এনবিআরের সার্ভার রক্ষণাবেক্ষণে বছরে শতকোটি টাকা ব্যয়, তবুও হ্যাক
ছবি: সংগৃহীত
কাস্টমসের সার্ভারে একের পর এক হ্যাকের ঘটনা ঘটেই চলেছে। ২০১৫,২০১৬,২০১৯,২০২২ এবং সর্বশেষ ২০২৪ সালে কয়েকদফা রাজস্ব কর্মকর্তাদের আইডি হ্যাক করে কয়েক হাজার কোটি টাকার পণ্য খালাস নেওয়ার ঘটনা ঘটেছে। আর এতে প্রশ্ন উঠেছে জাতীয় রাজস্ব বোর্ডের (এনবিআর) নিরাপত্তা ব্যবস্থা নিয়ে।
অথচ প্রতিবছর কাস্টমসের অ্যাসাইকুডা সফটওয়্যার রক্ষণাবেক্ষণের নামে শতকোটি টাকা খরচ করে যাচ্ছে এনবিআর। গত ৩ বছরে সিস্টেম রক্ষণাবেক্ষণে প্রায় ৩০০ কোটি টাকার কেনাকাটা করেও এনবিআরের সার্ভার সিস্টেম নিরাপদ করা যায়নি। অথচ বার বার এ ঘটনা ঘটলেও এখনো নিশ্চুপ-নির্বিকার জাতীয় রাজস্ব বোর্ড (এনবিআর) ।
উচ্চ শুল্ক ও জনস্বাস্থ্যের জন্য ক্ষতিকর মদ-বিয়ার, সিগারেট, ঘন চিনি ও বন্ডের কাপড় চালান ধরা পড়লেও দুষ্কৃতকারীদের চিহ্নিতের পরিবর্তে দায়িত্বশীলদের মনোযোগ শুধু কেনাকাটায়। ৩ বছরে সিস্টেম রক্ষণাবেক্ষণে সরকারি এই সংস্থাটি প্রায় ৩০০ কোটি টাকার কেনাকাটা করেছে। তবে এই কেনাকাটার মান ও প্রয়োজনীয়তা নিয়ে প্রশ্ন উঠেছে খোদ সংস্থাটির অভ্যন্তরে। দায়িত্বশীলরা দায় এড়াতে বিশেষজ্ঞদের পরিবর্তে কাস্টমস কর্মকর্তাদের দিয়ে লোকদেখানো অডিট করাচ্ছেন।
সংশ্লিষ্টরা বলছেন, প্রকৃত দোষীদের আড়াল করতে এবং কেনাকাটা জায়েজ করতেই অডিটের নামে আইওয়াশ করা হচ্ছে। তৃতীয় পক্ষের মাধ্যমে সিস্টেমের কেনাকাটা ও অডিট করালে থলের বিড়াল বেরিয়ে আসবে।
কাস্টমসে স্বচ্ছতা, জবাবদিহিতা ও দুর্নীতি রোধে ১৯৯৪ সালে সর্বপ্রথম ঢাকা কাস্টম হাউজে অ্যাসাইকুডা ভার্সন-টু সফটওয়্যার চালু করা হয়। ২০০২ সালে অ্যাসাইকুডা প্লাস প্লাস সফটওয়্যার ব্যবহার করে কাস্টমস। পরবর্তী সময়ে ২০১৩ সালে অত্যাধুনিক ভার্সন হিসাবে অ্যাসাইকুডা ওয়ার্ল্ড চট্টগ্রাম কাস্টম হাউজসহ সব কাস্টম হাউজে চালু করা হয়। বর্তমানে এ পদ্ধতিতে আমদানি-রপ্তানি দলিলাদি জমা এবং শুল্কায়ন কার্যক্রম পরিচালিত হয়ে থাকে। জাতিসংঘের বাণিজ্য ও উন্নয়ন সংস্থা (আঙ্কটাড) বাংলাদেশ কাস্টমসকে বিনামূল্যে অ্যাসাইকুডা সফটওয়্যারটি সরবরাহ করে।
