ভারত ভিপিএনের মতো বেনামী প্রযুক্তি ব্যবহারকারীদের ব্যক্তিগত তথ্য সংরক্ষণের চেষ্টা করছে

Image via Pixabay by Kreatikar. Used under a Pixabay license.

পিক্সাবের মাধ্যমে পাওয়া ক্রিয়েটিকারের ছবি। একটি পিক্সাবে লাইসেন্সের অধীনে ব্যবহৃত।

ভারতের ইলেক্ট্রনিক্স ও তথ্যপ্রযুক্তি মন্ত্রণালয় (মেইটি) সম্প্রতি ঘোষণা করেছে বেনামী এবং ব্যক্তিগত ইন্টারনেট পরিষেবা সংশ্লিষ্ট অনেক ইন্টারনেট পরিষেবা প্রদানকারী, মধ্যস্থতাকারী এবং ডেটা কেন্দ্রগুলিকে নানা ধরনের ব্যবহারকারীর ডেটা পাঁচ বছরের জন্যে সংরক্ষণ করতে হবে৷ জুন থেকে কার্যকর হতে যাওয়া নির্দেশনাটিতে ডেটা লঙ্ঘন বা ফাঁসের মতো “সাইবার ঘটনা” সনাক্তকরণের ছয় ঘন্টার মধ্যে  বাধ্যতামূলক প্রতিবেদন প্রদান অন্তর্ভুক্ত।

মন্ত্রণালয়ের কম্পিউটার সংক্রান্ত জরুরি সাড়া প্রদানকারী দল (সিইআরটি-ইন) গত ২৮ এপ্রিল, ২০২২ তারিখে ভার্চুয়াল ব্যক্তিগত নেটওয়ার্ক (ভিপিএন), ভার্চুয়াল ব্যক্তিগত সার্ভার (ভিপিএস) এবং ক্লাউড পরিষেবাগুলির পাশাপাশি ডেটা কেন্দ্রগুলির  মতো বিভিন্ন সংস্থাকে উদ্দেশ্য করে  একটি ঘোষণা প্রকাশ করেছে৷ বেশিরভাগক্ষেত্রেই ভিপিএন এবং ব্লকচেইন-ভিত্তিক পরিষেবাগুলি ব্যবহারকারীর পরিচয় গোপন এবং গোপনীয়তা নিশ্চিত করার জন্যে ডিজাইন করা হয় বলে এই নির্দেশনা অনেক পরিষেবা প্রদানকারীকে ভারতে তাদের কর্মকাণ্ড বন্ধ করতে বা তাদের ব্যবহারকারীদের গোপনীয়তা লঙ্ঘন করতে বাধ্য করতে পারে।

বিশ্বের বৃহত্তম ভিপিএন কোম্পানি নর্ডভিপিএনের ভারত থেকে বেরিয়ে যাওয়ার বিষয়ে ভারতীয় অলাভজনক আইনি সংস্থা সফটওয়্যার স্বাধীনতার আইন কেন্দ্র তার উদ্বেগ ভাগাভাগি করেছে:

বিশ্বের অন্যতম বৃহত্তম ভিপিএন প্রদানকারী নর্ডভিপিএন ভারতীয় কম্পিউটার সংক্রান্ত জরুরি সাড়া প্রদানকারী দলের @ভারতীয়_সিইআরটির গত সপ্তাহে ভার্চুয়াল প্রাইভেট নেটওয়ার্ক প্রদানকারীদের ব্যবহারকারীর ডেটা সংরক্ষণে রাখার আদেশের কারণে ভারত থেকে চলে যেতে পারে। #তথ্যনিরাপত্তা #সাইবারনিরাপত্তা #ভিপিএন

আন্তর্জাতিক পরিষেবা প্রদানকারী প্রোটন ভিপিএনও তাদের প্রতিবাদ জানিয়েছে:

ভারতীয় নয়া ভিপিএন প্রবিধানগুলি #গোপনীয়তার উপর একটি আক্রমণ এবং নাগরিকদের নজরদারির অণুবীক্ষণের নীচে রাখার হুমকি দেয়। আমরা আমাদের বিবরণী না রাখার নীতির প্রতি প্রতিশ্রুতিবদ্ধ এবং প্রত্যেককে এই নির্দেশনাগুলি মেনে ভারতে আমাদের সার্ভার ব্যবহার করার পরামর্শ দিই।

কেন ভারতীয়রা উদ্বিগ্ন হবে?

