নিরাপত্তা বিশ্লেষণ

রূপপুর পারমাণবিক বিদ্যুৎ কেন্দ্রের সাইবার সিকিউরিটি কতটা নিরাপদ

fec-image

গত মঙ্গলবার তামিলনাড়ুর একটা সার্ভার থেকে ঊনিশ হাজার ফাইল চুরি হয়ে গেল। ফাইলগুলো ছিল ভারতের সবচেয়ে বড় পারমাণবিক বিদ্যুৎকেন্দ্র কুদানকুলামের। ভেন্টিলেশন সিস্টেমের নকশা। কুলিং সিস্টেমের ব্লুপ্রিন্ট। একটা কন্ট্রোল রুমের সম্পূর্ণ ফ্লোর প্ল্যান। অনুমোদিত সরবরাহকারীদের তালিকা এবং একটা বিমা পলিসির কাগজ, যেখানে লেখা, সন্ত্রাসী হামলায় চুল্লি ক্ষতিগ্রস্ত হলে ক্ষতিপূরণ মিলবে এগারো কোটি ডলারের বেশি।

হ্যাকাররা চুল্লিতে হাত দেয় নাই। চুল্লির চৌহদ্দিতেও ঢোকে নাই। তারা ঢুকেছিল চুল্লির ঠিকাদারের সার্ভার দিয়ে। কেন্দ্রের কন্ট্রাক্টর ছিল অনিল আম্বানির রিলায়েন্স গ্রুপ। রিলায়েন্স স্বীকার করেছে, তৃতীয় পক্ষের একটা ডেটা সেন্টারে ‘আংশিক লঙ্ঘন’ হয়েছে। যেই ডেটা সেন্টারের নাম ইয়োত্তা, যেটা রিলায়েন্সেরও না, আরেক প্রতিষ্ঠানের। অর্থাৎ পৃথিবীর অন্যতম সুরক্ষিত স্থাপনার নিরাপত্তা ভাঙল এমন এক জায়গা থেকে, যেটা সেই স্থাপনা থেকে দুই হাত দূরের ঠিকাদারের, তার থেকেও এক হাত দূরের একটা ভাড়া করা সার্ভারের। এই লেখা সেই দূরত্ব নিয়ে। কারণ ওই দূরত্বটুকুর ভেতরে লুকিয়ে আছে বাংলাদেশের রূপপুর।

আপনি হয়তো ভাবছেন, এটা ভারতের ঘরের ঘটনা, বহু দূরের ব্যাপার। বিষয়টা একেবারেই তা না। কুদানকুলামের চুল্লি ভিভিইআর, রাশিয়ার রোসাটমের বানানো। রূপপুরের চুল্লিও ভিভিইআর, একই রোসাটমের। একই ডিজাইন-দর্শন, একই ঠিকাদার-নির্ভর নির্মাণ-সংস্কৃতি। এমনকি একই দুর্বলতা।

কুদানকুলামে যে ফাটল দিয়ে তথ্য বেরিয়ে গেল, রূপপুরে সেই ফাটল নেই, এই নিশ্চয়তা কে দেবে? আসল সমস্যাটা ঠিক এখানে, আমরা পারমাণবিক কেন্দ্র বলতে বুঝি একটা দুর্ভেদ্য দুর্গ। মোটা কংক্রিটের দেয়াল, বহুস্তরের নিরাপত্তা, বাইরের জগৎ থেকে সম্পূর্ণ বিচ্ছিন্নতা। রূপপুরের বেলায় তো আরও এক ধাপ বেশি, রোসাটমের নিজস্ব ভাষায় “পাঁচ স্তরের প্রতিরক্ষা”। বাস্তবে একটা পারমাণবিক কেন্দ্র কোন দুর্গ না। একটা পারমাণবিক কেন্দ্র হলো শত শত প্রতিষ্ঠানের একটা জাল। ঠিকাদার, উপ-ঠিকাদার, সরবরাহকারী, বিমা কোম্পানি, ডেটা সেন্টার, ব্যাংক। আর জাল যত বড়, ছিদ্র তত বেশি। দুর্গের দেয়াল যত উঁচুই হোক, প্রতিটা ঠিকাদার সেই দেয়ালে একটা করে খিড়কি।

