আলাপ

‘বছরে অন্তত একবার আইটি অডিট হওয়া উচিত'

‘‘বাংলাদেশে সাইবার সন্ত্রাস নিয়ে আইন আছে, আছে বহু অ্যাক্টও৷ কিন্তু এ সব আইনের সঠিক প্রয়োগ হচ্ছে না৷ ফলে এগুলো হয়রানিমূলক আইনে পরিণত হচ্ছে৷'' ডয়চে ভেলের সঙ্গে আলাপকালে এ কথা বলেন তথ্য-প্রযুক্তি বিশেষজ্ঞ সুমন আহমেদ সাবির৷

সুমন আহমেদ সাবিরের ছবি

তথ্য-প্রযুক্তি বিশেষজ্ঞ সুমন আহমেদ সাবির

বাংলাদেশে ‘ফাইবার অ্যাট হোম' নামে একটি প্রতিষ্ঠানের চিফ স্ট্যাটেজি অফিসার সুমন আহমেদ৷ তিনি জানান, ‘‘বাংলাদেশের অধিকাংশ প্রতিষ্ঠানের আইটি বিভাগ একটি ‘থার্ড পার্টি' বা তৃতীয় পক্ষের কাছে দেয়া৷ এরা প্রতিষ্ঠানের কেউ নয়৷ ফলে ঝুঁকি বাড়ছে ক্রমশই৷'' তাই তাঁর কথায়, ‘‘প্রতিষ্ঠান সংশ্লিষ্টদের নিরাপত্তার জায়গায় নিজেদের সক্ষমতা তৈরি করতে হবে৷ আইটি বিভাগ কী করছে, সেটা নিজেদের বুঝে নিতে হবে৷''

সুমন আহমেদ সাবির বলেন, ‘‘বাংলাদেশের সব রকম প্রতিষ্ঠানেই বছরে একবার আর্থিক অডিট হয়৷ অথচ কোনো প্রতিষ্ঠানেই আইটি অডিট হয় না৷ এটা চালু করতে হবে৷ তবেই বোঝা যাবে, প্রতিষ্ঠানটি নিরাপত্তার জায়গায় কতটা সচেতন৷'' পাশাপাশি ‘‘এই সেক্টর বোঝা মানুষের সংখ্যাও কম৷ দু-এক জন যা তৈরি হচ্ছেন, তারাও ভালো চাকরি নিয়ে বিদেশে চলে যাচ্ছেন৷ ফলে দেশে ঘাটতিটা থেকেই যাচ্ছে৷''

অডিও শুনুন 08:26

‘নিরাপত্তার বিষয়টি ‘আউটসোর্সিং' করা যায় না, যাবে না’

ডয়চে ভেলে: বাংলাদেশে সাইবার সন্ত্রাস নিয়ে কী কী আইন আছে?

সুমন আহমেদ সাবির: বাংলাদেশে সাইবার ক্রাইম নিয়ে প্রথম আইনটি করা হয় ২০০৬ সালে৷ মূলত সাইবার ক্রাইম ও সাইবার রিলেটেড অপরাধের বিচার করার জন্যই এই আইন করা হয়৷ পরবর্তীতে ২০১৩ সালে এসে বেশ কয়েকটি সংশোধনী আনা হয় আইনে৷ এ বছরেও আরেকটা সংশোধনীর কাজ চলছে৷ আসলে আইন অনেক, আইনের কোনো অভাব নেই৷ আমি তো বলবো, আইন প্রয়োজনের তুলনায় একটু বেশিই আছে৷

এই আইনগুলো সাধারণ মানুষের জন্য কি হয়রানিমূলক?

