‘আইটি অডিটের বিকল্প নেই’
৫ এপ্রিল ২০১৬
বাংলাদেশে ‘ফাইবার অ্যাট হোম' নামে একটি প্রতিষ্ঠানের চিফ স্ট্যাটেজি অফিসার সুমন আহমেদ৷ তিনি জানান, ‘‘বাংলাদেশের অধিকাংশ প্রতিষ্ঠানের আইটি বিভাগ একটি ‘থার্ড পার্টি' বা তৃতীয় পক্ষের কাছে দেয়া৷ এরা প্রতিষ্ঠানের কেউ নয়৷ ফলে ঝুঁকি বাড়ছে ক্রমশই৷'' তাই তাঁর কথায়, ‘‘প্রতিষ্ঠান সংশ্লিষ্টদের নিরাপত্তার জায়গায় নিজেদের সক্ষমতা তৈরি করতে হবে৷ আইটি বিভাগ কী করছে, সেটা নিজেদের বুঝে নিতে হবে৷''
সুমন আহমেদ সাবির বলেন, ‘‘বাংলাদেশের সব রকম প্রতিষ্ঠানেই বছরে একবার আর্থিক অডিট হয়৷ অথচ কোনো প্রতিষ্ঠানেই আইটি অডিট হয় না৷ এটা চালু করতে হবে৷ তবেই বোঝা যাবে, প্রতিষ্ঠানটি নিরাপত্তার জায়গায় কতটা সচেতন৷'' পাশাপাশি ‘‘এই সেক্টর বোঝা মানুষের সংখ্যাও কম৷ দু-এক জন যা তৈরি হচ্ছেন, তারাও ভালো চাকরি নিয়ে বিদেশে চলে যাচ্ছেন৷ ফলে দেশে ঘাটতিটা থেকেই যাচ্ছে৷''
ডয়চে ভেলে: বাংলাদেশে সাইবার সন্ত্রাস নিয়ে কী কী আইন আছে?
সুমন আহমেদ সাবির: বাংলাদেশে সাইবার ক্রাইম নিয়ে প্রথম আইনটি করা হয় ২০০৬ সালে৷ মূলত সাইবার ক্রাইম ও সাইবার রিলেটেড অপরাধের বিচার করার জন্যই এই আইন করা হয়৷ পরবর্তীতে ২০১৩ সালে এসে বেশ কয়েকটি সংশোধনী আনা হয় আইনে৷ এ বছরেও আরেকটা সংশোধনীর কাজ চলছে৷ আসলে আইন অনেক, আইনের কোনো অভাব নেই৷ আমি তো বলবো, আইন প্রয়োজনের তুলনায় একটু বেশিই আছে৷
এই আইনগুলো সাধারণ মানুষের জন্য কি হয়রানিমূলক?
প্রতারণা, খুন, চুরির ঘটনা শুধু সাইবার ক্রাইমে নয়, সাধারণভাবেও দেখা যায়৷ তবে সাইবার ওয়ার্ল্ডে এগুলো হয় ইন্টারনেট বা প্রযুক্তি ব্যবহার করে৷ এখানে মাধ্যমটা আলাদা, কিন্তু অপরাধ সেই আগেরই৷ সাইবার অপরাধের জন্য প্রত্যেকটা ক্ষেত্রে আলাদা আইন বা বিচারব্যবস্থা থাকার কোনো প্রয়োজন নেই৷ বরং যেটা প্রয়োজন ছিল, তথ্য-প্রযুক্তি ব্যবহার করে যদি কোনো অপরাধ হয় তাহলে তথ্য-প্রযুক্তি সংক্রান্ত এভিডেন্সগুলো কালেক্ট করা এবং সেগুলো আমলযোগ্য করা৷ যাতে কোর্ট সেগুলো আমলে নেয় এবং তার ভিত্তিতে শাস্তি দেয়৷ আমার মনে হয়, শাস্তি হতে হবে অপরাধের গুরুত্ব বিচার করে৷ আসলে সে সাইবার ওয়ার্ল্ডে অপরাধ করল না সাধারণভাবে অপরাধ করল – এ বিষয়টা আমরা গুলিয়ে ফেলি৷ তাছাড়া সাইবার অপরাধের অনেক প্রাণঘাতি আইন রয়েছে৷ ফলে তার অপপ্রয়োগের সুযোগও তৈরি হয়েছে৷ দেখা যাচ্ছে, সামান্য অপরাধেও অনেকে বিনা বিচারে জেল খাটছেন অথবা নানা ধরনের হয়রানির শিকার হচ্ছেন৷
এ বিষয়ে সচেতনতা কিভাবে বাড়ানো যায়?
