বড় নয়, ছোট শহরগুলোই এখন সাইবার হামলার মূল টার্গেট

পরিসংখ্যান দেখলেই এই পরিবর্তনের কারণটা বোঝা যায়। সাইবার সিকিউরিটি ফার্ম Sophos তাদের বার্ষিক র‍্যানসমওয়্যার রিপোর্টে বারবার দেখিয়েছে যে, সরকারি ও স্থানীয় সরকার, স্বাস্থ্যসেবা এবং শিক্ষাখাতই সবচেয়ে বেশি হামলার শিকার হচ্ছে। আমেরিকায় Multi-State Information Sharing and Analysis Center নামের একটি সংস্থা, যা বিভিন্ন রাজ্যের স্থানীয় সরকারকে সহায়তা করে, বছরের পর বছর ধরে সতর্ক করে আসছে যে র‍্যানসমওয়্যার স্থানীয় সরকারি সংস্থাগুলোর জন্য সবচেয়ে বড় হুমকি। কেন্দ্রীয় সংস্থাগুলোও একই কথা বলেছে। এফবিআই-এর ইন্টারনেট ক্রাইম কমপ্লেইন্ট সেন্টার জানিয়েছে, সাইবার অপরাধের কারণে প্রতি বছর অর্থনীতিতে বিলিয়ন বিলিয়ন ডলার ক্ষতি হয়। কিন্তু স্থানীয় প্রতিষ্ঠানগুলোর ক্ষতির আসল চিত্র এখানে উঠে আসে না, কারণ তারা প্রায়ই হামলার কথা জানায় না বা তাদের পরিষেবা বন্ধ থাকার পুরো ক্ষতিটা হিসাব করতে পারে না।

এই হামলাগুলো এত মারাত্মক হওয়ার কারণ শুধু মুক্তিপণের টাকাই নয়। এর আসল কারণ হলো, একটি স্থানীয় সিস্টেম বসে গেলে মানুষের জীবনযাত্রা থেমে যায়। কোনো শহরে আদালতের রেকর্ড দেখা বন্ধ হয়ে যেতে পারে। অন্য কোথাও ট্যাক্স দেওয়া বন্ধ হয়ে যায়, ৯১১ জরুরি পরিষেবা ধীর হয়ে পড়ে বা স্কুলের কর্মীরা শিক্ষার্থীদের ফাইল দেখতে পারেন না। ২০২৩ সালে, আমেরিকার বেশ কয়েকটি শহরের কর্মকর্তারা জানিয়েছেন যে সাইবার হামলার কারণে তাদের দৈনন্দিন পরিষেবা কয়েক দিন বা সপ্তাহের জন্য ব্যাহত হয়েছিল। যুক্তরাজ্যেও সাম্প্রতিক বছরগুলোতে স্থানীয় কাউন্সিলগুলো মারাত্মক ডিজিটাল সমস্যার মুখোমুখি হয়েছে। কিছু ক্ষেত্রে সিস্টেম অফলাইন হয়ে যাওয়ায় তাদের কাগজে-কলমে কাজ করতে হয়েছে। সাধারণ মানুষের জন্য এটা শুধু কম্পিউটারের কোনো সমস্যা নয়। এর মানে হলো বেতন আটকে যাওয়া, পারমিট পেতে দেরি হওয়া, অ্যাপয়েন্টমেন্ট বাতিল হওয়া এবং হঠাৎ করে সরকারি পরিষেবা ভেঙে পড়া।

