বিদেশে তৈরি হার্ডওয়্যার থেকে জাতীয় নিরাপত্তা ঝুঁকির প্রসারণ

সাম্প্রতিক প্রতিবেদন অনুসারে, ভারত সরকার চিনা কোম্পানিগুলির তৈরি ইন্টারনেট অফ থিংস (আইওটি) মডিউলগুলিকে তদন্তের আওতায় রেখেছে। এই মডিউলগুলি, টেলিকম নেটওয়ার্কের অংশ হিসাবে, নেটওয়ার্কের ভেতরকার আইওটি ডিভাইসগুলির মধ্যে বেতার যোগাযোগ সক্ষম করে। কাজেই সেগুলিকে সম্ভাব্য নজরদারি ও গুপ্তচরবৃত্তির জন্য ব্যবহার করা যেতে পারে। ডেটা দুর্বলতা এবং সম্ভাব্য বিদেশী অনুপ্রবেশ নিয়ে ক্রমবর্ধমান উদ্বেগের মধ্যে ভারত সরকার এখন এই ডিভাইসগুলির বিরুদ্ধে কাজ করছে, যারা আগে চিনা হার্ডওয়্যার সম্পর্কিত তদন্ত এড়িয়ে গিয়েছিল।

যেহেতু ভারত তার ডিজিটাল রূপান্তরকে এগিয়ে নিয়ে যাচ্ছে, আইওটি ডিভাইসগুলি স্বাস্থ্যসেবা, কৃষি, স্মার্ট শহর ও শিল্প স্বয়ংক্রিয়তার (‌অটোমেশন)‌ মতো ক্ষেত্রে উদ্ভাবনের ভিত্তি হয়ে উঠেছে।

আইওটি ডিভাইসগুলির এই যাচাই-বাছাই চিনা অ্যাপ ও টেলিকম সরঞ্জামগুলির উপর পূর্বের সরকারি বিধিনিষেধকে প্রতিফলিত করে, তবে এর প্রভাব টেলিকম নেটওয়ার্কের বাইরে চলে যায়। যেহেতু ভারত তার ডিজিটাল রূপান্তরকে এগিয়ে নিয়ে যাচ্ছে, আইওটি ডিভাইসগুলি স্বাস্থ্যসেবা, কৃষি, স্মার্ট শহর ও শিল্প স্বয়ংক্রিয়তার (‌অটোমেশন)‌ মতো ক্ষেত্রে উদ্ভাবনের ভিত্তি হয়ে উঠেছে। যদিও এগুলি দক্ষতা বাড়ায় এবং অগ্রগতি নিয়ে আসে, সেইসঙ্গে এই মডিউলগুলি উল্লেখযোগ্য ঝুঁকিও নিয়ে আসে, বিশেষ করে সাইবার নিরাপত্তা ও গোপনীয়তা লঙ্ঘন সম্পর্কিত,যা ডিজিটাল পরিকাঠামো রক্ষা করার প্রয়োজনীয়তা তুলে ধরে। অতএব, সরকারের সর্বশেষ পদক্ষেপটি স্মার্ট মিটার, পয়েন্ট-অফ-সেল পেমেন্ট সিস্টেমস, এবং টেলিম্যাটিক্স-‌সহ গুরুত্বপূর্ণ আইওটি অ্যাপ্লিকেশনগুলিকে প্রভাবিত করে।

আইওটি উপকরণের দুর্বলতা

আইওটি ডিভাইসের ঝুঁকি নতুন নয়। লেখকেরা ও সাইবার সিকিউরিটি গবেষকদের কাছ থেকে পাওয়া উপাখ্যানমূলক প্রমাণগুলি উপভোক্তা আইওটি ডিভাইস ও পরিষেবাগুলির, যার কয়েকটি ভারতেও আছে, বেশ কয়েকটি দুর্বলতা উল্লেখ করেছে।

