রিপোর্টারের নাম 
বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ঘটনার এক দশকের বেশি সময় পেরিয়ে গেলেও বিদেশি অর্থ লেনদেনের বৈশ্বিক প্ল্যাটফর্ম সুইফট (SWIFT) পরিচালনায় কেন্দ্রীয় ব্যাংকের নিরাপত্তা ব্যবস্থায় এখনও বেশ কিছু গুরুত্বপূর্ণ দুর্বলতা ও অসঙ্গতি রয়েছে বলে উঠে এসেছে অন্তর্বর্তী সরকারের গঠিত একটি পর্যালোচনা কমিটির প্রতিবেদনে।
বিশ্বজুড়ে আলোড়ন তোলা রিজার্ভ চুরির ঘটনার প্রায় সাড়ে ১০ বছর পর, মামলার অভিযোগপত্র চূড়ান্ত হওয়ার প্রস্তুতির মধ্যেই সুইফট সার্ভার রুমের নিরাপত্তা ঘাটতির বিষয়টি নতুন করে আলোচনায় এসেছে। অন্তর্বর্তী সরকারের গঠিত পর্যালোচনা কমিটির সদস্যরা বাংলাদেশ ব্যাংকের সুইফট সার্ভার রুম পরিদর্শন করে যে প্রতিবেদন জমা দেন, তাতে সাইবার নিরাপত্তা অবকাঠামো, ঝুঁকি ব্যবস্থাপনা, লগ বিশ্লেষণ, স্বয়ংক্রিয় ব্যাকআপ, বিকল্প দুর্যোগ পুনরুদ্ধার কেন্দ্র (ডিআর সাইট), নিরাপত্তা পর্যবেক্ষণ কেন্দ্র এবং নেটওয়ার্ক নিরাপত্তার বিভিন্ন দুর্বলতা চিহ্নিত করা হয়।
প্রতিবেদনে বলা হয়, বাংলাদেশ ব্যাংকের ইন্টারনেট সেবা প্রদানকারী প্রতিষ্ঠানে ফায়ারওয়াল ব্যবহারের ঘাটতি রয়েছে। এছাড়া ২০২৫ সালের ১ জুলাই পরিদর্শনের সময় ‘ডিফল্ট প্যারামিটার’ ব্যবহার করে ওয়েব ব্রাউজিং এবং আন্তর্জাতিকভাবে কম ব্যবহৃত ভিপিএন ব্যবস্থার ব্যবহারও তাদের নজরে আসে। পর্যালোচনা কমিটির এক সদস্য বিডিনিউজ টোয়েন্টিফোর ডটকমকে বলেন, সুইফট পরিচালনা ব্যবস্থায় তারা অ্যান্টি মানি লন্ডারিং (এএমএল) সফটওয়্যার দেখতে পাননি। ফলে লেনদেন-সংক্রান্ত তথ্য প্রেরণকারীদের পরিচয় যাচাই (কেওয়াইসি) এবং প্রদত্ত তথ্যের সত্যতা যাচাইয়ের ক্ষেত্রে সীমাবদ্ধতা থেকে যায়।
তিনি আরও বলেন, সুইফট ট্রানজেকশনের প্রোফাইল যাচাইয়ের (ভ্যালিডেশন) কার্যকর ব্যবস্থাও তাদের চোখে পড়েনি। তার ভাষায়, “এ ধরনের ব্যবস্থাপনায় যেকোনো সময় হ্যাকিংয়ের ঝুঁকি থাকতে পারে। বাংলাদেশের সুইফট নিরাপত্তা কাঠামো খুব একটা সন্তোষজনক অবস্থায় ছিল না।” রিজার্ভ চুরির ঘটনার পর পরিস্থিতির কতটা উন্নতি হয়েছে—এমন প্রশ্নে তিনি বলেন, কিছু অগ্রগতি দেখা গেলেও তা পর্যাপ্ত নয়। তাদের পর্যবেক্ষণের পর সংশ্লিষ্ট প্রকৌশলীরাও উপলব্ধি করেছেন যে নিরাপত্তা ব্যবস্থায় আরও শক্তিশালী পদক্ষেপ প্রয়োজন।
