বাংলাদেশ ব্যাংকের রিজার্ভ চুরির প্রায় এক দশক পরও বিদেশি অর্থ লেনদেনের বৈশ্বিক মাধ্যম সুইফট পরিচালনায় কেন্দ্রীয় ব্যাংকে থাকা নিরাপত্তা ব্যবস্থায় বেশ কিছু দুর্বলতা ও অসঙ্গতি রয়ে গেছে; যেগুলো সংশোধনে ধাপে ধাপে কাজ করার কথা বলেছে কেন্দ্রীয় ব্যাংক।
বিশ্বজুড়ে চাঞ্চল্য তৈরি করা রিজার্ভ চুরির এ ঘটনার প্রায় সাড়ে ১০ বছর পর গত সপ্তাহে মামলার অভিযোগপত্র চূড়ান্ত করার প্রস্তুতির খবরের মধ্যে সুইফটের সার্ভার রুমে নিরাপত্তা ব্যবস্থা পর্যাপ্ত না থাকার বিষয়গুলো সামনে আসে।
অন্তর্বর্তী সরকারের গঠিত পর্যালোচনা কমিটির সদস্যরা বাংলাদেশ ব্যাংকের সুইফট সার্ভার রুম পরিদর্শন শেষে এ নিয়ে যে প্রতিবেদন দেন তাতে এসব দুর্বলতা ও অসঙ্গতির তথ্য উঠে আসে।
তাদের পর্যবেক্ষণ প্রতিবেদনে সাইবার নিরাপত্তা অবকাঠামো আধুনিকায়ন, লগ বিশ্লেষণ ব্যবস্থা, ঝুঁকি ব্যবস্থাপনা, বিকল্প দুর্যোগ পুনরুদ্ধার কেন্দ্রের সক্ষমতা, স্বয়ংক্রিয় ব্যাকআপ, নিরাপত্তা পর্যবেক্ষণ কেন্দ্র এবং বাংলাদেশ ব্যাংকের ইন্টারনেট সরবরাহকারী প্রতিষ্ঠানে ফায়ারওয়াল ব্যবহার না করার মত দুর্বলতা দেখতে পাওয়ার কথা তুলে ধরা হয়।
২০২৫ সালের ১ জুলাই পরিদর্শনকালে তারা ‘ডিফল্ট প্যারামিটারে’ ওয়েব ব্রাউজার ব্যবহার করা, আন্তর্জাতিকভাবে বহুল ব্যবহার হয় না এমন ভিপিএন ব্যবহার করার মত বিষয়ও দেখতে পান বলে তুলে ধরেন তাদের পর্যবেক্ষণ প্রতিবেদনে।
সুফইট সার্ভার রুম পরিদর্শনের অভিজ্ঞতা তুলে ধরে কমিটির এক সদস্য বলেন, তারা সুইফট পরিচালনা ব্যবস্থায় অ্যান্টি মানি লন্ডারিং সফটওয়্যার দেখতে পান নাই। এতে কারা তথ্য পাঠাচ্ছে তাদের পরিচয় (কেওয়াইসি) জানা যায় না। একই সঙ্গে তাদের দেওয়া তথ্যগুলো সঠিক কিনা সেটিও বোঝা যায় না।
পরিদর্শনকালে সুইফটের ট্রানজেকশনের যে প্রোফাইল সেটির ‘ভ্যালিডেশনের’ ব্যবস্থাও দেখতে পান নাই তারা।
কমিটির এ সদস্য বলেন, “এ ধরনের ব্যবস্থাপনায় আসলে হ্যাকিং যেকোনো সময় করতে পারত, আগে-পরে। অর্থাৎ বাংলাদেশের সুইফটের নিরাপত্তা ব্যবস্থা খুব একটা সুবিধার না।”
রিজার্ভ চুরির ১০ বছর পর অবস্থা কতখানি বদলেছে সেই প্রসঙ্গে তিনি বলেন, “আমরা যে অবস্থায় পেয়েছি কিছু সামান্য কিছু ইমপ্রুভমেন্ট পেয়েছি; কিন্তু সেই ইমপ্রুভমেন্ট এনাফ ছিল না আর কি।
“তারপরে আমরা বিভিন্ন বিষয়ে কারিগরি (ক্রুটি) ধরার পরে মানে ওখানকার প্রকৌশলীরাও বুঝতে পারছে যে আসলে তাদের সিকিউরিটি এনাফ ছিল না।“
