তদন্ত প্রতিবেদনে তথ্য: বাংলাদেশ ব্যাংকের আন্তর্জাতিক লেনদেন ব্যবস্থায় এখনো ঝুঁকি

বাংলাদেশ ব্যাংকের রিজার্ভ চুরির প্রায় এক দশক পরও আন্তর্জাতিক অর্থ লেনদেন ব্যবস্থায় একাধিক দুর্বলতা রয়ে গেছে। ওই ঘটনার পর কিছু নিরাপত্তাব্যবস্থা উন্নত করা হলেও আন্তর্জাতিক মানের তথ্যপ্রযুক্তি নিরাপত্তা এখনো পুরোপুরি নিশ্চিত হয়নি।

রিজার্ভ চুরির ঘটনায় তদন্ত প্রতিবেদনে এসব উল্লেখ করা হয়েছে। এদিকে রিজার্ভ চুরির মামলায় ছয় দেশের ৬৪ ব্যক্তি ও প্রতিষ্ঠানের বিরুদ্ধে অভিযোগপত্র প্রস্তুত করেছে তদন্ত সংস্থা পুলিশের অপরাধ তদন্ত বিভাগ (সিআইডি)। তাঁদের মধ্যে বাংলাদেশ ব্যাংকের সাবেক গভর্নর ড. আতিউর রহমানসহ ১০ বাংলাদেশি কর্মকর্তা রয়েছেন।

২০১৬ সালের ৪ ফেব্রুয়ারি নিউইয়র্কের ফেডারেল রিজার্ভ ব্যাংকে বাংলাদেশ ব্যাংকের বৈদেশিক মুদ্রার রিজার্ভ থেকে প্রায় ১০ কোটি ১০ লাখ মার্কিন ডলার চুরি হয়। হ্যাকাররা আন্তর্জাতিক ব্যাংকিং বার্তা ব্যবস্থা সুইফট অপব্যবহারের মাধ্যমে ওই অর্থ চুরি করে। তবে মেসেজের মাধ্যমে শ্রীলঙ্কায় একটি ভুয়া এনজিওর নামে ২ কোটি ডলার সরানো হলেও বানান ভুলের কারণে সন্দেহ হওয়ায় শেষ মুহূর্তে তা আটকে যায়। অপর চারটি মেসেজের মাধ্যমে বাকি ৮ কোটি ১০ লাখ ডলার সরানো হয় ফিলিপাইনের মাকাতি শহরে রিজাল কমার্শিয়াল ব্যাংকের জুপিটার স্ট্রিট শাখায় ভুয়া তথ্য দিয়ে খোলা চারটি হিসাবে।

এই রিজার্ভ চুরির ঘটনায় ২০১৬ সালের ৩ মার্চ বাংলাদেশ ব্যাংক মতিঝিল থানায় মামলা করে। মামলাটির তদন্ত করছে সিআইডি।

রিজার্ভ চুরির ঘটনায় বিগত অন্তর্বর্তী সরকারের আমলে গত বছরের জুলাইয়ে একটি তদন্ত কমিটি গঠন করা হয়। কমিটিতে ছিলেন তৎকালীন অন্তর্বর্তী সরকারের প্রধান উপদেষ্টার বিশেষ সহকারী খোদা বক্স চৌধুরী ও ফয়েজ আহমদ তৈয়্যব এবং সিআইডির তৎকালীন অতিরিক্ত ডিআইজি রায়হান উদ্দিন খান ও অতিরিক্ত পুলিশ সুপার ফরহাদ কবির। কমিটি গত জুলাই থেকে অক্টোবর পর্যন্ত তদন্ত এবং একাধিকবার কেন্দ্রীয় ব্যাংক পরিদর্শন করেন।

কমিটি পরে প্রধান উপদেষ্টার কাছে প্রতিবেদন জমা দেয়।

ওই প্রতিবেদনে বলা হয়েছে, বাংলাদেশ ব্যাংকের তথ্যপ্রযুক্তি নিরাপত্তা ব্যবস্থায় ব্যবহৃত কয়েকটি সফটওয়্যার আন্তর্জাতিকভাবে সবচেয়ে নির্ভরযোগ্য বা সর্বোচ্চ নিরাপত্তাসম্পন্ন নয়। সর্বনিম্ন দরদাতার কাছ থেকে সফটওয়্যার কেনার প্রবণতা নিরাপত্তা ঝুঁকি তৈরি করতে পারে। প্রতিবেদনে বিশ্বের শীর্ষমানের নিরাপত্তা প্রযুক্তি ব্যবহারের পরামর্শ দিয়ে বলা হয়েছে, তথ্যপ্রযুক্তি নিরাপত্তায় খরচের চেয়ে মানকে অগ্রাধিকার দেওয়া জরুরি।

