কাস্টমসের অ্যাসাইকুডা সার্ভার হ্যাক করে মদ খালাসে জড়িতদের শনাক্তে ব্যর্থ হয়েছে জাতীয় রাজস্ব বোর্ডের (এনবিআর) তদন্ত কমিটি।ওয়ান টাইম পাসওয়ার্ড (ওটিপি) ছাড়া সিস্টেমে অনুপ্রবেশ অত্যন্ত টেকনিক্যাল হওয়ায় এবং এনবিআরের ডিজিটাল ফরেনসিক ল্যাব না থাকার কারণেই এ ব্যর্থতা। বিদ্যমান পরিস্থিতিতে সাইবার সিকিউরিটিতে অভিজ্ঞ প্রতিষ্ঠানের মাধ্যমে জড়িতদের শনাক্তে ব্যবস্থা নিতে বলা হয়েছে।একই সঙ্গে সার্ভার সুরক্ষিত রাখতে প্রতিবছর সিস্টেম অডিট করানোর সুপারিশ করেছে কমিটি।এ বিষয়ে শুল্ক গোয়েন্দার একজন ঊর্ধ্বতন কর্মকর্তা যুগান্তরকে বলেন, তদন্ত কমিটি প্রতিবেদন দিয়েছে। প্রতিবেদনের আলোকে পরবর্তী ব্যবস্থা নেওয়ার জন্য সেটি এনবিআরে পাঠানো হয়েছে।এরই পরিপ্রেক্ষিতে ২৯ আগস্ট সার্ভার হ্যাকের ঘটনা তদন্তে শুল্ক গোয়েন্দাকে নির্দেশ দেয় এনবিআর। এরপর ৬ সদস্যবিশিষ্ট তদন্ত কমিটি গঠন করা হয়। কমিটির সদস্যরা হলেন-সিস্টেম অ্যানালিস্ট জাহিদুর রহমান, শুল্ক গোয়েন্দার যুগ্ম পরিচালক এদিপ বিল্লাহ, উপপরিচালক শাকিল খন্দকার, চট্টগ্রাম কাস্টমসের উপকমিশনার মোহাম্মদ হাবিবুর রহমান, চট্টগ্রাম কাস্টমসের প্রোগ্রামার শামীম-উল-ইসলাম এবং শুল্ক গোয়েন্দার রাজস্ব কর্মকর্তা ইয়াকুত জাহিদ।
কার্যপরিধিতে কমিটিকে ওয়ান টাইম পাসওয়ার্ড (ওটিপি) ছাড়া অ্যাসাইকুডা সফটওয়্যারে প্রবেশ করা যায় কিনা তা যাচাই করতে নির্দেশ দেওয়া হয়। একইসঙ্গে ওটিপি ছাড়া সিস্টেমে প্রবেশ করতে পারলে অনুপ্রবেশের পদ্ধতি বা ত্রুটি শনাক্ত করতে এবং দ্বিস্তরবিশিষ্ট নিরাপত্তা থাকা সত্ত্বেও ওটিপি জেনারেট না হওয়ার কারণ উদঘাটন করতে বলা হয়।পাশাপাশি ওটিপি ছাড়া সিস্টেমে অনুপ্রবেশকারীদের চিহ্নিত করা এবং দ্বিস্তরবিশিষ্ট নিরাপত্তা নিশ্চিতে সুনির্দিষ্ট প্রস্তাব দিতে বলা হয় কমিটিকে।
ওটিপি ছাড়া তদন্ত কমিটি অ্যাসাইকুডা সার্ভারে প্রবেশ করতে পারেনি। তাই সিস্টেমে অনুপ্রবেশের ত্রুটি চিহ্নিত করা যায়নি। তবে দ্বিস্তরবিশিষ্ট নিরাপত্তা থাকা সত্ত্বেও ওটিপি জেনারেট না হওয়ায় কয়েকটি কারণ চিহ্নিত করা হয়েছে।
প্রথমত, সিস্টেমে লগইন থাকা অবস্থায় নেটওয়ার্ক স্থানান্তর হলে ওটিপি পাঠানো হয় না।
দ্বিতীয়ত, মোবাইল নেটওয়ার্ক ওঠানামার কারণে ওটিপি ব্যবহারকারীর মোবাইলে নাও যেতে পারে।
তৃতীয়ত, সিস্টেমে অস্বাভাবিক কার্যকলাপ।
