অর্থনৈতিক রিপোর্টার ॥ হ্যাকিংয়ের মাধ্যমে বাংলাদেশের রিজার্ভের অর্থ চুরি করে ফিলিপিন্সে নেয়ার ঘটনায় ব্যাংকিং লেনদেনের বৈশ্বিক নেটওয়ার্ক সুইফটকেই দায়ী করেছেন কেন্দ্রীয় ব্যাংক গঠিত তদন্ত কমিটির প্রধান মোহাম্মদ ফরাসউদ্দিন। রিজার্ভ চুরি নিয়ে অর্থমন্ত্রীর কাছে তদন্ত প্রতিবেদন জমা দেয়ার ২৫ দিনের মাথায় রবিবার দুপুরে বাংলাদেশ ব্যাংক কার্যালয় থেকে বেরিয়ে আসার সময় সাংবাদিকদের প্রশ্নের জবাবে সাবেক গবর্নর ড. ফরাসউদ্দিন বলেন, বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ঘটনায় মূলত সুইফট দায়ী। কারণ তাদের সিস্টেমের সঙ্গে আরটিজিএসের সংযোগ দেয়াই কাল হয়েছে। সুইফট নিজেই তাদের সিস্টেম ২৪ ঘণ্টা চালু রাখার ব্যবস্থা করেছিল। হ্যাকাররা রিজার্ভ চুরির ক্ষেত্রে সুইফটের ক্লায়েন্ট সফটওয়্যার ‘এ্যালায়েন্স একসেস’ থেকে ভুয়া মেসেজ পাঠানোর পর তার ট্র্যাক মুছে ফেলতে যে ম্যালওয়্যার ব্যবহার করেছিল, তা পাকিস্তান ও উত্তর কোরিয়ার মধ্যে যে কোন একটি দেশে তৈরি হয়েছে বলেও দাবি করেন ড. ফরাসউদ্দিন। ‘পরিকল্পিতভাবেই’ এ ম্যালওয়্যার বসানো হয়েছে। চূড়ান্ত তদন্ত প্রতিবেদন তৈরির কাজ চলার মধ্যেই সাংবাদিকদের তিনি বলেন, রিজার্ভ জালিয়াতির ঘটনায় ফেডারেল রিজার্ভ ব্যাংকও দায় এড়াতে পারে না। এছাড়া কেন্দ্রীয় ব্যাংকের সংশ্লিষ্ট কর্মকর্তাদেরও গাফিলতি ছিল। গত ফেব্রুয়ারিতে সুইফট মেসেজিং সিস্টেমের মাধ্যমে ভুয়া বার্তা পাঠিয়ে ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্কে রক্ষিত বাংলাদেশের রিজার্ভের আট কোটি ১০ লাখ ডলার ফিলিপিন্সে সরিয়ে নেয়া হয়, যাকে বিশ্বের অন্যতম বড় সাইবার চুরির ঘটনা বলা হচ্ছে। এ ঘটনায় বাংলাদেশ ব্যাংকের দায়ের করা মামলার তদন্তে থাকা বাংলাদেশ পুলিশের অপরাধ তদন্ত বিভাগও বলেছে, সুইফটের টেকনিশিয়ানদের ‘অবহেলার কারণেই’ বাংলাদেশের কেন্দ্রীয় ব্যাংকের সুইফট সার্ভার হ্যাকারদের সামনে অনেক বেশি উন্মুক্ত হয়ে পড়ে। ওই অভিযোগ প্রত্যাখ্যান করে কয়েক দিন আগে সুইফটের এক বিবৃতিতে বলা হয়- বাংলাদেশ ব্যাংকসহ কোন সদস্যের সাইবার নিরাপত্তা নিশ্চিত করা তাদের দায়িত্ব নয়। পরে বিশ্বজুড়ে সদস্য ব্যাংকগুলোতে চিঠি দিয়েও সুইফট একই কথা জানায়। এর আগে গত সপ্তাহে ব্লুমবার্গ নিউজ জানায়, বাংলাদেশ ব্যাংকে হামলায় জড়িত তিনটি হ্যাকার গ্রুপের একটি পাকিস্তান এবং একটি উত্তর কোরিয়ার।