এক দশকের বেশি সময় আগে ২০১৬ সালের ৪ ফেব্রুয়ারি হ্যাকাররা সুইফড কোড ব্যবহার করে নিউ ইয়র্কের ফেডারেল রিজার্ভ ব্যাংকে বাংলাদেশ ব্যাংকের বিদেশি মুদ্রার রিজার্ভ থেকে প্রায় ১০ কোটি ১০ লাখ মার্কিন ডলার হাতিয়ে নেয়।
আলোচিত এ রিজার্ভ চুরির ঘটনায় অন্তর্বর্তী সরকার ২০২৫ সালের জুলাইয়ে আইন উপদেষ্টা আসিফ নজরুলকে প্রধান করে ছয় সদস্যের পর্যালোচনা কমিটি গঠন করা হয়।
কমিটিতে থাকা প্রধান উপদেষ্টার তথ্যপ্রযুক্তি বিষয়ক বিশেষ সহকারী ফয়েজ আহমদ তৈয়্যব ২০২৫ সালের ১ জুলাই প্রধান উপদেষ্টার স্বরাষ্ট্র মন্ত্রণালয় বিষয়ক বিশেষ সহকারী খোদা বকস চৌধুরীকে নিয়ে বাংলাদেশ ব্যাংকে থাকা সুইফটের সার্ভার রুম পর্যবেক্ষণ করেন। সুইফট পরিচালনায় ব্যবস্থাপনা নিয়ে সেসময় তাদের দেওয়া পর্যবেক্ষণের মধ্যে আরও রয়েছে-
>> এক্সডিআর/এনডিআর ডিভাইস সংযোগবিহীন অবস্থায় পাওয়া যাওয়া;
>> সার্ভার রুম যে তলায় অবস্থিত সেখানকার সভাকক্ষে অবস্থিত নেটওয়ার্ক র্যাকে যথাযথ ফায়ার সেফটি ও এনভায়রনমেন্ট মনিটরিংয়ের ব্যবস্থা না থাকা;
>> সুইফট সার্ভার রুমের কেবল ম্যানেজমেন্ট না থাকা;
>> সার্ভার রুমের সৎরক্ষিত কেবলগুলোর কয়েকটিতে সোর্স ও ডেস্টিনেশনের ট্যাগ না থাকা;
>> অ্যান্টি মানি লন্ডারিং টুল ব্যবহার না করা;
>> নতুন জেনারেশনাল সুইফট সফটওয়্যার মাইগ্রেশন না থাকা
এই দুই সদস্যের পর্যবেক্ষণ প্রতিবেদনে সুইফট ব্যবস্থাপনায় দক্ষ জনবল গড়ে তোলার পরামর্শ দেওয়া হয়।
পরে তাদের পরিদর্শন প্রতিবেদনের ভিত্তিতে তৈরি বাংলাদেশ ব্যাংকের অগ্রগতি প্রতিবেদনে বলা হয়েছে- রিজার্ভ চুরির পর নিরাপত্তা জোরদারে বেশ কিছু পদক্ষেপ নেওয়া হলেও প্রায় এক দশক পেরিয়ে গেলেও গুরুত্বপূর্ণ কয়েকটি ক্ষেত্রে কাজ এখনও বাকি রয়েছে।
এসব খুঁজে পাওয়া এসব দুর্বলতা ও অসঙ্গতির বিষয়ে বাংলাদেশ ব্যাংকের মুখপাত্র আরিফ হোসেন খান বলেন, সরকার গঠিত কমিটির সুপারিশগুলো বাস্তবায়নের কাজ চলছে।
“যেহেতু একটা কমিটি সাজেশন দিয়েছে বাংলাদেশ ব্যাংক অবশ্যই সেই সাজেশনগুলো মেনে চলছে এবং সবগুলোতো আর তাৎক্ষণিকভাবে বাস্তবায়ন সম্ভব না। সবগুলো এক্সেপ্ট করে নিয়েছে এবং সবগুলো একটার পরে একটা বাস্তবায়ন করছে।”
তবে এখনও কোনটি কোনটি অসম্পূর্ণ তা বলেননি তিনি।
রিজার্ভ চুরি নিয়ে বিভিন্ন সময়ে সরকারের উচ্চ পর্যায়ের এমন তদন্তের পাশাপাশি প্রায় এক দশক ধরে অর্থ চুরির মামলার তদন্ত করছে পুলিশের অপরাধ তদন্ত বিভাগ (সিআইডি)। পুলিশের বিশেষ এ ইউনিট তদন্ত কাজ শেষে অভিযোগপত্র চূড়ান্ত করেছে বলে খবরে এসেছে।