হামলাকারীরা এই চাপের কথা ভালোভাবেই জানে। একটি বড় কর্পোরেশনের ব্যাকআপ সিস্টেম, সাইবার ইন্স্যুরেন্স, আইনজীবী এবং একটি বিশেষ নিরাপত্তা দল থাকতে পারে। কিন্তু একটি গ্রামীণ এলাকার কাউন্টি অফিসে এসবের কিছুই থাকে না। অনেক স্থানীয় সংস্থা এখনও পুরনো সফটওয়্যার, সমর্থনহীন হার্ডওয়্যার এবং ছোট আইটি টিমের ওপর নির্ভর করে চলে। এই ছোট টিমকেই পে-রোল সিস্টেম থেকে শুরু করে পাবলিক ওয়াই-ফাই পর্যন্ত সবকিছু দেখতে হয়। কিছু জায়গায়, মাত্র এক বা দুজন ব্যক্তি একটি পুরো শহরের ডিজিটাল ব্যবস্থা সামলানোর জন্য দায়ী থাকেন। অপরাধী চক্রগুলো যখন ব্যবসার মতো করে কাজ করে, যেখানে তাদের কাস্টমার সাপোর্ট, মধ্যস্থতাকারী এবং তৈরি করা ম্যালওয়্যার টুলস থাকে, তখন এই ছোট টিমগুলোর পক্ষে তাদের ঠেকানো প্রায় অসম্ভব একটি কাজ।

গবেষণায় দেখা গেছে যে এই দুর্বলতাগুলো সর্বত্রই রয়েছে। ২০২৩ সালের একটি রিপোর্টে সেন্টার ফর ইন্টারনেট সিকিউরিটি স্থানীয় সরকারগুলোকে ‘সীমিত সম্পদের অধিকারী’ এবং ‘ক্রমবর্ধমান টার্গেট’ হিসেবে বর্ণনা করেছে। একইভাবে, গভর্নমেন্ট অ্যাকাউন্টিবিলিটি অফিসের একাধিক বিশ্লেষণে সতর্ক করা হয়েছে যে পানি সরবরাহ ব্যবস্থার মতো অনেক গুরুত্বপূর্ণ খাতে বড় ধরনের সাইবার নিরাপত্তার ঘাটতি রয়েছে। ছোট শহর বা এলাকাগুলোতে এই সমস্যা আরও মারাত্মক। বড় শহরগুলো কোনো ঘটনার পর অন্তত রাজ্য বা কেন্দ্রীয় সরকারের সহায়তা পায়। কিন্তু ছোট জায়গাগুলো প্রায়শই নীরবে ভুগে যায়।

পানি সরবরাহ ব্যবস্থার দিকে তাকালে বোঝা যায়, কেন এই বিষয়টি শুধু কাগজপত্রের বাইরেও গুরুত্বপূর্ণ। সাম্প্রতিক বছরগুলোতে, মার্কিন কর্মকর্তারা বারবার সতর্ক করেছেন যে পানীয় জল এবং বর্জ্য জল শোধনাগারের সাইবার দুর্বলতা জনসাধারণের জন্য মারাত্মক নিরাপত্তা ঝুঁকি তৈরি করতে পারে। এনভায়রনমেন্টাল প্রোটেকশন এজেন্সি এবং অন্যান্য সংস্থাগুলো দুর্বল পাসওয়ার্ড, পুরনো সফটওয়্যার এবং असुरক্ষিত রিমোট অ্যাক্সেস সিস্টেমকে বড় সমস্যা হিসেবে চিহ্নিত করেছে। ২০২১ সালে, ফ্লোরিডার ওল্ডসমারে একজন হ্যাকার পানি শোধন ব্যবস্থার সিস্টেমে ঢুকে পড়ে এবং পানিতে সোডিয়াম হাইড্রক্সাইডের পরিমাণ বাড়ানোর চেষ্টা করে। কোনো ক্ষতি হওয়ার আগেই বিষয়টি ধরা পড়ে, কিন্তু এই ঘটনাটি একটি পরিষ্কার উদাহরণ হয়ে ওঠে যে কীভাবে একটি সাইবার হামলা বাস্তব জগতে বিপদ ডেকে আনতে পারে। এটি আরও দেখিয়েছে যে কীভাবে একটি বিশাল জাতীয় টার্গেট নয়, বরং একটি সাধারণ স্থানীয় পরিষেবা সংস্থাই গুরুতর জননিরাপত্তার কারণ হতে পারে।

