ইরানের হুমকিতে বড় টেক কোম্পানিগুলোর গোপন দুর্বলতা প্রকাশ
২ এপ্রিল, ২০২৬
অনেকেই সাইবার যুদ্ধ বলতে বোঝেন হঠাৎ করে সবকিছু অন্ধকার হয়ে যাওয়া: হ্যাক হওয়া তেলের পাইপলাইন, অচল হয়ে পড়া হাসপাতালের নেটওয়ার্ক বা কয়েক ঘণ্টার নাটকীয় বিশৃঙ্খলা। কিন্তু বড় প্রযুক্তি কোম্পানিগুলোর জন্য এর চেয়েও সাধারণ বিপদটি হলো ধীর, নীরব এবং যা ব্যাখ্যা করা কঠিন। যখন ইরানের ইসলামিক রেভল্যুশনারি গার্ড কোর (IRGC) ১৮টি বড় মার্কিন টেক কোম্পানিকে হুমকি দেয়, তখন ভয়টা শুধু ওয়েবসাইট বন্ধ হয়ে যাওয়া নিয়ে ছিল না। ভয়টা ছিল, একটি ভূ-রাজনৈতিক সতর্কতা সেই দৈনন্দিন সিস্টেমগুলোতে ছড়িয়ে পড়তে পারে যা লক্ষ লক্ষ মানুষ কাজ, যোগাযোগ, পেমেন্ট, ক্লাউড স্টোরেজ এবং সফটওয়্যার আপডেটের জন্য ব্যবহার করে।
এটি গুরুত্বপূর্ণ, কারণ পুরো বিশ্ব এখন হাতে গোনা কয়েকটি ব্যক্তিগত ডিজিটাল প্ল্যাটফর্মের ওপর নির্ভরশীল। যখন ‘টেক কোম্পানিগুলোকে’ হুমকি দেওয়া হয়, তখন তা ক্যালিফোর্নিয়ার কর্পোরেট সদর দফতরে থেমে থাকে না। এই হুমকি ক্লাউড, টেলিকম সংযোগ, আউটসোর্স করা ভেন্ডর, কনটেন্ট ডেলিভারি নেটওয়ার্ক, অ্যাপ স্টোর এবং আইডেন্টিটি সিস্টেমের মধ্য দিয়ে ছড়িয়ে পড়ে। একজন সাধারণ ব্যবহারকারী যখন বিষয়টি খেয়াল করেন, তার আগেই হয়তো এই চাপ পরিকাঠামোর বিভিন্ন স্তরের মধ্যে দিয়ে চলে গেছে।
এই ঝুঁকিকে গুরুত্ব সহকারে নেওয়ার যথেষ্ট কারণ আছে। মার্কিন যুক্তরাষ্ট্রের সরকারি সংস্থাগুলো বারবার সতর্ক করেছে যে ইরানের রাষ্ট্রীয় মদতপুষ্ট সাইবার চক্র এখনও সক্রিয় এবং সক্ষম। সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (CISA), এফবিআই এবং এনএসএ বছরের পর বছর ধরে বিভিন্ন নির্দেশিকা প্রকাশ করেছে। সেখানে বলা হয়েছে, ইরানের গ্রুপগুলো ফিশিং, পাসওয়ার্ড স্প্রেয়িং, সফটওয়্যারের পরিচিত দুর্বলতাকে কাজে লাগানো এবং সরকারি-বেসরকারি নেটওয়ার্কের ওপর হামলা চালাচ্ছে। ২০২৩ এবং ২০২৪ সালেও মার্কিন কর্মকর্তারা সতর্ক করে চলেছেন যে ইরানসহ বিদেশি রাষ্ট্রীয় মদতপুষ্ট হ্যাকাররা দেশের গুরুত্বপূর্ণ পরিকাঠামো এবং ইন্টারনেট-ভিত্তিক সিস্টেমগুলো পরীক্ষা করে দেখছে।