ভিপিএন পরিষেবা ব্যবহার করে আপনি আপনার অবস্থান এবং আইপি ঠিকানা লুকিয়ে মুক্ত নেটওয়ার্কে নিরাপত্তার আরেকটি স্তর যোগ করতে পারেন। তবে এসব পরিষেবা আপনার প্রবেশের রেকর্ড এবং অনলাইন ক্রিয়াকলাপগুলির বিবরণী সংরক্ষণ করে না, বা তারা সেগুলি তৃতীয় পক্ষের কাছে পাঠায় না – তাই ভারত সরকার ভিপিএন নিষিদ্ধ না করায় এই পরিষেবাগুলি ব্যবহার করে ইন্টারনেট পদচিহ্ন লুকানো সাংবাদিক, সক্রিয় কর্মী এবং অন্যান্যরা এমনকি বিভিন্ন ভিপিএন পরিষেবা ব্যবহার করেও উন্মুক্ত হয়ে যাওয়ার ঝুঁকিতে থাকবে

ভারতীয় ডিজিটাল স্বাধীনতা সংস্থা ইন্টারনেট স্বাধীনতা ফাউন্ডেশন সংজ্ঞার অভাব, বিদ্যমান সাইবার নিরাপত্তা বিধানগুলির সাথে সঙ্গতির অভাব এবং অতিরিক্ত ডেটা ধারণ করার প্রয়োজনীয়তার মতো এই সিইআরটি-ভারত নির্দেশনার বিষয়ে বেশ কিছু উদ্বেগ উত্থাপন করেছে। এটি গণনজরদারির একটি পথ তৈরি করছে বলে সেটিও একটি উদ্বেগের ব্যাপার:

বিবৃতি: আমরা ২৭ জুন থেকে কার্যকর হতে যাওয়া ২৮ এপ্রিল তারিখে জারি করা @ভারতীয়সিইআরটি-কে তথ্য সুরক্ষা অনুশীলন সংক্রান্ত নির্দেশাবলী প্রত্যাহার করার জন্যে আহ্বান জানাই। এই নির্দেশানাগুলি অস্পষ্ট। তারা সিইআরটি-এর মাধ্যমে ব্যবহারকারীর গোপনীয়তা এবং তথ্য সুরক্ষাকে ক্ষুন্ন করছে। ১/এন

তালিকাভুক্ত পরিষেবা প্রদানকারীদেরকে ডেটার যে নির্দিষ্ট বিষয়গুলি সংরক্ষণ করতে হবে তার মধ্যে ব্যবহারকারীদের নাম, সময়কাল এবং ব্যবহারের তারিখ, ব্যবহারকারীদের ইন্টারনেট প্রোটোকল (আইপি) এবং ইমেল ঠিকানা এবং এমনকি নিবন্ধন বা পরিষেবার চালুর সময় ব্যবহৃত আইপি ঠিকানা এবং টাইমস্ট্যাম্প রয়েছে। উপরন্তু, তাদের পরিষেবার উদ্দেশ্যের পাশপাশি ঠিকানা, যোগাযোগের নম্বর, এবং যারা ব্যবহার করে তাদের মালিকানার ধরন নথিভুক্ত করতে হবে। জনবিজ্ঞপ্তিটিতে যোগাযোগের একটি পয়েন্ট (পিওসি) নিয়োগ করার এবং সিইআরটি-ভারত-এর সাথে পিওসি’র বিশদ বৃত্তান্ত ভাগাভাগি করার উপর জোর দেওয়া হয়েছে। সিইআরটি-ভারত তার অবস্থান ব্যাখ্যা করে বলেছে যে এই পদক্ষেপটি ডেটা লঙ্ঘন ও ফাঁস এবং গোয়েন্দা বা মুক্তিপণের যন্ত্রপাতি বা গোপনে তথ্য সংগ্রহের মতো বিভিন্ন ধরনের কলুষিত এবং লক্ষ্যিত আক্রমণের বিরুদ্ধে একটি অগ্রিম ব্যবস্থা।