স্কুলগুলোর ক্ষেত্রেও একই চিত্র দেখা যায়। তাদের কাছে শিশু এবং পরিবারের অত্যন্ত ব্যক্তিগত রেকর্ড থাকে, তবুও অনেক স্কুলেরই নিরাপত্তার জন্য বাজেট খুব সীমিত। সাম্প্রতিক বছরগুলোতে মিনেসোটা, ক্যালিফোর্নিয়া এবং নিউ ইয়র্কের মতো রাজ্যের স্কুলগুলো র‍্যানসমওয়্যার হামলা বা ডেটা চুরির কথা জানিয়েছে, যার ফলে উপস্থিতি, বেতন, কাউন্সেলিং রেকর্ড এবং বিশেষ শিক্ষা ফাইল ক্ষতিগ্রস্ত হয়েছে। এই হামলা শুধু প্রযুক্তিগত নয়, এটি খুব দ্রুত ব্যক্তিগত হয়ে ওঠে। একটি পরিবার হঠাৎ করেই চিন্তায় পড়ে যায় যে তাদের সন্তানের স্বাস্থ্য রেকর্ড, বাড়ির ঠিকানা বা আচরণ সম্পর্কিত তথ্য অনলাইনে ছড়িয়ে পড়েছে কি না। ক্লাস পুনরায় শুরু হওয়ার অনেক পরেও শিশুদের ওপর এর খারাপ প্রভাব থেকে যেতে পারে।

এটা এখন কেন ঘটছে? একটি কারণ হলো সাধারণ অর্থনীতি। সাইবার অপরাধীরা এমন লক্ষ্যবস্তু খোঁজে যারা টাকা দিতে বাধ্য হবে। স্থানীয় সরকার এবং সরকারি প্রতিষ্ঠানগুলো জরুরি পরিষেবা প্রদান করে এবং খুব বেশিদিন অফলাইনে থাকতে পারে না। এ কারণে তারা দ্রুত সিস্টেম পুনরুদ্ধারের জন্য চাপে থাকে, যদিও প্রকাশ্যে তারা বলে যে আলোচনা করবে না। আরেকটি কারণ হলো সহজ অ্যাক্সেস। এখন আর বড় ধরনের হামলা চালানোর জন্য খুব দক্ষ হওয়ার প্রয়োজন নেই। ‘র‍্যানসমওয়্যার-অ্যাজ-এ-সার্ভিস’-এর প্রসারের ফলে যে কেউ সহজেই হামলা চালাতে পারে। অপরাধী গোষ্ঠীগুলো এখন টুলস কিনতে, পরিকাঠামো ভাড়া নিতে এবং লাভ ভাগ করে নিতে পারে। এর ফলে চাঁদাবাজি আরও সহজ এবং ব্যাপক হয়ে উঠেছে।

এখানে একটি নীতিগত ফাঁকও রয়েছে। সাইবার নিরাপত্তার জন্য বরাদ্দকৃত অর্থ সাধারণত বড় প্রতিষ্ঠানগুলোর দিকেই যায়, যাদের বাজেট বেশি এবং রাজনৈতিক প্রভাবও জোরালো। অন্যদিকে, স্থানীয় সংস্থাগুলোকে নির্বাচনী ব্যবস্থা, পাবলিক রেকর্ড, পুলিশের ডেটা, পরিষেবা এবং স্কুলগুলোকে রক্ষা করতে বলা হয় এমন নিয়মকানুন এবং কর্মী দিয়ে, যা বর্তমান হুমকির তুলনায় অনেক পিছিয়ে। আমেরিকায়, কংগ্রেস এবং ফেডারেল এজেন্সিগুলো সাম্প্রতিক বছরগুলোতে অনুদান এবং সহায়তা বাড়িয়েছে। কিন্তু অনেক বিশেষজ্ঞ বলছেন, এই সাহায্য এখনও প্রয়োজনের তুলনায় সামান্য এবং হামলার গতির সঙ্গে তাল মেলাতে পারছে না।