এই ক্ষেত্রে ইরানের আগের রেকর্ডও রয়েছে। মার্কিন কর্মকর্তা এবং বেসরকারি সাইবার নিরাপত্তা সংস্থাগুলো ২০১০-এর দশকের শুরুতে মার্কিন আর্থিক প্রতিষ্ঠানগুলোর বিরুদ্ধে ইরানের মদতপুষ্ট হ্যাকারদের ডিডিওএস (DDoS) হামলা, উপসাগরীয় অঞ্চলের কোম্পানিগুলোর বিরুদ্ধে ধ্বংসাত্মক কার্যকলাপ এবং সরকারি, টেলিকম, মহাকাশ ও প্রযুক্তি নেটওয়ার্কে বারবার গুপ্তচরবৃত্তির প্রমাণ পেয়েছে। মাইক্রোসফট, ম্যান্ডিয়েন্ট, চেক পয়েন্ট এবং অন্যান্য বড় নিরাপত্তা সংস্থাগুলো তথ্য দিয়েছে যে ইরানের গ্রুপগুলো শুধু ক্লাসিক গুপ্তচরবৃত্তিই নয়, বরং রাজনৈতিক উত্তেজনার মুহূর্তগুলোকে কাজে লাগিয়ে জনমত প্রভাবিত করা এবং হামলা চালানোর দিকেও মনোযোগ দিচ্ছে। পরিস্থিতিটা পরিচিত: যখনই উত্তেজনা বাড়ে, সাইবার হামলা সবচেয়ে সস্তা এবং সহজে অস্বীকার করার মতো একটি হাতিয়ার হয়ে ওঠে।
এই ইতিহাস মার্কিন টেক কোম্পানিগুলোর বিরুদ্ধে হুমকির অর্থ বদলে দেয়। এর মানে এই নয় যে একটি বড় ধরনের হামলা নিশ্চিত। এর মানে হলো, ঝুঁকির পরিধি অনেক বড়। বড় প্রযুক্তি কোম্পানিগুলো আকর্ষণীয় লক্ষ্যবস্তু, কারণ তারা অর্থনৈতিক কর্মকাণ্ডের কেন্দ্রবিন্দুতে অবস্থান করে। একটি ক্লাউড প্রোভাইডার একই সাথে সরকারি টুল, হাসপাতাল, লজিস্টিকস সফটওয়্যার, বেতন ব্যবস্থা এবং সাধারণ মানুষের ব্যবহৃত অ্যাপ হোস্ট করতে পারে। একটি আইডেন্টিটি প্রোভাইডার হাজার হাজার প্রতিষ্ঠানের সিস্টেমে কারা প্রবেশ করতে পারবে, তা নিয়ন্ত্রণ করে। কোনো সফটওয়্যার সরবরাহকারী বা ম্যানেজড সার্ভিস প্রোভাইডারের সিস্টেমে সফল অনুপ্রবেশ ঘটলে তা একবারে অনেক গ্রাহকের কাছে ছড়িয়ে পড়তে পারে।
এটাই সেই গোপন দুর্বলতা। সাধারণ আলোচনায় প্রায়শই একটি নির্দিষ্ট কোম্পানি তার নিজের নেটওয়ার্ক রক্ষা করতে পারবে কিনা, তা নিয়েই কথা হয়। কিন্তু আসল প্রশ্ন হলো, বৃহত্তর ডিজিটাল সাপ্লাই চেইন এই চাপ সহ্য করতে পারবে কিনা। গবেষণায় বারবার দেখা গেছে কেন এটি কঠিন। আইবিএম-এর বার্ষিক ‘কস্ট অফ এ ডেটা ব্রিচ’ রিপোর্টে ধারাবাহিকভাবে বলা হয়েছে যে সাপ্লাই চেইন এবং চুরি হওয়া পাসওয়ার্ডের মাধ্যমে ঘটা সাইবার হামলাগুলো সামাল দেওয়া খুব ব্যয়বহুল এবং সময়সাপেক্ষ। ভেরাইজন-এর ‘ডেটা ব্রিচ ইনভেস্টিগেশনস’ রিপোর্টে বারবার দেখা গেছে যে মানুষের ভুল, দুর্বল পাসওয়ার্ড এবং সময়মতো আপডেট না করা ডিভাইসগুলোই সিস্টেমে প্রবেশের সাধারণ পথ। অর্থাৎ, বড় বাজেটের নিরাপত্তা ব্যবস্থা থাকা সত্ত্বেও বিশাল সংস্থাগুলোকেও প্রায়শই এমন সব পার্টনার, ঠিকাদার এবং পুরনো সিস্টেমের ওপর নির্ভর করতে হয়, যেগুলো ততটা সুরক্ষিত নয়।