আইওটি দুর্বলতার সবচেয়ে উল্লেখযোগ্য উদাহরণ হল বাড়ির নিরাপত্তার জন্য ব্যাপকভাবে ব্যবহৃত আইওটি ডোরবেলের নিরাপত্তা ত্রুটি। গবেষণায় উল্লেখ করা হয়েছে যে, বেশ কয়েকটি ব্যাপক বাণিজ্যিকভাবে উপলব্ধ ডিভাইস কতটা অরক্ষিত। একটি প্রুফ-অফ-কনসেপ্ট দেখিয়েছে কীভাবে আক্রমণকারীরা ডিভাইসের উপর সম্পূর্ণ নিয়ন্ত্রণ অর্জন করতে পারে। তারপর দখলকৃত ডোরবেলটিকে যে শুধু একটি বটনেটের অংশ হিসাবে ব্যবহার করা যায় তাই নয়, অননুমোদিত প্রবেশাধিকার ও নজরদারির জন্যও ব্যবহার করা যায়। এটি আড়িপাতার ক্রিয়াকলাপগুলিকে সক্ষম করতে পারে, এবং এইভাবে ব্যক্তি বা সংস্থার গোপনীয়তা ও সুরক্ষা হ্রাস করতে পারে৷ একইভাবে, ২০২৩ সালের জুলাইয়ে, কম্পিউটার এমার্জেন্সি রেসপন্স টিম-ইন্ডিয়া (সিইআরটি-ইন) কুবো দ্বারা বিক্রি করা আইওটি ডোরবেল পণ্যগুলিতে একটি দুর্বলতা সনাক্ত করেছে। সিইআরটি-ইন-এর মতে, এই দুর্বলতাকে সফলভাবে কাজে লাগিয়ে একজন স্থানীয় আক্রমণকারী ডিভাইসে অননুমোদিত ক্রিয়াকলাপ চালাতে পারে।

আইওটি দুর্বলতার সবচেয়ে উল্লেখযোগ্য উদাহরণ হল বাড়ির নিরাপত্তার জন্য ব্যাপকভাবে ব্যবহৃত আইওটি ডোরবেলের নিরাপত্তা ত্রুটি।

২০২৩ সালের নভেম্বরে একটি আরও উদ্বেগজনক ঘটনায়, বেশ কয়েকটি বিশিষ্ট ভারতীয় অটোমোবাইল নির্মাতাদের দ্বারা ব্যবহৃত টেলিম্যাটিক্স সিস্টেমে একটি গুরুতর নিরাপত্তা দুর্বলতার ঘটনা চিহ্নিত করা হয়েছিল। এই লঙ্ঘনের ফলে ৬০০টিরও বেশি ইন্টারনেট-সংযুক্ত যানবাহন অরক্ষিত হয়ে পড়ে। গবেষকরা প্রতিটি অরক্ষিত গাড়ির রিয়েল-টাইম অবস্থান বার করার ক্ষমতা প্রদর্শন করেন, এবং আরও উদ্বেগজনকভাবে, সংযুক্ত গাড়িটিকে যে দূরবর্তীভাবে নিয়ন্ত্রণ করা যায় তার প্রুফ-‌অফ-‌কনসেপ্ট তুলে ধরেন। এর জন্য গাড়ির অভ্যন্তরীণ যোগাযোগ নেটওয়ার্কের মধ্যেকার দুর্বলতাকে কাজে লাগানো হয়, এবং এটি অসুরক্ষিত আইওটি বসানোর সঙ্গে সম্পর্কিত ঝুঁকিগুলি তুলে ধরে।

একটি চূড়ান্ত কেস স্টাডি হিসাবে, ২০২৪ সালের মে মাসে, 8 মিলিয়নেরও বেশি ব্যবহারকারীদের পরিষেবা দেয় এবং ৬ মিলিয়নেরও বেশি নিবন্ধিত যানবাহন পরিচালনা করে এমন একটি বিশিষ্ট ভারতীয় পার্কিং সলিউশন কোম্পানিতে একটি বড় নিরাপত্তা দুর্বলতা আবিষ্কৃত হয়েছিল। এক সাইবার নিরাপত্তা গবেষক দ্বারা চিহ্নিত এবং কোম্পানি দ্বারা স্বীকার করে নেওয়া (সিইআরটি-ইন দ্বারা উল্লিখিত) ত্রুটিটি রিয়েল টাইমে সংবেদনশীল ব্যবহারকারীর ডেটাতে অননুমোদিত প্রবেশের অনুমতি দেয়৷ ফাঁস হয়ে যাওয়া তথ্যের মধ্যে নাম, মোবাইল নম্বর, ইমেল ঠিকানা, লাইসেন্স প্লেট নম্বর, পার্কিং অবস্থান এবং ফাস্টট্যাগ-‌এর বিশদ অন্তর্ভুক্ত। এই গুরুতর গোপনীয়তা লঙ্ঘন উল্লেখযোগ্য নিরাপত্তা ঝুঁকি তৈরি করেছে, কারণ দুষ্কৃতকারীরা সম্ভাব্যভাবে ব্যক্তিদের গতিবিধি অনুসরণ করতে এবং দূর থেকে তাদের ক্রিয়াকলাপ নিরীক্ষণ করার সুযোগ কাজে লাগাতে পারে।

