সোশ্যাল ইঞ্জিনিয়ারিং থেকে যেভাবে রক্ষা পাবেন
মো. শাহাদাত হোসেন
মো. শাহাদাত হোসেন : সোশ্যাল ইঞ্জিনিয়ারিং হল, এক ধরনের কৌশল যার মাধ্যমে ব্যক্তিকে প্ররোচিত করে তার বা তার চাকুরিদাতা প্রতিষ্ঠানের স্পর্শকাতর তথ্য সংগ্রহ করে অর্থনৈতিক, সামাজিক বা ব্যক্তিগত ক্ষতি সাধন করা। সাধারণত যারা নিজের গুরুত্বপূর্ণ তথ্যের নিরাপত্তার ব্যাপারে সচেতন নয় তারা সোশ্যাল ইঞ্জিনিয়ারিং এর শিকার হন।
সোশ্যাল ইঞ্জিনিয়ারিং এর লক্ষ্য মূলত গোপনীয় তথ্য সংগ্রহ করা বা প্রতিষ্ঠানে কোনো ম্যালওয়ার ইনস্টল করা যাতে প্রতিষ্ঠান কোনো বড় ধরনের ক্ষতির সম্মুখিন হয়। সোশ্যাল ইঞ্জিনিয়ারিং এর মাধ্যমে সংগৃহীত তথ্যগুলো নিম্নরূপ: যার অধিকাংশ যুক্তরাষ্টের প্রাইভেসি এবং ইনফরমেশন সিকিউরিটি আইনে পারসোনাল আইডেন্টিপাইঅ্যাবল ইনফরমেশন, সেনসেটিভ পারসোনাল ইনফরমেশন হিসেবে উল্লেখ করা হয়েছে। ব্যক্তির আর্থিক তথ্য, চিকিৎসা তথ্য, ন্যাশনাল আইডি, ড্রাইভিং লাইসেন্স, বায়োমেট্রিক তথ্য, সোশ্যাল নেটওয়ার্ক অ্যাকাউন্ট লগইন তথ্য, ক্রেডিট কার্ড তথ্য, অনলাইন ব্যাংকিং লগইন তথ্য, অনলাইন শপিং সাইটের অ্যাকসেস তথ্য, ইন্টারনেট ব্রাউজিং হিস্টরি, ব্যক্তিগত বা প্রতিষ্ঠানের কম্পিউটার ও নেটওয়ার্ক সিস্টেম অ্যাকসেস তথ্য ইত্যাদি।
একটি প্রতিষ্ঠানে সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাক এর ফলে বিভিন্ন ধরনের ক্ষতি সাধিত হতে পারে, যেমন: (ক) অর্থনৈতিক ক্ষতি (খ) প্রাইভেসি ক্ষতি (গ) প্রতিষ্ঠানের জনপ্রিয়তা হ্রাস (ঘ) প্রতিষ্ঠান সাময়িক বা স্থায়ীভাবে বন্ধ (ঙ) আইনি সমস্যা (চ) সন্ত্রাসী কার্যক্রমের ফাদে পড়তে পারে।
সাধারণত পর্যাপ্ত সাইবার নিরাপত্তা সচেতনতামূলক শিক্ষা ও প্র্রশিক্ষণের অভাব, অপর্যাপ্ত নিরাপত্তা পলিসি, তথ্যে অনিয়ন্ত্রিত প্রবাহ ইত্যাদি কারণে প্রতিষ্ঠান সোশ্যাল ইঞ্জিনিয়ারিং এর সম্মুখিন হয়। সোশ্যাল ইঞ্জিনিয়ারিং এর সঙ্গে হিউম্যান ফ্যাক্টর জড়িত তাই এটা শণাক্ত করা কঠিন। সোশ্যাল ইঞ্জিনিয়ারিং হুমকি থেকে সম্পূর্ণ নিরাপত্তার জন্য কোনো সুনির্দিষ্ট সফটওয়্যার বা হার্ডওয়্যার নেই।
সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাকের ক্ষেত্রে কতগুলো নির্দিষ্ট ধাপ থাকে, যেমন- টারগেট ব্যক্তি বা প্রতিষ্ঠান সম্পর্কে রিসার্স করা (সোশ্যাল নেটওয়ার্ক সাইট, ওয়েব সাইট, ট্রাসবিন, প্রতিষ্ঠানের কর্মী, প্রতিষ্ঠানের সাল্পাইয়ার, ঠিকাদার ইত্যাদির মাধ্যমে), তারপর ভিকটিম নির্বাচন করা (এক্ষেত্রে প্রতিষ্ঠানের হতাশাগ্রস্ত কর্মীকে নির্বাচন করা), ভিকটিমের সঙ্গে সম্পর্ক তৈরি করা এবং সর্বশেষ ভিকটিমকে কনভিন্স করার মাধ্যমে প্রয়োজনীয় তথ্য সংগ্রহ করা হয়।
সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাক এর পরিসংখ্যান: ২০১৩ সালের সোশ্যাল-ইঞ্জিনিয়ার্স ডট অর্গ-এর সার্ভে থেকে দেখা যায় সাধারণত প্রতিদিন ২৯৪ বিলিয়ন ইমেইল আদান প্রদান হয় যার মধ্যে ৯০% স্পাম বা ভাইরাস এবং এর মধ্যে ৮৮% ইমেইলই ফিশিং সাইটের। ইএমসি ২০১৩ সালের রিপোর্ট থেকে দেখা যায় যে, ৪৫০০০ ফিশিং অ্যাটাক এর ফলে ৫.৬৬ বিলিয়ন ইউএস ডলার ক্ষতি হয়েছে।
২০১৩ সালের ভিশিং এর ফলে প্রথম ছয়মাসে ২.৩ মিলিয়ন ব্যবহারকারী ফোন প্রতারণার শিকার হয়েছিল। ফলে প্রতিজনে গড়ে ৪২,৫৪৬ ইউএস ডলার ক্ষতি হয়। প্রতি ১০০ জন মোবাইল ব্যবহারকারীর মধ্যে ৬০% ব্যবহারকারী মোবাইল স্পাম বা ফিশিং লিংকে ক্লিক করে, ১৪% ব্যবহারকারী ভিশিং এসএমএস এর সাড়া দেয় এবং ২৬% ব্যবহারকারী ভিশিং কলের সাড়া করে।
ইমপারসনেট (ভালো বা অথরাইজড ব্যক্তির ছদ্দবেশ ধারণ করে তথ্য সংগ্রহ করা) এর ফলে ২০১৩ সালে ইউএসএ-তে মেডিকেল সেবা প্রদানকারী প্রতিষ্ঠানের ওয়েবসাইট ইমপরসনেট এর মাধ্যমে ১.৮ মিলিয়ন ব্যক্তির মেডিকাল তথ্য চুরি হয়। যার ৮৮%ই ব্যক্তিগত তথ্য, ফলে প্রতিজনের গড় আর্থিক ক্ষতি হয় ৪১৮৭ ইউএস ডলার।
আমরা যেহেতু ডিজিটাল জাতি হিসাবে আত্মপ্রকাশ করেছি, কয়েক বছর পর আমাদের অবস্থা আরো ভয়াবহ হবে কারণ আমাদের প্রায় ৮৫% ইন্টারনেট ব্যবহারকারীই অনলাইন তথ্যের ব্যাপারে সচেতন না।
সাধারণত সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাককে দুই ভাগে ভাগ করা হয়:
ক) টেকনিক্যাল সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাক : এ ধরনের অ্যাটাক কম্পিউটার বা স্মার্টফোনের সাহায্যে করা হয়। এই ধরনের অ্যাটাকগুলো হল-
ফিশিং
সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাকের মধ্যে সবচেয়ে কমন হল ফিশিং। ফিশিং ই-মেইলগুলো দেখতে মনে হবে কোনো বৈধ ব্যবসা প্রতিষ্ঠান, ব্যাংক, ব্যক্তি, ক্রেডিট কার্ড প্রতিষ্ঠান, অনলাইন শপিং সাইট বা সরকারি প্রতিষ্ঠান থেকে আসছে। ফিশিং ইমেইলগুলো অনেক প্রফেশনাল লুকিং হয়। এক্ষেত্রে আসল সাইটগুলোকে কপি করে উপস্থাপন করা হয় ফলে ভিকটিম সহজে ফাঁদে পড়ে যায়। কিন্তু একটু খেয়াল করলে আপনি ওদের কৌশল বুঝতে পারবেন। কারণ লিংকগুলোর মধ্যে শুক্ষ্ম বানান ও ব্যাকরণগত ভুল থাকে যেমন- আপনার ব্যাংক বা ক্রেডিট কার্ড কোম্পানি থেকে একটা ইমেইল আসলো যে আপনার হিসাবে গত বছরের কিছু ট্যাক্স রিফান্ড করা হয়েছে অথবা আপনার হিসাবের তথ্য হালনাগাদ করতে বলা হচ্ছে অথবা ব্যাংকের ডাটাবেজ করাপ্ট হয়েছে এবং রিকভার করা হয়েছে বা আপনার অ্যাকাউন্টে নিরাপত্তা হালনাগাদ করতে বলা হচ্ছে অথবা আপনার ক্রেডিট কার্ড এর মাধ্যমে সন্দেহজনক কোনো