ক্লাউড পরিষেবার কেন্দ্রীভূতকরণ এই পরিস্থিতিকে আরও খারাপ করে তুলেছে। আধুনিক ইন্টারনেট কিছু ক্ষেত্রে বেশ স্থিতিশীল, কিন্তু অন্য দিকে এটি অস্বাভাবিকভাবে কেন্দ্রীভূত। হাতে গোনা কয়েকটি কোম্পানি ক্লাউড কম্পিউটিং, বিজ্ঞাপন, মোবাইল অপারেটিং সিস্টেম, এন্টারপ্রাইজ সফটওয়্যার এবং বিশ্বব্যাপী কনটেন্ট ডেলিভারির বাজার নিয়ন্ত্রণ করে। এই মডেলটি গতি এবং পরিধি বাড়িয়েছে ঠিকই, কিন্তু এটি একটি নতুন ধরনের সিস্টেমিক ঝুঁকিও তৈরি করেছে। যদি শত্রুপক্ষ কোনো বড় প্ল্যাটফর্মের সদর দরজা ভাঙতে না পারে, তবে তারা পাশের দরজাগুলো দিয়ে চেষ্টা করতে পারে: যেমন থার্ড-পার্টি সাপোর্ট টুল, আঞ্চলিক টেলিকম সংস্থা, উন্মুক্ত এপিআই (API), বা সোশ্যাল ইঞ্জিনিয়ারিংয়ের মাধ্যমে চাপে থাকা কর্মীরা।
এর সম্ভাব্য পরিণতি পাঠকদের ধারণার চেয়েও অনেক বেশি বিস্তৃত। গ্রাহকরা ভাবতে পারেন যে এটি কর্পোরেট নিরাপত্তা দলের সমস্যা, সাধারণ মানুষের জীবনের নয়। কিন্তু যদি বড় মার্কিন টেক কোম্পানিগুলো ক্রমাগত চাপের মধ্যে থাকে, তবে এর প্রভাব পাসওয়ার্ড রিসেট, গ্রাহক পরিষেবা, সফটওয়্যার প্যাচ, ইন্টারনেট রাউটিং, ক্লাউড পরিষেবা এবং অ্যাকাউন্ট ভেরিফিকেশন সিস্টেমেও পড়তে পারে। ছোট ব্যবসাগুলো এটি দ্রুত অনুভব করবে। একইভাবে স্থানীয় সরকার, স্কুল এবং হাসপাতালগুলোও, যারা একই প্ল্যাটফর্মের ওপর নির্ভরশীল। সাম্প্রতিক বছরগুলোতে র্যানসমওয়্যার এবং সফটওয়্যার বিভ্রাট দেখিয়ে দিয়েছে যে দৈনন্দিন জীবন কতটা ডিজিটাল ব্যাক-এন্ড সিস্টেমের সাথে যুক্ত। রাজনৈতিক উদ্দেশ্যপ্রণোদিত কোনো হামলা এই নির্ভরতাকেই কাজে লাগাবে।
অতিরিক্ত প্রতিক্রিয়া দেখানোরও একটি বিপদ আছে। প্রকাশ্য হুমকির মুখে থাকা কোম্পানিগুলো হয়তো কঠিন কাঠামোগত সমাধানের পরিবর্তে দৃশ্যমান কিন্তু অগভীর কিছু নিরাপত্তা ব্যবস্থা নিতে ব্যস্ত হয়ে পড়বে। তারা হয়তো জনসংযোগ বার্তা কঠোর করবে, সাময়িক নজরদারি বাড়াবে এবং বিবৃতি জারি করবে, কিন্তু ভেন্ডরদের অ্যাক্সেস নিয়ন্ত্রণে দুর্বলতা বা সিস্টেমের একক নির্ভরশীলতা কমাতে ব্যর্থ হবে। নিরাপত্তা গবেষকরা দীর্ঘকাল ধরে যুক্তি দিয়ে আসছেন যে প্রতিরোধের মতোই স্থিতিস্থাপকতাও গুরুত্বপূর্ণ। সহজ কথায়, কোম্পানিগুলোকে ধরে নিতে হবে যে কিছু হামলা সফল হবেই, এবং এমন সিস্টেম তৈরি করতে হবে যা সহজে ভেঙে পড়বে না।