তথ্যানুসন্ধানে জানা যায়, ২০১৯ সালে অ্যাসাইকুডা সিস্টেম হ্যাকের খবর আলোচনায় আসে। ওই বছর শুল্ক গোয়েন্দার তদন্তে উঠে আসে, অবসরপ্রাপ্ত এক রাজস্ব কর্মকর্তার ইউজার আইডি-পাসওয়ার্ড ব্যবহার করে ১১৬ বার অ্যাসাইকুডা ওয়ার্ল্ডে লগইন ও লগআউট করে পণ্য খালাস নেওয়ার ঘটনা ঘটেছে। ২০১৫ সালে বদলি হওয়া আরেক সহকারী রাজস্ব কর্মকর্তার ইউজার আইডি ব্যবহার করে ২০১৬ সালের ১৩ অক্টোবর থেকে ২০১৯ সালের ৮ জানুয়ারি পর্যন্ত ৩ হাজার ৬৮১ বার অ্যাসাইকুডা ওয়ার্ল্ড সিস্টেমে লগইন করা হয় এবং ৮৫০ কোটি টাকার পণ্য খালাস নেওয়া হয়। এ ঘটনায় তখন পুরো এনবিআরে হইচই পড়ে যায়।
এরপর ২০২১ সালের ২৭ অক্টোবর সিস্টেমে প্রবেশে নতুন সিকিউরিটি ফিচার ওটিপি (ওয়ান টাইম পাসওয়ার্ড) চালু করা হয়। তাতেও সিস্টেম নিরাপদ করা যায়নি। ২০২২ সালে মৃত রাজস্ব কর্মকর্তার ইউজার আইডি ব্যবহার করে সিস্টেমে প্রবেশের মাধ্যমে পণ্য চালান খালাসের চেষ্টা করা হয়। সর্বশেষ ২৮ জুন উপকমিশনার মোহাম্মদ জাকারিয়ার আইডি হ্যাকের মাধ্যমে ওয়াটার পিউরিফাইয়ার ঘোষণায় বিদেশি মন্ড ব্র্যান্ডের সিগারেট খালাস নেওয়ার চেষ্টা চালায় সংঘবদ্ধ চক্র। শুধু মে মাসেই তার আইডি ব্যবহার করে সিস্টেমে ৪০-৪৫ বার প্রবেশ করা হয়েছে। অথচ এ সময় তিনি দেশেও ছিলেন না।
তথ্যানুসন্ধানে জানা যায়, একের পর এক সার্ভার হ্যাকের ঘটনা ঘটায় ২০২২ সালে চট্টগ্রাম কাস্টমস থেকে সিস্টেম অডিট করানোর অনুরোধ জানিয়ে এনবিআরে একাধিক চিঠি দেওয়া হয়। কিন্তু অজ্ঞাত কারণে এনবিআর কোনো পদক্ষেপ নেয়নি। উলটো অ্যাসাইকুডা সিস্টেম সুরক্ষার নামে বিপুল অঙ্কের অপ্রয়োজনীয় কেনাকাটা করা হয়। আর শীর্ষ কর্মকর্তাদের খুশি রাখতে প্রশিক্ষণের নামে প্রতিবছর বিদেশ ভ্রমণের আয়োজন করা হয়। নেটওয়ার্কিং, ডেটা সেন্টার, সিকিউরিটি প্যাচ আপডেট, সার্ভিসিংয়ের নামে ৩ বছরে সিস্টেম রক্ষণাবেক্ষণে প্রায় ৩০০ কোটি টাকার কেনাকাটা করা হয়েছে।
লোকদেখানো তদন্ত কমিটি : গত ১২ নভেম্বর কাস্টমস কর্মকর্তাদের দিয়ে সিস্টেমের ৭টি মডিউল অডিট করাতে পৃথক ৭টি কমিটি করা হয়। এগুলো হচ্ছে-১. বাংলাদেশ ব্যাংক, চট্টগ্রাম বন্দর কর্তৃপক্ষ, বেপজা, বেজা ও আইভাস সিস্টেমের সঙ্গে অ্যাসাইকুডা সিস্টেমের ইন্টিগ্রেশন সংক্রান্ত অডিট। ২. রেফারেন্স মডিউল অডিট, ৩. এক্সিট নোট অডিট, ৪. পেমেন্ট অডিট, ৫. বিল অব এন্ট্রি মডিউল অডিট, ৬. মেনিফেস্টো ও বিল অব ল্যাডিং অডিট, ৭. ইউজার ম্যানেজমেন্ট অডিট। এসব কমিটিতে প্রোগ্রামার ছাড়া যে কাস্টমস কর্মকর্তাদের রাখা হয়েছে, তাদের কারোরই সফটওয়্যার বা আইটিবিষয়ক শিক্ষাগত যোগ্যতা বা কারিগরি প্রশিক্ষণ নেই। কেউ পড়াশোনা করেছেন বাংলায়, কেউ ব্যবসায় প্রশাসন, কেউ রাষ্ট্রবিজ্ঞানে, কেউ মাইক্রোবায়োলজি বা মার্কেটিং বিষয়ে। কমিটির সদস্যদের এক মাসের মধ্যে সিস্টেম অডিটের প্রতিবেদন দেওয়ার জন্য বলা হলেও এখনো অধিকাংশ কমিটি প্রতিবেদন জমা দেয়নি।