এই কথাটা ইতিহাস আমাদের বারবার বলে গেছে। আমরা প্রতিবার শোনার আগেই পাতা উল্টে ফেলেছি। দুই হাজার তিন সাল, আমেরিকার ওহাইওর ডেভিস-বেস পারমাণবিক কেন্দ্র। ‘স্ল্যামার’ নামের একটা কম্পিউটার ওয়ার্ম ঢুকে পড়ল কেন্দ্রের নেটওয়ার্কে। কীভাবে? কেন্দ্রের ফায়ারওয়াল টপকে না, একজন ঠিকাদারের নেটওয়ার্ক-সংযোগ দিয়ে। ফায়ারওয়ালকে পাশ কাটিয়ে গেল ওয়ার্মটা। পাঁচ ঘণ্টা অচল হয়ে রইল নিরাপত্তা-নজরদারির সিস্টেম, যে সিস্টেমটার কাজ ছিল চুল্লির ভেতরে কী ঘটছে তা দেখা।

দুই হাজার দশ সাল, ইরানের নাতাঞ্জ ইউরেনিয়াম-সমৃদ্ধকরণ কেন্দ্র। সেখানে ঢুকে গেলো পৃথিবীর ইতিহাসের সবচেয়ে বিখ্যাত সাইবার অস্ত্র, স্টাক্সনেট। নাতাঞ্জের কম্পিউটার ব্যবস্থা ছিল ‘এয়ার-গ্যাপড’, অর্থাৎ ইন্টারনেট থেকে সম্পূর্ণ বিচ্ছিন্ন, বাইরের জগতের সঙ্গে একটা তারও জোড়া নয়। তাত্ত্বিকভাবে দুর্ভেদ্য। কল্পনাযোগ্য সবচেয়ে নিরাপদ।
তবু হাজারখানেক সেন্ট্রিফিউজ ধ্বংস হয়ে গেল। কীভাবে ঢুকল স্টাক্সনেট, ইন্টারনেট যেখানে নেই? গোয়েন্দা সূত্র বলছে, একটা সংক্রমিত ইউএসবি ড্রাইভ। সম্ভবত একজন অসতর্ক ঠিকাদার বা ভেতরের কেউ সেটা নিজের অজান্তে বহন করে নিয়ে গিয়েছিল দুর্গের ভেতরে। শত্রু দেয়ালে ঢিল মারেনি। শত্রু অপেক্ষা করেছিল সেই মুহূর্তের, যখন দেয়ালের ভেতরের লোকই দরজা খুলবে।

এবার ভারতের কথায় ফিরি। কারণ কুদানকুলামের এই ফাঁস প্রথমবার না, দ্বিতীয়বার। দুই হাজার ঊনিশ সালের সেপ্টেম্বর, কুদানকুলামের প্রশাসনিক নেটওয়ার্কে একটা ম্যালওয়্যার ধরা পড়ল, ‘ডিট্র্যাক’। কর্তৃপক্ষ প্রথমে অস্বীকার করল, বলল পারমাণবিক কেন্দ্রে সাইবার হামলা অসম্ভব। তারপর নিউক্লিয়ার পাওয়ার কর্পোরেশন স্বীকার করতে বাধ্য হলো, হ্যাঁ, সংক্রমণ হয়েছে। এই ডিট্র্যাক বানিয়েছিল উত্তর কোরিয়ার রাষ্ট্র-সমর্থিত হ্যাকার গোষ্ঠী, ‘লাজারাস’।

নামটা মনে রাখুন। লাজারাস। কারণ এই একই লাজারাস তার তিন বছর আগে, দুই হাজার ষোলো সালে, হাত দিয়েছিল বাংলাদেশের গায়ে। বাংলাদেশ ব্যাংকের রিজার্ভ থেকে সরিয়ে নিয়েছিল আট কোটি দশ লক্ষ ডলার। নিউইয়র্ক ফেডারেল রিজার্ভে রাখা আমাদের টাকা মুহূর্তে চলে গিয়েছিল ফিলিপাইনের ক্যাসিনোর অন্ধকারে, তারপর হাওয়া। একই হ্যাকার। একদিকে বাংলাদেশের কেন্দ্রীয় ব্যাংক, অন্যদিকে ভারতের পারমাণবিক কেন্দ্র। দুই প্রতিবেশী, একই শিকারি।