লেনদেন হয়েছে ইত্যাদি এবং সংশ্লিষ্ট প্রতিষ্ঠানের ওয়েব সাইটের লিংক দিয়ে দিবে এবং ঐ লিংকে গিয়ে সমস্যার সমাধান বা চেক করতে বলবে। আপনি ঐ লিংকে ক্লিক করলেন এবং দেখলেন যে ব্যাংক বা ক্রেডিট কার্ড প্রতিষ্ঠানের ওয়েবসাইট এর মতো হুবাহু ওয়েবসাইট কিন্তু এগুলো হ্যাকারদের সাজানো ভুয়া ফিশিং ওয়েবসাইট। ধরুন আপনার ব্যাংকের ওয়েবসাইট হল https://www.amarbank.com কিন্তু ফিশিং সাইট এর ক্ষেত্রে লিংকটা হবে http://www.amerbank.com এবং সাইটে গিয়ে দেখবেন আপনার ব্যাংকের সাইটের মতো দেখাচ্ছে আসলে এটা একটা ফিশিং সাইট এবং ঐসব লিংকে গিয়ে অ্যাকাউন্ট লগ ইন করলে ওরা আপনার অ্যাকাউন্ট লগ ইন তথ্য যেমন ইউজার আইডি ও পাসওয়ার্ড নিয়ে নিবে। এক্ষেত্রে আপনার উচিত হবে লিংকে না গিয়ে সরাসরি ব্যাংকের ওয়েবসাইট অ্যাড্রেস টাইপ করে ঢোকা অথবা ব্যাংকের সংশ্লিষ্ট ডিপার্টমেন্টের সঙ্গে কথা বলা।
ওপরের সবগুলো ঘটনাই যুক্তিসঙ্গত আর সোশ্যাল ইঞ্জিনিয়ারিং এর ক্ষেত্রে এই ধরনের কৌশলগুলো অবলম্বন করা হয়। ফিশিং দুই ধরনের সাধারণত ফিশিং ও স্পেয়ার ফিশিং।
ভিশিং
ভিশিং হল মোবাইল কল এর মাধ্যমে ফিশিং করা আর শিশিং হল মোবাইল এসএমএস এর মাধ্যমে ফিশিং করা। আমাদের দেশে ভিশিং ও শিশিং এর মাধ্যমে সাধারণ মানুষ প্রচুর প্রতারণার শিকার হচ্ছে। অধিকাংশ ফিশিং এবং শিশিং এর ক্ষেত্রে অ্যাটাকার ব্যক্তি বা প্রতিষ্ঠানের ব্যাপারে আগে থেকে কিছু তথ্য সংগ্রহ করে রাখে যেমন ভিকটিমের নাম, ঠিকানা, বাবা মার নাম, ফোন নম্বর, ব্যাংক তথ্য ইতাদি। সাধারণত এই সব বিশ্বাসযোগ্য তথ্য যা জানালে ভিকটিম এর কাছে এটি সঠিক কল বা এসএমএস মনে হবে না। উদাহরণস্বরূপ (ক) আপনাকে কল করে বলল যে- আমি কখগ মোবাইল কোম্পানি থেকে বলছি, আমাদের কোম্পানির প্রতিষ্ঠা বার্ষিকী উপলক্ষে গ্রাহকদের মধ্যে থেকে লটারি ড্র হয়েছে, আপনি দশ জন ভাগ্যবানের মধ্যে একজন আপনি দশ লাখ টাকা বা গাড়ি/ফ্ল্যাট পেয়েছেন, লটারির প্রসেসসিং ফি হিসেবে আগামী এক ঘণ্টার মধ্যে দশ হাজার টাকা আমাদের মোবাইল অ্যাকাউন্ট নম্ব^রে পাঠান। (খ) স্যার, আমি কখগ ব্যাংকের এটিএম/ক্রেডিট কার্ড ডিপার্টমেন্ট থেকে বলছি, গতরাতে আমাদের ব্যাংকের সাভারে টেকনিক্যল সমস্যা হয়েছে এবং আমরা সফলভাবে সমস্যার সমাধান করেছি। আপনার হিসাবের সব তথ্য ঠিক আছে কিনা আমরা অনলাইনে চেক করে দেখব, দয়া করে আপনার লগ ইন তথ্য দিয়ে আমাদের সাহায্য করুন।
ফোনের মাধ্যমে প্রতারণার এমন অনেক উদাহরণ আছে। কিছুদিন আগেই বিটিআরসি ভিশিং ও শিশিং (ফোনের মাধ্যমে প্রতারণা) এর বিষয়ে জনসচেতনতামুলক বিজ্ঞপ্তি প্রকাশ করেছিল।
স্প্যাম
