অর্থনৈতিক মেরুদণ্ড ভেঙ্গে দিতেই রিজার্ভ চুরি
- ৮১ মিলিয়ন নয়, টার্গেট ছিল পুরো
- ২৭ বিলিয়ন ডলার
গাফফার খান চৌধুরী ॥ দেশের অর্থনৈতিক মেরুদ- পুরোপুরি ভেঙ্গে দেয়ার ষড়যন্ত্রের অংশ হিসেবেই পরিকল্পিতভাবে বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ঘটনাটি ঘটানো হয়। ৮১ মিলিয়ন নয়, হ্যাকারদের টার্গেট ছিল রিজার্ভ ব্যাংকে জমা থাকা পুরো ২৭ বিলিয়ন ডলার। রিজার্ভ চুরির ষড়যন্ত্র অত্যন্ত সূদূরপ্রসারী এবং অনেক গভীরে। আর অর্থ চুরির জন্য হ্যাক করা হয় বাংলাদেশ ব্যাংকের কম্পিউটার। ২০১৫ সালের মাঝামাঝি সময় সুইফটের টেকনিশিয়ানরা বাংলাদেশ ব্যাংকের সার্ভার সিস্টেমে কাজ করার পর হ্যাক করার পথটি সহজ হয়ে যায়। রিজার্ভ চুরি করে বাংলাদেশের অর্থনৈতিক মেরুদ- ভেঙ্গে দিতেই বাংলাদেশ ব্যাংকের সার্ভার সিস্টেম অত্যন্ত পরিকল্পিতভাবে দুর্বল করে দেয়া হয়ে থাকতে পারে বলে তদন্তকারীদের ধারণা। বিষয়টি বিশেষ ইঙ্গিত বহন করে বলেও তদন্তকারীরা অনেকটাই নিশ্চিত। তবে হ্যাকিংয়ের ঘটনাটি দেশ না বিদেশ থেকে করা হয়েছে তা এখনও নিশ্চিত হতে পারেনি তদন্তকারীরা। মূল হ্যাকার কারা সে বিষয়টিও পরিষ্কার নয়। কোন দেশ থেকে কারা হ্যাকিং করেছে তা বেরিয়ে এলে অনেক অজানা রহস্যের কিনারা হবে বলে দাবি করেছে তদন্তকারী সংস্থা সিআইডি।
মামলাটির তদন্তকারী সংস্থা সিআইডি সূত্রে আরও জানা গেছে, বিশ্বের ১১ হাজার ব্যাংক সোসাইটি ফর ওয়ার্ল্ডওয়াইড ইন্টারব্যাংক ফাইন্যান্সিয়াল টেলিকমিউনিকেশনের (সুইফট) সঙ্গে যুক্ত। ১৯৭৩ সালে সুইফট প্রতিষ্ঠিত হয়। বাংলাদেশ ব্যাংকও সুইফটের সদস্য। এই ১১ হাজার ব্যাংকের নানা বিষয়ে সহায়তা দিয়ে থাকে সুইফট। তারই ধারাবাহিকতায় ২০১৫ সালের জুনে বাংলাদেশ ব্যাংক তাদের কম্পিউটারের আন্তর্জাতিক ও অভ্যন্তরীণ নেটওয়ার্কিং সিস্টেম এবং নিরাপত্তা ব্যবস্থা আরও উন্নত করার জন্য দাফতরিক সিদ্ধান্ত গ্রহণ করে। এ জন্য বিভিন্ন প্রতিষ্ঠানের সঙ্গে বাংলাদেশ ব্যাংক কর্তৃপক্ষ যোগাযোগ করতে থাকে। অন্যান্য প্রতিষ্ঠানের পাশাপাশি সুইফটের সঙ্গেও বাংলাদেশ ব্যাংকের যোগাযোগ হয়। সুইফট বাংলাদেশ ব্যাংককে এ বিষয়ে কাজ করে দেয়ার আগ্রহ দেখায়। বাংলাদেশ ব্যাংক যেহেতু সুইফটের সদস্য এবং প্রতিষ্ঠানটি একটি আন্তর্জাতিক প্রতিষ্ঠান এজন্য কাজের দায়িত্ব দেয়া হয় সুইফটকে।
চুক্তি অনুযায়ী সুইফটের বাংলাদেশ ব্যাংকের কম্পিউটারগুলোর আন্তর্জাতিক ও অভ্যন্তরীণ নেটওয়ার্ক এবং নিরাপত্তা সিস্টেম আরও উন্নত করে দেয়ার কথা। সেই চুক্তি মোতাবেক গত বছরের আগস্টে সুইফটের ৭ জন টেকনিশিয়ান বাংলাদেশে আসেন। তারা বাংলাদেশ ব্যাংকের নানা কারিগরি দিক কাজ করে যান।