এক সপ্তাহ আগে রয়টার্সের আরেক প্রতিবেদনে বলা হয়, রিজার্ভ চুরির ক্ষেত্রে সুইফটের ক্লায়েন্ট সফটওয়্যার ‘এ্যালায়েন্স একসেস’ থেকে ভুয়া মেসেজ পাঠানোর পর তার ট্র্যাক মুছে ফেলতে যে ম্যালওয়্যার চোরেরা ব্যবহার করেছিল, তা খুঁজে পাওয়ার দাবি করেছেন বিএই সিস্টেমস নামের একটি ব্রিটিশ সাইবার নিরাপত্তা প্রতিষ্ঠান। বিএই’র গবেষকরা বলছেন, ওই ম্যালওয়্যারে এমন কিছু বৈশিষ্ট্য যোগ করা হয়েছে, যার মাধ্যমে নির্দিষ্ট দেশের সুইফট এ্যালায়েন্স একসেস সফটওয়্যারে যোগাযোগ করা যায়। আবার বাংলাদেশ ব্যাংকের সুইফট সার্ভার থেকে অর্থ স্থানান্তরের ভুয়া আদেশ পাঠানোর পর সেই তথ্য মুছে ফেলা যায়। রয়টার্স ও ব্লুমবার্গের প্রতিবেদনে যেসব তথ্য দেয়া হয়েছে, তা মিলে গেছে কেন্দ্রীয় ব্যাংকের তদন্ত কমিটির প্রধান ফরাসউদ্দিনের বক্তব্যের সঙ্গেও। সাংবাদিকদের প্রশ্নের জবাবে তিনি বলেন, এ ম্যালওয়্যার তৈরি করা হয়েছিল পাকিস্তান বা উত্তর কোরিয়ায়।
সুইফটের দায় ॥ ফরাসউদ্দিন বলেন, রিজার্ভ জালিয়াতির পর বাংলাদেশ ব্যাংককে একটি পত্র দেয় সুইফট। পত্র দিয়ে তারা বলে, সুইফটকে আরটিজিএস সিস্টেমের সঙ্গে তারা সংযুক্ত করতে চাচ্ছে। ওই চিঠিটার মধ্যে উচ্ছ্বাস এবং তোষামোদ ছাড়া কোন যুক্তি ছিল না। ওই চিঠি পাওয়ার পর বাংলাদেশ ব্যাংকের নির্বাহী কমিটি দায়িত্বজ্ঞান ও কা-জ্ঞানহীনভাবে এটাকে অনুমোদন দেয়। তিনি বলেন, সুইফটের মাধ্যমে আন্তর্জাতিক লেনদেন বাংলাদেশ ব্যাংক করে থাকে এবং আরটিজিএস স্থানীয়ভাবে লেনদেন করে থাকে। কাজেই স্থানীয় লেনদেনের সঙ্গে আন্তর্জাতিক লেনদেনের সংযোগ করার কোন ধরনের যৌক্তিকতা নেই। কানেকশনটা করার সময় দেখা গেল যে সুইফটে যে এ্যান্টিভাইরাস ছিল সেটার কারণে এ কানেকশনটা দেয়া যাচ্ছে না। তদন্ত কমিটি প্রধান বলেন, আমি আগেই বলছি যে দুই-তিনটা বড় করণীয় ছিল, যা তারা করেনি। এর মধ্যে একটি হলো হার্ডওয়্যার সিকিউরিটি মডিউল (এইচএসএম)। এই এইচএসএম সিস্টেম প্রোভাইড করার পর এ কানেকশনটা দেয়ার কথা ছিল, তারা এটা প্রোভাইড করেনি। এখন পর্যন্ত এটা করা হয়নি। প্রথম যখন কানেকশনটা দেয়া হয়, তখন এ্যান্টিভাইরাসটা ডিজেবল করার চেষ্টা করা হয়েছিল, কিন্তু তা করতে পারেনি তাদের ইঞ্জিনিয়ার। প্রথম রেড্ডি ও পরে আথ্রেস। তারপর আথ্রেস যখন কানেকশনটা দেন তখন কথা ছিল একটা ইন্টেরিম কানেকশন দেয়া হবে। কথা ছিল রেগুলার কানেকশনটা হয়ে গেলে ইন্টেরিম কানেকশনটা বাদ দেয়া হবে এবং তখন এ্যান্টিভাইরাসটা পুরোপুরি মূলোৎপাটন করে ফেলা হয়। কারণ এটা না হলে সিস্টেমটা কানেক্ট করা