যে আক্রমণ সব বদলে দিয়েছে: সোলারউইন্ডস, সাপ্লাই চেইন নিরাপত্তা এবং বাংলাদেশকে পরবর্তীটির আগে কী তৈরি করতে হবে
২০১৯ সালের সেপ্টেম্বরে হ্যাকাররা টেক্সাসভিত্তিক সফটওয়্যার কোম্পানি সোলারউইন্ডসের নেটওয়ার্কে প্রবেশ করে — যার ওরিয়ন প্ল্যাটফর্ম বিশ্বজুড়ে হাজার হাজার সংস্থা আইটি অবকাঠামো পর্যবেক্ষণে ব্যবহার করত। পরের মাসগুলোতে আক্রমণকারীরা — পরবর্তীতে রুশ রাষ্ট্র-প্রণোদিত গুপ্তচর দল APT29 হিসেবে চিহ্নিত — ধৈর্য্য সহকারে SUNBURST নামক ক্ষতিকারক কোড ওরিয়নের সফটওয়্যার নির্মাণ প্রক্রিয়ায় ঢুকিয়ে দেয়। যখন সোলারউইন্ডস ২০২০ সালের মার্চে ওরিয়ন আপডেট বিতরণ শুরু করে, ম্যালওয়্যারটি নীরবে প্রায় ১৮,০০০ গ্রাহকের কাছে ছড়িয়ে পড়ে। আক্রমণটি ২০২০ সালের ডিসেম্বর পর্যন্ত আবিষ্কৃত হয়নি।
যা ঘটেছিল তার মাত্রা বুঝতে কয়েক সপ্তাহ লাগল। সোলারউইন্ডসের গ্রাহকদের মধ্যে ছিল ফোর্চুন ৫০০-এর ৪২৫টি কোম্পানি, শীর্ষ ১০ মার্কিন টেলিযোগাযোগ কোম্পানি, শীর্ষ পাঁচটি মার্কিন অ্যাকাউন্টিং ফার্ম, শত শত বিশ্ববিদ্যালয় এবং মার্কিন ট্রেজারি, বাণিজ্য, হোমল্যান্ড সিকিউরিটি ও স্টেট বিভাগসহ গুরুত্বপূর্ণ ফেডারেল সংস্থা। আক্রমণকারীরা ঐতিহ্যগত অর্থে ফায়ারওয়াল ভাঙেনি। তারা আরও পরিশীলিত কিছু করেছিল: বিশ্বস্ত সফটওয়্যার আপডেট প্রক্রিয়াকেই আপোস করে তুলেছিল।
চার বছর পরে, সোলারউইন্ডসের শিক্ষাগুলো জরুরিভাবে প্রাসঙ্গিক থাকছে — বিশেষত বাংলাদেশের মতো দেশের জন্য, যে দেশ দ্রুত তার ই-সরকার ডিজিটাল অবকাঠামো প্রসারিত করছে। প্রশ্ন এটা নয় যে সোলারউইন্ডস-ধরনের আক্রমণ বাংলাদেশের ডিজিটাল সিস্টেমকে লক্ষ্য করতে পারে কিনা। প্রশ্ন হলো, এমন কিছু হলে বাংলাদেশের প্রতিরক্ষা তা শনাক্ত করতে পারবে কিনা।
বাংলাদেশের ডিজিটাল সম্প্রসারণ ও এটি যে আক্রমণের পৃষ্ঠ তৈরি করে
বাংলাদেশের ই-সরকার উচ্চাভিলাষ যথেষ্ট। জাতীয় ডেটা সেন্টার প্রায় ২০০টি সরকারি সংস্থার ওয়েবসাইট হোস্ট করে। জাতীয় ই-সেবা সিস্টেম, অনলাইন জন্ম ও মৃত্যু নিবন্ধন, প্রায় ৬০টি সরকারি সংস্থার সরকারি ইমেইল সেবা — সবই আন্তঃসংযুক্ত NDC অবকাঠামোতে চলে। স্মার্ট বাংলাদেশ ২০৪১ কাঠামো স্বাস্থ্য, শিক্ষা, কৃষি, আর্থিক সেবা এবং সরকারি প্রশাসন জুড়ে জনসেবা ডিজিটালাইজেশনের পরিকল্পনা করছে। বাংলাদেশের সাইবার নিরাপত্তা বাজার ২০২৫ সালে আনুমানিক ২১৮ মিলিয়ন ডলার এবং ২০৩০ সালের মধ্যে ৪৪৪ মিলিয়ন ডলারে পৌঁছানোর প্রজেকশন রয়েছে।