প্রতিবেদনে আরও বলা হয়, কয়েকটি গুরুত্বপূর্ণ নিরাপত্তাব্যবস্থা এখনো পূর্বনির্ধারিত বা সাধারণভাবে পরিচালিত হচ্ছে। বাংলাদেশ ব্যাংকের মতো গুরুত্বপূর্ণ প্রতিষ্ঠানে প্রতিটি নিরাপত্তাব্যবস্থা আলাদা করে কাস্টমাইজ করা প্রয়োজন। তা না হলে সাইবার হামলা শনাক্ত ও প্রতিরোধে দুর্বলতা থেকে যেতে পারে। কমিটির পরিদর্শনের সময় কিছু আধুনিক নিরাপত্তা যন্ত্র সংযুক্ত অবস্থায় পাওয়া যায়নি। বাংলাদেশ ব্যাংক জানিয়েছে, এগুলো পরীক্ষামূলক পর্যায়ে রয়েছে। তদন্ত দল দ্রুত এসব ব্যবস্থা পূর্ণাঙ্গভাবে চালুর সুপারিশ করেছে।

প্রতিবেদনে অবকাঠামোগত ঝুঁকিও তুলে ধরা হয়। এতে বলা হয়েছে, সার্ভার কক্ষের কাছাকাছি একটি সভাকক্ষে একাধিক সার্ভার স্থাপন করা হয়েছে, যেখানে তাপমাত্রা নিয়ন্ত্রণের আলাদা ব্যবস্থা নেই। সার্ভার কক্ষের আশপাশের এলাকা তুলনামূলকভাবে সংকীর্ণ হওয়ায় আগুন বা অতিরিক্ত তাপমাত্রা হলে বড় ধরনের ক্ষতির আশঙ্কা রয়েছে। সার্ভার কক্ষের পাশে ছোট একটি রান্নাঘর ও খাবার গরম করার ব্যবস্থা নিয়েও প্রতিবেদনে উদ্বেগ জানানো হয়েছে।

প্রতিবেদনে বলা হয়েছে, খাবারের উচ্ছিষ্ট থেকে ইঁদুরের উপদ্রব তৈরি হতে পারে। এতে ফাইবার ও তথ্য পরিবহনকারী তার ক্ষতিগ্রস্ত হওয়ার ঝুঁকি থাকে। তাই সার্ভার কক্ষের আশপাশে রান্না, খাবার সংরক্ষণ বা খাবার গরম করার ব্যবস্থা না রাখার সুপারিশ করা হয়েছে।

দক্ষ তথ্যপ্রযুক্তি ও সাইবার নিরাপত্তা বিশেষজ্ঞের ঘাটতি থাকার বিষয়টি তদন্ত দলের কাছে স্বীকার করেছেন বাংলাদেশ ব্যাংকের কর্মকর্তারা। প্রতিবেদনে এ ক্ষেত্রে জনবল বাড়ানোর সুপারিশ করা হয়েছে।

তদন্ত প্রতিবেদনে বলা হয়েছে, প্রধান তথ্যকেন্দ্র অকার্যকর হলে বিকল্প তথ্যকেন্দ্র চালু করতে অন্তত দুই ঘণ্টা সময় লাগে। এ বিষয়ে নির্দিষ্ট সময়সীমা বা সেবার মানসংক্রান্ত চুক্তি আছে কি না, তা কর্মকর্তারা নিশ্চিত করতে পারেননি। তদন্ত দল এটিকে বড় ঝুঁকি হিসেবে দেখেছে। প্রতিবেদনে জরুরি কয়েকটি সুপারিশও করা হয়েছে। এর মধ্যে রয়েছে নির্দিষ্ট সময়ের জন্য প্রবেশাধিকার নিশ্চিত করা, উন্নত নিরাপত্তা যন্ত্র ব্যবহার, বহিরাগত যন্ত্র ও মোবাইল ফোন সীমিত করা, কৃত্রিম বুদ্ধিমত্তা (এআই) ভিত্তিক নজরদারি চালু, নিয়মিত ঝুঁকি মূল্যায়ন, ক্যামেরার তথ্য একাধিক স্থানে সংরক্ষণ এবং ব্যবহারকারীর আচরণ পর্যবেক্ষণ ব্যবস্থা চালু করা।

