ভারত ভিপিএনের মতো বেনামী প্রযুক্তি ব্যবহারকারীদের ব্যক্তিগত তথ্য সংরক্ষণের চেষ্টা করছে
পিক্সাবের মাধ্যমে পাওয়া ক্রিয়েটিকারের ছবি। একটি পিক্সাবে লাইসেন্সের অধীনে ব্যবহৃত।
ভারতের ইলেক্ট্রনিক্স ও তথ্যপ্রযুক্তি মন্ত্রণালয় (মেইটি) সম্প্রতি ঘোষণা করেছে বেনামী এবং ব্যক্তিগত ইন্টারনেট পরিষেবা সংশ্লিষ্ট অনেক ইন্টারনেট পরিষেবা প্রদানকারী, মধ্যস্থতাকারী এবং ডেটা কেন্দ্রগুলিকে নানা ধরনের ব্যবহারকারীর ডেটা পাঁচ বছরের জন্যে সংরক্ষণ করতে হবে৷ জুন থেকে কার্যকর হতে যাওয়া নির্দেশনাটিতে ডেটা লঙ্ঘন বা ফাঁসের মতো “সাইবার ঘটনা” সনাক্তকরণের ছয় ঘন্টার মধ্যে বাধ্যতামূলক প্রতিবেদন প্রদান অন্তর্ভুক্ত।
মন্ত্রণালয়ের কম্পিউটার সংক্রান্ত জরুরি সাড়া প্রদানকারী দল (সিইআরটি-ইন) গত ২৮ এপ্রিল, ২০২২ তারিখে ভার্চুয়াল ব্যক্তিগত নেটওয়ার্ক (ভিপিএন), ভার্চুয়াল ব্যক্তিগত সার্ভার (ভিপিএস) এবং ক্লাউড পরিষেবাগুলির পাশাপাশি ডেটা কেন্দ্রগুলির মতো বিভিন্ন সংস্থাকে উদ্দেশ্য করে একটি ঘোষণা প্রকাশ করেছে৷ বেশিরভাগক্ষেত্রেই ভিপিএন এবং ব্লকচেইন-ভিত্তিক পরিষেবাগুলি ব্যবহারকারীর পরিচয় গোপন এবং গোপনীয়তা নিশ্চিত করার জন্যে ডিজাইন করা হয় বলে এই নির্দেশনা অনেক পরিষেবা প্রদানকারীকে ভারতে তাদের কর্মকাণ্ড বন্ধ করতে বা তাদের ব্যবহারকারীদের গোপনীয়তা লঙ্ঘন করতে বাধ্য করতে পারে।
বিশ্বের বৃহত্তম ভিপিএন কোম্পানি নর্ডভিপিএনের ভারত থেকে বেরিয়ে যাওয়ার বিষয়ে ভারতীয় অলাভজনক আইনি সংস্থা সফটওয়্যার স্বাধীনতার আইন কেন্দ্র তার উদ্বেগ ভাগাভাগি করেছে:
NordVPN, one of the world’s largest VPN providers, may pull out of India due to the Indian Computer Emergency Team’s @IndianCERT order last week requiring virtual private network providers to maintain user data.#InfoSec #CyberSecurity #VPNhttps://t.co/wZCBkisI4D
— sflc.in (@SFLCin) May 6, 2022
বিশ্বের অন্যতম বৃহত্তম ভিপিএন প্রদানকারী নর্ডভিপিএন ভারতীয় কম্পিউটার সংক্রান্ত জরুরি সাড়া প্রদানকারী দলের @ভারতীয়_সিইআরটির গত সপ্তাহে ভার্চুয়াল প্রাইভেট নেটওয়ার্ক প্রদানকারীদের ব্যবহারকারীর ডেটা সংরক্ষণে রাখার আদেশের কারণে ভারত থেকে চলে যেতে পারে। #তথ্যনিরাপত্তা #সাইবারনিরাপত্তা #ভিপিএন
আন্তর্জাতিক পরিষেবা প্রদানকারী প্রোটন ভিপিএনও তাদের প্রতিবাদ জানিয়েছে:
The new Indian VPN regulations are an assault on #privacy and threaten to put citizens under a microscope of surveillance. We remain committed to our no-logs policy and recommend everyone using our servers in India to follow these guidelines: https://t.co/85WTkUJ5Z6. (1/2)
— ProtonVPN (@ProtonVPN) May 5, 2022
ভারতীয় নয়া ভিপিএন প্রবিধানগুলি #গোপনীয়তার উপর একটি আক্রমণ এবং নাগরিকদের নজরদারির অণুবীক্ষণের নীচে রাখার হুমকি দেয়। আমরা আমাদের বিবরণী না রাখার নীতির প্রতি প্রতিশ্রুতিবদ্ধ এবং প্রত্যেককে এই নির্দেশনাগুলি মেনে ভারতে আমাদের সার্ভার ব্যবহার করার পরামর্শ দিই।
কেন ভারতীয়রা উদ্বিগ্ন হবে?
