রক্ষণাবেক্ষণের নামে বছরে শতকোটি টাকা খরচ করেও কাস্টমসের অ্যাসাইকুডা সফটওয়্যার নিরাপদ রাখা যাচ্ছে না। কাস্টমসের সার্ভারে একের পর এক হ্যাকের ঘটনা ঘটলেও জাতীয় রাজস্ব বোর্ড (এনবিআর) নিশ্চুপ-নির্বিকার। উচ্চ শুল্ক ও জনস্বাস্থ্যের জন্য ক্ষতিকর মদ-বিয়ার, সিগারেট, ঘন চিনি ও বন্ডের কাপড় চালান ধরা পড়লেও দুষ্কৃতকারীদের চিহ্নিতের পরিবর্তে দায়িত্বশীলদের মনোযোগ শুধু কেনাকাটায়। ৩ বছরে সিস্টেম রক্ষণাবেক্ষণে প্রায় ৩০০ কোটি টাকার কেনাকাটা করা হয়েছে, তাতেও সিস্টেম নিরাপদ করা যায়নি। বরং কেনাকাটার মান ও প্রয়োজনীয়তা নিয়ে প্রশ্ন উঠেছে খোদ সংস্থাটির অভ্যন্তরে। দায়িত্বশীলরা দায় এড়াতে বিশেষজ্ঞদের পরিবর্তে কাস্টমস কর্মকর্তাদের দিয়ে লোকদেখানো অডিট করাচ্ছেন।

সংশ্লিষ্টরা বলছেন, প্রকৃত দোষীদের আড়াল করতে এবং কেনাকাটা জায়েজ করতেই অডিটের নামে আইওয়াশ করা হচ্ছে। তৃতীয় পক্ষের মাধ্যমে সিস্টেমের কেনাকাটা ও অডিট করালে থলের বিড়াল বেরিয়ে আসবে।

কাস্টমসে স্বচ্ছতা, জবাবদিহিতা ও দুর্নীতি রোধে ১৯৯৪ সালে সর্বপ্রথম ঢাকা কাস্টম হাউজে অ্যাসাইকুডা ভার্সন-টু সফটওয়্যার চালু করা হয়। ২০০২ সালে অ্যাসাইকুডা প্লাস প্লাস সফটওয়্যার ব্যবহার করে কাস্টমস। পরবর্তী সময়ে ২০১৩ সালে অত্যাধুনিক ভার্সন হিসাবে অ্যাসাইকুডা ওয়ার্ল্ড চট্টগ্রাম কাস্টম হাউজসহ সব কাস্টম হাউজে চালু করা হয়। বর্তমানে এ পদ্ধতিতে আমদানি-রপ্তানি দলিলাদি জমা এবং শুল্কায়ন কার্যক্রম পরিচালিত হয়ে থাকে। জাতিসংঘের বাণিজ্য ও উন্নয়ন সংস্থা (আঙ্কটাড) বাংলাদেশ কাস্টমসকে বিনামূল্যে অ্যাসাইকুডা সফটওয়্যারটি সরবরাহ করে।

তথ্যানুসন্ধানে জানা যায়, ২০১৯ সালে অ্যাসাইকুডা সিস্টেম হ্যাকের খবর আলোচনায় আসে। ওই বছর শুল্ক গোয়েন্দার তদন্তে উঠে আসে, অবসরপ্রাপ্ত এক রাজস্ব কর্মকর্তার ইউজার আইডি-পাসওয়ার্ড ব্যবহার করে ১১৬ বার অ্যাসাইকুডা ওয়ার্ল্ডে লগইন ও লগআউট করে পণ্য খালাস নেওয়ার ঘটনা ঘটেছে। ২০১৫ সালে বদলি হওয়া আরেক সহকারী রাজস্ব কর্মকর্তার ইউজার আইডি ব্যবহার করে ২০১৬ সালের ১৩ অক্টোবর থেকে ২০১৯ সালের ৮ জানুয়ারি পর্যন্ত ৩ হাজার ৬৮১ বার অ্যাসাইকুডা ওয়ার্ল্ড সিস্টেমে লগইন করা হয় এবং ৮৫০ কোটি টাকার পণ্য খালাস নেওয়া হয়। এ ঘটনায় তখন পুরো এনবিআরে হইচই পড়ে যায়।

