• মঙ্গলবার, ফেব্রুয়ারি ২৫, ২০২০
  • সর্বশেষ আপডেট : ১১:৪৩ রাত

আর্থিক সেবায় সাইবার ঝুঁকি নিয়ন্ত্রণই প্রধান হওয়া উচিৎ?

  • প্রকাশিত ০৯:৩৫ রাত ডিসেম্বর ৭, ২০১৯
সাইবার নিরাপত্তা
পিক্সাবে

আগামী পাঁচ বছরে শুধু ব্যাংকিং সেক্টরেই সাইবার ক্রাইমের মুখে পড়তে পারে প্রায় ৩৫০ বিলিয়ন মার্কিন ডলার

সাইবার ঝুঁকি যেন কোনো পূর্বাভাস ছাড়াই জোরেশোরে আমাদের ওপর জেঁকে বসেছে। ইমেইল অ্যাটাচমেন্ট থেকে ভাইরাসের ও ম্যালওয়্যারের আক্রমণের দিন অনেক আগেই ফেলে এসেছি আমরা। প্রযুক্তির হাত ধরে চলার সঙ্গে সঙ্গে আমাদের সাইবার সংশ্লিষ্টরা ব্যাপকহারে বেড়েছে। একইসঙ্গে বেড়েছে এসংশ্লিষ্ট নিত্য-নতুন সব ঝুঁকি ও হুমকি।  

শুরু করা যাক ব্যাংকে সাইবার নিরাপত্তা দিয়ে। ইদানিং, আমরা অনলাইনের মাধ্যমে নানাধরনের ব্যাংক জালিয়াতির কথা শুনছি। অনেকের ক্ষেত্রে এই সমস্যায় পড়ার বাস্তব অভিজ্ঞতাও রয়েছে। তাই এবিষয়ে সবাইকে সতর্ক থাকতে হবে। এমনকি বাদ দেওয়া যাচ্ছে না এবিষয়ে বিশেষজ্ঞদেরও। 

সম্প্রতি অ্যাকসেনচার এর করা এক প্রতিবেদনে দেখা যায়, প্রতি ১০ জনের মধ্যে আটজন ব্যবসায়ী নেতা বিশ্বাস করেন, প্রযুক্তি সংশ্লিষ্ট কোনো পণ্য আসা মাত্র সেটি গ্রহণ করা হচ্ছে। এক্ষেত্রে সাইবার নিরাপত্তা ও ঝুঁকি সংক্রান্ত ইস্যু খতিয়ে দেখা হচ্ছে না। এর ফলে আগামী পাঁচবছরে শুধু ব্যাংকিং সেক্টরেই সাইবার ক্রাইমের মুখে পড়তে পারে প্রায় ৩৫০ বিলিয়ন মার্কিন ডলার। 

এমন কয়েকটি উদাহরণও সম্প্রতি চোখে পড়েছে, যেমন-ব্রিটিশ ন্যাশনাল হেলথ সার্ভিসে (এনএইচএস) "ওয়ানাক্রাই" আক্রমণ, সুইফট নেটওয়ার্কের মাধ্যমে বাংলাদেশ কেন্দ্রীয় ব্যাংকের রিজার্ভ চুরি, হ্যাকিংয়ের মাধ্যমে সনি ফিল্ম স্টুডিও'র গোপন তথ্য চুরি এবং শিপিং গ্রুপ মাসক'এ নোটপেটইয়া সাইবার অ্যাটাক।  

আমাদের ব্যবহৃত মোবাইল, কম্পিউটার ইন্টারনেটভিত্তিক পণ্য, যেমন-বিভিন্ন অ্যাপ্লিকেশন ও সফটওয়্যার সঙ্গে যত সংযুক্ত থাকবে, ততো আমাদের ডিভাইসগুলোতে সাইবার আক্রমণের ঝুঁকি বাড়বে। এক্ষেত্রে সচেতন থাকতে হবে আমাদেরই। ইন্টারনেটভিত্তিক বিভিন্ন সেবা গ্রহণে আমাদের অভিজ্ঞতা, পরিপক্কতাকে কাজে লাগাতে হবে। পাশাপাশি সাইবার ঝুঁকি মোকাবিলা করতে সুস্থ ও নিরাপত্তা-যাকে এক কথায় "সাইবার হাইজিন" বলা হয় সেসব বিষয়ে সচেতন থাকতে হবে। এর মাধ্যমে আমাদের সাইবার নিরাপত্তা অনেকটাই নিশ্চিত হতে পারে।     

সাইবার নিরাপত্তার ক্ষেত্রে বিভিন্ন সরকারের মধ্যে আন্তর্জাতিক সহযোগিতার হাত বেশ দুর্বল হয়ে পড়েছে। ২০০৯ সালের এপ্রিলে বিশ্বজুড়ে অর্থনৈতিক মন্দার সময় শক্তিশালী অর্থনীতির দেশগুলোর জোট "জি২০" এবিষয়ে একটি বৃহৎ ও কার্যকর পরিকল্পনা করে। তবে এরপরেও বিভিন্ন আন্তর্জাতিক সাইবার কেলেঙ্কারিতে রাষ্ট্রীয় সংশ্লিষ্টতার অভিযোগ পাওয়া গেছে। একরকমভাবে দেশগুলো "বন্ধুর আড়ালে শত্রু" রূপে কাজ করছে।  