এই সম্প্রসারণ একটি আক্রমণের পৃষ্ঠ তৈরি করে যা প্রতিটি নতুন সিস্টেম, প্রতিটি নতুন ভেন্ডর সম্পর্ক, প্রতিটি নতুন সফটওয়্যার সংহতকরণের সাথে বাড়তে থাকে। ২০২৪ সালের শেষে BGD e-GOV CIRT বাংলাদেশের আইটি অবকাঠামোতে ব্যাপকভাবে ব্যবহৃত F5 BIG-IP সিস্টেমে একটি গুরুত্বপূর্ণ দুর্বলতার সক্রিয় শোষণের প্রমাণ উন্মোচন করেছে। জানুয়ারি ২০২৫-এ, দল সরকারি সংস্থা, আইন প্রয়োগকারী সংস্থা এবং শিক্ষাপ্রতিষ্ঠানকে লক্ষ্য করে ফিশিং আক্রমণের একটি বৃদ্ধি নথিভুক্ত করে। জুলাই ২০২৫-এ, সতর্কতা ব্যাংকিং, বিদ্যুৎ এবং জনসেবায় গুরুত্বপূর্ণ তথ্য অবকাঠামোকে লক্ষ্য করার বিষয়ে সতর্ক করে।
জুলাই ২০২৪-এ হ্যাকটিভিস্ট আক্রমণের একটি উল্লেখযোগ্য তরঙ্গ ২০০টিরও বেশি সংস্থাকে প্রভাবিত করেছিল — বাংলাদেশ পুলিশ, BTRC, বাংলাদেশ ব্যাংক এবং স্বাস্থ্য অধিদপ্তর সহ। ২০২৩ সালে একটি ডেটা লঙ্ঘন প্রায় ৫ কোটি বাংলাদেশি নাগরিকের ব্যক্তিগত রেকর্ড প্রকাশ করেছিল। মার্চ ২০২৫-এ, অভ্যন্তরীণ কর্মকর্তারা ন্যাশনাল ইন্টেলিজেন্ট প্ল্যাটফর্মে অ্যাক্সেস করে তথ্য চুরি করেছিলেন। জানুয়ারি ২০২৫-এ, সিটি ব্যাংক পিএলসি একটি লঙ্ঘন রিপোর্ট করেছে যা গ্রাহকের আর্থিক বিবরণী প্রকাশ করেছে। ধারাটি সামঞ্জস্যপূর্ণ: বাংলাদেশের ডিজিটাল সিস্টেম টেকসই ও ক্রমবর্ধমান আক্রমণের মধ্যে রয়েছে।
BGD e-GOV CIRT: অর্জন এবং সামনের পথ
BGD e-GOV CIRT প্রাতিষ্ঠানিক উন্নয়নের জন্য প্রকৃত স্বীকৃতি পেয়েছে। ২০২৪ সালে ITU-এর গ্লোবাল সাইবারসিকিউরিটি ইনডেক্স বাংলাদেশকে Tier-1 রোল মডেল কান্ট্রি মনোনীত করেছে — এটি বাংলাদেশ যে প্রাতিষ্ঠানিক কাঠামো তৈরি করেছে তার স্বীকৃতি, যার মধ্যে FIRST, APCERT, এবং OIC-CERT-এ সদস্যপদ রয়েছে। দলটি সাইবার সিকিউরিটি অর্ডিন্যান্স ২০২৫-এর অধীনে কাজ করে।