ডিজিটাল পরিকাঠামো ও ভূ-‌রাজনীতি

আইওটি দুর্বলতার প্রভাবগুলি প্রচলিত সাইবার নিরাপত্তা উদ্বেগের বাইরে প্রসারিত হয়, এবং জাতীয় নিরাপত্তা ও ভূ-রাজনীতিতে কেন্দ্রীভূত হয়। যেহেতু দেশগুলি স্বাস্থ্যসেবা ব্যবস্থা, বন্দর ক্ষেত্র ও কৌশলগত প্রতিরক্ষা নেটওয়ার্কগুলির মতো গুরুত্বপূর্ণ জাতীয় পরিকাঠামোতে আইওটি ডিভাইসগুলিকে ক্রমবর্ধমানভাবে সংযুক্ত করে, এই দুর্বলতাগুলি একটি দেশের নিরাপত্তা ও স্থিতিশীলতার জন্য বাস্তবিক বিপদ নিয়ে আসে। একটি অরক্ষিত আইওটি পরিকাঠামো যেমন অপরিহার্য পরিষেবাগুলিতে ব্যাঘাত ঘটাতে পারে বা অর্থনৈতিক অস্থিতিশীলতা নিয়ে আসতে পারে,  তেমনই গোপন সামরিক সিস্টেমগুলিকে অসুরক্ষিত করে তুলতে পারে। বিশ্বজুড়ে বেশ কয়েকটি উদাহরণ দেখায় যে এই বিপদের সম্ভাবনাটি যুক্তিযুক্ত ও বিশ্বাসযোগ্য। উদাহরণস্বরূপ, ২০২৪ সালে, ইউক্রেনের এসএসইউ সাইবার ইউনিটগুলি রাশিয়া থেকে আসন্ন বিপদ সম্পর্কে তথ্য সংগ্রহের জন্য রাশিয়ার বিমান হামলার সমন্বয় করতে ব্যবহৃত আইওটি ডিভাইসগুলিকে কাজে লাগিয়ে গোয়েন্দা তথ্য জোগাড় করেছিল।

স্বয়ংচালিত যানবাহন, ড্রোন ও ব্যাটারিতে ব্যবহৃত বিভিন্ন আলোক-সংবেদী মডিউল এবং গুরুত্বপূর্ণ আইওটি উপাদানগুলির সরবরাহ শৃঙ্খলে চিনা প্রযুক্তি সংস্থাগুলির আধিপত্য উল্লেখযোগ্য সাইবার নিরাপত্তা দুর্বলতা তৈরি করে।