এর পরিণতিগুলো উপলব্ধি করা কঠিন, কারণ সেগুলো আমাদের দৈনন্দিন জীবনের সঙ্গে মিশে আছে। একটি ছোট শহরে র‍্যানসমওয়্যার হামলার খবর হয়তো বিশ্বজুড়ে শিরোনাম হয় না। কিন্তু স্থানীয় বাসিন্দাদের জন্য এর অর্থ হতে পারে একটি সম্পত্তি বিক্রি আটকে যাওয়া, অ্যাম্বুলেন্স আসতে দেরি হওয়া, লাইব্রেরি বন্ধ থাকা বা শহরের ওপর থেকে ভরসা হারিয়ে ফেলা। বারবার হামলার ফলে সরকারি প্রতিষ্ঠানের ওপর মানুষের বিশ্বাসও কমে যায়। যদি একটি স্কুল, হাসপাতাল বা কাউন্টি অফিস নিজের নেটওয়ার্ক সুরক্ষিত করতে না পারে, তাহলে মানুষ স্বাভাবিকভাবেই প্রশ্ন তোলে যে আর কী কী ঝুঁকির মধ্যে রয়েছে।

এর সমাধান আছে, এবং সেগুলো যতটা ভাবা হয় ততটা আকর্ষণীয় নয়। সাধারণ সাইবার হাইজিন বা পরিচ্ছন্নতা এখনও সবচেয়ে গুরুত্বপূর্ণ। CISA-এর মতো ফেডারেল এজেন্সিগুলো দীর্ঘদিন ধরে কয়েকটি মূল পদক্ষেপের ওপর জোর দিয়ে আসছে: মাল্টিফ্যাক্টর অথেনটিকেশন, অফলাইন ব্যাকআপ, নেটওয়ার্ককে বিভিন্ন ভাগে ভাগ করা, সময়মতো সফটওয়্যার আপডেট করা এবং কর্মীদের নিয়মিত প্রশিক্ষণ দেওয়া। এই পদক্ষেপগুলো নিখুঁত না হলেও ঝুঁকি অনেকাংশে কমিয়ে দেয়। একইভাবে, হামলার আগেই পুনরুদ্ধারের জন্য পরিকল্পনা করাটাও জরুরি। প্রতিটি এলাকার পরীক্ষিত ব্যাকআপ সিস্টেম, স্পষ্ট জরুরি পরিকল্পনা এবং পারস্পরিক সহায়তার ব্যবস্থা থাকা দরকার, যাতে একটি স্থানীয় অফিসকে একা একটি গুরুতর হামলার মোকাবিলা করতে না হয়।

টাকাও একটি বড় বিষয়। স্থানীয় সাইবার নিরাপত্তা শুধু সংকটের পরে এককালীন অনুদানের ওপর নির্ভর করতে পারে না। এর জন্য স্থিতিশীল তহবিল, শেয়ারড সার্ভিস এবং আঞ্চলিক সহায়তা মডেল প্রয়োজন, যা ছোট শহরগুলোকে এমন দক্ষ নিরাপত্তা কর্মী পেতে সাহায্য করবে যা তারা নিজেরা কখনও নিয়োগ করতে পারত না। কিছু রাজ্য ইতোমধ্যে কাউন্টি এবং স্কুলগুলোকে কেন্দ্রীয় নিরাপত্তা পরিষেবা, হুমকি পর্যবেক্ষণ এবং ঘটনা মোকাবিলার সহায়তা দিয়ে এই দিকে এগোতে শুরু করেছে। এই মডেলকে আরও ব্যাপকভাবে সমর্থন করা উচিত।

সবচেয়ে বড় ভুল ধারণাটি হলো, সাইবার চাঁদাবাজি কেবল ধনী কোম্পানি এবং বড় শহরগুলোর সমস্যা। বাস্তবে, এর আসল শিকার হয় ছোট শহর, সাধারণ স্কুল এবং স্থানীয় পরিষেবা সংস্থাগুলো, যা মানুষ প্রতিদিন ব্যবহার করে এবং যতক্ষণ না அவை বন্ধ হচ্ছে, ততক্ষণ তাদের কথা ভাবেও না। এই কারণেই এই গল্পটি গুরুত্বপূর্ণ। সাইবার হামলা যখন স্থানীয় প্রতিষ্ঠানগুলোতে হয়, তখন শুধু তথ্যই চুরি হয় না। বরং একটি সমাজকে নিরাপদ, সচল এবং বাস্তব করে তোলা সাধারণ ব্যবস্থাগুলোও ভেঙে পড়ে।