৮১ মিলিয়ন ডলারের সতর্কবার্তা যা থামেনি: দক্ষিণ এশিয়ায় সাইবার হুমকি এবং বাংলাদেশের ডিজিটাল প্রতিরক্ষার চ্যালেঞ্জ
২০১৬ সালের ফেব্রুয়ারিতে একদল হ্যাকার একটি সপ্তাহান্তে নিউইয়র্কের ফেডারেল রিজার্ভ ব্যাংকে বাংলাদেশ ব্যাংকের অ্যাকাউন্ট থেকে SWIFT আন্তব্যাংকিং বার্তা ব্যবস্থার মাধ্যমে জাল স্থানান্তর নির্দেশ পাঠাল। কেউ বুঝে ওঠার আগেই ৮১ মিলিয়ন ডলার ফিলিপাইনের ভুয়া অ্যাকাউন্টে চলে গেছে। হামলাকারীরা ২০১৪ সালের অক্টোবর থেকে পরিকল্পনা শুরু করেছিল — স্পিয়ার-ফিশিং ইমেইলে ম্যালওয়্যার পাঠিয়ে, কর্মীদের উপর গোয়েন্দাগিরি করে বাংলাদেশ ব্যাংকের অভ্যন্তরীণ পদ্ধতি জেনে। তারা বিশ্বব্যাপী আর্থিক নেটওয়ার্কের সঙ্গে সংযুক্ত সিস্টেমে ১০ ডলারেরও কম মূল্যের ফায়ারওয়ালের অনুপস্থিতির সুযোগ নিয়েছিল।
এই অপারেশন — উত্তর কোরিয়ার লাজারাস গ্রুপের কাজ বলে উচ্চ আস্থায় চিহ্নিত — ইতিহাসের সবচেয়ে বড় সাইবার ব্যাংক ডাকাতি ছিল। এবং পূর্বদৃষ্টিতে, এটা ছিল একটি সতর্কবার্তা: বাংলাদেশের ডিজিটাল অবকাঠামো এমন মাত্রার ঝুঁকিতে ছিল যা দেশের ক্রমবর্ধমান অর্থনৈতিক গুরুত্বের সঙ্গে মেলে না। প্রায় এক দশক পরে, সেই সতর্কবার্তা উল্লেখযোগ্য প্রাতিষ্ঠানিক সাড়া এবং উল্লেখযোগ্য অবশিষ্ট ফাঁক — উভয়ই তৈরি করেছে।
হুমকির পরিদৃশ্য: বাংলাদেশ আসলে কীসের মুখোমুখি
২০২৫ সালে বাংলাদেশের সাইবার নিরাপত্তার চ্যালেঞ্জ কাল্পনিক নয়। বিজিডি ই-গভ সিআইআরটির হুমকি পরিদৃশ্য প্রতিবেদন একটি সক্রিয়, বৈচিত্র্যময় এবং ক্রমবর্ধমান আক্রমণ পরিবেশ নথিভুক্ত করে। ২০২৪ সালে শিল্প ও আর্থিক খাতের প্রতিষ্ঠানগুলো র্যানসমওয়্যার দ্বারা লক্ষ্যবস্তু হওয়ার রিপোর্ট করেছে। ওয়েব অ্যাপ্লিকেশন দুর্বলতা শোষণের মাধ্যমে ডেটা চুরি হয়েছে। ফিশিং এবং বিজনেস ইমেইল কমপ্রোমাইজ (বিইসি) স্কিম অব্যাহত — বিশ্বব্যাপী ২০১৩ থেকে ২০২৩ সালের মধ্যে বিইসি প্রতারণায় ৫৫ বিলিয়ন ডলারেরও বেশি হারিয়ে গেছে।