যে দুর্বলতাগুলো শনাক্ত হয়েছিল
২০১৬ সালের ৪ ফেব্রুয়ারি হ্যাকাররা সুইফট কোড ব্যবহার করে নিউইয়র্ক ফেডারেল রিজার্ভে থাকা বাংলাদেশ ব্যাংকের বৈদেশিক মুদ্রার রিজার্ভ থেকে প্রায় ১০ কোটি ১০ লাখ ডলার সরিয়ে নেয়। ওই ঘটনার পর নিরাপত্তা জোরদারে নানা পদক্ষেপ নেওয়া হলেও পর্যালোচনা কমিটির পর্যবেক্ষণে আরও কিছু গুরুত্বপূর্ণ ঘাটতি উঠে আসে।
সেগুলোর মধ্যে ছিল—
- এক্সডিআর/এনডিআর ডিভাইস সংযুক্ত না থাকা
- সার্ভার রুম সংলগ্ন নেটওয়ার্ক র্যাকে পর্যাপ্ত ফায়ার সেফটি ও পরিবেশ পর্যবেক্ষণ ব্যবস্থা না থাকা
- সুইফট সার্ভার রুমে সুশৃঙ্খল কেবল ম্যানেজমেন্টের অভাব
- কিছু কেবলে উৎস ও গন্তব্য নির্দেশক ট্যাগ না থাকা
- অ্যান্টি মানি লন্ডারিং টুল ব্যবহার না করা
- নতুন প্রজন্মের সুইফট সফটওয়্যারে মাইগ্রেশন সম্পন্ন না হওয়া
একইসঙ্গে সুইফট পরিচালনায় দক্ষ ও বিশেষায়িত জনবল গড়ে তোলার সুপারিশও করা হয়।
বাংলাদেশ ব্যাংকের অগ্রগতি প্রতিবেদন কী বলছে
পরিদর্শন প্রতিবেদনের ভিত্তিতে বাংলাদেশ ব্যাংক যে অগ্রগতি প্রতিবেদন তৈরি করে, তাতে উল্লেখ করা হয় যে রিজার্ভ চুরির পর নিরাপত্তা জোরদারে একাধিক পদক্ষেপ নেওয়া হয়েছে। বর্তমানে সুইফট সার্ভার সার্বক্ষণিক সচল রাখা হয় না। শুধু লেনদেন নিষ্পত্তির সময় হার্ডওয়্যার সিকিউরিটি মডিউল (এইচএসএম) ব্যবহার করা হয়। এছাড়া নিয়মিত পাসওয়ার্ড পরিবর্তন, মাল্টি-ফ্যাক্টর অথেনটিকেশন (এমএফএ) এবং ওয়ান-টাইম পাসওয়ার্ড (ওটিপি) চালুর কথাও প্রতিবেদনে উল্লেখ করা হয়েছে। পূর্বের ভিপিএনের পরিবর্তে আন্তর্জাতিকভাবে স্বীকৃত ভিপিএন ব্যবস্থাও চালু করা হয়েছে বলে জানানো হয়। বাংলাদেশ ব্যাংক আরও জানিয়েছে, সার্ভার রুমের অবকাঠামো, তাপমাত্রা নিয়ন্ত্রণ এবং পরিবেশগত পর্যবেক্ষণ ব্যবস্থার উন্নয়ন করা হয়েছে। তবে আন্তর্জাতিক মানের নিরাপত্তা টুল সংগ্রহ, অ্যান্টি মানি লন্ডারিং সিস্টেম চালু, স্বয়ংক্রিয় ব্যাকআপ, নিরাপত্তা পর্যবেক্ষণ কেন্দ্র, লগ সংরক্ষণ, নিরাপত্তা স্থাপত্য (সিকিউরিটি আর্কিটেকচার) এবং বিকল্প সাইটে প্রয়োজনীয় জনবল নিয়োগের মতো বেশ কিছু কাজ এখনও চলমান রয়েছে।
‘সর্বনিম্ন দরদাতা’ নির্ভর নিরাপত্তা নিয়ে প্রশ্ন