তফাত শুধু এই, ব্যাংকের বেলায় তারা টাকা নিয়ে পালিয়েছিল। কেন্দ্রের বেলায় তারা শুধু ঢুকেছিল, দেখেছিল, চিনে রেখেছিল। কারণ পারমাণবিক কেন্দ্রের ভেতরের ম্যাপটা টাকার চেয়েও দামি। টাকা একবার খরচ হয়ে যায়। ম্যাপ থেকে যায়। দুই দেশের কেউই শিক্ষা নেয়নি। বাংলাদেশ ব্যাংকের চুরির মূল হোতারা আজও অধরা, টাকার বড় অংশ ফেরেনি। ভারত কুদানকুলামের প্রথম সংক্রমণের সাত বছর পর দ্বিতীয়বার একই জায়গায় ধরা খেল।

তাহলে বাংলাদেশের হিসাবটা কোথায় দাঁড়ায়? রূপপুর পারমাণবিক বিদ্যুৎকেন্দ্র, পাবনার ঈশ্বরদী, পদ্মার তীরে। দুটো ভিভিইআর-১২০০ চুল্লি, মোট দুই হাজার চারশো মেগাওয়াট, দেশের মোট বিদ্যুতের প্রায় নয় শতাংশ। এ বছরই ইউনিট এক জাতীয় গ্রিডে যুক্ত হওয়ার কথা। রূপপুরের ঠিকাদারের তালিকাটা একবার দেখুন। এটা নিজেই একটা ভূরাজনৈতিক মানচিত্র।

জেনারেল ঠিকাদার রাশিয়ার অ্যাটমস্ট্রয়এক্সপোর্ট, রোসাটমের সহযোগী। জ্বালানির একমাত্র সরবরাহকারী রাশিয়ার টিভেল। কুলিং টাওয়ার বানাচ্ছে ভারতের পাহাড়পুর কুলিং টাওয়ার্স। নির্মাণ-যন্ত্রপাতি, ক্রেন-পাম্প দিয়েছে চীনের স্যানি। রাশিয়া, ভারত, চীন, একটাই প্রকল্পে তিনটা দেশের সরবরাহ-শৃঙ্খল একসঙ্গে জড়িয়ে আছে। ঠিক সেই ত্রিভুজ, যা নিয়ে টক শোতে ঘণ্টার পর ঘণ্টা তর্ক হয়, “ভারত না চীন”, “রাশিয়া না পশ্চিম”।

বাস্তবে তিনটা দেশ একই দালানের ভেতরে, একই কংক্রিটে মিশে আছে। আর এই তিনটার যেকোনো একটার সার্ভার যদি ভাঙে, রূপপুরের তথ্য বেরিয়ে যেতে পারে, ঠিক যেভাবে কুদানকুলামের তথ্য বেরিয়েছে রিলায়েন্সের সার্ভার থেকে।

সততার খাতিরে বলে রাখি, কুদানকুলামে চুল্লির মূল ব্যবস্থার নকশা ফাঁস হয়নি। সেসব রোসাটমের হাতে, আলাদা সুরক্ষায়। রূপপুরেও সম্ভবত তাই।
কেউ কাল সকালে রূপপুরের চুল্লি রিমোট টিপে গলিয়ে দেবে, ব্যাপারটা এমন না।

কিন্তু একটা পারমাণবিক কেন্দ্রকে বিপর্যস্ত করতে চুল্লিতে হাত দেওয়ার দরকারও হয় না। কুলিং সিস্টেমের নকশা জানলেই যথেষ্ট। কন্ট্রোল রুমে কে ঢোকে-বেরোয় জানলেই যথেষ্ট।

