নিরাপত্তাজনিত ত্রুটির কারণে বাংলাদেশ ব্যাংকের রিজার্ভ চুরি হলেও এ দেশীয় একটি প্রতিষ্ঠান কনা সফটওয়্যার ল্যাব লিমিটেড বিশ্বের বিভিন্ন দেশে শতাধিক ব্যাংকে তথ্যপ্রযুক্তি তথা সাইবার নিরাপত্তা সেবা দিচ্ছে। দেশীয় হাতে গোনা কয়েকটি ব্যাংক কনা সফটওয়্যার ল্যাব লিমিটেড থেকে সেবা নিলেও বেশিরভাগ ব্যাংকই বিদেশি সেবা (সফটওয়্যার,সলিউশন্স ও পরামর্শ) নির্ভর।
প্রতিষ্ঠানটির ব্যবস্থাপনা পরিচালক এএনএম খালেকদাদ খান বললেন,আমাদের স্মার্ট কার্ড ই্এমভি প্ল্যাটফর্ম চিপ বা সিম যুক্ত। এই প্ল্যাটফর্মটি অনেক বেশি নিরাপদ। বিশ্বের বিখ্যাত অনেক ব্যাংক আমাদের এই প্রযুক্তি ব্যবহার করছে। দেশীয় দুই একটি ব্যাংক সম্প্রতি আমাদের সেবা ও প্রযুক্তিকে নিরাপদ ভাবতে শুরু করেছে।
তিনি জানালেন, যুক্তরাষ্ট্র,যুক্তরাজ্য,অস্ট্রেলিয়া,মেক্সিকো, ব্রাজিল,ভারত,ইন্দোনেশিয়া,ইরাকসহ ৬০টি দেশের ৫০০টি ব্যাংক কনা সফটওয়্যার ল্যাব লিমিটেডের সেবা নিচ্ছে। উল্লেখযোগ্য ব্যাংকগুলোর মধ্যে রয়েছে সিটি ব্যাংক এনএ, স্ট্যান্ডার্ড ব্যাংক,এমিরেটস এনবিডি,ন্যাশনাল ব্যাংক অব মিসর,বার্কলেস ব্যাংক, ব্যাংক অব মস্কো,ন্যাশনাল ব্যাংক অব আবুধাবি, আরব ব্যাংক,হানা ব্যাংক,সেন্ট্রাল ব্যাংক অব ইন্ডিয়া,স্টেট ব্যাংক অব ইন্ডিয়া ও কমনওয়েলথ ব্যাংক অব অস্ট্রেলিয়া।
সম্প্রতি এএনএম খালেকদাদ খান বাংলা ট্রিবিউনের সঙ্গে কথা বলেন বাংলাদেশের ব্যাংকগুলোর তথ্যপ্রযুক্তি নিরাপত্তা ব্যবস্থা,ব্যাংক ও আর্থিক খাত সাইবার জগতে সুরক্ষিত রাখার উপায়,প্রযুক্তির ব্যবহার ইত্যাদি বিষয় নিয়ে। কথা বলেছেন,বাংলাদেশ ব্যাংকের রিজার্ভ চুরি ও এটিএম কার্ড জালিয়াতি নিয়েও।
বাংলা ট্রিবিউন: হঠাৎ করে দেশের ব্যাংকিং খাতে নিরাপত্তা (সাইবার নিরাপত্তা) সংকট দেখা দিল কেন?
এএনএম খালেকদাদ খান: আমি বলব নিরাপত্তা সংকট হঠাৎ করে নয়। এটা আগেও ছিল। নির্দিষ্ট করে যদি বলি তাহলে বলা যায় ২-৩ বছর থেকে এ ধরনের সমস্যা শুরু হতে করেছে। সুবিধা ছিল যেটা তা হলো,এই যে নিরাপত্তা ত্রুটি তা ৩-৪ বছর ধরে এক্সিস্ট করছিল, কিন্তু কেউ জানত না। এই সময়ে যারা হ্যাকার তারাও কিন্তু অ্যাডভান্স হয়েছে। ফলে এখন বিষয়টি এক্সপোজড। যারা এসব হ্যাকিংয়ের সঙ্গে জড়িত তারা এরই মধ্যে এসব ত্রুটি জেনে ফেলেছে। সিম্টেমে যেসব ত্রুটি রয়েছে তারা সেসব ত্রুটি ব্যবহার করে সিস্টেম হ্যাকের মতো কাজ করছে।
বাংলা ট্রিবিউন: ত্রুটির ধরনগুলো কী ছিল? তা মেরামত করা যেতো কি-না?