জানতে চাইলে বাংলাদেশ ব্যাংকের মুখপাত্র আরিফ হোসেন খান আজকের পত্রিকাকে বলেন, ‘হ্যাকিংয়ের মতো ঘটনার পর অনেক পদক্ষেপ নেওয়া হয়েছে। তবে নিরাপত্তা ইস্যুতে যখনই যে পরামর্শগুলো আসে তা আমরা সবসময় অনুসরণ করি। অন্তর্বর্তী সরকারের সময়ের তদন্ত কমিটির ওই প্রতিবেদনের পরামর্শগুলোও আমরা অনুসরণ করছি। কোনোভাবে নিরাপত্তা ইস্যুতে ছাড় দেওয়া হবে না।’ তিনি বলেন, সফটওয়্যার কেনার বিষয়ে প্রতিবেদনে যে পরামর্শ দেওয়া হয়েছে, সেটি অনুসরণ করা একটু কঠিন। কারণ, দরপত্রের বাইরে সরকারি ক্রয় প্রক্রিয়া বিতর্ক তৈরি করতে পারে। তাই দরপত্রের মাধ্যমেই কিনতে হয়।

মামলার অভিযোগপত্র প্রস্তুত

এদিকে রিজার্ভ চুরি মামলার অভিযোগপত্র প্রস্তুত করেছে সিআইডি। অভিযোগপত্রে বাংলাদেশ, ফিলিপাইন, শ্রীলঙ্কা, ভারত, চীন, জাপান ও উত্তর কোরিয়ার মোট ৬৪ ব্যক্তি ও প্রতিষ্ঠানকে অভিযুক্ত করা হয়েছে। তদন্তসংশ্লিষ্ট সূত্র জানায়, প্রায় ১০ হাজার পৃষ্ঠার অভিযোগপত্রে রিজার্ভ চুরি, অর্থ স্থানান্তর এবং পাচারের বিস্তারিত তুলে ধরা হয়েছে। অভিযোগপত্র শিগগির আদালতে দাখিল করা হবে।

অভিযোগপত্রে বাংলাদেশ ব্যাংকের সাবেক গভর্নর ড. আতিউর রহমানসহ ১০ বাংলাদেশি কর্মকর্তার নাম রয়েছে। ড. আতিউরের বিরুদ্ধে দায়িত্বে অবহেলা, ঘটনা গোপন রাখা, নিরাপত্তা ব্যবস্থায় ব্যর্থতা এবং আলামত নষ্ট বা মুছে ফেলার চেষ্টার অভিযোগ আনা হয়েছে। অভিযোগপত্রে নাম থাকা অন্য বাংলাদেশিরা হলেন ইনস্টিটিউট অব ব্যাংকার্স বাংলাদেশের তৎকালীন সভাপতি আনিস এ খান, বাংলাদেশ ব্যাংকের সাবেক মহাব্যবস্থাপক কে এম আবদুল ওয়াদুদ, সাবেক উপমহাব্যবস্থাপক রেজাউল করিম, তৎকালীন উপমহাব্যবস্থাপক মেজবাউল হক, সাবেক নির্বাহী পরিচালক শুভঙ্কর সাহা, সাবেক উপপরিচালক জোবায়ের বিন হুদা, সাবেক ডেপুটি গভর্নর আবুল কাশেম, কারেন্সি ম্যানেজমেন্ট বিভাগের মহাব্যবস্থাপক মো. সুলতান মাসুদ আহম্মেদ এবং গভর্নর সচিবালয়ের মহাব্যবস্থাপক এ এফ এম আসাদুজ্জামান। তাঁদের বিরুদ্ধে দায়িত্বে গাফিলতি এবং নিরাপত্তা তদারকিতে ব্যর্থতার অভিযোগ আনা হয়েছে।