সরবরাহকারীর তালিকা জানলে জানা যায়, চেইনের সবচেয়ে দুর্বল কোম্পানিটা কে। আর পরের বার ঢোকা যায় সেই কোম্পানি দিয়েই। প্রশ্নটা তাই সরল, অথচ কেউ করছে না। রূপপুরের ঠিকাদারদের তথ্য কোন সার্ভারে থাকছে? কোন দেশে? কার নিয়ন্ত্রণে? চুক্তিতে কি সাইবার-নিরাপত্তার কোনো শর্ত আছে? ঠিকাদারের সার্ভার ভাঙলে দায় কার? এই প্রশ্নগুলোর উত্তর কি কারও জানা আছে?

তবে রূপপুরের গল্পে সাইবারই একমাত্র দরজা না। সাইবার সবচেয়ে নতুন দরজা। পুরনো দরজাগুলো আরও চেনা, আরও খোলা। দ্বিতীয় দরজার নাম দুর্নীতি। “বালিশকাণ্ড” শব্দটা মনে আছে?

দুই হাজার ঊনিশ সালে রূপপুরের কর্মকর্তা-কর্মচারীদের আবাসন ‘গ্রিন সিটি’ বানানোর সময় ধরা পড়েছিল, নথিতে একেকটা বালিশের দাম দেখানো হয়েছে পাঁচ হাজার নয়শো সাতান্ন টাকা।

তদন্তে বেরোলো, আসবাব কেনা আর তোলার কাজে অনিয়ম বাষট্টি কোটি টাকার বেশি, দায়ী চৌত্রিশ জন প্রকৌশলী। গল্পটা ঊনিশেই শেষ হয়নি। এই বছরের মে মাসে মহাহিসাব নিরীক্ষকের যে প্রতিবেদন প্রধানমন্ত্রী তারেক রহমানের টেবিলে উঠল, সেখানে জানা গেল, বালিশ কেনা হয়েছিল সর্বোচ্চ ঊননব্বই হাজার নয়শো টাকাতেও।
এবার এই দুর্নীতিকে সাইবারের পাশে রাখুন। কুদানকুলামে হ্যাকাররা যা খুঁজছিল, সরবরাহকারীর তালিকা, কে কোন চুক্তি পেয়েছে, কার হাতে কী দায়িত্ব, বালিশকাণ্ড ঠিক সেই তথ্যেরই আরেক নাম।

দুর্নীতি মানেই তো সরবরাহ-শৃঙ্খলে দুর্বল, বিতর্কিত, ক্রয়যোগ্য কিছু লোককে ঢুকিয়ে দেওয়া। যে ঠিকাদার ঊননব্বই হাজার টাকায় বালিশ বেচতে পারে, সে আর কী কী বেচতে পারে? চুল্লি না, নিশ্চয়ই। কিন্তু একটা পাসওয়ার্ড? একটা প্রবেশপত্র? একটা নকশার কপি? দুর্নীতি শুধু টাকা চুরি না। দুর্নীতি হলো সেই দরজা, যেটা ভেতর থেকে খোলা রেখে দেওয়া হয়।

তৃতীয় দরজাটা সবচেয়ে বড়। আর এই দরজা দিয়ে যা বেরিয়ে যায়, তা তথ্যও না, টাকাও পুরোপুরি না। বেরিয়ে যায় স্বাধীনতা। রূপপুরের পুরো খরচ প্রায় সাড়ে বারো বিলিয়ন ডলার, যার নব্বই শতাংশ রাশিয়ার ঋণ।

তারপর যুদ্ধ বাধল। রাশিয়া ইউক্রেন আক্রমণ করল, পশ্চিম রাশিয়ার ওপর নিষেধাজ্ঞা দিল। রাশিয়ার ব্যাংকগুলোকে বের করে দেওয়া হলো আন্তর্জাতিক লেনদেনের মূল ব্যবস্থা সুইফট থেকে।

আর সঙ্গে সঙ্গে বাংলাদেশ আবিষ্কার করল, নিজের ঋণের কিস্তি নিজে শোধ করতে পারছে না। টাকা আছে। বাংলাদেশ ব্যাংকের একটা বিশেষ হিসাবে জমেছে আশি কোটি ডলারের বেশি, প্রস্তুত। কিন্তু পাঠানো যাচ্ছে না।