যাচ্ছে না। আপাতদৃষ্টিতে ওখানে বাংলাদেশ ব্যাংকের যারা কাজ করছেন তাদের এটা জাানানো হয়নি। কারণ আথ্রেস সাহেব তখন বাংলাদেশ ব্যাংককে এটা বুঝিয়ে দিয়ে যাননি। এরপর ফাইনাল কানেকশনটা হয়ে যাওয়ার পর ইন্টেরিম কানেকশন বাদ দেয়ার যে কথা ছিল তা করা হয়নি। এ সিস্টেমের একটা ব্যাকআপ থাকার দরকার ছিল, যা তারা করেনি। এরপর নিলয় ভানন নামের একজন লোককে পাঠানো হয়, বলা হয় যে তিনি সুইফটের প্রতিনিধি; আসলে তিনি কোন প্রতিনিধি না। মানে টোটাল আমি বলতে চাচ্ছি কানেকশনটা দেয়ার পর আজ পর্যন্ত এ বিষয়টা ক্লিয়ার করে বাংলাদেশ ব্যাংককে বুঝিয়ে দেয়া হয়নি, কিভাবে অপারেট করতে হবে, কোথায় কী সমস্যা হতে পারে- কিছুই বলা হয়নি। যেটা সবচেয়ে মারাত্মক বিষয় এখানে হয়েছে সেটা হলো- সার্ভারকে ২৪ ঘণ্টা খোলা রাখার ইনস্ট্রাকশন তারা দিয়ে যায়। প্রথমে মৌখিকভাবে পরে টেলিফোনে কনফার্ম করেছে যে এটা চব্বিশ ঘণ্টা খোলা রাখতে হবে, যেটার রেকর্ড আছে। এসব কারণে আমরা মনে করি সুইফট যদিও সারা পৃথিবীতে একটি বিখ্যাত প্রতিষ্ঠান, তার প্রতি আমাদের অনেক শ্রদ্ধা আছে, কিন্তু তাদের যে নিñিদ্র নিরাপত্তার ব্যাপার ছিল সেটা এখন আর নেই। সম্প্রতি আপনারা দেখবেন এশিয়ার আরেকটি বড় দেশে একটি ব্যাংকে ঘটনা ঘটেছে, সেটা ভিয়েতনামে। কাজেই সুইফট যে বলছে সমস্ত বাংলাদেশের বা ব্যবহারকারীর এটা ঠিক নয়। এর মানে এই নয়- আমরা সুইফটকে গালমন্দ করছি। আমরা বলছি যে সুইফটকে আরও বেশি সতর্ক হতে হবে। তার দায়িত্ব আছে, দায় স্বীকার করতে হবে। অস্বীকার করে এটা ১ লাখ বার বললেও হবে না। তার দায় আছে। এ দায় কাটিয়ে ওঠার জন্য যা যা করা দরকার তার সেটা করা দরকার। এটা হচ্ছে সুইফটের দায়।
ফেডারেল রিজার্ভ ব্যাংকের দায় ॥ ফেডেরও কিছু দায় রয়েছে উল্লেখ করে ফরাসউদ্দিন বলেন, ৪ ফেব্রুয়ারি রাত্রিবেলা সন্ধ্যা সোয়া সাতটা পর্যন্ত বাংলাদেশ ব্যাংকের ব্যাক অফিস থেকে আঠারোটা মেসেজ যায়। আঠারোটা মেসেজে প্রায় ৫০ কোটি ডলারের পেমেন্ট ইন্সট্রাকশন ছিল। তার মধ্যে চারটা ইন্সট্রাকশন ছিল বাসেল ব্যাংককে ২০ কোটি ডলার আমাদের বন্ড কেনার জন্য। ওইগুলোর মধ্যে তারা দশটা ইমপ্লিমেন্ট করেছে। বাকি ৮টা পরে করবে বলে রেখে দেয়। ওই দিন রাত্রিবেলা কে বা কারা এ সিস্টেমটাকে হস্তগত করে আরও ৩৫ প্লাস ৩৫ মোট ৭০ মেসেজ পাঠায় নিউইয়র্কে। প্রায় সাড়ে নয় শ’ কোটি ডলার পেমেন্ট স্থানান্তরের জন্য বাংলাদেশের নাম করে নির্দেশগুলো পাঠানো হয়। কিন্তু এটা বাংলাদেশ ব্যাংকের