ভিপিএন পরিষেবা ব্যবহার করে আপনি আপনার অবস্থান এবং আইপি ঠিকানা লুকিয়ে মুক্ত নেটওয়ার্কে নিরাপত্তার আরেকটি স্তর যোগ করতে পারেন। তবে এসব পরিষেবা আপনার প্রবেশের রেকর্ড এবং অনলাইন ক্রিয়াকলাপগুলির বিবরণী সংরক্ষণ করে না, বা তারা সেগুলি তৃতীয় পক্ষের কাছে পাঠায় না – তাই ভারত সরকার ভিপিএন নিষিদ্ধ না করায় এই পরিষেবাগুলি ব্যবহার করে ইন্টারনেট পদচিহ্ন লুকানো সাংবাদিক, সক্রিয় কর্মী এবং অন্যান্যরা এমনকি বিভিন্ন ভিপিএন পরিষেবা ব্যবহার করেও উন্মুক্ত হয়ে যাওয়ার ঝুঁকিতে থাকবে৷
ভারতীয় ডিজিটাল স্বাধীনতা সংস্থা ইন্টারনেট স্বাধীনতা ফাউন্ডেশন সংজ্ঞার অভাব, বিদ্যমান সাইবার নিরাপত্তা বিধানগুলির সাথে সঙ্গতির অভাব এবং অতিরিক্ত ডেটা ধারণ করার প্রয়োজনীয়তার মতো এই সিইআরটি-ভারত নির্দেশনার বিষয়ে বেশ কিছু উদ্বেগ উত্থাপন করেছে। এটি গণনজরদারির একটি পথ তৈরি করছে বলে সেটিও একটি উদ্বেগের ব্যাপার:
Statement: We call on @IndianCERT to recall Directions on Information Security Practices issued on April 28 that go into effect on June 27. These directions are vague. They undermine user privacy and information security, contrary to CERT's mandate. 1/n pic.twitter.com/okzMhgIG0y
— Internet Freedom Foundation (IFF) (@internetfreedom) May 4, 2022
বিবৃতি: আমরা ২৭ জুন থেকে কার্যকর হতে যাওয়া ২৮ এপ্রিল তারিখে জারি করা @ভারতীয়সিইআরটি-কে তথ্য সুরক্ষা অনুশীলন সংক্রান্ত নির্দেশাবলী প্রত্যাহার করার জন্যে আহ্বান জানাই। এই নির্দেশানাগুলি অস্পষ্ট। তারা সিইআরটি-এর মাধ্যমে ব্যবহারকারীর গোপনীয়তা এবং তথ্য সুরক্ষাকে ক্ষুন্ন করছে। ১/এন
তালিকাভুক্ত পরিষেবা প্রদানকারীদেরকে ডেটার যে নির্দিষ্ট বিষয়গুলি সংরক্ষণ করতে হবে তার মধ্যে ব্যবহারকারীদের নাম, সময়কাল এবং ব্যবহারের তারিখ, ব্যবহারকারীদের ইন্টারনেট প্রোটোকল (আইপি) এবং ইমেল ঠিকানা এবং এমনকি নিবন্ধন বা পরিষেবার চালুর সময় ব্যবহৃত আইপি ঠিকানা এবং টাইমস্ট্যাম্প রয়েছে। উপরন্তু, তাদের পরিষেবার উদ্দেশ্যের পাশপাশি ঠিকানা, যোগাযোগের নম্বর, এবং যারা ব্যবহার করে তাদের মালিকানার ধরন নথিভুক্ত করতে হবে। জনবিজ্ঞপ্তিটিতে যোগাযোগের একটি পয়েন্ট (পিওসি) নিয়োগ করার এবং সিইআরটি-ভারত-এর সাথে পিওসি’র বিশদ বৃত্তান্ত ভাগাভাগি করার উপর জোর দেওয়া হয়েছে। সিইআরটি-ভারত তার অবস্থান ব্যাখ্যা করে বলেছে যে এই পদক্ষেপটি ডেটা লঙ্ঘন ও ফাঁস এবং গোয়েন্দা বা মুক্তিপণের যন্ত্রপাতি বা গোপনে তথ্য সংগ্রহের মতো বিভিন্ন ধরনের কলুষিত এবং লক্ষ্যিত আক্রমণের বিরুদ্ধে একটি অগ্রিম ব্যবস্থা।