ডলারে পাঠানো যায় না, নিষেধাজ্ঞা। রুবলে পাঠানো যায় না, অচল। ঠিক হলো ইউয়ানে পাঠানো হবে, চীনের নিজস্ব লেনদেন-ব্যবস্থার ভেতর দিয়ে। দৃশ্যটা ভাবুন। বাংলাদেশ রাশিয়ার কাছ থেকে চুল্লি কিনেছে, রাশিয়াকে টাকা দিতে চাইছে, আর সেই টাকা পাঠাতে হচ্ছে চীনের ব্যবস্থার ভেতর দিয়ে, আমেরিকার নিষেধাজ্ঞা এড়িয়ে।
একটা লেনদেনে তিনটা পরাশক্তি। বাংলাদেশ মাঝখানে, নিজের জমানো টাকা হাতে, দাঁড়িয়ে।

তারপরও শোধ হলো না। এদিকে দেরির জরিমানা বাড়ছে, সুদের ওপর সুদ। রাশিয়া চিঠি দিয়ে জানাল, ছয়শো তিরিশ মিলিয়ন ডলার বকেয়া সুদ শোধ করতে হবে এক নির্দিষ্ট তারিখের মধ্যে, ডলারে বা ইউয়ানে, চীনের এক ব্যাংকের সাংহাই শাখায়। এইখানে এসে গল্পটা প্রহসনে পৌঁছায়। খোঁজ নিয়ে দেখা গেল, যেই চীনা ব্যাংকে টাকা পাঠাতে বলা হয়েছে, সেই ব্যাংকটাও মার্কিন নিষেধাজ্ঞার তালিকায়।

মানে বাংলাদেশ চাইলেও দিতে পারবে না। পালানোর যে রাস্তাটা দেখানো হয়েছিল, সেই রাস্তার মুখেও তালা। এমনকি রূপপুরের এক রুশ ঠিকাদার প্রতিষ্ঠান নিকিমতের ওপরেও এসে পড়ল আমেরিকার নিষেধাজ্ঞা, যেদিন ইউয়ানে শোধের প্রাথমিক সমঝোতা হচ্ছিল ঢাকায়, প্রায় সেদিনই।

বাংলাদেশ অনুরোধ করেছিল, আসল শোধের শুরুটা দুই বছর পেছানো হোক। রাশিয়া প্রত্যাখ্যান করল। কারণ এই সম্পর্কে বাংলাদেশের দর কষার কিছু নাই। চুল্লি রাশিয়ার। জ্বালানি রাশিয়ার। ঋণ রাশিয়ার। রক্ষণাবেক্ষণ প্রথম বছর রাশিয়ার হাতে। ব্যবহৃত জ্বালানি ফেরত যাবে রাশিয়াতেই। এইটা বাণিজ্য না। এইটা বিয়ে, যেখানে তালাকের কোনো ধারা নাই।

ব্রডশিট আগে বাংলাদেশের ‘ডিজিটাল সার্বভৌমত্ব’ নিয়ে লিখতে গিয়ে একটা মাপকাঠি দাঁড় করিয়েছিল। ভাড়া বাসার গল্প। ভাড়া থাকা মানেই পরাধীনতা না। পরাধীনতা শুরু হয় সেই দিন, যেদিন বাড়িওয়ালা টের পায়, এই ভাড়াটের যাওয়ার আর কোনো জায়গা নাই। যেই নির্ভরতা থেকে বেরোনো যায়, সেটা বাণিজ্য। যেটা থেকে বেরোনো যায় না, সেটা অন্য কিছু।

প্রশ্নটা তাই কখনো ছিল না, চুল্লি কার, ঠিকাদার কার, ঋণ কার। প্রশ্নটা ছিল, কালকে যদি শর্ত বদলায়, দাম বাড়ে, নিষেধাজ্ঞা আসে, তাহলে বেরোনোর রাস্তা আছে কি?
রূপপুরের তিনটা দরজাতেই একই উত্তর। সাইবারে বেরোনোর রাস্তা নাই, কারণ সিস্টেম বোঝার দ্বিতীয় হাত আমরা তৈরি করিনি।

