পর্যন্ত অ্যাবনরমাল হিটের ডেটা পাচ্ছি না। ওদের ওখানে অ্যাবনরমাল হিট হলে সেটা আমার এখানেও হবে। কিন্তু সেটা কিন্তু হয়নি।
ইসির এনআইডি অনুবিভাগের স্মার্টকার্ড প্রকল্পের পরিচালক (তথ্য ও যোগাযোগ প্রযুক্তি) স্কোয়াড্রন লিডার সাদ ওয়ায়েজ তানভীর বলেন, আমাদের ডাটা সেন্টারের সিকিউরিটি ফিজিক্যাল এবং লজিক্যাল; বোথ সিকিউরিটি নিশ্চিতে পর্যাপ্ত ব্যবস্থা নেওয়া হয়েছে। টাইম টু টাইম আপডেট করার ব্যবস্থাও নেওয়া হয়েছে। আমাদের সিকিউরিটি অপারেশন সেন্টার (এসওসি) বা সক আছে। সক কন্টিনিউয়াসলি মনিটর করে যে, আমার নেটওয়ার্কে এবং আমাদের সার্ভারে কী পরিমাণ হিট আসছে, কল আসছে এবং রিকোয়েস্ট আসছে। যদি কোনো অ্যাবনরমালিটি পাই, সঙ্গে সঙ্গে সতর্কতামূলক ব্যবস্থা নেওয়া হয়।
তিনি বলেন, এখন আমাদের ১৭১টি পার্টনার সার্ভিস ভিপিএনের মাধ্যমে ডাটা কল করে (যাচাই করার জন্য)। পার্টনার সার্ভিস, এখন একটা ব্যাংক মনে করুন তার কাস্টমারের জন্য প্রতিদিন কিন্তু ডাটা কল করছে। একটা নির্দিষ্ট সময়ে সে কিন্তু বিরাট সংখ্যক নাগরিকের তথ্য কল করছে। এখন আমরা আমাদের নিরাপত্তা নিশ্চিতের জন্য প্রত্যেক পার্টনার সার্ভিসের সঙ্গে চুক্তিবদ্ধ হওয়ার ক্ষেত্রে উল্লেখ করে দিই, তারা নিজস্ব সার্ভার রাখতে পারবে না। এই যে প্রতিদিন ডাটাগুলো কল করে, তারা যদি প্রতিদিন এগুলো সেভ করতে থাকে, একটা টাইমে কিন্তু একটা লার্জ ভলিউমে ডাটা তাদের কাছে সেভ হয়ে যাবে। যেটা কিন্তু নিরাপত্তা নিশ্চিত করা আমাদের পক্ষে সম্ভব হবে না। তখন তাদেরই দায়িত্ব নিয়ে নিরাপত্তা নিশ্চিত করতে হবে। তাই ওই রিস্কে না গিয়ে আমরা চুক্তির মধ্যেই আমরা উল্লেখ করে দিই এ ধরনের কার্যক্রম তারা নিতে পারবে না। তারপরও অতীতে যেটা হয়েছে, বিভিন্ন প্রতিষ্ঠান, তারা তাদের মাধ্যমে ডাটা রিচ করেছে।
তিনি বলেন, কী ব্যবস্থা নিয়েছি তা আপনারা (সাংবাদিকরা) জানতে চাইলেন। আমরা কিন্তু তাদের বিষয়গুলো অবহিত করা, তাদের এপিআইটাকে (এপ্লিকেশন প্রোগ্রামেবল ইন্টারফেজ) সাময়িক বন্ধ রেখে সল্যুশনে গিয়ে তারপর তাদের সার্ভিস চালু করার ব্যবস্থা নিয়েছি। এখন মনে করুন, আমাদের পার্টনার সার্ভিসের অন্তর্ভুক্ত প্রত্যেকে কিন্তু নাগরিক সেবা দিচ্ছে প্রতিদিন। পাঁচ মিনিটের জন্য যদি নাগরিক সেবাদানকারী প্রতিষ্ঠানের এই সেবা সার্ভিস বন্ধ করে দেওয়া হয়, এর ভুক্তভোগী হবে সাধারণ নাগরিক। কল আসতে থাকবে প্রচুর। তাই বন্ধ করে দেওয়ার সুযোগ নেই। আমাদের মাথাব্যথার জন্য মাথা কেটে ফেলতে পারব না। এজন্য সমাধানে যাব। এজন্য টেকনিক্যাল বিষয় প্রয়োগ করে আসছি।