অডিটে প্রাপ্ত ফলাফলের বিষয়ে জানতে কয়েকটি কমিটির আহ্বায়কের সঙ্গে যোগাযোগ করা হলেও তারা কথা বলতে রাজি হননি। নাম প্রকাশ না করার শর্তে অন্তত ৩টি কমিটির একাধিক সদস্য বলেন, প্রতিবেদনে অ্যাসাইকুডা সিস্টেমের মডিউলের কর্মপদ্ধতি এবং সিস্টেম নিরাপদ রাখার বিষয়ে ‘ধারণাপ্রসূত’ রিপোর্ট দেওয়া হয়েছে। তবে কীভাবে সেটা সম্ভব, সেজন্য বিশেষজ্ঞদের পরামর্শ এবং প্রয়োজনীয় তৃতীয় পক্ষের মাধ্যমে সিস্টেম অডিট করাতে সুপারিশ করা হয়েছে।
প্রসঙ্গত, এর আগেও অ্যাসাইকুডা সিস্টেম অডিট করতে কমিটি করেছিল এনবিআর। ২০২২ সালের ২২ জুলাই সিস্টেম হ্যাক করে চট্টগ্রাম বন্দর থেকে খালাস নেওয়া মদ-বিয়ারের চালান নারায়ণগঞ্জের সোনারগাঁয়ে র্যাব জব্দ করে। এ পরিপ্রেক্ষিতে ২৯ আগস্ট সার্ভার হ্যাকের ঘটনা তদন্তে শুল্ক গোয়েন্দাকে নির্দেশ দেয় এনবিআর। তদন্ত কমিটি সার্ভার হ্যাকে জড়িতদের শনাক্তে ব্যর্থ হয়। তদন্ত প্রতিবেদনে বলা হয়, ওয়ান টাইম পাসওয়ার্ড (ওটিপি) ছাড়া সিস্টেমে অনুপ্রবেশ অত্যন্ত টেকনিক্যাল হওয়ায় এবং এনবিআরের ডিজিটাল ফরেনসিক ল্যাব না থাকায় সাইবার সিকিউরিটিতে অভিজ্ঞ প্রতিষ্ঠানের মাধ্যমে জড়িতদের শনাক্তে ব্যবস্থা নেওয়া যেতে পারে।
সরষের মধ্যে ভূত : সিস্টেম অডিটে জড়িত কাস্টমস কর্মকর্তারা বলছেন, প্রতিবার সার্ভারে লগইনের সময় সংশ্লিষ্ট কর্মকর্তার মোবাইলে ওটিপি এসেছে। কিন্তু আশ্চার্যজনক বিষয় হচ্ছে, যেসব চালানে মদ-বিয়ার, সিগারেট, ঘন চিনি ও বন্ডের কাপড় ছিল, সেসব চালানে ওটিপি মেসেজ যায়নি। প্রশ্ন হচ্ছে, পাসওয়ার্ড ঠিকভাবে দেওয়ার পরই কেবল মোবাইলে ওটিপি মেসেজ যাওয়ার কথা। সার্ভার হ্যাকের প্রতিটি ঘটনায় পাসওয়ার্ড সঠিকভাবে দেওয়া হয়েছে, কেবল সংশ্লিষ্ট কর্মকর্তার মোবাইলে ওটিপি যায়নি। এক্ষেত্রে হয় সংশ্লিষ্ট কর্মকর্তা নিজে পাসওয়ার্ড কম্প্রোমাইজ করেছেন অথবা কর্মকর্তাদের পাসওয়ার্ড যে স্থানে সুরক্ষিত থাকার কথা, সেখানে অ্যাকসেস রয়েছে এবং সিস্টেম সম্পর্কে অতি উচ্চ ধারণা রয়েছে-এমন ব্যক্তিরা হ্যাকের সঙ্গে জড়িত, যা সাধারণ কর্মকর্তাদের পক্ষে নিরূপণ করা সম্ভব নয়।
