Image description
 

দেশের রাষ্ট্রীয় ডেটাবেসগুলো অত্যন্ত গুরুত্বপূর্ণ ও মূল্যবান জাতীয় সম্পদ। এগুলোর মধ্যে আছে রাষ্ট্রীয় মালিকানাধীন বিভিন্ন ব্যাংকের ডেটাবেস, এনআইআডি ডেটাবেস, এনআরবি ডেটাবেস, পাসপোর্ট ডেটাবেস ইত্যাদি। এই ডেটাবেসগুলোর প্রতিটি ডেটা সুরক্ষিত রাখতেই হবে। তবে, এটি বেশ চ্যালেঞ্জিং। এ ধরনের অনলাইন ডেটাবেসের দুই ধরনের ঝুঁকি থাকে। একটি বাহ্যিক এবং আর অন্যটি অভ্যন্তরীণ।

 

তথ্য সুরক্ষার দৃষ্টিকোণ থেকে একটি ডেটাবেসের কিছু শক্তিশালী বৈশিষ্ট্য থাকে, যাতে তথ্যের গোপনীয়তা, অখণ্ডতা এবং প্রাপ্যতা বজায় থাকে। তথ্য সুরক্ষার জন্য যে নিরাপত্তা বৈশিষ্ট্যগুলো থাকা দরকার, এর মধ্যে ‘অ্যাক্সেস নিয়ন্ত্রণ নীতিমালা’ ও ‘ডেটা নিরীক্ষণ ও পর্যবেক্ষণ নীতিমালা’ আমাদের দেশের প্রেক্ষাপটে অত্যন্ত গুরুত্বপূর্ণ।

 

১. অ্যাক্সেস নিয়ন্ত্রণ নীতিমালা : অ্যাক্সেস নিয়ন্ত্রণ নীতিমালা হলো একটি নিরাপত্তা কাঠামো, যা নির্ধারণ করে কে, কখন, কীভাবে এবং কোন সম্পদে প্রবেশ করতে পারবে, কে শুধু দেখতে পাবে, কে পরিবর্তন করতে পারবে ইত্যাদি। এটি তথ্যনিরাপত্তা, সিস্টেম সুরক্ষা এবং ব্যবহারকারীর অধিকার সংরক্ষণের জন্য অত্যন্ত গুরুত্বপূর্ণ। এখানে ব্যবহারকারীদের নির্দিষ্ট ভূমিকা (যেমন : সুপার-অ্যাডমিন, অ্যাডমিন, সম্পাদক ও দর্শক) প্রদান করা হয় এবং প্রতিটি ভূমিকার নির্দিষ্ট অনুমতি থাকে। অর্থাৎ কোনো কর্মকর্তা-কর্মচারী কোনো ডেটা পরিবর্তন করতে পারবেন, সুপার-অ্যাডমিন কে হবেন তা নির্দিষ্টভাবে উল্লেখ থাকতে হবে। এছাড়া, ডেটা পরিবর্তনের কোনো ব্যত্যয় হলে কী ধরনের শাস্তির বিধান থাকবে, তা উল্লেখ থাকতে হবে। দেশে একটা সুস্পষ্ট ‘অ্যাক্সেস নিয়ন্ত্রণ নীতিমালা’ থাকা জরুরি।

২. ডেটা নিরীক্ষণ ও পর্যবেক্ষণ নীতিমালা : ডেটা নিরীক্ষণ ও পর্যবেক্ষণ নীতিমালা হলো একটি নিরাপত্তা কাঠামো, যা প্রতিষ্ঠানের তথ্য ব্যবস্থাপনায় স্বচ্ছতা, জবাবদিহি এবং ঝুঁকি নিয়ন্ত্রণ নিশ্চিত করে। এটি নিশ্চিত করে যে ডেটা কীভাবে ব্যবহার হচ্ছে, কে ব্যবহার করছে এবং কোনো অনিয়ম বা অননুমোদিত কার্যকলাপ ঘটছে কি না।

ডেটা নিরীক্ষণ ও পর্যবেক্ষণ নীতিমালার মূল বৈশিষ্ট্যগুলোÑ

ডেটা অ্যাক্সেস ট্র্যাকিং : কে, কখন, কোন ডেটা অ্যাক্সেস করেছেন, তা লগ করে রাখা হয়।

কার্যকলাপ পর্যবেক্ষণ : ব্যবহারকারীর কার্যকলাপ যেমন লগইন, ডেটা পরিবর্তন, ডেটা ডিলিট ইত্যাদি নিয়মিত পর্যবেক্ষণ করা হয়।

নিরাপত্তা লঙ্ঘন শনাক্তকরণ : সন্দেহজনক বা অননুমোদিত কার্যকলাপ শনাক্ত করে তাৎক্ষণিক ব্যবস্থা নেওয়া হয়।

অডিট ট্রেইল সংরক্ষণ : প্রতিটি ডেটা কার্যকলাপের একটি ধারাবাহিক রেকর্ড রাখা হয়, যা ভবিষ্যতে তদন্তে অত্যন্ত সহায়ক।