ভারতীয় টেলিকম ক্ষেত্রে আইওটি মডিউলগুলির সাম্প্রতিক ঘটনাটি দেখায়, এই বিপদটি বিশেষত চিনা হার্ডওয়্যারগুলিতে আছে। স্বয়ংচালিত যানবাহন, ড্রোন ও ব্যাটারিতে ব্যবহৃত বিভিন্ন আলোক-সংবেদী মডিউল এবং গুরুত্বপূর্ণ আইওটি উপাদানগুলির সরবরাহ শৃঙ্খলে চিনা প্রযুক্তি সংস্থাগুলির আধিপত্য উল্লেখযোগ্য সাইবার নিরাপত্তা দুর্বলতা তৈরি করে। মার্কিন যুক্তরাষ্ট্রের সামরিক স্থাপনা ও মার্কিন কংগ্রেস থেকে উদ্বেগ প্রকাশ করা হয়েছে যে, মার্কিন বন্দরগুলিতে কার্গো হ্যান্ডলিংয়ের জন্য ব্যবহৃত সাংহাই-ভিত্তিক কোম্পানি সাংহাই জেনহুয়া হেভি ইন্ডাস্ট্রিজের ক্রেনগুলি গুপ্তচরবৃত্তির জন্য বা গুরুত্বপূর্ণ সরবরাহ শৃঙ্খলে ব্যাঘাত ঘটানোর জন্য সম্ভাব্যভাবে কাজে লাগানো যেতে পারে। একইভাবে, জনপ্রিয় চাইনিজ নেটওয়ার্ক ইকুইপমেন্ট ব্র্যান্ড টিপি-লিঙ্ক যাচাই-বাছাই ও সম্ভাব্য নিষেধাজ্ঞার সম্মুখীন হচ্ছে সাইবার নিরাপত্তা সংক্রান্ত উদ্বেগের কারণে। এটি ঘটছে একটি সাম্প্রতিক মাইক্রোসফট রিপোর্ট এ কথা প্রকাশ করার পর যে অরক্ষিত টিপি-লিঙ্ক ডিভাইসগুলিকে র‍্যানসমওয়্যার অপারেশনে ব্যবহার করা হয়েছে, যা সাইবার বিপদের মুখে ফেলার ক্ষেত্রে কোম্পানিটির জড়িত থাকার বিষয়ে সতর্কতা জারি করে। এর আগে, যুক্তরাজ্য (ইউকে) চিনা কোম্পানি হিকভিশনের আইপি ক্যামেরাগুলিকে অরক্ষিত বলে সনাক্ত করেছে,  কারণ এগুলি তাদের ভিডিও বা অডিও সংগ্রহ করতে সক্ষম করে এবং তারপর চিনে অবস্থিত সার্ভারগুলিতে সেই ডেটা স্থানান্তর করে।

এই ঘটনাগুলি নির্দেশ করে বিদেশে তৈরি সরঞ্জামগুলি কীভাবে তথ্য সংগ্রহ, নজরদারি, বা সাইবার দুর্বলতাগুলি কাজে লাগানোর পথ তৈরি করে দিয়ে জাতীয় নিরাপত্তার জন্য ঝুঁকি তৈরি করে, যার কারণে কঠোর তদারকি এবং বিভিন্ন জায়গা থেকে কেনার কৌশলগুলি ব্যবহারের প্রয়োজন হয়।

আইওটি-সম্পর্কিত হুমকি প্রশমিত করা

চিনা এবং সাধারণভাবে বিদেশে-তৈরি আইওটি ডিভাইসগুলির সৃষ্ট বিপদ মোকাবিলা করার জন্য ভারত সরকারকে অবশ্যই জাতীয় নিরাপত্তা বাড়ানো এবং গুরুত্বপূর্ণ পরিকাঠামো রক্ষা করার জন্য একটি বিস্তৃত কৌশল গ্রহণ করতে হবে। যদিও সরকার সক্রিয়ভাবে এই সমস্যাটি মোকাবিলা করছে, বিশেষ করে টেলিকম ক্ষেত্রে, অন্য গুরুত্বপূর্ণ ক্ষেত্রগুলিকে অন্তর্ভুক্ত করে আরও ব্যাপক পদ্ধতি অবলম্বন করা প্রয়োজন।

সাইবার নিরাপত্তা, গোয়েন্দা সংস্থা, টেলিকমিউনিকেশন ও শিল্পের বিশেষজ্ঞদের সমন্বয়ে আইওটি ডিভাইসগুলির জন্য একটি জাতীয় টাস্ক ফোর্স প্রতিষ্ঠা করা একটি মূলগত প্রয়োজন। এই টাস্ক ফোর্স ভারতের গুরুত্বপূর্ণ জাতীয় পরিকাঠামোতে প্রবিধান প্রণয়ন ও প্রয়োগ, নিরাপত্তা অডিট পরিচালনা এবং আইওটি ডিভাইসগুলির গ্রহণ-নিরীক্ষণ প্রচেষ্টার নেতৃত্ব দিতে পারে। এটি উচ্চ-ঝুঁকিপূর্ণ ডিভাইস সনাক্তকরণ, তাদের সরবরাহ শৃঙ্খল বিশ্লেষণ, এবং বুদ্ধিমত্তা ও সর্বোত্তম অনুশীলনের আদান-প্রদানের জন্য আন্তর্জাতিক মিত্রদের সঙ্গে সহযোগিতা করার উপর দৃষ্টি নিবদ্ধ করবে।