সর্বশেষ ঘটনাটি বিশ্লেষণ করে একাধিক আইটি বিশেষজ্ঞ বলেছেন, সার্ভার হ্যাকের পেছনে কাস্টমস ও আইটি কর্মকর্তাদের শতভাগ যোগসাজশ আছে। যোগসাজশ ছাড়া কোনোভাবেই সিস্টেম হ্যাক সম্ভব নয়। কারণ, সিস্টেম সুরক্ষার জন্য কম্পিউটারের সঙ্গে আইপি অ্যাডড্রেস বাইন্ড করা হয়। কোনো কারণে অন্য কর্মকর্তার কম্পিউটারের আইপি অ্যাডড্রেস ইউজার আইডির সঙ্গে বাইন্ড করা হলে আগের ইউজার আইডি থেকে আইপি অ্যাডড্রেস বাতিল (আইপি রিলিজ) হয়ে যায়। কেবল সিস্টেম সম্পর্কে জানাশোনা ব্যক্তিরাই বলতে পারবেন, কখন কোন আইপি বাইন্ড করা হয়েছে। তাছাড়া সিস্টেমে প্রবেশের জন্য সঠিক পাসওয়ার্ড দিতে হবে, তারপর আসে ওটিপি। এক্ষেত্রে কাস্টমস কর্মকর্তারা পাসওয়ার্ড কম্প্রোমাইজ না করলে সিস্টেমে প্রবেশ দুষ্কর। তাদের মতে, ইন্টারনেটে সবকিছুর ফুটপ্রিন্ট থাকে। কখন, কোথায়, কীভাবে, কে বা কারা সিস্টেমে প্রবেশ করেছে, সেটিরও ফুটপ্রিন্ট অবশ্যই থাকার কথা। উচ্চ আইটি জ্ঞানসম্পন্ন ব্যক্তিরা সহজেই সেটি শনাক্ত করতে পারবেন। এক্ষেত্রে কেবল প্রয়োজন এনবিআরের সদিচ্ছা। বাংলাদেশেই এখন বিশ্বমানের আইটি ইঞ্জিনিয়ার আছে, যারা দেশে বসেই বিদেশি অনেক প্রতিষ্ঠানকে সেবা দিচ্ছেন। অ্যাসাইকুডা সিস্টেমের অডিট করালে প্রকৃত অপরাধীদের খুঁজে বের করা সম্ভব।
এ বিষয়ে বেসিসের সভাপতি রাসেল টি আহমেদ বলেন, আমাদের দেশের সরকারি ও করপোরেট কোম্পানিগুলো সাইবার নিরাপত্তা নিয়ে চিন্তা করে না। একবার একটি সিস্টেম চালু করলে সেটির সাইবার নিরাপত্তার খোঁজ রাখা হয় না। এ সুযোগটা নেয় দুষ্কৃতকারীরা। বিভিন্ন সিস্টেমে ঢুকে তথ্য হাতিয়ে নিচ্ছে হ্যাকাররা। বর্তমান সময়ে ব্যাংকের ভল্টের চেয়ে মূল্যবান হচ্ছে ডেটা ভল্ট। অ্যাসাইকুডা সার্ভার হ্যাক করে সিগারেট খালাস নেওয়ার চেষ্টার বিষয়ে তিনি বলেন, অবস্থাদৃষ্টে মনে হচ্ছে, এর জন্য যোগসাজশ অথবা অবহেলা দায়ী। এনবিআর তার সিস্টেম সুরক্ষিত রাখতে সাইবার অডিট করাতে পারে। বাংলাদেশেই এখন অনেক ভালো ইথিক্যাল হ্যাকার রয়েছে, যারা বিশ্বের অনেক বড় বড় সিস্টেমের ত্রুটি খুঁজে বের করছে।
অ্যাসাইকুডা সিস্টেম দেখভালের দায়িত্বপ্রাপ্ত এক শীর্ষ কর্মকর্তা বলেন, এই পৃথিবীর কোনো সফটওয়্যারই শতভাগ নিরাপদ নয়। অ্যাপল, ফেসবুকের মতো প্রতিষ্ঠানকেও প্রতিনিয়ত সাইবার ঝুঁকি মোকাবিলা করতে হয়। আমরাও অ্যাসাইকুডা সিস্টেম নিরাপদ রাখতে সর্বাধুনিক ফায়ারওয়্যাল-ম্যালওয়্যার রান করাচ্ছি। সফটওয়্যারের ভালনারিবিলিটি পরীক্ষার জন্য কম্পিউটার কাউন্সিলে ফি জমা দিয়েছে। সফওয়্যাট নিরাপদ রাখতে কাজ করছি।
সংবাদ সূত্র: যুগান্তর