আসলে সাইবার ক্রাইম বা সাইবার অপরাধ এড়িয়ে চলার জন্য মূল বিষয়টাই হচ্ছে সচেতনতা৷ মানুষকে যদি সচেতন করা যায়, তাহলে অপরাধ অনেকাংশে কমিয়ে ফেলা সম্ভব৷ পরিসংখ্যানে দেখা যায়, সাত থেকে আট ভাগ অপরাধ হয় ব্যবহারকারীর সচেতনার অভাবে৷ তাই যারা তথ্য-প্রযুক্তি ব্যবহার করছে তাদের যদি আমরা সচেতন করতে পরতাম, তাহলে এই অপরাধগুলো অনেকটা কমিয়ে আনা সম্ভব হতো৷ এখন প্রশ্ন হচ্ছে, সচেতনতা বাড়ানো যায় কিভাবে? এটা বাড়ানোর দায়িত্ব কিন্তু সবার৷ আমরা যারা এই ইন্ডাস্ট্রিতে কাজ করছি বা যেসব প্রতিষ্ঠান এখানে কাজ করছে, তাদের একটা দায়িত্ব আছে ব্যবহারকারীদের ‘বেস্ট প্র্যাকটিসগুলো' শেখানো এবং জানানো কিভাবে এগুলো আরো বেশি নিরাপদে ব্যবহার করা যায়৷ সরকারেও একটা দায়িত্ব আছে৷ স্কুলে যারা লেখাপড়া করছে তাদের পাঠ্যসূচিতে এগুলো ঢোকানো যেতে পারে৷ তাহলে তারা সেখান থেকেই শিখে আসতে পারবে৷ সেইসঙ্গে মিডিয়া যদি একটু দায়িত্ব নেয়, তাহলে কাজটা অনেক সহজ হয়৷ এই যেমন ডায়রিয়া প্রতিরোধে মিডিয়ার প্রচারণা কিন্তু একটা গুরুত্বপূর্ণ ভূমিকা রেখেছিল৷ সাইবার অপরাধের ক্ষেত্রেও যদি আমরা এই ধরনের প্রচারণা ব্যবহার করি তাহলে অনেকাংশেই বর্তমান অবস্থা থেকে বেড়িয়ে আসতে পারব৷
আমরা দেখি, বিভিন্ন প্রতিষ্ঠান তাদের কাজকর্ম অনলাইন করতে প্রচুর বিনিয়োগ করে৷ অথচ তাদের ব্যবহার করা সাইটকে নিরাপদ করতে কোনো বিনিয়োগ নেই৷ এটা কেন?