ভারতীয় আইওটি কোম্পানিগুলিকে তাদের তৈরি করা প্রতিটি ডিভাইসের জন্য একটি সফটওয়্যার বিল অফ মেটিরিয়ালস এবং একটি বিল অফ মেটিরিয়ালস প্রদান করতে বাধ্য করা উচিত ৷

সরকার প্রতিরক্ষা স্থাপনা, পাওয়ার গ্রিড, পরিবহণ নেটওয়ার্ক ও গণ-‌উপযোগিতার মতো সংবেদনশীল এলাকায় চিনা আইওটি ডিভাইসগুলি ব্যবহারের উপর কঠোর বিধিনিষেধও আরোপ করতে পারে। সমান্তরালভাবে, ভারতীয় আইওটি  কোম্পানিগুলিকে তাদের তৈরি করা প্রতিটি ডিভাইসের জন্য একটি সফটওয়্যার বিল অফ মেটিরিয়ালস এবং একটি বিল অফ মেটিরিয়ালস প্রদান করতে বাধ্য করা উচিত৷ এই নথিগুলি যেমন স্বচ্ছতা বাড়াবে, তেমনই কর্তৃপক্ষ ও গ্রাহকদের আইওটি পণ্যগুলির উপাদান ও সফটওয়্যার-‌নির্ভরতা বুঝতে সক্ষম করবে। ইলেকট্রনিক্স ও তথ্য প্রযুক্তি মন্ত্রকের অধীন মান পরীক্ষা ও গুণমান শংসাপত্র অধিদপ্তরের উপর চাপ তৈরি করে এই বিষয়টি বাধ্যতামূলক করা যেতে পারে যে, গুরুত্বপূর্ণ ক্ষেত্রে মোতায়েন করা আইওটি ডিভাইসগুলি যেন কঠোর সাইবার নিরাপত্তা নিয়মগুলির অনুসারী হয়, এবং কঠোর পরীক্ষা ও শংসাপত্রের মধ্য দিয়ে যায়।

ভারত ধীরে ধীরে উৎপাদন সংযুক্ত প্রণোদনা প্রকল্পের অধীনে তার হাই-টেক ম্যানুফ্যাকচারিং ক্ষমতা বাড়াচ্ছে। নিরাপদ আইওটি বিকল্পগুলির অভ্যন্তরীণ উৎপাদন উৎসাহিত করার জন্য সরকার এই ব্যবস্থা প্রসারিত করতে পারে। জন-‌সচেতনতামূলক উদ্যোগগুলি ব্যবসা ও ভোক্তাদের অ-‌যাচাইকৃত আইওটি ডিভাইসগুলির সঙ্গে সম্পর্কিত ঝুঁকি সম্পর্কে শিক্ষিত করতে পারে, যা একটি নিরাপত্তা-প্রথম মানসিকতা তৈরি করবে। একত্রে, এই পদক্ষেপগুলি বিদেশি আইওটি প্রযুক্তির সঙ্গে যুক্ত সম্ভাব্য সাইবার নিরাপত্তা বিপদের বিরুদ্ধে ভারতের স্থিতিস্থাপকতাকে শক্তিশালী করবে।

সমীর পাটিল অবজারভার রিসার্চ ফাউন্ডেশন-‌এর সেন্টার ফর সিকিউরিটি, স্ট্র্যাটেজি অ্যান্ড টেকনোলজির ডিরেক্টর।

আয়াপ্পান রাজেশ একজন সাইবার সিকিউরিটি পেশাদার যিনি ওয়্যারলেস সিকিউরিটি ও সাইবার-ফিজিক্যাল সিস্টেমের বিশেষজ্ঞ।

• Defence and Security
• Privacy & Data Protection
• অভ্যন্তরীণ নিরাপত্তা
• আইওটি দুর্বলতার প্রভাব
• চিন
• চিনা আইওটি বিক্রেতা
• চিনা আইওটি মডিউল
• চিনা আইওটি মডিউল বিপদ
• নিরাপত্তা রাডারের আওতায় চিনা আইওটি বিক্রেতারা
• ভারত
• মার্কিন যুক্তরাষ্ট্র ও কানাডা
• সাইবার ও প্রযুক্তি
• সাইবার নিরাপত্তা

The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.

PREV NEXT