প্রতারণা, খুন, চুরির ঘটনা শুধু সাইবার ক্রাইমে নয়, সাধারণভাবেও দেখা যায়৷ তবে সাইবার ওয়ার্ল্ডে এগুলো হয় ইন্টারনেট বা প্রযুক্তি ব্যবহার করে৷ এখানে মাধ্যমটা আলাদা, কিন্তু অপরাধ সেই আগেরই৷ সাইবার অপরাধের জন্য প্রত্যেকটা ক্ষেত্রে আলাদা আইন বা বিচারব্যবস্থা থাকার কোনো প্রয়োজন নেই৷ বরং যেটা প্রয়োজন ছিল, তথ্য-প্রযুক্তি ব্যবহার করে যদি কোনো অপরাধ হয় তাহলে তথ্য-প্রযুক্তি সংক্রান্ত এভিডেন্সগুলো কালেক্ট করা এবং সেগুলো আমলযোগ্য করা৷ যাতে কোর্ট সেগুলো আমলে নেয় এবং তার ভিত্তিতে শাস্তি দেয়৷ আমার মনে হয়, শাস্তি হতে হবে অপরাধের গুরুত্ব বিচার করে৷ আসলে সে সাইবার ওয়ার্ল্ডে অপরাধ করল না সাধারণভাবে অপরাধ করল – এ বিষয়টা আমরা গুলিয়ে ফেলি৷ তাছাড়া সাইবার অপরাধের অনেক প্রাণঘাতি আইন রয়েছে৷ ফলে তার অপপ্রয়োগের সুযোগও তৈরি হয়েছে৷ দেখা যাচ্ছে, সামান্য অপরাধেও অনেকে বিনা বিচারে জেল খাটছেন অথবা নানা ধরনের হয়রানির শিকার হচ্ছেন৷

এ বিষয়ে সচেতনতা কিভাবে বাড়ানো যায়?

আসলে সাইবার ক্রাইম বা সাইবার অপরাধ এড়িয়ে চলার জন্য মূল বিষয়টাই হচ্ছে সচেতনতা৷ মানুষকে যদি সচেতন করা যায়, তাহলে অপরাধ অনেকাংশে কমিয়ে ফেলা সম্ভব৷ পরিসংখ্যানে দেখা যায়, সাত থেকে আট ভাগ অপরাধ হয় ব্যবহারকারীর সচেতনার অভাবে৷ তাই যারা তথ্য-প্রযুক্তি ব্যবহার করছে তাদের যদি আমরা সচেতন করতে পরতাম, তাহলে এই অপরাধগুলো অনেকটা কমিয়ে আনা সম্ভব হতো৷ এখন প্রশ্ন হচ্ছে, সচেতনতা বাড়ানো যায় কিভাবে? এটা বাড়ানোর দায়িত্ব কিন্তু সবার৷ আমরা যারা এই ইন্ডাস্ট্রিতে কাজ করছি বা যেসব প্রতিষ্ঠান এখানে কাজ করছে, তাদের একটা দায়িত্ব আছে ব্যবহারকারীদের ‘বেস্ট প্র্যাকটিসগুলো' শেখানো এবং জানানো কিভাবে এগুলো আরো বেশি নিরাপদে ব্যবহার করা যায়৷ সরকারেও একটা দায়িত্ব আছে৷ স্কুলে যারা লেখাপড়া করছে তাদের পাঠ্যসূচিতে এগুলো ঢোকানো যেতে পারে৷ তাহলে তারা সেখান থেকেই শিখে আসতে পারবে৷ সেইসঙ্গে মিডিয়া যদি একটু দায়িত্ব নেয়, তাহলে কাজটা অনেক সহজ হয়৷ এই যেমন ডায়রিয়া প্রতিরোধে মিডিয়ার প্রচারণা কিন্তু একটা গুরুত্বপূর্ণ ভূমিকা রেখেছিল৷ সাইবার অপরাধের ক্ষেত্রেও যদি আমরা এই ধরনের প্রচারণা ব্যবহার করি তাহলে অনেকাংশেই বর্তমান অবস্থা থেকে বেড়িয়ে আসতে পারব৷

আমরা দেখি, বিভিন্ন প্রতিষ্ঠান তাদের কাজকর্ম অনলাইন করতে প্রচুর বিনিয়োগ করে৷ অথচ তাদের ব্যবহার করা সাইটকে নিরাপদ করতে কোনো বিনিয়োগ নেই৷ এটা কেন?