তদন্তকারী দলের একজন উর্ধতন কর্মকর্তা নাম প্রকাশ না করার শর্তে জনকণ্ঠকে জানান, সুইফটের টেকনিশিয়ানরা কাজ করার আগে বাংলাদেশ ব্যাংকের কম্পিউটারের নেটওয়ার্কিং ও নিরাপত্তা সিস্টেম মোটামুটি দুইভাগে বিভক্ত ছিল। অভ্যন্তরীণ নেটওয়ার্কের সঙ্গে যুক্ত থাকা ৫ হাজার কম্পিউটার পুরোপুরি একটি আলাদা নেটওয়ার্ক ও নিরাপত্তা সিস্টেমের ভেতরে ছিল। বাইরে থেকে এই নিরাপত্তা সিস্টেম ভেঙ্গে প্রবেশ করার পদ্ধতি ছিল না। শুধু পাঁচ হাজার কম্পিউটারই ওই নিরাপত্তা সিস্টেমের ভেতরে ছিল। এর বাইরে আর কোন কম্পিউটার ওই নিরাপত্তা পদ্ধতির মধ্যে ছিল না। বা যুক্ত করার পদ্ধতিও ছিল না। যেটিকে সেলফ লক সিস্টেম বলা হতো।
আর ফেডারেল রিজার্ভ ব্যাংকের সঙ্গে যুক্ত থাকা কম্পিউটারগুলোও একই পদ্ধতিতে সেলফ লক সিস্টেমের আওতায় ছিল। অর্থাৎ সেলফ লক সিস্টেমে এই কম্পিউটারগুলোর নেটওয়ার্ক সিস্টেমের মধ্যে অন্য কোন নেটওয়ার্ক সিস্টেম কাজ করত না। বা প্রবেশ করতে পারত না। এমনকি বাংলাদেশ ব্যাংকের অভ্যন্তরীণ নেটওয়ার্ক সিস্টেমের আওতায় থাকা ৫ হাজার কম্পিউটার নেটওয়ার্ক সিস্টেমের সঙ্গে এই কম্পিউটারগুলোর নেটওয়ার্ক সিস্টেমের কোন মিল ছিল না। কোনটিই কোনটির সিস্টেমে প্রবেশ করতে পারত না। একেবারেই সম্পূর্ণ আলাদা ছিল। এই কম্পিউটারগুলো বিশেষ কক্ষে রেখে গুরুত্বের সঙ্গে মনিটরিং করা হতো। এর প্রতিটি কম্পিউটার মনিটরিং করার জন্য ব্যাংকের আইটি বিশেষজ্ঞ ছিল। আর একেকটি কম্পিউটারের সঙ্গে প্রিন্টার সংযুক্ত ছিল। সুইফট ম্যাসেজের মাধ্যমে যেসব তথ্য আসত, তার সফট কপি কম্পিউটারে জমা হওয়ার পাশাপাশি সঙ্গে সঙ্গে একটি হার্ড কপি প্রিন্ট আকারে বের হতো। নিয়মানুযায়ী এই হার্ডকপি যথাযথ কর্তৃপক্ষের হাত ঘুরে তা ব্যাংকের গবর্নরের কাছে জমা হতো। গবর্নর তা দেখে স্বাক্ষর করতেন। প্রিন্ট হওয়া হার্ড কপিতে আগের রিজার্ভ কত, খরচের পর বা অন্যান্য প্রক্রিয়া শেষে রিজার্ভ কত দাঁড়াল তাই প্রিন্ট হতো। আর সেটি দেখেই গবর্নর স্বাক্ষর দিতেন।
সিআইডি সূত্র বলছে, আগের নিয়মে সবই ঠিক ছিল। এমনকি ঠিকঠাক মতো চলছিলও। কিন্তু সবচেয়ে মারাত্মক ঘটনাটি ঘটে গত বছরের নবেম্বরে। সুইফটের আগের ৭ টেকনিশিয়ান যাওয়ার পর সুইফটের তরফ থেকে আরও একজন বাংলাদেশে আসেন। তিনি সুইফটের টেকনিশিয়ান পরিচয়ে বাংলাদেশ ব্যাংকের অভ্যন্তরীণ ও আন্তর্জাতিক নেটওয়ার্কিং সিস্টেম উন্নতকরণ ও নিরাপত্তা পদ্ধতি শক্তিশালী করার কাজ শুরু করেন। কয়েকদিন কাজ করার পর তার কাজ কর্মে ব্যাংকের আইটি বিশেষজ্ঞদের খানিকটা সন্দেহের সৃষ্টি হয়।
ব্যাংক কর্তৃপক্ষের জিজ্ঞাসাবাদের এক পর্যায়ে ওই কর্মকর্তা সুইফটের ঠিকাদার বলে পরিচয় জানা যায়। অথচ তিনি সেখানে টেকনিশিয়ান হিসেবে কাজ করছিলেন। এরপর বাংলাদেশ ব্যাংকের ভেতরে নেটওয়ার্কিং সিস্টেম নিয়ে কাজ না করতে তাকে বলা হয়। এদিকে যে কয়দিন তিনি ব্যাংকের সার্ভার স্টেশনে কাজ করেছেন, সেখানে তিনি একটি নতুন কম্পিউটার বসিয়ে দেন। নতুন কম্পিউটারের সঙ্গে বাংলাদেশ ব্যাংকের অভ্যন্তরীণ নেটওয়ার্ক সিস্টেমে থাকা ৫ হাজার কম্পিউটার এবং ফেডারেল রিজার্ভ ব্যাংকের সঙ্গে যুক্ত থাকা কম্পিউটারগুলোর নেটওয়ার্ক যুক্ত করে দেন। এতে করে সব কম্পিউটারের নেটওয়ার্ক সিস্টেম এক হয়ে যায়। যে কেউ এসব কম্পিউটারে প্রবেশ করতে পারে।