সাইবার হুমকি রোধে নানা দেশের মধ্যে এ সংশ্লিষ্ট তথ্যের আদান-প্রদান প্রয়োজন। এই তথ্যগুলো আবার নিজেদের কাছেই রেখে দিতে চায় দেশগুলো। এনিয়ে রয়েছে সমস্যা। বিভিন্ন দেশের সংস্কৃতির ভিন্নতার কারণে নাগরিকদের কাছে সাইবার গোপনীয়তার বিষয়টিও আবার আলাদা। 

যাই হোক, নানা ধরনের উন্নত ডিজিটাল টুল ব্যবহার আর সাইবার আক্রমণকারীদের তৎপরতার কারণে সাইবার হুমকি বেড়েই চলেছে। এছাড়া কোয়ান্টম কম্পিউটারের ব্যবহারের মাধ্যমে বর্তমানে ব্যবহৃত এনক্রিপশনের বিভিন্ন পদ্ধতি সহজেই ভেঙে ফেলা সম্ভব। এই অবস্থায় আন্তর্জাতিক পর্যায়ে "অনুন্নত" নিরাপত্তা ব্যবস্থার ব্যবহার আর্থিক সেবা সেক্টরের ঝুঁকি ব্যবস্থাপনার ক্ষেত্রে বড় চ্যালেঞ্জ হয়ে দাঁড়িয়েছে। 

ব্যাংক অব আমেরিকার অপারেশন অ্যান্ড টেকনোলজি বিভাগের প্রধান কর্মকর্তা ক্যাথরিন বেস্যান্টের মতে, "এই হুমকি বিশাল এবং প্রতিষ্ঠানের প্রধান কর্মকর্তাদের ক্ষেত্রে এটি আরও জটিল; কারণ, এটির একটি মডেল তৈরি করা বেশ শক্ত। এটি এমন ধরনের ঝুঁকি যার আভাস অতীত থেকে পাওয়া যায় না।"

"অপারেশনাল ঝুঁকি" (সাইবার ঝুঁকি যার একটি অংশ) নির্ধারণ করা বেশ ঝামেলাপূর্ণ। এই ঝুঁকি ক্রেডিট ঝুঁকি ও বাজার সংশ্লিষ্ট ঝুকির চেয়ে আলাদা। কারণ, এই ঝুঁকি নিয়ন্ত্রণে কাঠামো তৈরি করার বিষয়টা অনেকটা অস্পষ্ট। দ্য ব্যাসেল কমিটি অন ব্যাংকিং সুপারভিশন (বিআইএস) ২০০৩ সালে অপারেশনাল ঝুঁকি ব্যবস্থাপনা ও রক্ষণাবেক্ষণের জন্য একটি গাইডলাইন তৈরি করে। পরে ২০১১ সালে সেটি হালনাগাদ করা হয়। ২০১৮ সালের ডিসেম্বরে বিআইএস তাদের "সাইবার রিসাইলেন্স: রেঞ্জ অব প্র্যাকটিস" নামের আরেকটি প্রকাশনা বের করে। সেখানে ব্যাংক ও পরিচালকদের জন্য নানা কার্যবিধির তালিকা তুলে ধরা হয়। 

সাধারণ পর্যায়ে, এক বছর সময়কালে দুটি সম্ভাব্য ডিস্ট্রিবিউশন (বিতরণ) ব্যবস্থার ওপর ভিত্তি করে রেগুলেটরি মূলধন গণনা করা হয়। এর একটি হলো- ক্ষতির ফ্রিকুয়েন্সি ডিস্ট্রিবিশন, অপরটি- ক্ষতির প্রবলতা ডিস্ট্রিবিউশন। এ দু’টি একত্রিত করে অপারেশনাল ঝুঁকির ক্ষতি নির্ধারণ করা হয়। যা থেকে  ৯৯.৯% ভিএআর পরিমাপ করে অনাকাঙ্ক্ষিত ক্ষতি বের করা হয়, যা মূলধনে আলাদা করে রাখা প্রয়োজন। এই প্রক্রিয়ার প্রতিটি ধাপে "রিক্স কমিটির" মাধ্যমে বাহ্যিক ও অভ্যন্তরীণ তথ্যের ধারণা এবং বিষয়গত অনুমানের প্রয়োজন রয়েছে। একারণেই, এই পদ্ধতি এবং কাঠামোর গুণগত দিকগুলো খুবই গুরুত্বপূর্ণ। 