আমার মনে হয়, এটা এক ধরনের অজ্ঞতা৷ আপনার সাইটটি যদি নিরাপদ না হয়, তবে এটার পর নির্ভর করে আপনি যদি কোনো সার্ভিস বা ব্যবসা করার প্ল্যান করেন, তাহলে কিন্তু আপনি অনেক বড় ক্ষতির সম্মুখীন হতে পারেন৷ এখানে আমি দু'টি জিনিস বলব৷ একটা হলো অজ্ঞতা, যেখানে আমরা না বুঝেই অবহেলা করে থাকি৷ এটা শুধু তথ্য-প্রযুক্তির ক্ষেত্রে না, সব ক্ষেত্রেই৷ যেমন ধরেন, আপনি একটা রাস্তা তৈরি করলেন৷ এখন সেটা যদি ছ'মাসেই ভেঙে যায় তাহলে বুঝতে হবে সেটা সঠিকভাবে তৈরি হয়নি অথবা এতে দুর্নীতির ছোঁয়া আছে৷

একইভাবে আমাদের একটা অংশ, যারা তথ্য-প্রযুক্তি ব্যবহার করতে পেরে খুশিতে আত্মহারা, তারা কিন্তু নিরাপত্তার বিষয়টি উপেক্ষা করছেন৷ অন্য বিষয়টি হচ্ছে, কোম্পানিগুলো যেটুকু খরচ না করলেই নয়, শুধু সেটুকু করছে৷ কিন্তু এতে করে নিরাপত্তার জায়গাটা দারুণভাবে অবহেলা করা হচ্ছে৷ আর সরকারি প্রতিষ্ঠানগুলো যে তথ্য-প্রযুক্তি ব্যবহার করছে, সেখানে ম্যানপাওয়ারের ঘাটতি আছে৷ অনেকগুলো কাজ হচ্ছে ‘প্রজেক্টবেস্ড'৷ যখন ‘প্রজেক্ট' বা প্রকল্প চলে, কাজও চলে৷ কিন্তু প্রজেক্ট শেষ হলে সব কিছু শেষ হয়ে যায়৷ অথচ সব তথ্য যে রক্ষণাবেক্ষণের প্রয়োজন আছে, সেটা উপেক্ষা করা হচ্ছে৷ তথ্য-প্রযুক্তি দ্রুত পরিবর্তনশীল৷ তাই আমরা যদি নিয়মিত যে নতুন চেঞ্জগুলো আসছে সেটা আপডেট না করি, তাহলে ‘ভালনারেবিলিটির' মধ্যে পড়ে যাবো৷

ব্যাংকসহ বিভিন্ন প্রতিষ্ঠান তাদের আইটি বিভাগকে থার্ড পার্টি বা তৃতীয় পক্ষের হাতে দিয়ে দিচ্ছে, এতে করে তো ঝুঁকি আরো বাড়ছে৷ তাই না? এক্ষেত্রে আসলে আমাদের করণীয়টা কী?

আসলে দেখা যায়, থার্ড পার্টির কাছে দেয়া হয় দু'টি চিন্তা থেকে৷ এর একটি খরচ কমানো এবং অপরটি দক্ষতা বাড়ানো৷ কিছু কাজ আপনি থার্ড পার্টির কাছে দিতে পারেন৷ কিন্তু আপনার সেই দক্ষতা থাকতে হবে যে, থার্ড পার্টি করুক আর আপনার নিজের আইটি বিভাগই করুক, তারা ঠিকমতো কাজটা করছে কিনা সেটা বুঝে নেয়ার৷ অনেক ক্ষেত্রেই দেখা যায়, নিজেদের আইটি টিম থাকলেও তারা কী করছে ম্যানেজমেন্ট সেটা দেখে না৷ আবার তারা ঠিক করছে না ভুল করছে সেটা বিচার করার ক্ষমতাও ম্যানেজমেন্টের নেই৷ ফলে আইটি টিমে অজ্ঞতা বা অসাবধানতার কারণে আপনি বড় সমস্যায় পড়তে পারেন৷ আবার থার্ড পার্টি যে কাজটা করছে, সেটা বুঝে নেবে কে? এই জায়গায় যে সক্ষমতা, ‘ট্যান্সপারেন্সি' ও ‘ম্যানেজমেন্ট পলিসি' দরকার সেটা আমরা করতে পারছি না৷ এ কারণে প্রতিষ্ঠানগুলো নানা ধরনের সমস্যার সম্মুখীন হচ্ছে৷

আপনি বলছিলেন, প্রতিষ্ঠানগুলোতে দক্ষ লোক থাকতে হবে৷ আমরা খেয়াল করেছি যে, এই সেক্টরে দক্ষ মানুষ, কাজের মানুষ বা এই সেক্টরটা বোঝার মতো মানুষের সংখ্যা খুবই কম৷ সেক্ষেত্রে রাষ্ট্র কোনো ভূমিকা রাখতে পারে কি? বা পাবলিক সেক্টরের কি কিছু করণীয় আছে?