এছাড়া নতুন কম্পিউটারে তিনি একটি বিশেষ চিপ বসিয়ে দেন। চিপটি চব্বিশ ঘন্টাই কম্পিউটারের সঙ্গে লাগিয়ে রাখার পরামর্শ দেন বাংলাদেশ ব্যাংকের সংশ্লিষ্ট আইটি বিশেষজ্ঞদের। এই চিপ এমন যা প্রয়োজনের সময় লাগিয়ে কাজ শেষে আবার খুলে রাখা সম্ভব। খোলার পর চিপ রাখার জন্য বাংলাদেশ ব্যাংকের অত্যন্ত গোপনীয় ভল্ট রয়েছে।
এদিকে ব্যাংকের ভেতরে কাজ করতে নিষেধ করার পর তিনি সব কম্পিউটার পরিচালনার জন্য রিমোট সিস্টেম চালু রাখেন। কম্পিউটারের রিমোট সিস্টেম একটি সহজ পদ্ধতি। রিমোট সিস্টেমের আওতায় থাকা কম্পিউটারগুলোতে বা নেটওয়ার্কিং সিস্টেমে বিশ্বের যে কোন জায়গায় বসে প্রবেশ করে কাজ করা সম্ভব। এছাড়া পুরো কম্পিউটারগুলোর নেটওয়ার্ক সিস্টেম এক করার পর নিরাপত্তার জন্য যে ফায়ারওয়াল এবং ম্যানেজেবল সিস্টেম ব্যবহার করার কথা তা করা হয়নি। উল্টো কম্পিউটার সুরক্ষিত না করে সেকেন্ডহ্যান্ড একটি আন ম্যানেজেবল সুইচ লাগিয়ে দেয়া হয়েছে। ফলে বাংলাদেশ ব্যাংকের কম্পিউটারের নেটওয়ার্ক সিস্টেম পুরোপুরি অরক্ষিত হয়ে পড়ে। প্রায় মাসখানেক কাজ করার পর গত বছরের ২৫ নবেম্বর তিনি বাংলাদেশ ত্যাগ করেন। এমন দুর্বল ব্যবস্থার কারণে হ্যাকারদের পক্ষে সার্ভার হ্যাক করে অর্থ চুরি করার কাজটি সহজ হয়েছে। এর ২ মাস পরেই বাংলাদেশ ব্যাংকের সার্ভার হ্যাক করে অর্থ চুরির ঘটনাটি ঘটে।
সিআইডি সূত্র বলছে, বাংলাদেশ ব্যাংকের অন্তত ৩০ জন আইটি বিশেষজ্ঞ রয়েছে। যাদের সুইফট যখন কাজ করে তখন তাদের তা মনিটরিং করার কথা। অর্থ চুরির পর বাংলাদেশ ব্যাংক ও সুইফট পরস্পর পরস্পরকে দোষারোপ করছে। সুইফট বলছে, তারা সঠিকভাবে কাজ করেছে। কাজ করার পর সমস্ত কাজ বাংলাদেশ ব্যাংকের সংশ্লিষ্ট আইটি বিশেষজ্ঞদের বুঝিয়ে দেয়া হয়েছে। এ ব্যাপারের সুইফটের টেকনিশিয়ানরা আনুষ্ঠানিক ব্রিফিং করে সবকিছু বুঝিয়ে দিয়েছে। কিন্তু বাংলাদেশ ব্যাংক কর্তৃপক্ষ যেভাবে কাজগুলো বুঝে রাখার কথা এবং যেভাবে মনিটরিং করার কথা ছিল, তারা তা সুচারুভাবে পালন করতে ব্যর্থ হয়েছে। এজন্যই রিজার্ভ চুরির ঘটনাটি ঘটেছে।
আর বাংলাদেশ ব্যাংকের তরফ থেকে বলা হচ্ছে, সুইফটকে বাংলাদেশ ব্যাংকের অভ্যন্তরীণ ও আন্তর্জাতিক নেটওয়ার্ক সিস্টেম ও নিরাপত্তা উন্নত করার কাজটি দেয়া হয়েছিল। কিন্তু তাদের দুইটি সিস্টেমকে এক করতে বলা হয়নি। কথা ছিল, সুইফট বাংলাদেশ ব্যাংকের অভ্যন্তরীণ নেটওয়ার্ক সিস্টেম ও নিরাপত্তা আলাদা আলাদাভাবে উন্নত করবে। ঠিক একইভাবে আন্তর্জাতিক নেটওয়ার্ক সিস্টেম ও নিরাপত্তা আলাদা আলাদাভাবে উন্নত করবে। দুইটি কাজই হবে আলাদা। অথচ সুইফট তা না করে অভ্যন্তরীণ ও আন্তর্জাতিক নেটওয়ার্ক এবং নিরাপত্তা সিস্টেম এক করে ফেলেছে। যেটি করার জন্য সুইফটকে বলা হয়নি। বা দায়িত্ব দেয়া হয়নি। কিন্তু বাংলাদেশ ব্যাংকের এমন বক্তব্য মানতে নারাজ সুইফট। সুইফটের দাবি, তারা নিয়মমাফিক কাজ করেছে।