সিইআরটি-ভারত বিজ্ঞপ্তিটি এই ধরনের “সাইবার ঘটনা” সনাক্ত করার ছয় ঘন্টার মধ্যে সরকারি কর্তৃপক্ষকে অভিযোগ করার নির্দেশ দেয়। অনলাইন গণমাধ্যম প্রকাশনা মিডিয়ানামা জানিয়েছে যে প্রযুক্তি সংস্থাগুলির প্রতিনিধি – অ্যাপল, অ্যামাজন, মেটা (ফেসবুক), গুগল (অ্যালফাবেট) এবং মাইক্রোসফ্টের মতো বড় বড় প্রযুক্তি কর্পোরেশনসহ তথ্যপ্রযুক্তি শিল্প পর্ষদ (আইটিআইসি) এই নতুন নির্দেশনাটি নিয়ে উদ্বেগ প্রকাশ করেছে এবং এটি প্রযুক্তি শিল্পের ক্ষতি করার পাশাপাশি ভারতের সাইবার নিরাপত্তাকেও ক্ষুন্ন করতে পারে। আইটিআইসি প্রতিবেদনের সময় ছয় ঘণ্টা থেকে বাড়িয়ে ৭২ করার সুপারিশ করেছে এবং ১৮০ দিনের জন্যে ব্যবহারকারীর বিবরণী রক্ষণাবেক্ষণকে ব্যবহারকারীদের জন্যে ঝুঁকিপূর্ণ এবং পরিষেবা প্রদানকারীদের জন্যে ব্যয়বহুল বলে মনে করেছে।
ম্যান্ডেটটির কারণে মধ্যস্থতাকারী এবং পরিষেবা প্রদানকারীদেরকে তাদের আইসিটি সিস্টেমের ঘড়ি সমন্বিত করার জন্যে মনোনীত নেটওয়ার্ক সময় প্রোটোকল (এনটিপি) সার্ভারসমূহের সাথে যুক্ত হতে হবে। এনটিপি হলো ইন্টারনেট ও অন্যান্য ডেটা নেটওয়ার্কের মাধ্যমে যুক্ত কম্পিউটার ব্যবস্থা দিয়ে ঘড়ি সমন্বিত করার জন্যে ব্যবহৃত একটি নেটওয়ার্কিং প্রোটোকল। এনটিপি-জনিত কারণে সাম্প্রতিক বছরগুলির বড় বড় নিরাপত্তা ঘটনা রিপোর্ট করে আইটিআইসি বলেছে যে এই ধরনের প্রয়োজনীয়তা “কোম্পানীগুলির নিরাপত্তা কার্যক্রমের পাশাপাশি তাদের সিস্টেম, নেটওয়ার্ক এবং অ্যাপ্লিকেশনগুলির কার্যকারিতাকে নেতিবাচকভাবে প্রভাবিত করতে পারে।”
নির্দেশনাটির বিচ্যুতি এবং তথ্য লঙ্ঘনের সময় কীভাবে সিইআরটি-ভারত তার কাজ করতে ব্যর্থ হয়েছিল তার ইঙ্গিত করে নয়া দিল্লিস্থ সফটওয়্যার স্বাধীনতা আইন কেন্দ্র (এসএফএলসি.ভারত) এর প্রতিষ্ঠাতা মিশি চৌধুরী উল্লেখ করেছেন, “ভিপিএন ব্যবহারকারীদের নিবন্ধনের প্রয়োজনীয়তা [এবং] আইপি ঠিকানাগুলির সাথে সনাক্তকরণকে যুক্ত করা গুরুতর গোপনীয়তা উদ্বেগকে উত্থাপন করে এবং এটি বাদ দেওয়া উচিত৷ সিইআরটি-ভারত সাইবার নিরাপত্তার অজুহাতে নির্দিষ্ট ধরনের সরঞ্জাম ব্যবহারের অধিকার কেঁড়ে নিতে পারে না।”
ব্যাপক সমালোচনা
অনলাইনে নির্দেশনাটি সম্পর্কে ব্যাপক মন্তব্য ছিল, যার মধ্যে সফটওয়্যার প্রকৌশলী এবং ব্লগার মনোজ সারু স্পষ্ট প্রশ্ন করেছেন:
VPN providers in India mandated to collect customer data says Indian goverment 🤯🤯
Simple question what’s the point of using vpn ?? 🤔🤔 pic.twitter.com/0bIRtBOZmE
— Manoj Saru (@ManojSaru) May 6, 2022
ভারতীয় সরকার বলেছে যে ভারতে ভিপিএন সরবরাহকারীদের গ্রাহকের ডেটা সংগ্রহ করতের বাধ্য 🤯🤯
সহজ প্রশ্ন, তাহলে ভিপিএন ব্যবহার করে লাভ কী ?? 🤔🤔
সাংবাদিক তনয় সিং ঠাকুর টুইট করেছেন:
CERT-In has decided that #VPN companies in India will now have to store user data for up to five years. This will definitely be a big disappointment for many who are using VPNs daily to mask their critical communications and browsing online. (🧵).
