VPN Services: দেশের সব ভিপিএন সংস্থাকে ৫ বছরের জন্য গ্রাহকের তথ্য স্টোর করে রাখার নির্দেশ আইটি মন্ত্রকের, আপনার চিন্তার কোনও কারণ আছে?
IT Ministry: দেশের ভিপিএন সংস্থাগুলিকে গ্রাহকের তথ্য সংগ্রহ করে ৫ বছরের জন্য স্টোর করে রাখার নির্দেশ দিল তথ্য ও প্রযুক্তি মন্ত্রক। এর ফলে দেশের ইন্টারনেট ব্যবহারকারীদের কী হতে চলেছে, জেনে নিন।
ভিপিএন কোম্পানিগুলিকে (VPN Companies) ইউজারদের তথ্য সংগ্রহ করে তা অন্তত ৫ বছরের জন্য রেখে দেওয়ার নির্দেশ দিল কেন্দ্রের তথ্য ও প্রযুক্তি মন্ত্রক (IT Ministry)। গত সপ্তাহে প্রকাশিত একটি রিপোর্ট থেকে এই তথ্য জানা গিয়েছে। সার্ট-ইন (CERT-In) বা কেন্দ্রের কম্পিউটার ইমার্জেন্সি রেসপন্স টিম ডেটা সেন্টার ও ক্রিপ্টো এক্সচেঞ্জগুলিকে ওই একই সময় অর্থাৎ ৫ বছরের জন্য ইউজারের ডেটা সংগ্রহ ও স্টোর করে রাখতে বলেছে। উদ্দেশ্য একটাই, দেশের সাইবার নিরাপত্তা সংক্রান্ত যাবতীয় কার্যক্রম এবং জরুরি ব্যবস্থা সমন্বয়ের জন্য এই পদক্ষেপ নেওয়া হচ্ছে বলে আইটি মন্ত্রকের তরফে জানানো হয়েছে। ইলেকট্রনিক্স ও তথ্যপ্রযুক্তি মন্ত্রণালয়ের দাবি পূরণে ব্যর্থ হলে, নতুন গভর্নিং আইন অনুযায়ী এক বছর পর্যন্ত কারাদণ্ড হতে পারে। এখন কোনও ইউজার যদি ভিপিএন কোম্পানির সাবস্ক্রিপশন বন্ধ করে দেয়, তাহলে তার রেকর্ডও মেইন্টেন করতে হবে সংশ্লিষ্ট সংস্থাটিকে।
আইটি মন্ত্রকের এহেন পদক্ষেপ ভারতের ইন্টারনেট ব্যবহারকারীদের কীভাবে প্রভাবিত করবে
তথ্য গোপনীয়তার জন্য ভারতের বহু মানুষ ভিপিএন পরিষেবা ব্যবহার করে থাকেন। ভিপিএন বা ভার্চুয়াল প্রক্সি নেটওয়ার্ক ব্যবহার করলে যে কোনও ইন্টারনেট ইউজার বিভিন্ন ওয়েবসাইট ট্র্যাকারের হাত থেকে মুক্ত হতে পারেন। কোনও ওয়েবসাইট যখন ইউজারের লোকেশন বা অন্যান্য আরও গোপনীয় তথ্যের অ্যাক্সেস নিতে চায়, তথন ভিপিএন ব্যবহার করলেই সেগুলি থেকে মুক্ত থাকা সম্ভব। তালিকায় যেমন বেশ কিছু পেইড ভিপিএন সার্ভিস রয়েছে, তেমনই আবার রয়েছে কিছু ফ্রি পরিষেবাও, যারা ইউজারদের নো-লগিং পলিসি অফার করে থাকে। এর ফলে ইউজাররা নিজেদের প্রাইভেসি সম্পর্কে নিশ্চিন্তে থাকতে পারেন, কারণ ভিপিএন সার্ভিসগুলি তাদের র্যাম-অনলি সার্ভার থেকে অপারেট করতে দেয়। এর ফলে কোনও ওয়েবসাইটই গ্রাহকের কোনও তথ্য স্টোর করে রাখতে পারে না।
এখন ভিপিএন কোম্পানিগুলি যদি কেন্দ্রের তথ্য ও প্রযুক্তি মন্ত্রকের এই নতুন নিয়ম বলবৎ করে, তাহলে সেই সব সংস্থাগুলিকে স্টোরেজ সার্ভারে সুইচ করতে বাধ্য করা হবে। এর ফলে ভিপিএন সংস্থাগুলি তাদের ইউজারদের লগইন তথ্য-সহ আরও একাধিক গুরুত্বপূর্ণ এবং গোপনীয় তথ্য পাঁচ বছরের জন্য স্টোর করে রাখতে দেবে। আর একবার স্টোরেজ সার্ভারে সুইচ করার অর্থ হল ভিপিএন কোম্পানিগুলির খরচ আরও বেড়ে যাওয়া। এখন সেই খরচ ভিপিএন কোম্পানিগুলি তাদের ইউজারদের উপরে চাপাবে কী না, সে বিষয়ে নির্দিষ্ট তথ্য এখনও পর্যন্ত জানা যায়নি।