খসড়া অভিযোগপত্র চলতি বছরের মার্চে আইনি মতামতের জন্য অ্যাটর্নি জেনারেলের কার্যালয়ে পাঠানো হয়েছে, যাতে সাবেক গভর্নর আতিউর রহমান ও ৯ বাংলাদেশিসহ দেশি-বিদেশি ৬৪ ব্যক্তি ও প্রতিষ্ঠানের বিরুদ্ধে অভিযোগ আনার খবর প্রকাশিত হয়েছে।
মামলার তদন্ত শুরু থেকেই করছে সিআইডি। সর্বশেষ গত ১৮ মে মামলার তদন্ত প্রতিবেদন জমা দেওয়ার তারিখ ৯৫তম বারের মতো পিছিয়ে যায়। আদালত নতুন তারিখ নির্ধারণ করেছে ২ জুলাই।
অন্তর্বর্তী সরকারের কমিটির পরিদর্শন
রিজার্ভ চুরির তদন্তের অগ্রগতি, দায়দায়িত্ব নির্ধারণ এবং ভবিষ্যতে এমন ঘটনা ঠেকাতে সুপারিশ দিতে ২০২৫ সালের মার্চে মুহাম্মদ ইউনূসের নেতৃত্বাধীন অন্তর্বর্তী সরকার আইন উপদেষ্টা আসিফ নজরুলকে প্রধান করে ছয় সদস্যের এই পর্যালোচনা কমিটি গঠন করে।
কমিটির অন্য সদস্যরা ছিলেন – জ্বালানি উপদেষ্টা ফাওজুল কবির খান, টেলিযোগাযোগ মন্ত্রণালয়ের বিশেষ সহকারী ফয়েজ আহমদ তৈয়্যব, গভর্নর আহসান এইচ মনসুর, বিমান বাংলাদেশে এয়ারলাইনসের পরিচালক আলী আশফাক ও রূপালী ব্যাংকের চেয়ারম্যান নজরুল হুদা।
পরিদর্শনের পর তাদের দেওয়া এ বিষয়ক প্রতিবেদনে বলা হয়, রিজার্ভ চুরির সময়কার কিছু দুর্বলতা ইতোমধ্যে সংশোধন করা হয়েছে। তারা আরও যেসব দুর্বলতা ও অসঙ্গতি খুঁজে পেয়েছিলেন সেগুলো চিহ্নিত করে সংশোধনের সুপারিশ করেন।
পরে তাদের পরির্দশন প্রতিবেদন নিয়ে অন্তর্বর্তী সরকার দায়িত্ব ছাড়ার সপ্তাহ দুয়েক আগেও চলতি বছরের ২৮ জানুয়ারি বাংলাদেশ ব্যাংকের সংশ্লিষ্ট কর্মকর্তাদের সঙ্গে তদন্ত দলের বিস্তারিত আলোচনা হয়। সেখানে পরিদর্শন প্রতিবেদনের সুপারিশের কোনগুলো বাস্তবায়ন হয়েছে, কোনগুলো বাস্তবায়ন হয়নি তা তুলে ধরা হয়।
এ বৈঠকের পর বাংলাদেশ ব্যাংক একটি অগ্রগতি প্রতিবেদন তৈরি করে। যাতে বলা হয়, বর্তমানে সুইফট সার্ভার সার্বক্ষণিক চালু রাখা হয় না। শুধু লেনদেন নিষ্পত্তির সময় হার্ডওয়্যার সিকিউরিটি মডিউল ব্যবহার করা হয়।
পাসওয়ার্ড নিয়মিত পরিবর্তন করা হচ্ছে এবং প্রতিবার লগইনের সময় ‘মাল্টি ফ্যাক্টর অথেন্টিকেশন’ ও এককালীন পাসওয়ার্ড ব্যবহার করা হচ্ছে। আগের ভিপিএনের পরিবর্তে আন্তর্জাতিকভাবে স্বীকৃত ভিপিএন ব্যবস্থা চালুর কথাও প্রতিবেদনে বলা হয়েছে।
এছাড়া ব্যবস্থাপনা, পরিবেশগত পর্যবেক্ষণ ব্যবস্থা, তাপমাত্রা নিয়ন্ত্রণ এবং সার্ভার রুমের অবকাঠামোতেও উন্নয়ন আনার কথা বলেছে কেন্দ্রীয় ব্যাংক।
একই প্রতিবেদনে আন্তর্জাতিক মানের বিভিন্ন নিরাপত্তা টুল সংগ্রহ ও বাস্তবায়ন, অ্যান্টি মানি লন্ডারিং টুল চালু, স্বয়ংক্রিয় ব্যাকআপ, নিরাপত্তা পর্যবেক্ষণ কেন্দ্র, লগ সংরক্ষণ, নিরাপত্তা নকশা প্রস্তুত এবং বিকল্প সাইটের জনবল নিয়োগসহ বেশ কিছু কাজ এখনও প্রক্রিয়াধীন বলে তুলে ধরা হয়।