বাংলাদেশ সাইবার সিকিউরিটি ইন্টেলিজেন্সের (বিসিএসআই) ফিনান্সিয়াল থ্রেট অ্যাসেসমেন্ট ২০২৪ ব্যাংকিং খাতের একটি কঠোর চিত্র উপস্থাপন করে। বাংলাদেশের বেশিরভাগ ব্যাংক উচ্চ সাইবার আক্রমণ ঝুঁকিতে রয়েছে। কাঠামোগত দুর্বলতার মধ্যে রয়েছে: উন্নত হুমকির বিরুদ্ধে সীমিত মূল্যের সার্টিফিকেশনধারী আইটি কর্মীরা; দক্ষ পেশাদারদের গুরুতর ঘাটতি; পুরনো এবং কখনো কখনো অননুমোদিত স্ক্যানিং টুলের ব্যবহার; এবং ব্যক্তিগত সম্পর্কের ভিত্তিতে সাইবার নিরাপত্তা চুক্তি দেওয়ার দুর্নীতির গতিশীলতা।
বাংলাদেশে ১৩২ মিলিয়ন ইন্টারনেট ব্যবহারকারী রয়েছে — দক্ষিণ এশিয়ার অন্যতম বৃহত্তম ডিজিটাল জনসংখ্যা। ই-গভর্ন্যান্স উদ্যোগের মাধ্যমে সরকারি সেবার দ্রুত ডিজিটাইজেশন আক্রমণের পৃষ্ঠ নাটকীয়ভাবে বিস্তৃত করেছে।
রাষ্ট্র-পৃষ্ঠপোষিত হুমকি অভিনেতারা সবচেয়ে পরিশীলিত উদ্বেগ। চেইনঅ্যানালাইসিস জানায় ২০২৫ সালে উত্তর কোরিয়ার অভিনেতারা ২ বিলিয়ন ডলারের ক্রিপ্টোকারেন্সি চুরি করেছে, সর্বকালীন মোট ৬.৭৫ বিলিয়ন ডলারে দাঁড়িয়েছে। চীন, ইরান এবং রাশিয়ার সঙ্গে সংযুক্ত অভিনেতারা দক্ষিণ এশিয়া জুড়ে টেলিযোগাযোগ, শক্তি, আর্থিক সিস্টেম এবং সরকারি নেটওয়ার্ককে লক্ষ্য করে সক্রিয়। হুমকি সুযোগসন্ধানী ব্যক্তিদের কাছ থেকে আসছে না — এটা আসছে সুসজ্জিত, ধৈর্যশীল প্রতিপক্ষের কাছ থেকে যারা দীর্ঘমেয়াদী পুনর্জাগরণ অভিযান পরিচালনা করছে।
প্রাতিষ্ঠানিক সাড়া: বাংলাদেশ যা তৈরি করেছে
বিজিডি ই-গভ সিআইআরটি — বাংলাদেশ কম্পিউটার কাউন্সিলের অধীনে জাতীয় সিইআরটি হিসেবে কাজ করছে। এটি নিরাপত্তা ঘটনা গ্রহণ, পর্যালোচনা ও প্রতিক্রিয়া, হুমকি গবেষণা, দুর্বলতা বিষয়ে নির্দেশনা এবং আন্তর্জাতিক অংশীদারদের সঙ্গে সমন্বয়ের জন্য দায়ী। বাংলাদেশ এপিসিআরটি (এশিয়া প্যাসিফিক কম্পিউটার ইমার্জেন্সি রেসপন্স টিম) সহযোগিতা কাঠামোয় অংশগ্রহণ করে।
আইনি কাঠামো উল্লেখযোগ্যভাবে পরিশোধিত হয়েছে। ২০১৮ সালের ডিজিটাল নিরাপত্তা আইন এবং ২০২৩ সালের সাইবার নিরাপত্তা আইন — উভয়ই সংবাদমাধ্যমের স্বাধীনতা ও রাজনৈতিক মতপ্রকাশের বিরুদ্ধে ব্যবহারযোগ্য বিধান রাখায় সমালোচিত হয়েছিল। অন্তর্বর্তী সরকার মে ২০২৫-এ সাইবার নিরাপত্তা অধ্যাদেশ ২০২৫ জারি করে আরও নিষ্পত্তিমূলক পদক্ষেপ নেয়। নতুন অধ্যাদেশ মতপ্রকাশ-সংক্রান্ত অপরাধের পরিবর্তে সাইবার অপরাধ ও গুরুত্বপূর্ণ তথ্য অবকাঠামো সুরক্ষায় স্পষ্টভাবে মনোযোগ কেন্দ্রীভূত করেছে। এটি সিআইআই অপারেটরদের জন্য সরবরাহ শৃঙ্খল ঝুঁকি ব্যবস্থাপনার প্রয়োজনীয়তাও প্রতিষ্ঠা করেছে।