আর এখানেই সবথেকে বড় চিন্তার বিষয়। এর ফলে একদিকে গ্রাহকের ভিপিএন সার্ভিস ব্যবহার করার খরচ যেমন বেড়ে যেতে পারে, তেমনই আবার তাঁর তথ্য নিরাপত্তাও বড়সড় প্রশ্নচিহ্নের মুখে দাঁড়াতে পারে। ডেটা যখনই লগড হবে, তখনই গ্রাহকের ব্রাউজিং এবং ডাউনলোড হিস্ট্রি স্বাভাবিক ভাবেই ট্র্যাক হওয়ার প্রভূত সম্ভাবনা থেকে যায়। আর এখান থেকেই মনে করা হচ্ছে, এত কিছুর পরে পেইড ভিপিএন সার্ভিসগুলি তাদের সাবস্ক্রিপশন প্ল্যানের খরচও বাড়াতে পারে বলেই মনে করা হচ্ছে।
কবে থেকে এই নিয়ম লাগু হতে পারে
একবার জারি হওয়ার অন্তত ৬০ দিন পরে এই নতুন নিয়ম লাগু হতে পারে। আর সেই মোতাবেক মনে করা হচ্ছে, ২০২২ সালের ২৭ জুলাই থেকেই চালু হয়ে যেতে পারে আইটি মন্ত্রকের এই ভিপিএন সংক্রান্ত নতুন নিয়ম।
সরকারের কাছে ভিপিএন কোম্পানিগুলি কোন তথ্য পাঠাবে
সার্ট-ইন-এর জন্য ভিপিএন কোম্পানিগুলিকে সোশ্যাল মিডিয়া অ্যাকাউন্টগুলির অননুমোদিত অ্যাক্সেস, আইটি সিস্টেম, সার্ভারগুলিতে আক্রমণ এবং আরও অনেক কিছু বিষয় নিয়ে মোট ২০টি ভালনারেবিলিটি রিপোর্ট করতে হবে। সেই ২০টি বিষয় সম্পর্কে এখনই জেনে নিন।
১) ক্রিটিকাল নেটওয়ার্ক বা সিস্টেমের টার্গেটেড স্ক্যানিং বা তদন্ত।
২) ক্রিটিকাল সিস্টেম বা তথ্যের কম্প্রোমাইজ় করা।
৩) আইটি সিস্টেম বা ডেটার অননুমোদিত অ্যাক্সেস।
৪) ওয়েবসাইটের বিকৃতি বা একটি ওয়েবসাইটে অনুপ্রবেশ এবং অননুমোদিত পরিবর্তন যেমন দূষিত কোড সন্নিবেশ করানো, বহিরাগত ওয়েবসাইটের লিঙ্ক ইত্যাদি।
৫) ম্যালিশিয়াস কোড অ্যাটাক যেমন ভাইরাস/ওয়র্ম/ট্রোজান/বোটস/স্পাইওয়্যার/র্যানসামওয়্যার/ক্রিপ্টোমাইনার ইত্যাদির ছড়িয়ে পড়া।
৬) সার্ভারে অ্যাটাক যেমন ডেটাবেস, মেইল এবং ডিএনএস অ্যান্ড নেটওয়ার্ক ডিভাইসগুলি যেমন রাউটার।
৭) পরিচয় চুরি, স্পুফিং এবং ফিশিং অ্যাটাক।
৮) ডিনায়াল অফ সার্ভিস এবং ডিস্ট্রিবিউটেড ডিনায়াল অফ সার্ভিস অ্যাটাক।
৯) ক্রিটিকাল ইনফ্রাস্ট্রাকচার, এসসিএডিএ এবং অপারেশনাল টেকনোলজি সিস্টেম এবং ওয়্যারলেস নেটওয়ার্কে অ্যাটাক।
১০) ই-গভার্ন্যান্স, ই-কমার্স ইত্যাদি অ্যাপ্লিকেশনে অ্যাটাক।
১১) ডেটা ব্রিচ।
১২) ডেটা লিক।
১৩) ইন্টারনেট অফ থিংস বা আইওটি ডিভাইস এবং অ্যাসোসিয়েটেড সিস্টেম, নেটওয়ার্ক, সফ্টওয়্যার, সার্ভারে অ্যাটাক।
১৪) ডিজিটাল পেমেন্ট সিস্টেমে প্রভাব ফেলে এমন অ্যাটাক বা ইনসিডেন্ট।
১৫) ম্যালিশিয়াস মোবাইল অ্যাপের মাধ্যমে অ্যাটাক।
১৬) ভুয়ো মোবাইল অ্যাপস।
১৭) সোশ্যাল মিডিয়া অ্যাকাউন্টগুলিতে অননুমোদিত অ্যাক্সেস।
১৮) ক্লাউড কম্পিউটিং সিস্টেম/সার্ভার/সফ্টওয়্যার/অ্যাপ্লিকেশনে অ্যাটাক বা ম্যালিশিয়াস অথবা সন্দেহজনক অ্যাক্টিভিটি।
১৯) বিগ ডেটা, ব্লক চেইন, ভার্চুয়াল অ্যাসেট, ভার্চুয়াল অ্যাসেট এক্সচেঞ্জ, কাস্টডিয়ান ওয়ালেট, রোবটিক্স, থ্রিডি এবং ফোরডি প্রিন্টিং, অ্যাডিটিভ ম্যানুফ্যাকচারিং ড্রোন ইত্যাদিতে অ্যাটাক বা ম্যালিশিয়াস/সন্দেহজনক অ্যাক্টিভিটি।
২০) আর্টিফিশিয়াল ইন্টেলিজেন্স এবং মেশিন লার্নিংয়ের সঙ্গে সম্পর্কযুক্ত সিস্টেম/সার্ভার/সফ্টওয়্যার অ্যাপ্লিকেশনে ম্যালিশিয়াস বা সন্দেহজনক অ্যাক্টিভিটি।