কর্মকর্তারা পাঠিয়েছেন- এ ধরনের কোন প্রমাণাদি এখন পর্যন্ত আমাদের হাতে আসেনি। তিনি বলেন, ওই ৭০ অর্ডারের মধ্যে ফেডারেল রিজার্ভ ব্যাংক ৩৫ অর্ডারকে বাতিল করে দেয়। কারণ সেখানে কোন ইন্টারমিডিয়েটরি ব্যাংক ছিল না। বাকি ৩৫টার মধ্যে ৫টা ইমপ্লিমেন্ট করল এবং তাদের মনে সন্দেহ আসলে বাংলাদেশ ব্যাংকের কাছে তারা ১২টা ইন্সট্রাকশনের ব্যাখ্যা চাইল। কিন্তু তাদের জানা উচিত ছিল, বাংলাদেশে অলরেডি শুক্রবার হয়ে গেছে। ব্যাখ্যা তারা দিতে পারবে না। ওই ৩৫টা থেকে তারা ৫টা পেমেন্ট করে দিল। আমাদের অবজারভেশন হলো, এই ৫টার মধ্যে ৪টিই হলো ব্যক্তির নামে। ওইরকম নামে বাংলাদেশ ব্যাংকের কোন পেমেন্ট নির্দেশ যায় না। এখানে আমাদের প্রশ্ন হলো, তারা ব্যাখ্যা চাওয়ার পর বাংলাদেশ ব্যাংক ব্যাখ্যা না দিলেও তারা সেটা পেমেন্ট করল কেন? তখন কেন পেমেন্টটা স্টপ করল না? এখানে আমাদের সন্দেহ হওয়া স্বাভাবিক, কারণ চারটা ব্যক্তির এ্যাকাউন্টে টাকা গেল। এখন যেটা বড় প্রশ্ন সেটা হলো- ৪ ফেব্রুয়ারি রাত থেকে ১৬ মার্চ পযন্ত সুইফট কোন মেসেজ রিকভার করে বাংলাদেশ ব্যাংকে দিতে পারেনি। সুইফটের সিস্টেমটা কম্প্রোমাইজ হয়েছে। যদি কম্প্রোমাইজ না হতো ৬-৭ তারিখ বাংলাদেশ ব্যাংকে কী মেসেজ পাঠিয়েছে, আর তাদের ওখানে কী ম্যাসেজ গেছে- তা রিপ্রডিউস করে তারা পাঠাতে পারত। দেড় মাসেও তারা কোন ইনফর্মেশন রিকভার করে রিপ্রডিউস করতে পারেনি। এটাই সবচেয়ে বড় প্রমাণ, সুইফট সিস্টেম কম্প্রোমাইজ হয়েছে।
বাংলাদেশ ব্যাংকের দায় ॥ ফরাসউদ্দিন বলেন, এখন পর্যন্ত যা তথ্যপ্রমাণ যোগাড় করতে পেরেছি তাতে আমাদের কাছে মনে হয়েছে- আরটিজিএসের সঙ্গে কানেকশনটা বাংলাদেশ ব্যাংক খুবই অবিবেচকের মতো করেছে। এক্ষেত্রে কিছুটা দায়িত্বজ্ঞানহীনতা রয়েছে, সেটা না করলেও চলত। তবে যারা ব্যাক অফিসে কাজ করত, যারা পেমেন্ট ইন্সট্রাকশন দেয়, তারা এবং সংশ্লিষ্টরা এই প্রসেসের সঙ্গে কতটুকু সংযুক্ত ছিল এটা আমরা চেষ্টা করেছি জানার। আমাদের কাছে মনে হয়েছে, ৪ ফেব্রুয়রি রাতের যে ঘটনা এটার জন্য একটা স্পেসিফিক ম্যালওয়্যার তৈরি করা হয় একটি বিশেষ দেশে। এই ম্যালওয়্যারটি বাংলাদেশ ব্যাংকের রিজার্ভ চুরির জন্যই বিশেষভাবে তৈরি করা হয়েছিল বলে আমাদের কাছে যথেষ্ট তথ্যপ্রমাণ রয়েছে। ম্যালওয়্যারটি বসিয়ে দিয়ে তারা পেমেন্ট ইন্সট্রাকশন পাঠায়। এটা আরটিজিএসের সঙ্গে যখন সুইফট সিস্টেমটা এনলার্জ করা হলো তখন থ্রি-স্টোক নামের একটি প্রক্রিয়ার মাধ্যমে এ পেমেন্টে সিস্টেমটা