‘ম্যানপাওয়ার' কমার পেছনে একটা কারণ হলো – এই চাকরিগুলো বাইরের দেশে অনেক বেশি ‘লুক্রেটিভ'৷ ফলে এখানকার ছেলে-মেয়েরা যারা একটু ভালো হয়, তারা অনেক বেশি বেতনে, অনেক বেশি সুবিধা নিয়ে বাইরে চাকরির জন্য চলে যায়৷ অর্থাৎ দেশে একটা শূন্যতা তৈরি হয়৷ দ্বিতীয়ত – ‘সিকিউরিটি' নিয়ে কাজ করার ক্ষেত্রে আমাদের দেশে চাহিদাটাই আসলে ছিল না৷ আমাদের দেশের প্রতিষ্ঠানগুলো এই ব্যাপারগুলোকে কখনই খুব বেশি গুরুত্ব দেয়নি৷ আপনি কখনোই শুনবেন না যে, একটি প্রতিষ্ঠানে প্রতি বছর আইটি অডিট হয় বা সিকিউরিটি অডিট হয়৷ এই ‘প্র্যাকটিস' আমাদের দেশে গড়ে উঠেনি৷ অথচ আমরা প্রতি বছর আর্থিক অডিট করাচ্ছি৷ বাইরের দেশগুলোতে ১০ থেকে ১৫ বছর ধরে এটা স্বীকৃত যে, একটি প্রতিষ্ঠানে প্রতি বছর নিরাপত্তা অডিট হতে হবে৷ কোম্পানিটির নিরাপত্তা নিশ্চিত আছে কিনা, সফটওয়ারগুলো ‘আপডেটেড' কিনা বা যে প্রক্রিয়ায় তাদের কাজ চলছে, সেটা ঠিক আছে কিনা৷ এই জায়গাতে আমাদের প্রয়োজন হয়নি, তাই ম্যানপাওয়ারও সেভাবে তৈরি হয়নি৷ আমাদের প্রতিষ্ঠানগুলোকে প্রথমে উদ্যোগ নিয়ে এই কাজগুলো করতে হবে৷ এক্ষেত্রে একটা ‘ডিম্যান্ড' তৈরি হলে ‘ম্যানপাওয়ারও' তৈরি হবে৷ প্রথমদিকে হয়ত বাইরে থেকে এসে কিছু লোক কাজ করবে৷ পরে খুব সহজেই আমরা এটা ‘ওভারকাম' করতে পারব৷ একটা জিনিস মাথায় রাখতে হবে, সব কিছু ‘আউটসোর্সিং' করা যায়, কিন্তু নিরাপত্তার বিষয়টি ‘আউটসোর্সিং' করা যায় না, যাবে না৷ আমাদের দেশের অনেক ব্যাংকেই আইটির ব্যাপারটা দেখে বাইরের প্রতিষ্ঠান৷ আসলে নিরাপত্তার জায়গায় নিজেদের সক্ষমতা গড়তে হবে৷ এর জন্যে রাষ্ট্রকে উদ্যোগ নিতে হবে৷ আমাদের বাইরে যারা আছেন, তাদের নিয়ে এসে কাজ শুরু করতে পারলে খুব সহজেই আমরা বিষয়টা করতে পারব৷

আপনি কি তথ্য-প্রযুক্তি বিশেষজ্ঞ সুমন আহমেদ সাবিরের সঙ্গে একমত? জানান মন্তব্যের ঘরে৷

নির্বাচিত প্রতিবেদন

এই বিষয়ে অডিও এবং ভিডিও

Albanian Shqip

Amharic አማርኛ

Arabic العربية

Bengali বাংলা

Bosnian B/H/S

Bulgarian Български

Chinese (Simplified) 简

Chinese (Traditional) 繁

Croatian Hrvatski

Dari دری

English English

French Français

German Deutsch

Greek Ελληνικά

Hausa Hausa

Hindi हिन्दी

Indonesian Bahasa Indonesia

Kiswahili Kiswahili

Macedonian Македонски

Pashto پښتو

Persian فارسی

Polish Polski

Portuguese Português para África

Portuguese Português do Brasil

Romanian Română

Russian Русский

Serbian Српски/Srpski

Spanish Español

Turkish Türkçe

Ukrainian Українська

Urdu اردو