সব কাজ শেষ কমিটির তদন্ত প্রতিবেদন প্রয়োজনীয় ব্যবস্থা গ্রহণের জন্য প্রধান উপদেষ্টা মুহাম্মদ ইউনূসের কাছে দেওয়া হয়।
‘সর্বনিম্ন দরদাতা’ নির্ভর নিরাপত্তা
প্রতিবেদনের অন্যতম গুরুত্বপূর্ণ পর্যবেক্ষণ ছিল সাইবার নিরাপত্তা সফটওয়্যার কেনায় সর্বনিম্ন দরদাতার ওপর নির্ভরতা। তদন্ত দলকে জানানো হয়, উন্মুক্ত দরপত্রে সর্বনিম্ন দরদাতার কাছ থেকে কিছু নিরাপত্তা সফটওয়্যার সংগ্রহ করা হয়েছে।
কমিটির পর্যবেক্ষণ ছিল, কেন্দ্রীয় ব্যাংকের মত গুরুত্বপূর্ণ আর্থিক প্রতিষ্ঠানের ক্ষেত্রে শুধু কম দাম নয়, আন্তর্জাতিকভাবে স্বীকৃত এবং উচ্চমানের নিরাপত্তা সমাধানকে অগ্রাধিকার দেওয়া প্রয়োজন।
প্রতিবেদনে মাইক্রোসফট, আইবিএমসহ আন্তর্জাতিকভাবে স্বীকৃত নিরাপত্তা প্ল্যাটফর্ম ব্যবহারের সুপারিশও করা হয়।
পরিদর্শক দলের সুপারিশ
নতুন করে এ ঘটনার তদন্তে কমিটির উদ্দেশ্য ছিল ভবিষ্যতে যাতে এ ধরনের ঘটনা না ঘটে সেটার উপায় বের করা। এজন্য তারা বেশ কিছু সুপারিশ করে। সেগুলোর মধ্যে ছিল-
>> জাস্ট ইন টাইম অ্যাকসেস নিশ্চিত করা
>> উচ্চমানের হার্ডওয়্যার সিকিউরিটি মডিউল ব্যবহার
>> সুইফট জোনে ইউএসবি ও মোবাইল ফোন ব্যবহার সীমিত করা
>> ব্যবহারকারীর আচরণ বিশ্লেষণ ব্যবস্থা চালু করা
>> ফাইল অখণ্ডতা পর্যবেক্ষণ
>> নিরাপদ ওয়েব গেটওয়ে
>> কৃত্রিম বুদ্ধিমত্তাভিত্তিক অস্বাভাবিক কার্যক্রম শনাক্তকরণ ব্যবস্থা
>> সাইবার ঝুঁকি নিবন্ধন চালুর সুপারিশ
সিসিটিভি ভিডিওর একাধিক ব্যাকআপ সংরক্ষণ
‘সব বাস্তবায়ন একদিনে সম্ভব নয়’
পর্যালোচনা কমিটির পর্যবেক্ষণ ও সুপারিশের বিষয়ে বাংলাদেশ ব্যাংকের মুখপাত্র আরিফ হোসেন খান বলেন, সুইফট সার্ভার রুমের দুর্বলতা ও অসঙ্গতির যেসব বিষয় অন্তর্বর্তী সরকারের পর্যালোচনা কমিটি তুলে ধরেছে সেগুলো ধাপে ধাপে বাস্তবায়নের কাজ চলছে।
সর্বনিম্ন দরদাতার পরিবর্তে আন্তর্জাতিকভাবে স্বীকৃত প্রতিষ্ঠানের সফটওয়্যার কেনার সুপারিশ প্রসঙ্গে তিনি বলেন, সরকারি ক্রয়বিধির বিষয়টিও বিবেচনায় রাখতে হয়।
“আমি তিনটা প্রতিষ্ঠান বিড করল, আমি সব লোয়েস্ট বিডারেরটা না নিয়ে সেকেন্ড বা থার্ড বিডারেরটা নিলাম, তখন প্রশ্ন উঠবে কেন নিলাম। রাষ্ট্রীয় অর্থ ব্যয়ের ক্ষেত্রেও জবাবদিহি আছে।”
তার মতে, তথ্যপ্রযুক্তি নিরাপত্তা একটি চলমান প্রক্রিয়া।
“আজকে যে সফটওয়্যারকে সবচেয়ে নিরাপদ মনে হচ্ছে, কয়েক বছর পর সেটিও কোনো না কোনোভাবে আক্রমণের মুখে পড়তে পারে।”