সিইআরটি-ভারত বিজ্ঞপ্তিটি এই ধরনের “সাইবার ঘটনা” সনাক্ত করার ছয় ঘন্টার মধ্যে সরকারি কর্তৃপক্ষকে অভিযোগ করার নির্দেশ দেয়। অনলাইন গণমাধ্যম প্রকাশনা মিডিয়ানামা জানিয়েছে যে প্রযুক্তি সংস্থাগুলির প্রতিনিধি – অ্যাপল, অ্যামাজন, মেটা (ফেসবুক), গুগল (অ্যালফাবেট) এবং মাইক্রোসফ্টের মতো বড় বড় প্রযুক্তি কর্পোরেশনসহ তথ্যপ্রযুক্তি শিল্প পর্ষদ (আইটিআইসি) এই নতুন নির্দেশনাটি নিয়ে উদ্বেগ প্রকাশ করেছে এবং এটি প্রযুক্তি শিল্পের ক্ষতি করার পাশাপাশি ভারতের সাইবার নিরাপত্তাকেও ক্ষুন্ন করতে পারে। আইটিআইসি প্রতিবেদনের সময় ছয় ঘণ্টা থেকে বাড়িয়ে ৭২ করার সুপারিশ করেছে এবং ১৮০ দিনের জন্যে ব্যবহারকারীর বিবরণী রক্ষণাবেক্ষণকে ব্যবহারকারীদের জন্যে ঝুঁকিপূর্ণ এবং পরিষেবা প্রদানকারীদের জন্যে ব্যয়বহুল বলে মনে করেছে।

ম্যান্ডেটটির কারণে মধ্যস্থতাকারী এবং পরিষেবা প্রদানকারীদেরকে তাদের আইসিটি সিস্টেমের ঘড়ি সমন্বিত করার জন্যে মনোনীত নেটওয়ার্ক সময় প্রোটোকল (এনটিপি) সার্ভারসমূহের সাথে যুক্ত হতে হবে। এনটিপি হলো ইন্টারনেট ও অন্যান্য ডেটা নেটওয়ার্কের মাধ্যমে যুক্ত কম্পিউটার ব্যবস্থা দিয়ে ঘড়ি সমন্বিত করার জন্যে ব্যবহৃত একটি নেটওয়ার্কিং প্রোটোকল। এনটিপি-জনিত কারণে সাম্প্রতিক বছরগুলির বড় বড় নিরাপত্তা ঘটনা রিপোর্ট করে আইটিআইসি বলেছে যে এই ধরনের প্রয়োজনীয়তা “কোম্পানীগুলির নিরাপত্তা কার্যক্রমের পাশাপাশি তাদের সিস্টেম, নেটওয়ার্ক এবং অ্যাপ্লিকেশনগুলির কার্যকারিতাকে নেতিবাচকভাবে প্রভাবিত করতে পারে।”

নির্দেশনাটির বিচ্যুতি এবং তথ্য লঙ্ঘনের সময় কীভাবে সিইআরটি-ভারত তার কাজ করতে ব্যর্থ হয়েছিল তার ইঙ্গিত করে নয়া দিল্লিস্থ সফটওয়্যার স্বাধীনতা আইন কেন্দ্র (এসএফএলসি.ভারত) এর প্রতিষ্ঠাতা মিশি চৌধুরী উল্লেখ করেছেন, “ভিপিএন ব্যবহারকারীদের নিবন্ধনের প্রয়োজনীয়তা [এবং] আইপি ঠিকানাগুলির সাথে সনাক্তকরণকে যুক্ত করা গুরুতর গোপনীয়তা উদ্বেগকে উত্থাপন করে এবং এটি বাদ দেওয়া উচিত৷ সিইআরটি-ভারত সাইবার নিরাপত্তার অজুহাতে নির্দিষ্ট ধরনের সরঞ্জাম ব্যবহারের অধিকার কেঁড়ে নিতে পারে না।”

ব্যাপক সমালোচনা

অনলাইনে নির্দেশনাটি সম্পর্কে ব্যাপক মন্তব্য ছিল, যার মধ্যে সফটওয়্যার প্রকৌশলী এবং ব্লগার মনোজ সারু স্পষ্ট প্রশ্ন করেছেন:

ভারতীয় সরকার বলেছে যে ভারতে ভিপিএন সরবরাহকারীদের গ্রাহকের ডেটা সংগ্রহ করতের বাধ্য 🤯🤯

সহজ প্রশ্ন, তাহলে ভিপিএন ব্যবহার করে লাভ কী ?? 🤔🤔

সাংবাদিক তনয় সিং ঠাকুর টুইট করেছেন:

সিইআরটি-ভারত সিদ্ধান্ত নিয়েছে যে ভারতের #ভিপিএন কোম্পানিগুলিকে এখন পাঁচ বছর পর্যন্ত ব্যবহারকারীর ডেটা সংরক্ষণ করতে হবে। এটি অবশ্যই প্রতিদিন তাদের গুরুত্বপূর্ণ যোগাযোগ এবং অনলাইন ব্রাউজ লুকানোর জন্যে ভিপিএন ব্যবহারকারী অনেকের জন্যে একটি বড় হতাশা। (🧵)

টুইটার ব্যবহারকারী বিক্রম করন্দিকর সতর্ক করেছেন:

ভিপিএন কোম্পানিগুলির জন্যে @নরেন্দ্রমোদি @আরএসপ্রসাদ এর সর্বশেষ নীতিটি ভুল। খুব বেশি সরকারি নিয়ন্ত্রণ উদ্বেগজনক। আমরা ভুল পথে যাচ্ছি। #ভিপিএন #ভারত

টুইটের একটি ধারাবাহিকের মাধ্যমে প্রখ্যাত সাইবার নিরাপত্তা বিশেষজ্ঞ আনন্দ ভেঙ্কটনারায়ণন নিজস্ব পরিকাঠামোর পরিমাপ না করেই সিইআরটি-ভারতের এনটিপি সম্পর্কিত আদেশ প্রবর্তনের সমালোচনা করেছেন। একই সাথে অতীতে নিরাপত্তা লঙ্ঘনের জন্যে ঝুঁকিপূর্ণ প্রমাণিত রাষ্ট্রীয় মালিকানাধীন জাতীয় ইনফরমেটিক্স কেন্দ্রের (এনআইসি) সার্ভারের প্রস্তাবিত ব্যবহার নিয়ে প্রশ্ন উত্থাপন করে তিনি বলেন এই নির্দেশনাটি কার্যকর হলে সেটা আরো লঙ্ঘনের দিকে নিয়ে যেতে পারে।

একটি নিউজলেটারে ২০১৯ সালে গোয়েন্দা যন্ত্রপাতি পেগাসাস ব্যবহার করার জন্যে নিরাপত্তা দুর্বলতাগুলিকে কাজে লাগানো হচ্ছে বলে হোয়াটসঅ্যাপের একটি ঘোষণায় সিইআরটি-ভারতের দুর্বল প্রযুক্তিগত ক্ষমতা প্রদর্শনকে তুলে ধরে ভেঙ্কটনারায়ণন এই নির্দেশনাটির আরো সমালোচনা করেছেন:

[..] দেশগুলি স্বনির্ভর হতে চাইলেও আকাঙ্খা তার ক্ষমতা, সামর্থ্য এবং বাজেটের বিকল্প নয়।

অ্যামনেস্টি ভারত টুইট করেছে:

ভারত সরকারের ভিপিএন কোম্পানিগুলিকে পাঁচ বছরের জন্যে ব্যবহারকারীদের ডেটা সংগ্রহ ও সংরক্ষণ না করলে নিষেধাজ্ঞা ও কারাদণ্ডের মুখোমুখি হওয়ার সর্বশেষ নির্দেশনা, ভারতে গোপনীয়তা এবং মত প্রকাশের স্বাধীনতার অধিকারের প্রতি একটি নতুন বড় আঘাত।

২০২১ সালে পেগাসাস প্রকল্প বিরোধী দলীয় রাজনীতিবিদ, সরকারের সমালোচক সাংবাদিক এবং উচ্চপদস্থ সরকারি কর্মকর্তাদের উপর আঁড়িপাতার জন্যে পেগাসাস গোয়েন্দা সরঞ্জাম ব্যবহার করার ক্ষেত্রে ভারত সরকারের কথিত ভূমিকাকে উন্মোচিত করেছে

আলোচনা শুরু করুন

লেখকেরা, অনুগ্রহ করে লগ ইন »

নীতিমালা

  • অনুগ্রহ করে অপরের মন্তব্যকে শ্রদ্ধা করুন. যেসব মন্তব্যে গালাগালি, ঘৃণা, অবিবেচনা প্রসূত ব্যক্তিগত আক্রমণ থাকবে সেগুলো প্রকাশের অনুমতি দেয়া হবে না .