স্মার্ট বাংলাদেশ কাঠামো BGD e-GOV CIRT-এর অধীনে সাইবার সেন্সর ইউনিটকে অর্থায়ন করে, যা প্রতিক্রিয়াশীল ঘটনা প্রতিক্রিয়ার বাইরে সক্রিয় হুমকি শিকারে নিয়োজিত। নভেম্বর ২০২৪-এ, BASIS এবং SICIP চার বছরে ৩,০০০ সাইবার নিরাপত্তা পেশাদার প্রশিক্ষণের একটি কর্মসূচি শুরু করেছে। কিন্তু সততার সাথে মূল্যায়নের জন্য স্বীকার করতে হবে যে প্রাতিষ্ঠানিক অর্জন এবং হুমকির পরিবেশের মধ্যে ফাঁক রয়েছে। ২০২৪ সালের আর্থিক খাতের হুমকি মূল্যায়ন পদ্ধতিগত দুর্বলতা নথিভুক্ত করেছে: সীমিত-মূল্যের সার্টিফিকেশন সহ আইটি কর্মী, পুরনো দুর্বলতা মূল্যায়ন সরঞ্জাম, এবং বিশ্বাস-ঘাটতির কারণে অপর্যাপ্ত হুমকি বুদ্ধিমত্তা শেয়ারিং।
সোলারউইন্ডস প্লেবুক: বাংলাদেশকে কী প্রয়োগ করতে হবে
সোলারউইন্ডস-পরবর্তী বৈশ্বিক সাইবার নিরাপত্তা সাড়া একটি নির্দিষ্ট টুলকিট তৈরি করেছে যা বিশ্বজুড়ে সরকার ও বেসরকারি নিরাপত্তা দলের দ্বারা যাচাই করা হয়েছে।
সফটওয়্যার সাপ্লাই চেইন নিরাপত্তা আনুষ্ঠানিক সরকারি প্রয়োজনীয়তা হতে হবে। বাংলাদেশের ই-সরকার সিস্টেম দেশীয় ও আন্তর্জাতিক উভয় বিক্রেতার কাছ থেকে সফটওয়্যার ও ম্যানেজড সেবা সংগ্রহ করে। ভেন্ডর ঝুঁকি ব্যবস্থাপনা কার্যক্রম ছাড়া — বিক্রেতাদের নির্দিষ্ট নিরাপত্তা নিয়ন্ত্রণ প্রদর্শন করতে, পর্যায়ক্রমিক নিরাপত্তা অডিটের মধ্য দিয়ে যেতে এবং তাদের সফটওয়্যারে প্রতিটি উপাদান নথিভুক্ত করে একটি Software Bill of Materials (SBOM) বজায় রাখতে বাধ্য করে — বাংলাদেশ জানতে পারবে না যে তার কোন সিস্টেম বিশ্বস্ত তৃতীয় পক্ষের মাধ্যমে ইতিমধ্যে আপোস হয়েছে কিনা।
জিরো-ট্রাস্ট আর্কিটেকচার গুরুত্বপূর্ণ সরকারি সিস্টেমে পরিধি-ভিত্তিক নিরাপত্তা অনুমান প্রতিস্থাপন করতে হবে। সোলারউইন্ডস আক্রমণ প্রমাণ করেছে যে একবার আক্রমণকারী বিশ্বস্ত অ্যাক্সেস অর্জন করলে — আপোস করা সফটওয়্যার আপডেটের মাধ্যমে বা অন্যভাবে — পরিধি প্রতিরক্ষা অপ্রাসঙ্গিক। জিরো-ট্রাস্ট মডেলগুলো ধরে নেয় যে নেটওয়ার্কের কোনো অংশ সহজাতভাবে নিরাপদ নয়, ব্যবহারকারী এবং ডিভাইসের ক্রমাগত বৈধতা প্রয়োজন এবং মাইক্রোসেগমেন্টেশন বাস্তবায়ন করে।
গতিতে হুমকি বুদ্ধিমত্তা শেয়ারিং প্রাতিষ্ঠানিক হতে হবে। সোলারউইন্ডস একটি সরকারি সংস্থা নয়, একটি বেসরকারি সাইবার নিরাপত্তা কোম্পানি ফায়ারআই আবিষ্কার করেছিল। বাংলাদেশের সরকারি সিস্টেম, আর্থিক প্রতিষ্ঠান, টেলিযোগাযোগ অপারেটর এবং গুরুত্বপূর্ণ অবকাঠামো অপারেটরের মধ্যে দ্রুত, দ্বিমুখী হুমকি বুদ্ধিমত্তা শেয়ারিংয়ের অভ্যন্তরীণ কাঠামো অপর্যাপ্তভাবে উন্নত। ২০২৪ সালের আর্থিক খাতের মূল্যায়ন স্পষ্টভাবে "বিশ্বাসের সমস্যা" চিহ্নিত করেছে।