এরপর ২০২১ সালের ২৭ অক্টোবর সিস্টেমে প্রবেশে নতুন সিকিউরিটি ফিচার ওটিপি (ওয়ান টাইম পাসওয়ার্ড) চালু করা হয়। তাতেও সিস্টেম নিরাপদ করা যায়নি। ২০২২ সালে মৃত রাজস্ব কর্মকর্তার ইউজার আইডি ব্যবহার করে সিস্টেমে প্রবেশের মাধ্যমে পণ্য চালান খালাসের চেষ্টা করা হয়। সর্বশেষ ২৮ জুন উপকমিশনার মোহাম্মদ জাকারিয়ার আইডি হ্যাকের মাধ্যমে ওয়াটার পিউরিফাইয়ার ঘোষণায় বিদেশি মন্ড ব্র্যান্ডের সিগারেট খালাস নেওয়ার চেষ্টা চালায় সংঘবদ্ধ চক্র। শুধু মে মাসেই তার আইডি ব্যবহার করে সিস্টেমে ৪০-৪৫ বার প্রবেশ করা হয়েছে। অথচ এ সময় তিনি দেশেও ছিলেন না।

তথ্যানুসন্ধানে জানা যায়, একের পর এক সার্ভার হ্যাকের ঘটনা ঘটায় ২০২২ সালে চট্টগ্রাম কাস্টমস থেকে সিস্টেম অডিট করানোর অনুরোধ জানিয়ে এনবিআরে একাধিক চিঠি দেওয়া হয়। কিন্তু অজ্ঞাত কারণে এনবিআর কোনো পদক্ষেপ নেয়নি। উলটো অ্যাসাইকুডা সিস্টেম সুরক্ষার নামে বিপুল অঙ্কের অপ্রয়োজনীয় কেনাকাটা করা হয়। আর শীর্ষ কর্মকর্তাদের খুশি রাখতে প্রশিক্ষণের নামে প্রতিবছর বিদেশ ভ্রমণের আয়োজন করা হয়। নেটওয়ার্কিং, ডেটা সেন্টার, সিকিউরিটি প্যাচ আপডেট, সার্ভিসিংয়ের নামে ৩ বছরে সিস্টেম রক্ষণাবেক্ষণে প্রায় ৩০০ কোটি টাকার কেনাকাটা করা হয়েছে।

লোকদেখানো তদন্ত কমিটি : গত ১২ নভেম্বর কাস্টমস কর্মকর্তাদের দিয়ে সিস্টেমের ৭টি মডিউল অডিট করাতে পৃথক ৭টি কমিটি করা হয়। এগুলো হচ্ছে-১. বাংলাদেশ ব্যাংক, চট্টগ্রাম বন্দর কর্তৃপক্ষ, বেপজা, বেজা ও আইভাস সিস্টেমের সঙ্গে অ্যাসাইকুডা সিস্টেমের ইন্টিগ্রেশন সংক্রান্ত অডিট। ২. রেফারেন্স মডিউল অডিট, ৩. এক্সিট নোট অডিট, ৪. পেমেন্ট অডিট, ৫. বিল অব এন্ট্রি মডিউল অডিট, ৬. মেনিফেস্টো ও বিল অব ল্যাডিং অডিট, ৭. ইউজার ম্যানেজমেন্ট অডিট। এসব কমিটিতে প্রোগ্রামার ছাড়া যে কাস্টমস কর্মকর্তাদের রাখা হয়েছে, তাদের কারোরই সফটওয়্যার বা আইটিবিষয়ক শিক্ষাগত যোগ্যতা বা কারিগরি প্রশিক্ষণ নেই। কেউ পড়াশোনা করেছেন বাংলায়, কেউ ব্যবসায় প্রশাসন, কেউ রাষ্ট্রবিজ্ঞানে, কেউ মাইক্রোবায়োলজি বা মার্কেটিং বিষয়ে। কমিটির সদস্যদের এক মাসের মধ্যে সিস্টেম অডিটের প্রতিবেদন দেওয়ার জন্য বলা হলেও এখনো অধিকাংশ কমিটি প্রতিবেদন জমা দেয়নি।