এএনএম খালেকদাদ খান: এই ত্রুটিগুলো থাকার পরও যেসব ফিজিক্যাল মেজারমেন্ট নেওয়ার প্রয়োজন ছিল তা নেওয়া হয়নি। আমাদের জানার দরকার ছিল ত্রুটিগুলো কি ছিল। ত্রুটিগুলো মেরামতের কতগুলো পদ্ধতি আছে। একটা হলো টেকনিক্যাল ত্রুটি চিহ্নিত করে তা মেরামত করা। আরেকটি হলো,এই মুহূর্তে আমি ত্রুটিগুলো সারাব না, কিন্তু কিছু ফিজিক্যাল প্রিকরশন নেব যাতে কেউ এই ত্রুটির সুযোগ নিতে না পারে। যতদূর জানতে পেরেছি এগুলোর কোনটিই করা হয়নি।
বাংলা ট্রিবিউন: গ্রাহককে নিরাপদ রাখতে ব্যাংকগুলো কী উদ্যোগ নিতে পারে?
এএনএম খালেকদাদ খান: বাংলাদেশ ব্যাংকের সার্ভারের নিরাপত্তা ব্যবস্থার গোড়ায়ই গলদ রয়েছে। বাইরের দেশগুলোতে ব্যাংকে ‘রেগুলার যেসব সিকিউরিটি মেজার’ রয়েছে তার বাইরে সাধারণত তারা অর্থ ট্রান্সফার বা যেকোনও ধরনের ‘সিকিউরড কমিউনিকেশনে’ ‘এইচটিটিপিএস’ ব্যবহার করে। বাংলাদেশ ব্যাংকে এ ব্যবস্থা থাকলে এই ঘটনা ঘটত না।
ব্যাংকগুলোতে ‘মিউচুয়াল অথেনটিকেশন’ ব্যবস্থা থাকলে ব্যাংক ও আর্থিক প্রতিষ্ঠানে এ ধরনের ঘটনা ঘটবে না। মিউচুয়াল অথেনটিকেশন ব্যবস্থা সোর্স ও ডেস্টিনেশন–দুই পক্ষকেই অথেনটিকেট করে।
দেশের বাইরে ইন্টারনেট ব্যাংকিংয়ের ক্ষেত্রে দেখা যায়,সংশ্লিষ্ট ব্যাংকগুলো ‘হার্ডওয়্যার সিকিউরিটি মডিউল’ ব্যবহার করে। ওখানে পাসওয়ার্ড বা পিনের বদলে ডঙ্গল দেওয়া হয়। এটা দেখতে পেনড্রাইভের মতো। এটাতে ‘টু ফ্যাক্টর অথেনটিকেশন’ বা ‘দ্বিস্তরবিশিষ্ট নিরাপত্তা’ ব্যবস্থা রয়েছে। ইন্টারনেট ব্যাংকিং করতে হলে ওই ডঙ্গল যে কোনও পিসি বা ল্যাপটপে ইনসার্ট করে নিজস্ব সিস্টেমে ঢুকে (ওই ডঙ্গল হলো আসলে একটি সিপিইউ। ওটা পিসি বা ল্যাপটপে ঢোকানো হলে সেটিতে রক্ষিত অপারেটিং সিস্টেম চালু হয়ে যায়) ইন্টারনেট ব্যাংকিং করতে হয়।
আমাদের দেশে ইন্টারনেট ব্যাংকিংয়ে পিন বা পাসওয়ার্ড দেওয়া হয়। কিন্তু এটিই নিরাপত্তার একমাত্র ব্যবস্থা বলে আমি মনে করি না। দেশের দু’একটি ব্যাংক (বিদেশি ব্যাংক) ইন্টারনেট ব্যাংকিংয়ে ডঙ্গল চালু করলেও অধিকাংশ ব্যাংক এই প্রযুক্তি ব্যবহার করছে না। ইন্টারনেট ব্যাংকিংয়ে এই প্রযুক্তি ব্যবহার না করা হলে গ্রাহকের হিসাবে রক্ষিত অর্থের নিরাপত্তা অর্ধেকে নেমে আসবে।
এ ছাড়াও আরেকটি প্রযুক্তি রয়েছে, পিএনএম (প্রাইমারি অ্যাকাউন্ট নাম্বার)নামে। এটিও অনেক নিরাপদ একটি প্রযুক্তি।
বাংলা ট্রিবিউন: এটিএম কার্ডে জালিয়াতি কিভাবে হলো? সেখানেও কি সিকিউরিটি সমস্যা ছিল?