ন্যাশনাল সিকিউরিটি অপারেশন সেন্টার (এনএসওসি) রিয়েল-টাইম সাইবার পর্যবেক্ষণের জন্য বিজিডি ই-গভ সিআইআরটির পাশাপাশি কাজ করে। সাইবার নিরাপত্তা কৌশল ২০২১-২০২৫ কৌশলগত সমন্বয়ের কাঠামো প্রতিষ্ঠা করেছে। সাইবার হুমকি বিশ্লেষণ ও সচেতনতা বৃদ্ধিতে বাংলাদেশ জাতীয় সাইবার নিরাপত্তা সূচকে ৭৫% স্কোর করেছে।
গুরুত্বপূর্ণ ফাঁক: বাংলাদেশ এখনো যেখানে ঝুঁকিতে
এই অগ্রগতি সত্ত্বেও বাংলাদেশের সাইবার নিরাপত্তা উচ্চাভিলাষ এবং কার্যক্ষম সক্ষমতার মধ্যে ব্যবধান বড়।
সবচেয়ে তীব্র হলো মানব সক্ষমতার ঘাটতি। বাংলাদেশে সত্যিকারের উন্নত দক্ষতাসম্পন্ন যথেষ্ট সাইবার নিরাপত্তা পেশাদার নেই। সার্টিফিকেট ব্যাপক কিন্তু বাস্তব থ্রেট-হান্টিং, ইন্সিডেন্ট রেসপন্স এবং রিভার্স ইঞ্জিনিয়ারিং দক্ষতা বিরল। বেসরকারি খাত সরকারি সংস্থাগুলোর চেয়ে বেশি বেতন অফার করে সীমিত দক্ষ পেশাদারদের টেনে নিচ্ছে।
হুমকি গোয়েন্দা তথ্য ভাগাভাগি অনুন্নত। সরকারি-বেসরকারি অংশীদারিত্বের কাঠামো কাগজে আছে কিন্তু বিশ্বাসের সমস্যা খোলা তথ্য ভাগাভাগিতে বাধা দেয়। আর্থিক প্রতিষ্ঠানগুলো — যারা সবচেয়ে পরিশীলিত আক্রমণের মুখোমুখি — সরকারের হুমকি গোয়েন্দা অবকাঠামো থেকে আপেক্ষিক বিচ্ছিন্নতায় কাজ করে।
পুরনো সিস্টেম কাঠামোগত দুর্বলতা। বিশ্লেষকরা আধুনিক থ্রেট ইন্টেলিজেন্স প্ল্যাটফর্মের অভাব এবং সরকারি ও বেসরকারি উভয় খাতে লিগ্যাসি প্রযুক্তির ব্যাপক ব্যবহার উল্লেখ করেন। বাংলাদেশের দ্রুত ই-গভর্ন্যান্স সম্প্রসারণ পুরনো অবকাঠামোর উপরে নতুন ডিজিটাল সেবা যোগ করেছে যা কখনো নিরাপত্তার কথা মাথায় রেখে ডিজাইন করা হয়নি।
দক্ষিণ এশিয়ার মাত্রা: আঞ্চলিক সহযোগিতা কেন গুরুত্বপূর্ণ
সাইবার হামলা সীমানা মানে না। বাংলাদেশ ব্যাংক হ্যাক এটা স্পষ্টভাবে দেখিয়েছে: হামলাকারীরা উত্তর কোরিয়া থেকে অপারেট করেছে, বাংলাদেশে সিস্টেম শোষণ করেছে, মার্কিন যুক্তরাষ্ট্রের ফেডারেল রিজার্ভের মাধ্যমে অর্থ পাঠিয়েছে, এবং ফিলিপাইন ও শ্রীলঙ্কার আর্থিক প্রতিষ্ঠানে লুট করেছে। কার্যকর প্রতিক্রিয়ার জন্য একাধিক এখতিয়ার জুড়ে সমন্বয় প্রয়োজন ছিল।