এর জন্য কয়েকটি বাস্তব পদক্ষেপ প্রয়োজন। বড় টেক কোম্পানিগুলোর উচিত গুরুত্বপূর্ণ অ্যাক্সেসের ক্ষেত্রে অপ্রয়োজনীয় কেন্দ্রীকরণ কমানো, অভ্যন্তরীণ নেটওয়ার্কগুলোকে আরও ভালোভাবে বিভক্ত করা এবং ইন্টারনেট-মুখী সিস্টেমগুলোর জন্য প্যাচিংয়ের সময় কমিয়ে আনা। তাদের উচিত টেলিকম প্রোভাইডার, ক্লাউড গ্রাহক এবং গুরুত্বপূর্ণ সরবরাহকারীদের সাথে মিলেমিশে বড় ধরনের ঘটনা মোকাবিলার মহড়া করা, কোনো হামলাকে কেবল ব্যক্তিগত অভ্যন্তরীণ বিষয় হিসেবে না দেখে। মাল্টি-ফ্যাক্টর অথেনটিকেশন, হার্ডওয়্যার সিকিউরিটি কি এবং ঠিকাদারদের অ্যাক্সেসের ওপর কঠোর নিয়ন্ত্রণ এখন আর বাড়তি সুবিধা নয়, বরং মৌলিক প্রয়োজন। ক্লাউডজুড়ে আরও ভালো লগিং সিস্টেমও জরুরি, যেখানে অনেক প্রতিষ্ঠানেরই এখনও নজরদারির অভাব রয়েছে।
সরকারেরও একটি ভূমিকা আছে। সরকারি সংস্থাগুলোর উচিত ছোট ব্যবসাগুলোর সাথে দ্রুত এবং সহজ ভাষায় গোয়েন্দা তথ্য শেয়ার করা, যারা বড় প্ল্যাটফর্মের ওপর নির্ভর করে কিন্তু তাদের নিজস্ব শক্তিশালী নিরাপত্তা দল নেই। সরকারি কেনাকাটার নিয়মগুলো ভেন্ডরদের আরও শক্তিশালী নিরাপত্তা ব্যবস্থা দিতে বাধ্য করতে পারে। নিয়ন্ত্রকদের উচিত ডিজিটাল কেন্দ্রীভূতকরণের ঝুঁকির দিকে আরও বেশি মনোযোগ দেওয়া, কারণ কয়েকটি কোম্পানির ওপর অতিরিক্ত নির্ভরতা একটি কর্পোরেট হামলাকে সামাজিক সমস্যায় পরিণত করতে পারে।
ব্যবহারকারীরাও অসহায় নন। সংস্থা এবং ব্যক্তিরা সম্ভব হলে গুরুত্বপূর্ণ কাজগুলো বিভিন্ন পরিষেবার মধ্যে ভাগ করে, অফলাইন ব্যাকআপ রেখে, পাসওয়ার্ড ম্যানেজার ব্যবহার করে, শক্তিশালী অথেনটিকেশন চালু করে এবং জরুরি অ্যাকাউন্ট বার্তাগুলোকে সন্দেহের চোখে দেখে ক্ষতি কমাতে পারে। এগুলো ছোট পদক্ষেপ, কিন্তু যখন হামলাকারীরা আতঙ্ক এবং বিভ্রান্তির ওপর নির্ভর করে, তখন এগুলোই গুরুত্বপূর্ণ হয়ে ওঠে।
সবচেয়ে বড় ভুল ধারণা হলো, এই ধরনের হুমকিগুলো গুপ্তচরবৃত্তি এবং সামরিক মহড়ার এক দূরবর্তী জগতের বিষয়। বাস্তবে, এটি অনেক বেশি ব্যক্তিগত একটি বিষয়ের দিকে ইঙ্গিত করে। আমাদের হাতে থাকা ডিভাইস এবং কাজের জন্য ব্যবহৃত ক্লাউড টুলগুলো এখন ভূ-রাজনৈতিক পরিকাঠামোর অংশ। যখন কোনো বিদেশি সামরিক সংস্থা বড় টেক কোম্পানিগুলোকে হুমকি দেয়, তখন বিষয়টি শুধু জাতীয় নিরাপত্তার থাকে না। প্রশ্নটি হলো, মানুষ প্রতিদিন যে ডিজিটাল সিস্টেমগুলোর ওপর বিশ্বাস রাখে, সেগুলো কি নীরবে ভেঙে না পড়ে চাপ সহ্য করার মতো করে তৈরি করা হয়েছে? এটি আর কোনো প্রযুক্তিগত পার্শ্বগল্প নয়। এটি আধুনিক ইন্টারনেটের অন্যতম প্রধান জনস্বার্থের প্রশ্ন।