হস্তগত করেছিল। তারপরই সাইবার ক্রিমিনালরা এ ইন্সট্রাকশনগুলো পাঠায়। ফেডারেল রিজার্ভের বোঝা উচিত ছিল আমি ম্যাসেজ পাঠাচ্ছি জবাব পাচ্ছি না, এতগুলো পেমেন্ট ইন্সট্রাকশন পাঠানো হলো, তারা জবাব দিচ্ছে না, এগুলো প্রিন্ট করতে পারছে কি-না কে জানে। বাংলাদেশ ব্যাংকের কর্মকর্তারা এ ব্যাপারে অসাবধান, অসতর্ক, অদক্ষ- এ ব্যাপারে কোন সন্দেহ নেই। তবে বাংলাদেশ ব্যাংকের কোন কর্মকর্তা জ্ঞানত এই চুরির বা কাজের সঙ্গে জড়িত- এমন তথ্য প্রমাণ আমরা পাইনি।
অর্থ চুরি ও উদ্ধার ॥ তদন্ত কমিটির প্রধান ফরাসউদ্দিন বলেন, আমরা লক্ষ্য করেছি যে, আন্তর্জাতিকভাবে বাংলাদেশ ও বাংলাদেশ ব্যাংককে বদনামি করার অপচেষ্টা হচ্ছে। আমরা এ সম্পর্কে তথ্যপ্রমাণ যোগাড় করেছি, আমাদের কাছে যুক্তি আছে। ৪ ফেব্রুয়ারির যে দুর্ঘটনায় কত টাকা খোয়া গেছে, তা নিয়ে বিতর্ক আছে। তিনি বলেন, সাড়ে ৯৫০ কোটি ডলার ডাকাতির চেষ্টা হয়েছিল। তার থেকে ১০ কোটি ১০ লাখ ডলারের এ্যাডভাইস চলে গিয়েছিল। ডাকাতি প্রচেষ্টায় চুরি হয়েছে যে টাকাটা ৮ কোটি ১০ লাখ ১ হাজার ৬৩০ ডলার। ফরাসউদ্দিনের নেতৃত্বাধীন এই কমিটি গত ২০ এপ্রিল সরকারের কাছে তাদের অন্তর্বর্তীকালীন প্রতিবেদন দিলেও সেখানে কী আছে, তা পুরো প্রতিবেদন প্রকাশের আগে বলতে রাজি হননি অর্থমন্ত্রী আবুল মাল আবদুল মুহিত। ফরাসউদ্দিন সাংবাদিকদের বলেন, আমরা আমাদের অন্তর্বর্তীকালীন রিপোর্টে টাকা আদায়ের জন্য ফিলিপিন্সের আরসিবিসি ব্যাংকের ওপর চাপপ্রয়োগ করার পরামর্শ দিয়েছি। পুরো টাকা আদায় করতে হলে কূটনৈতিক তৎপরতার মাধ্যমে করতে হবে। বাংলাদেশের চুরি যাওয়া অর্থের প্রায় অর্ধেক ফিলিপিন্সের রিজাল কমার্শিয়াল ব্যাংকিং কর্পোরেশনে (আরসিবিসি) একটি শাখার কয়েকটি এ্যাকাউন্ট থেকে ক্যাসিনোর জুয়ার টেবিলে হাতবদল হয়েছে বলে ঘটনা তদন্তে দেশটির সিনেটের শুনানিতে উঠে এসেছে। ক্যাসিনো ব্যবসায়ী কিম অং ৮ কোটি ১০ লাখ ডলারের একটা অংশ হাতে পাওয়ার কথা স্বীকার করেছেন। এর মধ্যে তিন দফায় মোট ৯৮ লাখ ডলার তিনি ফিলিপিন্সের মুদ্রা পাচার প্রতিরোধ কাউন্সিলের (এএমএলসি) কাছে ফেরত দিয়েছেন বলে দেশটির সংবাদমাধ্যম জানিয়েছে। তার আরও আড়াই শ’ মিলিয়ন পেসো ফেরত দেয়ার কথা রয়েছে। ফিলিপিন্সের ক্ষমতার পালাবদলের আগে ৩০ জুনের মধ্যে ‘উদ্ধারযোগ্য’ সব টাকা ফেরত দেয়া যাবে বলে সিনেট কমিটির আশা। বাংলাদেশকে অর্থ ফেরত দেয়ার প্রক্রিয়ার অংশ হিসেবে এর মধ্যেই দেশটির আদালতে এএমএলসির করা মামলার বিচার কাজ চলছে।