আমার মনে হয়, এটা এক ধরনের অজ্ঞতা৷ আপনার সাইটটি যদি নিরাপদ না হয়, তবে এটার পর নির্ভর করে আপনি যদি কোনো সার্ভিস বা ব্যবসা করার প্ল্যান করেন, তাহলে কিন্তু আপনি অনেক বড় ক্ষতির সম্মুখীন হতে পারেন৷ এখানে আমি দু'টি জিনিস বলব৷ একটা হলো অজ্ঞতা, যেখানে আমরা না বুঝেই অবহেলা করে থাকি৷ এটা শুধু তথ্য-প্রযুক্তির ক্ষেত্রে না, সব ক্ষেত্রেই৷ যেমন ধরেন, আপনি একটা রাস্তা তৈরি করলেন৷ এখন সেটা যদি ছ'মাসেই ভেঙে যায় তাহলে বুঝতে হবে সেটা সঠিকভাবে তৈরি হয়নি অথবা এতে দুর্নীতির ছোঁয়া আছে৷ একইভাবে আমাদের একটা অংশ, যারা তথ্য-প্রযুক্তি ব্যবহার করতে পেরে খুশিতে আত্মহারা, তারা কিন্তু নিরাপত্তার বিষয়টি উপেক্ষা করছেন৷ অন্য বিষয়টি হচ্ছে, কোম্পানিগুলো যেটুকু খরচ না করলেই নয়, শুধু সেটুকু করছে৷ কিন্তু এতে করে নিরাপত্তার জায়গাটা দারুণভাবে অবহেলা করা হচ্ছে৷ আর সরকারি প্রতিষ্ঠানগুলো যে তথ্য-প্রযুক্তি ব্যবহার করছে, সেখানে ম্যানপাওয়ারের ঘাটতি আছে৷ অনেকগুলো কাজ হচ্ছে ‘প্রজেক্টবেস্ড'৷ যখন ‘প্রজেক্ট' বা প্রকল্প চলে, কাজও চলে৷ কিন্তু প্রজেক্ট শেষ হলে সব কিছু শেষ হয়ে যায়৷ অথচ সব তথ্য যে রক্ষণাবেক্ষণের প্রয়োজন আছে, সেটা উপেক্ষা করা হচ্ছে৷ তথ্য-প্রযুক্তি দ্রুত পরিবর্তনশীল৷ তাই আমরা যদি নিয়মিত যে নতুন চেঞ্জগুলো আসছে সেটা আপডেট না করি, তাহলে ‘ভালনারেবিলিটির' মধ্যে পড়ে যাবো৷
ব্যাংকসহ বিভিন্ন প্রতিষ্ঠান তাদের আইটি বিভাগকে থার্ড পার্টি বা তৃতীয় পক্ষের হাতে দিয়ে দিচ্ছে, এতে করে তো ঝুঁকি আরো বাড়ছে৷ তাই না? এক্ষেত্রে আসলে আমাদের করণীয়টা কী?
আসলে দেখা যায়, থার্ড পার্টির কাছে দেয়া হয় দু'টি চিন্তা থেকে৷ এর একটি খরচ কমানো এবং অপরটি দক্ষতা বাড়ানো৷ কিছু কাজ আপনি থার্ড পার্টির কাছে দিতে পারেন৷ কিন্তু আপনার সেই দক্ষতা থাকতে হবে যে, থার্ড পার্টি করুক আর আপনার নিজের আইটি বিভাগই করুক, তারা ঠিকমতো কাজটা করছে কিনা সেটা বুঝে নেয়ার৷ অনেক ক্ষেত্রেই দেখা যায়, নিজেদের আইটি টিম থাকলেও তারা কী করছে ম্যানেজমেন্ট সেটা দেখে না৷ আবার তারা ঠিক করছে না ভুল করছে সেটা বিচার করার ক্ষমতাও ম্যানেজমেন্টের নেই৷ ফলে আইটি টিমে অজ্ঞতা বা অসাবধানতার কারণে আপনি বড় সমস্যায় পড়তে পারেন৷ আবার থার্ড পার্টি যে কাজটা করছে, সেটা বুঝে নেবে কে? এই জায়গায় যে সক্ষমতা, ‘ট্যান্সপারেন্সি' ও ‘ম্যানেজমেন্ট পলিসি' দরকার সেটা আমরা করতে পারছি না৷ এ কারণে প্রতিষ্ঠানগুলো নানা ধরনের সমস্যার সম্মুখীন হচ্ছে৷
আপনি বলছিলেন, প্রতিষ্ঠানগুলোতে দক্ষ লোক থাকতে হবে৷ আমরা খেয়াল করেছি যে, এই সেক্টরে দক্ষ মানুষ, কাজের মানুষ বা এই সেক্টরটা বোঝার মতো মানুষের সংখ্যা খুবই কম৷ সেক্ষেত্রে রাষ্ট্র কোনো ভূমিকা রাখতে পারে কি? বা পাবলিক সেক্টরের কি কিছু করণীয় আছে?