সূত্র বলছে, ফেডারেল রিজার্ভ ব্যাংকের সঙ্গে যুক্ত থাকা বাংলাদেশ ব্যাংকের সার্ভার স্টেশনটি চব্বিশ ঘণ্টা মনিটরিং করার কথা। সেটি করা হয়নি। গত ৫ ফেব্রুয়ারি প্রথম হ্যাক হওয়ার পর সার্ভার স্টেশনে কোন ম্যাসেজ আসেনি। এমনকি প্রিন্টারেও কোন হার্ডকপি প্রিন্ট হয়নি। অনেকক্ষণ চেষ্টার পরেও রিজার্ভের আপডেটের কোন প্রিন্ট বের করা সম্ভব হয়নি। এছাড়া কম্পিউটারে গোলযোগ দেখা দেয়। বিষয়টি যথাযথ কর্তৃপক্ষকে না জানিয়েই সে সময় দায়িত্বরত বাংলাদেশ ব্যাংকের আইটি কর্মকর্তা ভাগ্নির বিয়ের অনুষ্ঠানে যোগ দেয়ার কথা বলে দ্রুত অফিস ত্যাগ করেন। সেদিন আর গবর্নরের কাছে রিজার্ভের কোন ফিরিস্তি জমা পড়েনি। পরেরদিন শুক্রবার থাকায় আর কোন খবর নেয়া হয়নি। অথচ সার্ভার স্টেশনটি চব্বিশ ঘণ্টা মনিটরিং করার জন্য আইটি কর্মকর্তা রয়েছেন। এ কারণে গত ৫ ও ৬ ফেব্রুয়ারি টানা দুইদিন বাংলাদেশ ব্যাংকের প্রধান কার্যালয়ের সামনে লাল আলোতে রিজার্ভ সংক্রান্ত যে তথ্য স্ক্রলে দেখানো হয়, তা দেখানো হয়নি।
এ ব্যাপারে সিআইডির অর্গানাইজড ক্রাইম বিভাগের অতিরিক্ত মহাপুলিশ পরিদর্শক মোঃ শাহ আলম জানান, সুইফটের তরফ থেকে বাংলাদেশ ব্যাংকের নেটওয়ার্কিং সিস্টেমে করে যাওয়া কাজে অনেক দুর্বলতা ধরা পড়েছে। এমন দুর্বলতার সঙ্গে সুইফট জড়িত নাকি, সুইফটের যেসব টেকনিশিয়ান কাজটি করেছেন তারা জড়িত তা খতিয়ে দেখা হচ্ছে। এজন্য সুইফটের ওইসব লোকদের জিজ্ঞাসাবাদের প্রস্তুতি চলছে। এ ব্যাপারে সুইফট, ইন্টারপোল ও এফবিআইকে চিঠি দেয়া হয়েছে।
সিআইডির অর্গানাইজড ক্রাইম বিভাগের বিশেষ পুলিশ সুপার মীর্জা আব্দুল্লাহেল বাকী জানান, বাংলাদেশ ব্যাংকের কম্পিউটার হ্যাক করে অর্থ চুরির ঘটনাটি ঘটেছে। এ ব্যাপারে বাংলাদেশ ব্যাংকের আইটি বিশেষজ্ঞসহ সংশ্লিষ্ট অনেককেই সিআইডি সদর দফতরে ডেকে এনে কথা বলা হয়েছে।
- (সৌজন্য ; গাফফার খান চৌধুরী ও দৈনিক জনকণ্ঠ ) জনকণ্ঠে প্রকাশিত আরো কিছু তথ্য ;
- সাংবাদিকদের জানালেন বাংলাদেশ ব্যাংকের তদন্ত কমিটি প্রধান ফরাসউদ্দিন
- বললেন, কেন্দ্রীয় ব্যাংক কর্মকর্তাদের গাফিলতি ছিল
- হ্যাকিংয়ে ব্যবহৃত ম্যালওয়্যারটি পাকিস্তান কিংবা তুরস্কের যে কোন দেশে তৈরি
( সৌজন্য; অর্থনৈতিক রিপোর্টার জনকণ্ঠ ॥ )
হ্যাকিংয়ের মাধ্যমে বাংলাদেশের রিজার্ভের অর্থ চুরি করে ফিলিপিন্সে নেয়ার ঘটনায় ব্যাংকিং লেনদেনের বৈশ্বিক নেটওয়ার্ক সুইফটকেই দায়ী করেছেন কেন্দ্রীয় ব্যাংক গঠিত তদন্ত কমিটির প্রধান মোহাম্মদ ফরাসউদ্দিন। রিজার্ভ চুরি নিয়ে অর্থমন্ত্রীর কাছে তদন্ত প্রতিবেদন জমা দেয়ার ২৫ দিনের মাথায় রবিবার দুপুরে বাংলাদেশ ব্যাংক কার্যালয় থেকে বেরিয়ে আসার সময় সাংবাদিকদের প্রশ্নের জবাবে সাবেক গবর্নর ড. ফরাসউদ্দিন বলেন, বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ঘটনায় মূলত সুইফট দায়ী। কারণ তাদের সিস্টেমের সঙ্গে আরটিজিএসের সংযোগ দেয়াই কাল হয়েছে। সুইফট নিজেই তাদের সিস্টেম ২৪ ঘণ্টা চালু রাখার ব্যবস্থা করেছিল। হ্যাকাররা রিজার্ভ চুরির ক্ষেত্রে সুইফটের ক্লায়েন্ট সফটওয়্যার ‘এ্যালায়েন্স একসেস’ থেকে ভুয়া মেসেজ পাঠানোর পর তার ট্র্যাক মুছে ফেলতে যে ম্যালওয়্যার ব্যবহার করেছিল, তা পাকিস্তান ও উত্তর কোরিয়ার মধ্যে যে কোন একটি দেশে তৈরি হয়েছে বলেও দাবি করেন ড. ফরাসউদ্দিন। ‘পরিকল্পিতভাবেই’ এ ম্যালওয়্যার বসানো হয়েছে। চূড়ান্ত তদন্ত প্রতিবেদন তৈরির কাজ চলার মধ্যেই সাংবাদিকদের তিনি বলেন, রিজার্ভ জালিয়াতির ঘটনায় ফেডারেল রিজার্ভ ব্যাংকও দায় এড়াতে পারে না। এছাড়া কেন্দ্রীয় ব্যাংকের সংশ্লিষ্ট কর্মকর্তাদেরও গাফিলতি ছিল। গত ফেব্রুয়ারিতে সুইফট মেসেজিং সিস্টেমের মাধ্যমে ভুয়া বার্তা পাঠিয়ে ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্কে রক্ষিত বাংলাদেশের রিজার্ভের আট কোটি ১০ লাখ ডলার ফিলিপিন্সে সরিয়ে নেয়া হয়, যাকে বিশ্বের অন্যতম বড় সাইবার চুরির ঘটনা বলা হচ্ছে। এ ঘটনায় বাংলাদেশ ব্যাংকের দায়ের করা মামলার তদন্তে থাকা বাংলাদেশ পুলিশের অপরাধ তদন্ত বিভাগও বলেছে, সুইফটের টেকনিশিয়ানদের ‘অবহেলার কারণেই’ বাংলাদেশের কেন্দ্রীয় ব্যাংকের সুইফট সার্ভার হ্যাকারদের সামনে অনেক বেশি উন্মুক্ত হয়ে পড়ে। ওই অভিযোগ প্রত্যাখ্যান করে কয়েক দিন আগে সুইফটের এক বিবৃতিতে বলা হয়- বাংলাদেশ ব্যাংকসহ কোন সদস্যের সাইবার নিরাপত্তা নিশ্চিত করা তাদের দায়িত্ব নয়। পরে বিশ্বজুড়ে সদস্য ব্যাংকগুলোতে চিঠি দিয়েও সুইফট একই কথা জানায়। এর আগে গত সপ্তাহে ব্লুমবার্গ নিউজ জানায়, বাংলাদেশ ব্যাংকে হামলায় জড়িত তিনটি হ্যাকার গ্রুপের একটি পাকিস্তান এবং একটি উত্তর কোরিয়ার।
এক সপ্তাহ আগে রয়টার্সের আরেক প্রতিবেদনে বলা হয়, রিজার্ভ চুরির ক্ষেত্রে সুইফটের ক্লায়েন্ট সফটওয়্যার ‘এ্যালায়েন্স একসেস’ থেকে ভুয়া মেসেজ পাঠানোর পর তার ট্র্যাক মুছে ফেলতে যে ম্যালওয়্যার চোরেরা ব্যবহার করেছিল, তা খুঁজে পাওয়ার দাবি করেছেন বিএই সিস্টেমস নামের একটি ব্রিটিশ সাইবার নিরাপত্তা প্রতিষ্ঠান। বিএই’র গবেষকরা বলছেন, ওই ম্যালওয়্যারে এমন কিছু বৈশিষ্ট্য যোগ করা হয়েছে, যার মাধ্যমে নির্দিষ্ট দেশের সুইফট এ্যালায়েন্স একসেস সফটওয়্যারে যোগাযোগ করা যায়। আবার বাংলাদেশ ব্যাংকের সুইফট সার্ভার থেকে অর্থ স্থানান্তরের ভুয়া আদেশ পাঠানোর পর সেই তথ্য মুছে ফেলা যায়। রয়টার্স ও ব্লুমবার্গের প্রতিবেদনে যেসব তথ্য দেয়া হয়েছে, তা মিলে গেছে কেন্দ্রীয় ব্যাংকের তদন্ত কমিটির প্রধান ফরাসউদ্দিনের বক্তব্যের সঙ্গেও। সাংবাদিকদের প্রশ্নের জবাবে তিনি বলেন, এ ম্যালওয়্যার তৈরি করা হয়েছিল পাকিস্তান বা উত্তর কোরিয়ায়।