তিনি আরও বলেন, গতকাল যখন নিউজটা হলো, সেটার আপডেট হলো, তাৎক্ষণিক আমরা যোগাযোগ করেছি। একটা সাইটে তারা ভালনারেবিলিটি পেয়েছে। আমরা ধারণা করেছি যে, পার্টনার সার্ভিস থেকে তারা ডাটাগুলো পেয়েছে, এই ডাটাগুলো সেখানে সেভ করা ছিল। ফারদার এই জিনিসগুলোর ক্ষেত্রে স্থায়ী সমাধানের জন্য পার্টনার সার্ভিসের এই ধরনের কর্মকাণ্ডের জন্য যাতে নাগরিক তথ্য ঝুঁকির সম্মুখীন না হয় সে ব্যবস্থা আমরা নেব।
ইসির এনআইডি শাখার সিস্টেম ম্যানেজার মুহাম্মদ আশরাফ হোসেন এ বিষয়ে ব্যাখ্যা দিয়ে বলেন, যে রিপোর্টটি এসেছে সেটা অনুযায়ী যারা আমাদের সেবা নিচ্ছেন তার সিস্টেমটি হ্যাক হয়েছে। এনআইডি নম্বরটি সেই সিস্টেম থেকে নিচ্ছে। কিন্তু এনআইডির এগেইনস্টে যে তথ্যগুলো থাকে তা কিন্তু পাচ্ছে না। তারপরও বলছি যে প্রতিনিয়ত আমরা অনুসন্ধান করে থাকি। ১৭১টি সেবাগ্রহীতা প্রতিষ্ঠানের মধ্যে কে কীভাবে সার্ভিসগুলো ইউজ করে থাকে, এর আগেও আমরা সেগুলো দেখেছি। যেগুলো আমাদের সন্দেহ হয়, সেগুলো আমরা সাময়িকভাবে বন্ধ করে থাকি। এখনো গতকাল থেকে আমরা বেশ তৎপর আছি। অনুসন্ধান চালিয়ে যাচ্ছি। কিছু আমাদের ডাউট লিস্টে এসেছে। আমরা অনুসন্ধান করছি।
তিনি বলেন, এনআইডি ওয়েবসাইটের সঙ্গে এনআইডি ডাটাবেজের কোনো সম্পর্ক নেই। এটা সম্পূর্ণভাবে পৃথক সিস্টেম। বলতে পারেন এটা একেবারে সিকিউরড সিস্টেম। আমাদের ডাটাবেজ পাবলিক নেটওয়ার্কে নাই। এখন যখন সিদ্ধান্ত নিয়েছি যে, বেসরকারি প্রতিষ্ঠান বা সেবার ক্ষেত্রে এটা প্রয়োজন, তখন কিন্তু আমরা সিকিউরিটি নিশ্চিত করি। একটি হলো ভার্চুয়াল প্রাইভেট নেটওয়ার্ক, যেটি হলো আমাদের নেটওয়ার্ক। এখানে ডেটা ছাড়া অন্য কিছু যাবে না। ভিপিএন ব্যবহার করি আমরা। ১৭১টি প্রতিষ্ঠান এখানে আলাদা আলাদাভাবে কানেক্টেড। তারা কানেক্টেড হওয়ার পর তাদের এক্সেস দিই না। তারা শুধু তাদের জায়গা থেকে রিকুইজিশন দিতে পারে এনআইডি নম্বর ও জন্মতারিখ দিয়ে। এই দুটো ম্যাচ করলে, সিস্টেম ডিসাইড করবে যে তাকে চুক্তি অনুযায়ী তথ্যগুলো দিয়ে দেবে। তথ্য দেওয়ার পরে তার একটা ট্রানজেকশন শেষ। এরপর ফিডব্যাকের কোনো সুযোগ নেই। এক্ষেত্রে আমাদের সার্ভার থেকে কোটি কোটি এনআইডি ডাটা নেওয়ার সুযোগ নেই।
সাদ ওয়ায়েজ তানভীর বলেন, তথ্যগুলো পার্টনার সার্ভিসের দুর্বলতার কারণে নিতে পেরেছে। ওয়েবসাইটের দুর্বলতার কারণে কিছু জিনিস হিডেন থাকার কথা, কিন্তু তা ছিল না, যে কারণে হ্যাকার বা রিসার্চার, হি ইজ এ রিসার্চার তিনি দেখছেন এই দুর্বলতা ছিল। এরপর তিনিই যোগাযোগ করে জানিয়েছেন যে এই দুর্বলতা ছিল। এখন ওই ওয়েবসাইটের সঙ্গে ইসির সার্ভারের সংযোগ নেই।