প্রতিষ্ঠানের নিয়ন্ত্রকরা আশা করেন, প্রতিষ্ঠানে এমন ডিজাইনের সিস্টেম থাকা দরকার, যেটি নিরাপত্তার পাশাপাশি নানা হুমকি থেকে রক্ষায় শক্তভাবে কাজ করবে। সেক্ষেত্রে, একটি প্রতিষ্ঠানের বোর্ড মেম্বার, জ্যেষ্ঠ ব্যবস্থাপক এবং অন্য প্রধান পদগুলোর কাজ ও দায়িত্ব-কর্তব্য পরিষ্কারভাবে উল্লেখ থাকতে হবে এবং সেখানে কোনো অস্পষ্টতা থাকবে না। এছাড়া  সাইবার সংক্রান্ত কাজের সঙ্গে জড়িত কর্মীদের অবশ্যই প্রয়োজনীয় যোগ্যতা থাকতে হবে।  

বড় বড় ব্যাংকগুলোতে, সাইবার ঝুঁকির প্রতি প্রাতিষ্ঠানিক ডিজাইন ও প্রথাগত চড়াই-উৎরাই নির্ধারণ প্রক্রিয়া এখনও কার্যাধীন রয়েছে। যেমন, কমপ্লায়েন্স অফিসার-অপারেশন, নাকি আইন সংক্রান্ত বিভাগের সঙ্গে আলোচনা করবে? প্রাতিষ্ঠানিক পদতালিকায় চিফ ইনফরমেশন সিকিউরিটি অফিসারের কি প্রয়োজন অনুযায়ী জ্যেষ্ঠতা বা পদ দেওয়া হয়েছে? তার নিয়োগ কি-প্রযুক্তি, আইন, নাকি আইনশৃঙ্খলা ব্যকগ্রাউন্ড থেকে হবে? নতুন কোনো পণ্য, বাজার বা মূল্য সংকোচন ব্যবস্থা শুরুর আগে সেগুলোর সাইবার ঝুঁকি আছে কিনা তার পরীক্ষা, প্রতিষ্ঠানের ব্যবস্থাপনার বাহাবা পাবে, নাকি নতুন কোনো নীতি চালুর পর এবিষয়ে ভাবা হবে?  

ব্যাংকের অভ্যন্তরীণ তথ্য শেয়ার, একাধিক ব্যাংকের মধ্যে তথ্যের লেনদেন এবং ব্যাংক ও নীতিনির্ধারকদের মধ্যে তথ্য লেনদেনের নীতি কী হবে? বেশিরভাগ ক্ষেত্রে ব্যাংক থেকে নিয়ন্ত্রকদের কাছে ইনসিডেন্ট রিপোর্টিং বাধ্যতামূলক। এতে অন্তর্ভুক্ত থাকতে পারে-মূল কারণ বিশ্লেষণ ও লব্ধ জ্ঞানের বিস্তারিত উপস্থাপন করা। যদিও যোগাযোগের অন্য মাধ্যম, যেমন,  নিয়ন্ত্রকদের মধ্যে, নিয়ন্ত্রকদের থেকে ব্যাংকে, ব্যাংকগুলোর মধ্যে, বিভিন্ন ফাঁক থাকে। 

সবশেষে, ব্যাংকগুলোকে তাদের নিয়ন্ত্রণের শ্রেণিবিন্যাস, ঝুঁকির শ্রেণিবিন্যাস, বিভিন্ন সূচক এবং বস্তুগত সম্পত্তির পরিশোধন চালিয়ে যেতে হবে। এটি তাদের সাইবার ঝুঁকি নিয়ন্ত্রণ পরিবেশের একটি মানদণ্ড হিসেবে কাজ করবে। এখানে অন্তর্ভুক্ত হতে পারে, সাইবার সংশ্লিষ্ট বিভিন্ন ঘটনায় সাড়াদানের রেকর্ড, বিভিন্ন রিকোভারি পরিকল্পনা, পাসওয়ার্ডের দুর্বলতা খুঁজে বের করা এবং এনক্রিপশন পদ্ধতির মতো বিষয়গুলো।

দুর্ভাগ্যবশত, সাইবার ঝুঁকি থেকেই যাবে। যত দ্রুত আমরা একটি সাধারণ ভাষা, একটি এক-কেন্দ্রাভিমুখী কাঠামো এবং এই ঝুঁকি সম্পর্কে সচেতনতা আয়ত্ত করতে পারবো, ততো শিগগিরই আমরা সাইবার প্রতিরক্ষা এবং এই ঝুঁকির বিপরীতে শক্তিশালী হতে পারবো।  

২০১৯ সালের ১২-১৩ নভেম্বর ওয়ার্ল্ড ইকোনোমিক ফোরামের সাইবার নিরাপত্তা বিষয়ক বার্ষিক বৈঠকে লেখকের মতামতের ভিত্তিতে। ওই বৈঠকে তিনি দুটি সেশনে সভাপতিত্ব করেন।  


লুতফে সিদ্দিকী নেল পোলার্ড গ্রুপের চিফ ইনফরমেশন অফিসার অব ইউবিএন এবং বিশাল সালভি গ্রুপের চিফ ইনফরমেশন অফিসার অব ইনফোসিস  

*****************************************************************************************************************

প্রকাশিত মতামত লেখকের একান্তই নিজস্ব। প্রকাশিত লেখার জন্য ঢাকা ট্রিবিউন কোনও ধরনের দায় নেবে না।