সুইফটের দায় ॥ ফরাসউদ্দিন বলেন, রিজার্ভ জালিয়াতির পর বাংলাদেশ ব্যাংককে একটি পত্র দেয় সুইফট। পত্র দিয়ে তারা বলে, সুইফটকে আরটিজিএস সিস্টেমের সঙ্গে তারা সংযুক্ত করতে চাচ্ছে। ওই চিঠিটার মধ্যে উচ্ছ্বাস এবং তোষামোদ ছাড়া কোন যুক্তি ছিল না। ওই চিঠি পাওয়ার পর বাংলাদেশ ব্যাংকের নির্বাহী কমিটি দায়িত্বজ্ঞান ও কা-জ্ঞানহীনভাবে এটাকে অনুমোদন দেয়। তিনি বলেন, সুইফটের মাধ্যমে আন্তর্জাতিক লেনদেন বাংলাদেশ ব্যাংক করে থাকে এবং আরটিজিএস স্থানীয়ভাবে লেনদেন করে থাকে। কাজেই স্থানীয় লেনদেনের সঙ্গে আন্তর্জাতিক লেনদেনের সংযোগ করার কোন ধরনের যৌক্তিকতা নেই। কানেকশনটা করার সময় দেখা গেল যে সুইফটে যে এ্যান্টিভাইরাস ছিল সেটার কারণে এ কানেকশনটা দেয়া যাচ্ছে না। তদন্ত কমিটি প্রধান বলেন, আমি আগেই বলছি যে দুই-তিনটা বড় করণীয় ছিল, যা তারা করেনি। এর মধ্যে একটি হলো হার্ডওয়্যার সিকিউরিটি মডিউল (এইচএসএম)। এই এইচএসএম সিস্টেম প্রোভাইড করার পর এ কানেকশনটা দেয়ার কথা ছিল, তারা এটা প্রোভাইড করেনি। এখন পর্যন্ত এটা করা হয়নি। প্রথম যখন কানেকশনটা দেয়া হয়, তখন এ্যান্টিভাইরাসটা ডিজেবল করার চেষ্টা করা হয়েছিল, কিন্তু তা করতে পারেনি তাদের ইঞ্জিনিয়ার। প্রথম রেড্ডি ও পরে আথ্রেস। তারপর আথ্রেস যখন কানেকশনটা দেন তখন কথা ছিল একটা ইন্টেরিম কানেকশন দেয়া হবে। কথা ছিল রেগুলার কানেকশনটা হয়ে গেলে ইন্টেরিম কানেকশনটা বাদ দেয়া হবে এবং তখন এ্যান্টিভাইরাসটা পুরোপুরি মূলোৎপাটন করে ফেলা হয়। কারণ এটা না হলে সিস্টেমটা কানেক্ট করা যাচ্ছে না। আপাতদৃষ্টিতে ওখানে বাংলাদেশ ব্যাংকের যারা কাজ করছেন তাদের এটা জাানানো হয়নি। কারণ আথ্রেস সাহেব তখন বাংলাদেশ ব্যাংককে এটা বুঝিয়ে দিয়ে যাননি। এরপর ফাইনাল কানেকশনটা হয়ে যাওয়ার পর ইন্টেরিম কানেকশন বাদ দেয়ার যে কথা ছিল তা করা হয়নি। এ সিস্টেমের একটা ব্যাকআপ থাকার দরকার ছিল, যা তারা করেনি। এরপর নিলয় ভানন নামের একজন লোককে পাঠানো হয়, বলা হয় যে তিনি সুইফটের প্রতিনিধি; আসলে তিনি কোন প্রতিনিধি না। মানে টোটাল আমি বলতে চাচ্ছি কানেকশনটা দেয়ার পর আজ পর্যন্ত এ বিষয়টা ক্লিয়ার করে বাংলাদেশ ব্যাংককে বুঝিয়ে দেয়া হয়নি, কিভাবে অপারেট করতে হবে, কোথায় কী সমস্যা হতে পারে- কিছুই বলা হয়নি। যেটা সবচেয়ে মারাত্মক বিষয় এখানে হয়েছে সেটা হলো- সার্ভারকে ২৪ ঘণ্টা খোলা রাখার ইনস্ট্রাকশন তারা দিয়ে যায়। প্রথমে মৌখিকভাবে পরে টেলিফোনে কনফার্ম করেছে যে এটা চব্বিশ ঘণ্টা খোলা রাখতে হবে, যেটার রেকর্ড আছে। এসব কারণে আমরা মনে করি সুইফট যদিও সারা পৃথিবীতে একটি বিখ্যাত প্রতিষ্ঠান, তার প্রতি আমাদের অনেক শ্রদ্ধা আছে, কিন্তু তাদের যে নিñিদ্র নিরাপত্তার ব্যাপার ছিল সেটা এখন আর নেই। সম্প্রতি আপনারা দেখবেন এশিয়ার আরেকটি বড় দেশে একটি ব্যাংকে ঘটনা ঘটেছে, সেটা ভিয়েতনামে। কাজেই সুইফট যে বলছে সমস্ত বাংলাদেশের বা ব্যবহারকারীর এটা ঠিক নয়। এর মানে এই নয়- আমরা সুইফটকে গালমন্দ করছি। আমরা বলছি যে সুইফটকে আরও বেশি সতর্ক হতে হবে। তার দায়িত্ব আছে, দায় স্বীকার করতে হবে। অস্বীকার করে এটা ১ লাখ বার বললেও হবে না। তার দায় আছে। এ দায় কাটিয়ে ওঠার জন্য যা যা করা দরকার তার সেটা করা দরকার। এটা হচ্ছে সুইফটের দায়।