অডিটে প্রাপ্ত ফলাফলের বিষয়ে জানতে কয়েকটি কমিটির আহ্বায়কের সঙ্গে যোগাযোগ করা হলেও তারা কথা বলতে রাজি হননি। নাম প্রকাশ না করার শর্তে অন্তত ৩টি কমিটির একাধিক সদস্য যুগান্তরকে বলেন, প্রতিবেদনে অ্যাসাইকুডা সিস্টেমের মডিউলের কর্মপদ্ধতি এবং সিস্টেম নিরাপদ রাখার বিষয়ে ‘ধারণাপ্রসূত’ রিপোর্ট দেওয়া হয়েছে। তবে কীভাবে সেটা সম্ভব, সেজন্য বিশেষজ্ঞদের পরামর্শ এবং প্রয়োজনীয় তৃতীয় পক্ষের মাধ্যমে সিস্টেম অডিট করাতে সুপারিশ করা হয়েছে।

প্রসঙ্গত, এর আগেও অ্যাসাইকুডা সিস্টেম অডিট করতে কমিটি করেছিল এনবিআর। ২০২২ সালের ২২ জুলাই সিস্টেম হ্যাক করে চট্টগ্রাম বন্দর থেকে খালাস নেওয়া মদ-বিয়ারের চালান নারায়ণগঞ্জের সোনারগাঁয়ে র‌্যাব জব্দ করে। এ পরিপ্রেক্ষিতে ২৯ আগস্ট সার্ভার হ্যাকের ঘটনা তদন্তে শুল্ক গোয়েন্দাকে নির্দেশ দেয় এনবিআর। তদন্ত কমিটি সার্ভার হ্যাকে জড়িতদের শনাক্তে ব্যর্থ হয়। তদন্ত প্রতিবেদনে বলা হয়, ওয়ান টাইম পাসওয়ার্ড (ওটিপি) ছাড়া সিস্টেমে অনুপ্রবেশ অত্যন্ত টেকনিক্যাল হওয়ায় এবং এনবিআরের ডিজিটাল ফরেনসিক ল্যাব না থাকায় সাইবার সিকিউরিটিতে অভিজ্ঞ প্রতিষ্ঠানের মাধ্যমে জড়িতদের শনাক্তে ব্যবস্থা নেওয়া যেতে পারে।

সরষের মধ্যে ভূত : সিস্টেম অডিটে জড়িত কাস্টমস কর্মকর্তারা বলছেন, প্রতিবার সার্ভারে লগইনের সময় সংশ্লিষ্ট কর্মকর্তার মোবাইলে ওটিপি এসেছে। কিন্তু আশ্চার্যজনক বিষয় হচ্ছে, যেসব চালানে মদ-বিয়ার, সিগারেট, ঘন চিনি ও বন্ডের কাপড় ছিল, সেসব চালানে ওটিপি মেসেজ যায়নি। প্রশ্ন হচ্ছে, পাসওয়ার্ড ঠিকভাবে দেওয়ার পরই কেবল মোবাইলে ওটিপি মেসেজ যাওয়ার কথা। সার্ভার হ্যাকের প্রতিটি ঘটনায় পাসওয়ার্ড সঠিকভাবে দেওয়া হয়েছে, কেবল সংশ্লিষ্ট কর্মকর্তার মোবাইলে ওটিপি যায়নি। এক্ষেত্রে হয় সংশ্লিষ্ট কর্মকর্তা নিজে পাসওয়ার্ড কম্প্রোমাইজ করেছেন অথবা কর্মকর্তাদের পাসওয়ার্ড যে স্থানে সুরক্ষিত থাকার কথা, সেখানে অ্যাকসেস রয়েছে এবং সিস্টেম সম্পর্কে অতি উচ্চ ধারণা রয়েছে-এমন ব্যক্তিরা হ্যাকের সঙ্গে জড়িত, যা সাধারণ কর্মকর্তাদের পক্ষে নিরূপণ করা সম্ভব নয়।