উত্তর কোরিয়ার নাগরিক পার্ক জিন হিয়োককে মূল পরিকল্পনাকারীদের অন্যতম হিসেবে চিহ্নিত করা হয়েছে। তাঁর বিরুদ্ধে বাংলাদেশ ব্যাংকের নেটওয়ার্কে অনুপ্রবেশ, সাইবার হামলা পরিচালনা এবং অর্থ চুরির অপারেশন বাস্তবায়নের অভিযোগ রয়েছে। উত্তর কোরিয়ার হ্যাকার সংগঠন লাজারাস গ্রুপকেও অভিযুক্ত করা হয়েছে।

ফিলিপাইনের ৩০ জনের বেশি ব্যক্তি এবং একাধিক প্রতিষ্ঠানকে অভিযুক্ত করা হয়েছে। তাঁদের মধ্যে রয়েছেন কাম সিন ওং, মায়া সান্তোস দেগুইতো, রাউল ভিক্টর বি তান, ব্রিজিট আর কাপিনা, নেস্তর ও পিনেদা, রোমুয়ালদো এস আগারাডো, অ্যাঞ্জেলা রুথ এস টরেস, লোরেঞ্জো তানসহ আরও অনেকে। প্রতিষ্ঠানগুলোর মধ্যে রয়েছে দেশটির রিজাল কমার্শিয়াল ব্যাংকিং করপোরেশন, ফিলরেম সার্ভিস করপোরেশন, সেঞ্চুরিটেক্স ট্রেডিং, আব্বা কারেন্সি এক্সচেঞ্জ, বিকন কারেন্সি এক্সচেঞ্জ, মিডাস ক্যাসিনো এবং সোলেয়ার রিসোর্ট অ্যান্ড ক্যাসিনো। তাদের বিরুদ্ধে অর্থ গ্রহণ, স্থানান্তর এবং পাচারে সহায়তার অভিযোগ আনা হয়েছে।

অভিযোগপত্রে শ্রীলঙ্কার সাত ব্যক্তি ও শালিকা ফাউন্ডেশনকে অভিযুক্ত করা হয়েছে। অভিযোগপত্রে নাম রয়েছে ভারতের নীলাভান্নান মাদুক্কুর আনন্দন, প্রীতম রেড্ডি, সুধীন্দ্র আত্রেশ ও রাকেশ আস্তানা; চীনের ডিং ঝিজে, গাও শুহুয়া ও ওয়েইকাং জু এবং জাপানের সাসাকি।

তদন্ত কর্মকর্তাদের দাবি, তদন্তে বিভিন্ন সময় চাপ সৃষ্টি করা হয়েছিল। বাংলাদেশি ব্যক্তিদের নাম বাদ দেওয়ার জন্যও চাপ ছিল। তবে ফরেনসিক তথ্য, আন্তর্জাতিক প্রতিবেদন এবং নথিপত্রের ভিত্তিতে শেষপর্যন্ত অভিযোগপত্র চূড়ান্ত করা হয়েছে।

অভিযোগপত্রটি আইনি পরামর্শের জন্য অ্যাটর্নি জেনারেলের কার্যালয় পাঠানো হয়েছে। এটি শিগগির আদালতে জমা দেওয়া হবে বলে জানান তদন্ত কর্মকর্তা সিআইডির ফাইন্যান্সিয়াল ক্রাইমের অতিরিক্ত বিশেষ পুলিশ সুপার আল মামুন। তিনি বলেন, মামলার তদন্ত কার্যক্রম শেষপর্যায়ে রয়েছে। বাংলাদেশ ব্যাংকের অভিযুক্ত কেউ গ্রেপ্তার নেই। তাঁদের কয়েকজনের পাসপোর্ট ব্লক রয়েছে, যাতে বিদেশে যেতে না পারেন।

২০১৬ সালের ৪ ফেব্রুয়ারি রিজার্ভ চুরি হলেও পরদিন ৫ ফেব্রুয়ারি বিষয়টি প্রথম সন্দেহের সৃষ্টি করে এবং বাংলাদেশ ব্যাংক অভ্যন্তরীণ তদন্ত শুরু করে। পরে ৩ মার্চ কেন্দ্রীয় ব্যাংক মতিঝিল থানায় মামলা করে।