ফেডারেল রিজার্ভ ব্যাংকের দায় ॥ ফেডেরও কিছু দায় রয়েছে উল্লেখ করে ফরাসউদ্দিন বলেন, ৪ ফেব্রুয়ারি রাত্রিবেলা সন্ধ্যা সোয়া সাতটা পর্যন্ত বাংলাদেশ ব্যাংকের ব্যাক অফিস থেকে আঠারোটা মেসেজ যায়। আঠারোটা মেসেজে প্রায় ৫০ কোটি ডলারের পেমেন্ট ইন্সট্রাকশন ছিল। তার মধ্যে চারটা ইন্সট্রাকশন ছিল বাসেল ব্যাংককে ২০ কোটি ডলার আমাদের বন্ড কেনার জন্য। ওইগুলোর মধ্যে তারা দশটা ইমপ্লিমেন্ট করেছে। বাকি ৮টা পরে করবে বলে রেখে দেয়। ওই দিন রাত্রিবেলা কে বা কারা এ সিস্টেমটাকে হস্তগত করে আরও ৩৫ প্লাস ৩৫ মোট ৭০ মেসেজ পাঠায় নিউইয়র্কে। প্রায় সাড়ে নয় শ’ কোটি ডলার পেমেন্ট স্থানান্তরের জন্য বাংলাদেশের নাম করে নির্দেশগুলো পাঠানো হয়। কিন্তু এটা বাংলাদেশ ব্যাংকের কর্মকর্তারা পাঠিয়েছেন- এ ধরনের কোন প্রমাণাদি এখন পর্যন্ত আমাদের হাতে আসেনি। তিনি বলেন, ওই ৭০ অর্ডারের মধ্যে ফেডারেল রিজার্ভ ব্যাংক ৩৫ অর্ডারকে বাতিল করে দেয়। কারণ সেখানে কোন ইন্টারমিডিয়েটরি ব্যাংক ছিল না। বাকি ৩৫টার মধ্যে ৫টা ইমপ্লিমেন্ট করল এবং তাদের মনে সন্দেহ আসলে বাংলাদেশ ব্যাংকের কাছে তারা ১২টা ইন্সট্রাকশনের ব্যাখ্যা চাইল। কিন্তু তাদের জানা উচিত ছিল, বাংলাদেশে অলরেডি শুক্রবার হয়ে গেছে। ব্যাখ্যা তারা দিতে পারবে না। ওই ৩৫টা থেকে তারা ৫টা পেমেন্ট করে দিল। আমাদের অবজারভেশন হলো, এই ৫টার মধ্যে ৪টিই হলো ব্যক্তির নামে। ওইরকম নামে বাংলাদেশ ব্যাংকের কোন পেমেন্ট নির্দেশ যায় না। এখানে আমাদের প্রশ্ন হলো, তারা ব্যাখ্যা চাওয়ার পর বাংলাদেশ ব্যাংক ব্যাখ্যা না দিলেও তারা সেটা পেমেন্ট করল কেন? তখন কেন পেমেন্টটা স্টপ করল না? এখানে আমাদের সন্দেহ হওয়া স্বাভাবিক, কারণ চারটা ব্যক্তির এ্যাকাউন্টে টাকা গেল। এখন যেটা বড় প্রশ্ন সেটা হলো- ৪ ফেব্রুয়ারি রাত থেকে ১৬ মার্চ পযন্ত সুইফট কোন মেসেজ রিকভার করে বাংলাদেশ ব্যাংকে দিতে পারেনি। সুইফটের সিস্টেমটা কম্প্রোমাইজ হয়েছে। যদি কম্প্রোমাইজ না হতো ৬-৭ তারিখ বাংলাদেশ ব্যাংকে কী মেসেজ পাঠিয়েছে, আর তাদের ওখানে কী ম্যাসেজ গেছে- তা রিপ্রডিউস করে তারা পাঠাতে পারত। দেড় মাসেও তারা কোন ইনফর্মেশন রিকভার করে রিপ্রডিউস করতে পারেনি। এটাই সবচেয়ে বড় প্রমাণ, সুইফট সিস্টেম কম্প্রোমাইজ হয়েছে।
বাংলাদেশ ব্যাংকের দায় ॥ ফরাসউদ্দিন বলেন, এখন পর্যন্ত যা তথ্যপ্রমাণ যোগাড় করতে পেরেছি তাতে আমাদের কাছে মনে হয়েছে- আরটিজিএসের সঙ্গে কানেকশনটা বাংলাদেশ ব্যাংক খুবই অবিবেচকের মতো করেছে। এক্ষেত্রে কিছুটা দায়িত্বজ্ঞানহীনতা রয়েছে, সেটা না করলেও চলত। তবে যারা ব্যাক অফিসে কাজ করত, যারা পেমেন্ট ইন্সট্রাকশন দেয়, তারা এবং সংশ্লিষ্টরা এই প্রসেসের সঙ্গে কতটুকু সংযুক্ত ছিল এটা আমরা চেষ্টা করেছি জানার। আমাদের কাছে মনে হয়েছে, ৪ ফেব্রুয়রি রাতের যে ঘটনা এটার জন্য একটা স্পেসিফিক ম্যালওয়্যার তৈরি