‘ম্যানপাওয়ার' কমার পেছনে একটা কারণ হলো – এই চাকরিগুলো বাইরের দেশে অনেক বেশি ‘লুক্রেটিভ'৷ ফলে এখানকার ছেলে-মেয়েরা যারা একটু ভালো হয়, তারা অনেক বেশি বেতনে, অনেক বেশি সুবিধা নিয়ে বাইরে চাকরির জন্য চলে যায়৷ অর্থাৎ দেশে একটা শূন্যতা তৈরি হয়৷ দ্বিতীয়ত – ‘সিকিউরিটি' নিয়ে কাজ করার ক্ষেত্রে আমাদের দেশে চাহিদাটাই আসলে ছিল না৷ আমাদের দেশের প্রতিষ্ঠানগুলো এই ব্যাপারগুলোকে কখনই খুব বেশি গুরুত্ব দেয়নি৷ আপনি কখনোই শুনবেন না যে, একটি প্রতিষ্ঠানে প্রতি বছর আইটি অডিট হয় বা সিকিউরিটি অডিট হয়৷ এই ‘প্র্যাকটিস' আমাদের দেশে গড়ে উঠেনি৷ অথচ আমরা প্রতি বছর আর্থিক অডিট করাচ্ছি৷ বাইরের দেশগুলোতে ১০ থেকে ১৫ বছর ধরে এটা স্বীকৃত যে, একটি প্রতিষ্ঠানে প্রতি বছর নিরাপত্তা অডিট হতে হবে৷ কোম্পানিটির নিরাপত্তা নিশ্চিত আছে কিনা, সফটওয়ারগুলো ‘আপডেটেড' কিনা বা যে প্রক্রিয়ায় তাদের কাজ চলছে, সেটা ঠিক আছে কিনা৷ এই জায়গাতে আমাদের প্রয়োজন হয়নি, তাই ম্যানপাওয়ারও সেভাবে তৈরি হয়নি৷ আমাদের প্রতিষ্ঠানগুলোকে প্রথমে উদ্যোগ নিয়ে এই কাজগুলো করতে হবে৷ এক্ষেত্রে একটা ‘ডিম্যান্ড' তৈরি হলে ‘ম্যানপাওয়ারও' তৈরি হবে৷ প্রথমদিকে হয়ত বাইরে থেকে এসে কিছু লোক কাজ করবে৷ পরে খুব সহজেই আমরা এটা ‘ওভারকাম' করতে পারব৷ একটা জিনিস মাথায় রাখতে হবে, সব কিছু ‘আউটসোর্সিং' করা যায়, কিন্তু নিরাপত্তার বিষয়টি ‘আউটসোর্সিং' করা যায় না, যাবে না৷ আমাদের দেশের অনেক ব্যাংকেই আইটির ব্যাপারটা দেখে বাইরের প্রতিষ্ঠান৷ আসলে নিরাপত্তার জায়গায় নিজেদের সক্ষমতা গড়তে হবে৷ এর জন্যে রাষ্ট্রকে উদ্যোগ নিতে হবে৷ আমাদের বাইরে যারা আছেন, তাদের নিয়ে এসে কাজ শুরু করতে পারলে খুব সহজেই আমরা বিষয়টা করতে পারব৷
আপনি কি তথ্য-প্রযুক্তি বিশেষজ্ঞ সুমন আহমেদ সাবিরের সঙ্গে একমত? জানান মন্তব্যের ঘরে৷