মানব সক্ষমতা বিনিয়োগ অবশ্যই হুমকির সাথে মাপকাঠিতে বাড়তে হবে। নভেম্বর ২০২৪-এ চালু ৩,০০০-পেশাদার প্রশিক্ষণ কার্যক্রম উল্লেখযোগ্য কিন্তু প্রয়োজনের তুলনায় অপর্যাপ্ত। উন্নত সাপ্লাই চেইন আক্রমণের জন্য এমন নিরাপত্তা পেশাদার দরকার যারা সফটওয়্যার ডেভেলপমেন্ট পাইপলাইন, বাইনারি বিশ্লেষণ, আচরণগত অসঙ্গতি শনাক্তকরণ এবং হুমকি শিকার বোঝেন।
ভূ-রাজনৈতিক মাত্রা
সোলারউইন্ডস একটি অপরাধ ছিল না। এটি একটি ভূ-রাজনৈতিক অভিযান ছিল, রুশ রাষ্ট্রীয় গোয়েন্দাকে দায়ী করা হয়েছে, যা মার্কিন যুক্তরাষ্ট্র ও তার মিত্রদের কৌশলগত গোয়েন্দা অবকাঠামোকে লক্ষ্য করে। একটি বিশ্বস্ত সফটওয়্যার বিক্রেতার মাধ্যমে একসঙ্গে ১৮,০০০ সংস্থাকে আপোস করার উচ্চাভিলাষের মাত্রা প্রতিফলিত করে যে জাতি-রাষ্ট্র সাইবার অভিনেতারা কী সক্ষম।
বাংলাদেশ দক্ষিণ এশিয়ায় একটি জটিল ভূ-রাজনৈতিক অবস্থানে রয়েছে, চীন, ভারত, মার্কিন যুক্তরাষ্ট্র এবং অন্যান্য প্রধান শক্তির সাথে উল্লেখযোগ্য দ্বিপাক্ষিক সম্পর্ক রয়েছে। রাষ্ট্র-প্রণোদিত সাইবার অভিনেতারা — একাধিক দিক থেকে — বাংলাদেশের সরকারি সিস্টেম, আর্থিক অবকাঠামো এবং ভবিষ্যত্ সংহতি নির্ধারণকারী রাজনৈতিক প্রক্রিয়াগুলোকে লক্ষ্য করার উভয় সক্ষমতা এবং উদ্দেশ্য রয়েছে।
ITU গ্লোবাল সাইবারসিকিউরিটি ইনডেক্স ২০২৪-এ BGD e-GOV CIRT-এর Tier-1 রোল মডেল কান্ট্রি মনোনয়ন প্রকৃত অগ্রগতি প্রতিফলিত করে। বাংলাদেশ একটি জাতীয় সাইবার প্রতিরক্ষা সক্ষমতার প্রাতিষ্ঠানিক কঙ্কাল তৈরি করেছে। যা এখনো তৈরি হয়নি — সাপ্লাই চেইন যাচাইকরণ, জিরো-ট্রাস্ট বাস্তবায়ন, উন্নত হুমকি শিকার এবং গভীর মানব দক্ষতার মাংসপেশি — ঠিক সেটাই সোলারউইন্ডস প্রমাণ করেছে যে সবচেয়ে গুরুত্বপূর্ণ আক্রমণগুলো প্রতিরোধ করতে প্রয়োজন। পরবর্তী সোলারউইন্ডস হয়তো ইতিমধ্যে বাংলাদেশের সিস্টেমে রয়েছে। লক্ষ্য হলো এটি তার টার্গেট খোঁজার আগে খুঁজে বের করা।
win-tk.org একটি wintk প্রকাশনা। এই নিবন্ধটি প্রযুক্তি বিশ্লেষণের উদ্দেশ্যে আমাদের সম্পাদকীয় দলের দ্বারা তৈরি।