দক্ষিণ এশিয়ার সাইবার নিরাপত্তা সহযোগিতা অবকাঠামো আঞ্চলিক হুমকির পরিবেশের সঙ্গে তাল মেলায়নি। ভারত, পাকিস্তান, বাংলাদেশ এবং শ্রীলঙ্কা প্রত্যেকে জাতীয় সিইআরটি পরিচালনা করে — কিন্তু সীমান্ত-পারাপার হুমকি গোয়েন্দা তথ্য ভাগাভাগি রাজনৈতিক উত্তেজনা এবং আনুষ্ঠানিক চুক্তির অভাবে সীমাবদ্ধ।
বাংলাদেশের এপিসিআরটি অংশগ্রহণ আঞ্চলিক হুমকি গোয়েন্দা তথ্যে আংশিক প্রবেশাধিকার দেয়। কিন্তু ভারতের সাথে সাইবার নিরাপত্তা সহযোগিতা গভীর করা — যে দেশটি একটি সাধারণ হুমকি পরিবেশ এবং সাধারণ গুরুত্বপূর্ণ অবকাঠামো নির্ভরতা ভাগ করে — উভয় দেশের জন্য অসমমিত লাভ দেবে।
২০৩০ সালের মধ্যে বাংলাদেশের যে প্রতিরক্ষা দরকার
বাংলাদেশ ব্যাংক হ্যাক ২০১৬ সালে ঘটেছিল। হামলাকারীরা ২০১৪ সালে পরিকল্পনা শুরু করেছিল। তারা এখনো সক্রিয় — এখন ব্যাংকিংয়ের পরিবর্তে ক্রিপ্টোকারেন্সিতে মনোযোগী। পাঠ এটা নয় যে বাংলাদেশ পিছিয়ে পড়েছে। পাঠ হলো পরিশীলিত প্রতিপক্ষ ক্রমাগত মানিয়ে নেয়, এবং প্রতিরক্ষার একই ক্রমাগত মানিয়ে নেওয়া প্রয়োজন।
তিনটি অগ্রাধিকার কর্মযোগ্য: প্রথমত, উন্নত সাইবার নিরাপত্তা পেশাদারদের প্রকৃত পাইপলাইনে বিনিয়োগ — বিইউইটিকে আঞ্চলিক গবেষণা কেন্দ্র হিসেবে গড়ে তোলা, প্রতিযোগিতামূলক সরকারি ক্যারিয়ার কাঠামো তৈরি। দ্বিতীয়ত, একটি বাংলাদেশ আর্থিক খাত আইএসএসি গঠন যা সিআইআরটি ও প্রধান আর্থিক প্রতিষ্ঠানগুলোকে বিশ্বাসযোগ্য হুমকি ভাগাভাগিতে একত্রিত করবে। তৃতীয়ত, সাইবার নিরাপত্তা অধ্যাদেশ ২০২৫-এর সিআইআই বিধানগুলোর কার্যকর বাস্তবায়ন — কেবল কাগজে মেনে চলার নিশ্চয়তা নয়, প্রকৃত অডিট এবং প্রয়োগের মাধ্যমে।
নয় বছর পরে, বাংলাদেশ প্রকৃত প্রাতিষ্ঠানিক সাইবার নিরাপত্তা সক্ষমতা তৈরি করেছে। প্রশ্ন হলো সেই সক্ষমতা হুমকির দাবি অনুযায়ী বাড়তে পারবে কিনা।
win-tk.org একটি wintk প্রকাশনা। এই নিবন্ধটি তথ্যমূলক ও বিশ্লেষণমূলক উদ্দেশ্যে আমাদের সম্পাদকীয় দলের দ্বারা তৈরি।