দুর্নীতিতে বেরোনোর রাস্তা নাই, কারণ ঠিকাদার-চক্র প্রকল্পের সঙ্গে এমনভাবে জড়িয়েছে যে তাদের সরালে প্রকল্প থামে। আর নিষেধাজ্ঞায় বেরোনোর রাস্তা নাই, কারণ পুরো লেনদেনটাই ঝুলছে অন্য পরাশক্তিদের অনুমতির ওপর। এমনকি বিকল্প রাস্তাটাও।

তাহলে বাংলাদেশের ঘরের প্রস্তুতিটা কেমন? দুই হাজার তেইশ সালের জুলাইয়ে এক বিদেশি গবেষক নিছক গুগল করতে গিয়ে দেখলেন, বাংলাদেশ সরকারের একটা ওয়েবসাইটে পাঁচ কোটি নাগরিকের নাম, ফোন নম্বর, জাতীয় পরিচয়পত্র খোলা পড়ে আছে।

আর জাতীয় সাইবার নিরাপত্তা কাউন্সিল গঠন হয়েছে মাত্র গত বছর, দুই হাজার পঁচিশের আগস্টে। অর্থাৎ যে বছর রূপপুর গ্রিডে যুক্ত হচ্ছে, সে বছর দেশের গুরুত্বপূর্ণ অবকাঠামো রক্ষার প্রাতিষ্ঠানিক কাঠামোর বয়স সবে এক। শিশুকে দিয়ে দুর্গ পাহারা দেওয়ানোর মতো।

একটা কথা সকলে বলে, জাতীয় নিরাপত্তার মূল কথা অভ্যন্তরীণ সক্ষমতা। শুধু বিদেশি প্রযুক্তি কিনে নিরাপত্তা হয় না। আসল শক্তি আসে ভেতর থেকে, মানুষ আর প্রতিষ্ঠান গড়ার ভেতর দিয়ে। কুদানকুলাম এই কথাটার নিচে দাগ টেনে দিল।

সক্ষমতা মানে শুধু একটা চুল্লি কিনতে পারা না। সক্ষমতা মানে সেই চুল্লিটা কারা বানাচ্ছে, কারা চালাচ্ছে, তাদের তথ্য কোথায় জমা হচ্ছে, সেই তথ্যের চাবি কার হাতে, ঋণটা কোন মুদ্রায় শোধ হচ্ছে, কার অনুমতিতে, এই গোটা পরিধিটা নিজের নিয়ন্ত্রণে রাখতে পারা। রূপপুর একটা প্রকৌশল-বিস্ময়, সন্দেহ নাই। পদ্মার তীরের ওই দুটো চুল্লি এই দেশের ইতিহাসের সবচেয়ে বড় অবকাঠামো।

ওখান থেকে যে বিদ্যুৎ আসবে, তা কোটি মানুষের ঘর আলো করবে। কিন্তু একটা কেন্দ্র শুধু কংক্রিট আর টারবাইন না। একটা কেন্দ্র একটা সম্পর্কের জাল, ঠিকাদারের সঙ্গে, সরবরাহকারীর সঙ্গে, ঋণদাতার সঙ্গে। আর প্রতিটা সম্পর্কের গায়ে একটা করে দরজা।

কুদানকুলাম শুধু একটা কথাই মনে করিয়ে দিল। দুর্গ কখনো সদর দরজা দিয়ে পড়ে না। পড়ে সেই খিড়কি দিয়ে, যেটা পাহারা দিতে আমরা ভুলে গিয়েছিলাম। কিংবা যেটা কেউ, ঊননব্বই হাজার টাকার একটা বালিশের বিনিময়ে, খুলে রেখে গিয়েছিল।

উৎস : সৈয়দ জিয়াউল হকের ফেইসবুক পোস্ট

Print Friendly, PDF & Email
Facebook Comment

Leave a Reply

Your email address will not be published. Required fields are marked *

আরও পড়ুন