কমিটির অন্যতম গুরুত্বপূর্ণ পর্যবেক্ষণ ছিল নিরাপত্তা সফটওয়্যার কেনায় সর্বনিম্ন দরদাতার ওপর অতিরিক্ত নির্ভরতা। তদন্ত দলকে জানানো হয়, উন্মুক্ত দরপত্রের মাধ্যমে সর্বনিম্ন দরদাতার কাছ থেকে কিছু নিরাপত্তা সফটওয়্যার সংগ্রহ করা হয়েছে। তবে কমিটির মতে, কেন্দ্রীয় ব্যাংকের মতো গুরুত্বপূর্ণ আর্থিক প্রতিষ্ঠানের ক্ষেত্রে শুধু কম দামের বিষয়টি বিবেচনা না করে আন্তর্জাতিকভাবে স্বীকৃত ও উচ্চমানের নিরাপত্তা সমাধানকে অগ্রাধিকার দেওয়া প্রয়োজন। এ কারণে মাইক্রোসফট, আইবিএমসহ আন্তর্জাতিকভাবে প্রতিষ্ঠিত নিরাপত্তা প্ল্যাটফর্ম ব্যবহারের সুপারিশও করা হয়।
ভবিষ্যৎ ঝুঁকি মোকাবিলায় সুপারিশ
ভবিষ্যতে এ ধরনের ঘটনা প্রতিরোধে পর্যালোচনা কমিটি কয়েকটি গুরুত্বপূর্ণ সুপারিশ করেছে। এর মধ্যে রয়েছে—
- জাস্ট-ইন-টাইম অ্যাকসেস নিশ্চিত করা
- উন্নতমানের হার্ডওয়্যার সিকিউরিটি মডিউল ব্যবহার
- সুইফট জোনে ইউএসবি ডিভাইস ও মোবাইল ফোন ব্যবহার সীমিত করা
- ব্যবহারকারীর আচরণ বিশ্লেষণ ব্যবস্থা চালু করা
- ফাইল ইন্টেগ্রিটি মনিটরিং ব্যবস্থা চালু করা
- নিরাপদ ওয়েব গেটওয়ে ব্যবহার
- কৃত্রিম বুদ্ধিমত্তাভিত্তিক অস্বাভাবিক কার্যক্রম শনাক্তকরণ প্রযুক্তি সংযোজন
- সাইবার ঝুঁকি নিবন্ধন ব্যবস্থা চালু করা
- সিসিটিভি ফুটেজের একাধিক ব্যাকআপ সংরক্ষণ
‘সব সুপারিশ বাস্তবায়ন একদিনে সম্ভব নয়’
পর্যালোচনা কমিটির সুপারিশ বাস্তবায়নের বিষয়ে বাংলাদেশ ব্যাংকের মুখপাত্র আরিফ হোসেন খান বলেন, সরকার গঠিত কমিটির সব সুপারিশ গ্রহণ করা হয়েছে এবং সেগুলো ধাপে ধাপে বাস্তবায়ন করা হচ্ছে। তিনি বলেন, “সব সুপারিশ তাৎক্ষণিকভাবে বাস্তবায়ন সম্ভব নয়। বাংলাদেশ ব্যাংক সব সুপারিশ গ্রহণ করেছে এবং একটার পর একটা বাস্তবায়নের কাজ করছে।” তবে কোন কোন কাজ এখনও অসম্পূর্ণ রয়েছে, সে বিষয়ে তিনি বিস্তারিত জানাননি। সাইবার নিরাপত্তা সফটওয়্যার কেনায় সর্বনিম্ন দরদাতা নির্ভরতার বিষয়ে তিনি বলেন, সরকারি ক্রয়বিধির কারণে অনেক সময় সিদ্ধান্ত গ্রহণে সীমাবদ্ধতা থাকে। তার ভাষায়, “তিনটি প্রতিষ্ঠান দরপত্রে অংশ নিলে সর্বনিম্ন দরদাতাকে বাদ দিয়ে অন্য কাউকে নির্বাচন করলে তারও জবাবদিহি করতে হয়।” তবে তিনি মনে করেন, তথ্যপ্রযুক্তি নিরাপত্তা কোনো স্থির বিষয় নয়; এটি একটি চলমান প্রক্রিয়া। “আজ যে প্রযুক্তিকে সবচেয়ে নিরাপদ মনে হচ্ছে, কয়েক বছর পর সেটিও নতুন ধরনের সাইবার আক্রমণের মুখে পড়তে পারে,” বলেন তিনি।