— Tanay Singh Thakur (@TanaysinghT) May 13, 2022
সিইআরটি-ভারত সিদ্ধান্ত নিয়েছে যে ভারতের #ভিপিএন কোম্পানিগুলিকে এখন পাঁচ বছর পর্যন্ত ব্যবহারকারীর ডেটা সংরক্ষণ করতে হবে। এটি অবশ্যই প্রতিদিন তাদের গুরুত্বপূর্ণ যোগাযোগ এবং অনলাইন ব্রাউজ লুকানোর জন্যে ভিপিএন ব্যবহারকারী অনেকের জন্যে একটি বড় হতাশা। (🧵)
টুইটার ব্যবহারকারী বিক্রম করন্দিকর সতর্ক করেছেন:
@narendramodi @rsprasad the latest policy for VPN companies is wrong. Too much government control is worrying. We are going into a wrong direction. #VPN #india
— Vikram Karandikar विक्रम करंदीकर (@vickybadbad) May 13, 2022
ভিপিএন কোম্পানিগুলির জন্যে @নরেন্দ্রমোদি @আরএসপ্রসাদ এর সর্বশেষ নীতিটি ভুল। খুব বেশি সরকারি নিয়ন্ত্রণ উদ্বেগজনক। আমরা ভুল পথে যাচ্ছি। #ভিপিএন #ভারত
টুইটের একটি ধারাবাহিকের মাধ্যমে প্রখ্যাত সাইবার নিরাপত্তা বিশেষজ্ঞ আনন্দ ভেঙ্কটনারায়ণন নিজস্ব পরিকাঠামোর পরিমাপ না করেই সিইআরটি-ভারতের এনটিপি সম্পর্কিত আদেশ প্রবর্তনের সমালোচনা করেছেন। একই সাথে অতীতে নিরাপত্তা লঙ্ঘনের জন্যে ঝুঁকিপূর্ণ প্রমাণিত রাষ্ট্রীয় মালিকানাধীন জাতীয় ইনফরমেটিক্স কেন্দ্রের (এনআইসি) সার্ভারের প্রস্তাবিত ব্যবহার নিয়ে প্রশ্ন উত্থাপন করে তিনি বলেন এই নির্দেশনাটি কার্যকর হলে সেটা আরো লঙ্ঘনের দিকে নিয়ে যেতে পারে।
একটি নিউজলেটারে ২০১৯ সালে গোয়েন্দা যন্ত্রপাতি পেগাসাস ব্যবহার করার জন্যে নিরাপত্তা দুর্বলতাগুলিকে কাজে লাগানো হচ্ছে বলে হোয়াটসঅ্যাপের একটি ঘোষণায় সিইআরটি-ভারতের দুর্বল প্রযুক্তিগত ক্ষমতা প্রদর্শনকে তুলে ধরে ভেঙ্কটনারায়ণন এই নির্দেশনাটির আরো সমালোচনা করেছেন:
[..] দেশগুলি স্বনির্ভর হতে চাইলেও আকাঙ্খা তার ক্ষমতা, সামর্থ্য এবং বাজেটের বিকল্প নয়।
অ্যামনেস্টি ভারত টুইট করেছে:
The Indian government’s latest directive asking VPN companies to collect and store users’ data for a period of five years or face ban and imprisonment is a new major blow to the rights to privacy and freedom of expression in India.
— Amnesty India (@AIIndia) May 5, 2022
ভারত সরকারের ভিপিএন কোম্পানিগুলিকে পাঁচ বছরের জন্যে ব্যবহারকারীদের ডেটা সংগ্রহ ও সংরক্ষণ না করলে নিষেধাজ্ঞা ও কারাদণ্ডের মুখোমুখি হওয়ার সর্বশেষ নির্দেশনা, ভারতে গোপনীয়তা এবং মত প্রকাশের স্বাধীনতার অধিকারের প্রতি একটি নতুন বড় আঘাত।
২০২১ সালে পেগাসাস প্রকল্প বিরোধী দলীয় রাজনীতিবিদ, সরকারের সমালোচক সাংবাদিক এবং উচ্চপদস্থ সরকারি কর্মকর্তাদের উপর আঁড়িপাতার জন্যে পেগাসাস গোয়েন্দা সরঞ্জাম ব্যবহার করার ক্ষেত্রে ভারত সরকারের কথিত ভূমিকাকে উন্মোচিত করেছে।
এই পোস্টটি জিভি এডভোকেসী (গ্লোবাল ভয়েসেস অ্যাডভোকেসী) প্রকল্পের, যা বিশ্বব্যাপী বাক স্বাধীনতা নিশ্চিত করা ও অনলাইন সেন্সরশীপের বিরুদ্ধে লড়াই করার নিমিত্তে গঠিত একটি গ্লোবাল ভয়েসেস প্রকল্প। · সবগুলো পোস্ট