করা হয় একটি বিশেষ দেশে। এই ম্যালওয়্যারটি বাংলাদেশ ব্যাংকের রিজার্ভ চুরির জন্যই বিশেষভাবে তৈরি করা হয়েছিল বলে আমাদের কাছে যথেষ্ট তথ্যপ্রমাণ রয়েছে। ম্যালওয়্যারটি বসিয়ে দিয়ে তারা পেমেন্ট ইন্সট্রাকশন পাঠায়। এটা আরটিজিএসের সঙ্গে যখন সুইফট সিস্টেমটা এনলার্জ করা হলো তখন থ্রি-স্টোক নামের একটি প্রক্রিয়ার মাধ্যমে এ পেমেন্টে সিস্টেমটা হস্তগত করেছিল। তারপরই সাইবার ক্রিমিনালরা এ ইন্সট্রাকশনগুলো পাঠায়। ফেডারেল রিজার্ভের বোঝা উচিত ছিল আমি ম্যাসেজ পাঠাচ্ছি জবাব পাচ্ছি না, এতগুলো পেমেন্ট ইন্সট্রাকশন পাঠানো হলো, তারা জবাব দিচ্ছে না, এগুলো প্রিন্ট করতে পারছে কি-না কে জানে। বাংলাদেশ ব্যাংকের কর্মকর্তারা এ ব্যাপারে অসাবধান, অসতর্ক, অদক্ষ- এ ব্যাপারে কোন সন্দেহ নেই। তবে বাংলাদেশ ব্যাংকের কোন কর্মকর্তা জ্ঞানত এই চুরির বা কাজের সঙ্গে জড়িত- এমন তথ্য প্রমাণ আমরা পাইনি।
অর্থ চুরি ও উদ্ধার ॥ তদন্ত কমিটির প্রধান ফরাসউদ্দিন বলেন, আমরা লক্ষ্য করেছি যে, আন্তর্জাতিকভাবে বাংলাদেশ ও বাংলাদেশ ব্যাংককে বদনামি করার অপচেষ্টা হচ্ছে। আমরা এ সম্পর্কে তথ্যপ্রমাণ যোগাড় করেছি, আমাদের কাছে যুক্তি আছে। ৪ ফেব্রুয়ারির যে দুর্ঘটনায় কত টাকা খোয়া গেছে, তা নিয়ে বিতর্ক আছে। তিনি বলেন, সাড়ে ৯৫০ কোটি ডলার ডাকাতির চেষ্টা হয়েছিল। তার থেকে ১০ কোটি ১০ লাখ ডলারের এ্যাডভাইস চলে গিয়েছিল। ডাকাতি প্রচেষ্টায় চুরি হয়েছে যে টাকাটা ৮ কোটি ১০ লাখ ১ হাজার ৬৩০ ডলার। ফরাসউদ্দিনের নেতৃত্বাধীন এই কমিটি গত ২০ এপ্রিল সরকারের কাছে তাদের অন্তর্বর্তীকালীন প্রতিবেদন দিলেও সেখানে কী আছে, তা পুরো প্রতিবেদন প্রকাশের আগে বলতে রাজি হননি অর্থমন্ত্রী আবুল মাল আবদুল মুহিত। ফরাসউদ্দিন সাংবাদিকদের বলেন, আমরা আমাদের অন্তর্বর্তীকালীন রিপোর্টে টাকা আদায়ের জন্য ফিলিপিন্সের আরসিবিসি ব্যাংকের ওপর চাপপ্রয়োগ করার পরামর্শ দিয়েছি। পুরো টাকা আদায় করতে হলে কূটনৈতিক তৎপরতার মাধ্যমে করতে হবে। বাংলাদেশের চুরি যাওয়া অর্থের প্রায় অর্ধেক ফিলিপিন্সের রিজাল কমার্শিয়াল ব্যাংকিং কর্পোরেশনে (আরসিবিসি) একটি শাখার কয়েকটি এ্যাকাউন্ট থেকে ক্যাসিনোর জুয়ার টেবিলে হাতবদল হয়েছে বলে ঘটনা তদন্তে দেশটির সিনেটের শুনানিতে উঠে এসেছে। ক্যাসিনো ব্যবসায়ী কিম অং ৮ কোটি ১০ লাখ ডলারের একটা অংশ হাতে পাওয়ার কথা স্বীকার করেছেন। এর মধ্যে তিন দফায় মোট ৯৮ লাখ ডলার তিনি ফিলিপিন্সের মুদ্রা পাচার প্রতিরোধ কাউন্সিলের (এএমএলসি) কাছে ফেরত দিয়েছেন বলে দেশটির সংবাদমাধ্যম জানিয়েছে। তার আরও আড়াই শ’ মিলিয়ন পেসো ফেরত দেয়ার কথা রয়েছে। ফিলিপিন্সের ক্ষমতার পালাবদলের আগে ৩০ জুনের মধ্যে ‘উদ্ধারযোগ্য’ সব টাকা ফেরত দেয়া যাবে বলে সিনেট কমিটির আশা। বাংলাদেশকে অর্থ ফেরত দেয়ার প্রক্রিয়ার অংশ হিসেবে এর মধ্যেই দেশটির আদালতে এএমএলসির করা মামলার বিচার কাজ চলছে।
মন্তব্যসমূহ
একটি মন্তব্য পোস্ট করুন