চতুর্থত, কর্মকর্তাদের পাসওয়ার্ড রিসেট করার সময় জোরপূর্বক পাসওয়ার্ড পরিবর্তন (ফোর্স পাসওয়ার্ড চেঞ্জ) অপশনের মাধ্যমে ওটিপি ছাড়া সিস্টেমে প্রবেশ করা যায়।
যদিও সার্ভার হ্যাকে জড়িতদের শনাক্তে ব্যর্থ হয়েছে তদন্ত কমিটি। এর কারণ হিসাবে বলা হয়েছে, ওয়ান টাইম পাসওয়ার্ড (ওটিপি) ছাড়া সিস্টেমে অনুপ্রবেশ অত্যন্ত টেকনিক্যাল হওয়ায় এবং এনবিআরের ডিজিটাল ফরেনসিক ল্যাব না থাকায় সাইবার সিকিউরিটিতে অভিজ্ঞ প্রতিষ্ঠানের মাধ্যমে জড়িতদের শনাক্তে ব্যবস্থা নেওয়া যেতে পারে।এছাড়া সহকারী রাজস্ব কর্মকর্তা বা রাজস্ব কর্মকর্তাদের নিজস্ব কম্পিউটার ছাড়া অন্য কোনো কম্পিউটার দিয়ে সিস্টেমে লগইন করতে না পারে সেজন্য সতর্কতামূলক ব্যবস্থা নিতে।
সিস্টেম সুরক্ষিত রাখতে ১১ সুপারিশ: অ্যাসাইকুডা সার্ভার সুরক্ষিত রাখতে ১১টি সুপারিশ করেছে তদন্ত কমিটি। এর মধ্যে উল্লেখযোগ্য হচ্ছে-শুল্কায়নের কাজে প্রতিটি কাস্টমসে কিউ ম্যানেজমেন্ট সিস্টেম চালু করা, সহকারী রাজস্ব কর্মকর্তা ও রাজস্ব কর্মকর্তাদের ডেস্ক নিরাপদ রাখা, সিস্টেমে লগইন ও মোবাইল অপারেটর থেকে প্রেরিত ওটিপি প্রেরণের সময় সমন্বয়ে একটি এপিআই ডেভেলপ করে একটি ডেডিকেটেড টিমকে দায়িত্ব দেওয়া।
কর্মকর্তাদের গাফিলতি : গত জানুয়ারিতে এনবিআরে পাঠানো সরকারি একটি সংস্থার গোয়েন্দা প্রতিবেদনে বলা হয়েছে, চট্টগ্রাম বন্দর থেকে মালামাল খালাসের সময় দায়িত্বপ্রাপ্ত কর্মকর্তারা জাল ও অসঙ্গতিপূর্ণ দলিলাদি চিহ্নিত না করে নিষ্ক্রিয় থেকেছেন। আমদানিকৃত পণ্যের চালান অ্যাসেসমেন্ট করার জন্য সহকারী রাজস্ব কর্মকর্তা কামরুজ্জামান পণ্যটির অনুমোদন আছে কিনা তা যাচাই করেনি।
এছাড়া আইপি জালিয়াতি বা তাদের ইউজার আইডি ও পাসওয়ার্ড হ্যাক করার বিষয়ে পণ্য আটক হওয়ার পূর্বপর্যন্ত তারা ঊর্ধ্বতন কর্মকর্তাদের অবহিত করেননি। সহকারী রাজস্ব কর্মকর্তা রাজিব উদ্দিন স্বাক্ষরসহ স্ক্যানিং পেপার রেখে যাওয়ায় জালিয়াতচক্র কৌশলে ভুয়া স্ক্যানিং রিপোর্ট দাখিল করে বন্দর থেকে মালামাল ডেলিভারি নিয়েছে। ওই কর্মকর্তা স্বাক্ষরসহ স্ক্যানিং রিপোর্ট আগেই রেখে যান, যা উদ্দেশ্যপ্রণোদিত।ওই গোয়েন্দা প্রতিবেদনে মূল অপরাধের সঙ্গে জড়িত জাফর আহমেদ, কাস্টমস সরকার জসিম রিয়াদ, সহকারী রাজস্ব কর্মকর্তা কামরুজ্জামান, রাজিব উদ্দিন, রাজস্ব কর্মকর্তা মাহাবুবুর রহমানের বিরুদ্ধে আইনানুগ ব্যবস্থা গ্রহণের সুপারিশ করা হয়।