সর্বশেষ ঘটনাটি বিশ্লেষণ করে একাধিক আইটি বিশেষজ্ঞ যুগান্তরকে বলেছেন, সার্ভার হ্যাকের পেছনে কাস্টমস ও আইটি কর্মকর্তাদের শতভাগ যোগসাজশ আছে। যোগসাজশ ছাড়া কোনোভাবেই সিস্টেম হ্যাক সম্ভব নয়। কারণ, সিস্টেম সুরক্ষার জন্য কম্পিউটারের সঙ্গে আইপি অ্যাডড্রেস বাইন্ড করা হয়। কোনো কারণে অন্য কর্মকর্তার কম্পিউটারের আইপি অ্যাডড্রেস ইউজার আইডির সঙ্গে বাইন্ড করা হলে আগের ইউজার আইডি থেকে আইপি অ্যাডড্রেস বাতিল (আইপি রিলিজ) হয়ে যায়। কেবল সিস্টেম সম্পর্কে জানাশোনা ব্যক্তিরাই বলতে পারবেন, কখন কোন আইপি বাইন্ড করা হয়েছে। তাছাড়া সিস্টেমে প্রবেশের জন্য সঠিক পাসওয়ার্ড দিতে হবে, তারপর আসে ওটিপি। এক্ষেত্রে কাস্টমস কর্মকর্তারা পাসওয়ার্ড কম্প্রোমাইজ না করলে সিস্টেমে প্রবেশ দুষ্কর। তাদের মতে, ইন্টারনেটে সবকিছুর ফুটপ্রিন্ট থাকে। কখন, কোথায়, কীভাবে, কে বা কারা সিস্টেমে প্রবেশ করেছে, সেটিরও ফুটপ্রিন্ট অবশ্যই থাকার কথা। উচ্চ আইটি জ্ঞানসম্পন্ন ব্যক্তিরা সহজেই সেটি শনাক্ত করতে পারবেন। এক্ষেত্রে কেবল প্রয়োজন এনবিআরের সদিচ্ছা। বাংলাদেশেই এখন বিশ্বমানের আইটি ইঞ্জিনিয়ার আছে, যারা দেশে বসেই বিদেশি অনেক প্রতিষ্ঠানকে সেবা দিচ্ছেন। অ্যাসাইকুডা সিস্টেমের অডিট করালে প্রকৃত অপরাধীদের খুঁজে বের করা সম্ভব।

এ বিষয়ে বেসিসের সভাপতি রাসেল টি আহমেদ যুগান্তরকে বলেন, আমাদের দেশের সরকারি ও করপোরেট কোম্পানিগুলো সাইবার নিরাপত্তা নিয়ে চিন্তা করে না। একবার একটি সিস্টেম চালু করলে সেটির সাইবার নিরাপত্তার খোঁজ রাখা হয় না। এ সুযোগটা নেয় দুষ্কৃতকারীরা। বিভিন্ন সিস্টেমে ঢুকে তথ্য হাতিয়ে নিচ্ছে হ্যাকাররা। বর্তমান সময়ে ব্যাংকের ভল্টের চেয়ে মূল্যবান হচ্ছে ডেটা ভল্ট। অ্যাসাইকুডা সার্ভার হ্যাক করে সিগারেট খালাস নেওয়ার চেষ্টার বিষয়ে তিনি বলেন, অবস্থাদৃষ্টে মনে হচ্ছে, এর জন্য যোগসাজশ অথবা অবহেলা দায়ী। এনবিআর তার সিস্টেম সুরক্ষিত রাখতে সাইবার অডিট করাতে পারে। বাংলাদেশেই এখন অনেক ভালো ইথিক্যাল হ্যাকার রয়েছে, যারা বিশ্বের অনেক বড় বড় সিস্টেমের ত্রুটি খুঁজে বের করছে।

অ্যাসাইকুডা সিস্টেম দেখভালের দায়িত্বপ্রাপ্ত এক শীর্ষ কর্মকর্তা যুগান্তরকে বলেন, এই পৃথিবীর কোনো সফটওয়্যারই শতভাগ নিরাপদ নয়। অ্যাপল, ফেসবুকের মতো প্রতিষ্ঠানকেও প্রতিনিয়ত সাইবার ঝুঁকি মোকাবিলা করতে হয়। আমরাও অ্যাসাইকুডা সিস্টেম নিরাপদ রাখতে সর্বাধুনিক ফায়ারওয়্যাল-ম্যালওয়্যার রান করাচ্ছি। সফটওয়্যারের ভালনারিবিলিটি পরীক্ষার জন্য কম্পিউটার কাউন্সিলে ফি জমা দিয়েছে। সফওয়্যাট নিরাপদ রাখতে কাজ করছি।