এএনএম খালেকদাদ খান: আমাদের দেশের অনেক ব্যাংকের কার্ডে (ডেবিট ও ক্রেডিট) রয়েছে ম্যাগনেটিক স্ট্রাইপ। এই কার্ড খুবই ঝুঁকিপূর্ণ। এর অথেনটিকেশন হলো পিন। আমরা এটিএম কার্ড বুথের স্লটে ঢোকালে তা সার্ভার থেকে অথেনটিকেশন হয়ে আসে। এই কার্ডের সব তথ্য কার্ডের পেছনে মেগা স্ট্রাইপে এনকোকোডিং অবস্থায় থাকে। এর অসুবিধা হলো কারো কার্ডটি যদি আমার হাতে আসে আর যদি স্কিমিং মেশিন থাকে তাহলে সব তথ্য মেশিনে চলে আসবে। আর পাসওয়ার্ড নিতে হলে প্রয়োজন হয় ইনফ্রারেড ক্যামেরা। সংশ্লিষ্ট বুথগুলোতে পাসওয়ার্ড হাতিয়ে নেওয়ার জন্য হয় ক্যামেরা বসানো ছিল নয়তো অপটিক্যাল কি-প্যাড বসিয়ে কাজটি কা হয়েছে। কি-প্যাডের ওপর অপটিক্যাল লেয়ার বসিয়েও পাসওয়ার্ড চুরি করতে পারে হ্যাকাররা। এই পদ্ধতিতে এটিএম বুথের পিন প্যাডের ওপরে পাতলা অপটিক্যাল লেয়ার (কি-বোর্ড) বসানো হয়। যা বোঝা যায় না। এটিএম জালিয়াতি এভাবেই হয়েছে।
দ্বিমুখী যোগাযোগ ব্যবস্থা থাকায় হওয়ায় হ্যাকাররা বুথে স্কিমিং যন্ত্র বসিয়েও চিপভিত্তিক কার্ড থেকে তথ্য হাতিয়ে নিতে পারে না। দ্বিমুখী যোগাযোগ ব্যবস্থানির্ভর হওয়ায় চিপভিত্তিক কার্ডে নিরাপত্তা বেশি।
বাংলা ট্রিবিউন: আপনার প্রতিষ্ঠান বিশ্বব্যাপী কিভাবে সলিউশন্স সেবা দিচ্ছে ব্যাংকগুলোকে।
এএনএম খালেকদাদ খান: আমাদের প্রতিষ্ঠান কনা সফটওয়্যার ল্যাব লিমিটেড চিপভিত্তিক কার্ডের সুরক্ষিত নিরাপত্তা ব্যবস্থা নিয়ে বিশ্বব্যাপী কাজ করে। প্রতিষ্ঠানটি স্মার্ট কার্ডের পেমেন্ট সলিউশন প্রোভাইডার। এরই মধ্যে প্রতিষ্ঠানটি ইনোভেটিভ কনা পেমেন্ট প্ল্যাটফর্ম প্রতিষ্ঠা করেছে। এর মাধ্যমে মোবাইল দিয়েই ডেবিট,ক্রেডিট ও প্রি-পেইড কার্ডে পেমেন্ট দেওয়া সম্ভব। আমাদের প্রতিষ্ঠানটি বিশ্বের ৬০টির বেশি দেশে কার্ডভিত্তিক সেবা প্রদান করে এবং ৫০০টিরও বেশি ব্যাংক এই সেবা নেয়। আমরা দেশে বসেই সব ধরনের সেবা দিচ্ছি। দেশেই রয়েছে আমাদের গবেষণা ও উন্নয়ন,সলিউশন্স সেবাসহ আরও অনেক কিছু। আমাদের মূল প্রতিষ্ঠানটির কার্যালয় দক্ষিণ কোরিয়ায়।
বাংলা ট্রিবিউন: আমরা জেনেছি আপনি একজন সিএসসিআইপি।
এএনএম খালেকদাদ খান: আমার জানা মতে,আমি দেশের একমাত্র সিএসসিআইপি (সার্টিফায়েড স্মার্ট কার্ড ইন্ডাস্ট্রি প্রফেশনাল)। সারাবিশ্বে এই প্রফেশনালের সংখ্যা মাত্র ১৮০ জন। আমরা সবাই স্মার্ট কার্ড (জাতীয় পরিচয়পত্র, এটিএম কার্ড, স্মার্ট কার্ড, ড্রাইভিং লাইসেন্স, সোশ্যাল সিকিউরিটি কার্ড) –এর সুরক্ষিত নিরাপত্তা ব্যবস্থা নিয়ে কাজ করি।
বাংলা ট্রিবিউন: ইএমভি প্রযুক্তি নিয়ে যদি কিছু বলেন?
এএনএম খালেকদাদ খান: চিপভিত্তিক কার্ডে ইএমভি (ইউরো-পে,মাস্টার কার্ড ও ভিসা) প্ল্যাটফর্ম ব্যবহার করায় তা অধিক সুরক্ষিত ও নিরাপদ। এই প্ল্যাটফর্মটি প্রথমে তিনটি প্রতিষ্ঠান মিলে শুরু করায় তিন প্রতিষ্ঠানের নামের আধ্যাক্ষর দিয়ে গঠন করা হয়। পরে এই কনসোর্টিয়ামে আরও অনেকগুলো প্রতিষ্ঠান যুক্ত হলেও নাম আর পরিবর্তন হয়নি।
বাংলা ট্রিবিউন: আপনাকে অনেক ধন্যবাদ।
এএনএম খালেকদাদ খান: বাংলা ট্রিবিউনকেও অনেক ধন্যবাদ।
/এইচএএইচ/এমপি/ এমএসএম/আপ-এআর/