নির্ধারিত সময় অন্তর অডিট : নির্দিষ্ট সময় পরপর ডেটা ব্যবস্থাপনার অডিট করা হয়, যেমন মাসিক বা ত্রৈমাসিক ভিত্তিতে।

গোপনীয়তা ও সম্মতি : ব্যবহারকারীর ব্যক্তিগত তথ্য পর্যবেক্ষণের ক্ষেত্রে আইনগত ও নৈতিক সম্মতি নিশ্চিত করা হয়।

রিপোর্টিং ও জবাবদিহি : অডিট রিপোর্ট তৈরি করে সংশ্লিষ্ট কর্তৃপক্ষকে জানানো হয় এবং প্রয়োজনীয় পদক্ষেপ নেওয়া হয়।

এই কাজগুলো সম্পাদনের জন্য বিভিন্ন ধরনের লগ-ফাইল থাকে, যা অবশ্যই সুরক্ষিত রাখা দরকার। সমস্যা হলো, সুপার-অ্যাডমিন কোনো কোনো ক্ষেত্রে এই ফাইলগুলো মুছে দিতে পারে। লগ-ফাইল মুছে দিলে অনিয়ম শনাক্ত করার আর কোনো পথ থাকে না। সুতরাং লগ-ফাইল মুছে দেওয়ার জন্য শাস্তির বিধান থাকতে হবে। সুপার-অ্যাডমিন কোনোভাবেই একটার বেশি হবে না এবং এর পাসওয়ার্ড দুজন (অভ্যন্তরীণ) কর্তাব্যক্তির মধ্যে ভাগাভাগি অবস্থায় থাকতে পারে। প্রতিষ্ঠানের বাইরে থেকে যেন কেউ ডেটাবেস নিয়ন্ত্রণ করতে না পারেন। এগুলো নিশ্চিতকরণের জন্য দেশে একটা সুস্পষ্ট ‘ডেটা নিরীক্ষণ ও পর্যবেক্ষণ নীতিমালা’ থাকা জরুরি।

দেশে আর একটা অনিয়ম দেখা যাচ্ছে, একটা সফটওয়্যারকে পুর্ণ কমিশনিং এবং ইউজার অ্যাকসেপ্টেন্স টেস্টের আগেই চালু করে দেওয়া হচ্ছে। এতে করে নিয়ন্ত্রণ (সুপার-অ্যাডমিন) থাকছে সফটওয়্যার ডেভেলপার কোম্পানির হাতে। এমতাবস্থায় ওপরের অনিয়মগুলো সহজেই সংগঠিত হতে পারে। মনে রাখতে হবে, ডেটাবেসের ভৌগোলিক অবস্থান গুরুত্বপূর্ণ না, বরং এটির নিয়ন্ত্রণ যার হাতে, মালিক তিনি।

তথ্য নিরাপত্তা আইন সম্পর্কে কিছু কথা বলা দরকার। আইএসও বা ইন্টারন্যাশনাল অর্গানাইজেশন ফর স্ট্যান্ডার্ডাইজেশন অনেকটা জাতিসংঘের মতো। এর বাংলাদেশের সদস্যের নাম বিএসটিআই, আমেরিকার এনএসআই। কম্পিউটারের বহু কিছুর এনএসআই স্ট্যান্ডার্ড আছে। আমাদের বিএসটিআইয়ের কোনো আইসিটি শাখা নেই। ব্যাপারটা ভেবে দেখার মতো।

বিএসটিআইয়ের অবশ্যই আইসিটি শাখা থাকা দরকার, যেখান থেকে আমাদের জাতীয় স্বার্থ সামনে রেখে প্রণয়ন করতে হবে। ১. অ্যাক্সেস নিয়ন্ত্রণ নীতিমালা ও ২. ডেটা নিরীক্ষণ ও পর্যবেক্ষণ নীতিমালা। অদূর ভবিষ্যতে এই নীতিমালার ওপর ভিত্তি করে তৈরি হবে তথ্য নিরাপত্তা আইন, যেখানেÑ১. অ্যাক্সেস নিয়ন্ত্রণ আইন, ২. ডেটা নিরীক্ষণ ও পর্যবেক্ষণ আইন ইত্যাদি ধারা থাকতে পারে।

আমার প্রস্তাবগুলো জাতীয় স্বার্থ সামনে রেখে দল-মত নির্বিশেষে সবাইকে ভাবতে আহ্বান জানাচ্ছি। মনে রাখবেন, এটাও রাষ্ট্র সংস্কারের একটা গুরুত্বপূর্ণ অংশ।

লেখক : উপাচার্য, কুমিল্লা বিশ্ববিদ্যালয় ও অধ্যাপক, কম্পিউটার বিজ্ঞান ও প্রকৌশল বিভাগ, ঢাকা বিশ্ববিদ্যালয়