সাধারণত পরিচিত বা আপরিচিত ইমেইল থেকে কোনো পণ্যের বিজ্ঞপ্তি, বন্ধুত্ব করার প্রস্তাব, গিফট, আপনার ব্যাংকে মিলিয়ন ডলার পাঠানোর প্রস্তাব, লটারি, ভাইরাস অ্যালার্ট, ফ্রি মুভি ও গান, সেলিব্রিটি নিউজ, সেলিব্রিটি এমএমএস, সেলিব্রিটি ফটো, ফ্রি সফটওয়্যার, পর্নো ভিডিও ইত্যাদি ইমেইলকে আমরা স্প্যাম হিসেবে ধরি। এইসব ইমেইল এর মাধ্যমে বিভিন্ন ধরনের ভাইরাস, র্যাম সামওয়ার (এক ধরনের প্রোগ্রাম যা কম্পিউটার বা স্মার্টফোনে ইনস্টল এর মাধ্যমে আপনার অপারেটিং সিস্টেম, ইমেইল, হার্ডডিস্ক এর ডাটা এনক্রিপ্ট করে ফেলে এবং ডিক্রিপ্ট করার কি এর জন্য আপনার কাছে ডলার বা বিট কয়েন দাবী করে এবং দাবীকৃত অর্থ না পেলে তারা আপনাকে ডিক্রিপ্টশন কি দিবে না, ফলে ঐ ডাটা আপনি আর উদ্ধার করতে পারবেন না), কি লগার (এক ধরনের প্রোগ্রাম যা আপনার কম্পিউটারে ইনস্টল এর মাধ্যমে আপনার কিবোর্ড এর সব টাইপিং হিস্ট্রি রেকর্ড করে এবং হ্যাকারের কাছে সরবারহ করে), ম্যালওয়ার ইত্যাদি ইনস্টল হয়ে যায়।
পপ-আপ উইন্ডো
অনলাইনে থাকা অবস্থায় হঠাৎ করে কোনো সাইট বা অ্যাপ থেকে সংযোগ বিচ্ছিন্ন হয়ে গেলেন এবং সঙ্গে সঙ্গে একটা মেসেজসহ এসব পপআপ উইন্ডো আসে এবং আপনাকে ইউজার আইডি এবং পাসওয়ার্ড দিয়ে লগ ইন বা সাইন ইন করতে বলে বা কোনো প্লাগ ইন/অ্যাপ ইনস্টল করতে বলে। এইসব পপআপ উইন্ডোগুলোতে কখনও সাড়া দিবেন না।
আইডেনটিটি চুরি
এক্ষেত্রে সোশ্যাল ইঞ্জিনিয়াররা আপনার সোশ্যাল নেটওয়ার্ক সাইট যেমন ফেসবুক, লিংকইনড অথবা এনআইডি থেকে আপনার ছবি ও অন্যান্য তথ্য নিয়ে আপনার নামে আরেকটা অ্যাকাউন্ট খোলে (এটাকে প্যারালাল লিভিং বলে) এবং এর মাধ্যমে সমাজে বিভিন্ন অপরাধ করে বেড়ায় (এটাকে পরিচয় চুরি বলে)। ইউএসএ তে আইডেনটিটি চুরির মাধ্যমে ড্রাইভিং লাইসেন্স এবং ক্রেডিট কার্ড তোলার মতো নজিরও আছে। তাই সোশ্যাল নেটওয়ার্ক সাইটে আপনার বিভিন্ন প্রকার আইডি কার্ডের তথ্য দিবেন না ।
খ) নন-টেকনিক্যাল সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাক : এ ধরনের সোশ্যল ইঞ্জিনিয়ারিং যুগ যুগ ধরে আমাদের সমাজে হয়ে আসছে যেমন প্রতিষ্ঠানের ট্রাসবিন (অপ্রয়োজনীয় কাগজ রাখার ঝুড়ি) থেকে তথ্য সংগ্রহ, কর্মীর পেছনে বা কাধের ওপর উকি দিয়ে তার কম্পিউটার বা অনলাইন অ্যাকাউন্টের তথ্য জানা, প্রতিষ্ঠানের হার্ডওয়্যার/সফটওয়্যার সরবারহকারী প্রতিষ্ঠানের টেকনিক্যাল/সাপোর্ট স্টাফ সেজে মোবাইলে/ইমেইল বা সরাসরি তথ্য সংগ্রহ করা, প্রতিষ্ঠানের উর্ধ্বতন কর্মকর্তা সেজে আইটি হেল্পডেক্স বা রিসপিশন থেকে তথ্য সংগ্রহ করা ইত্যাদি।
সাধারণ ব্যক্তি হিসেবে আপনি কিভাবে সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাক থেকে বাঁচবেন:
* সোশ্যাল নেটওয়ার্ক সাইটে খুব বেশি ব্যক্তিগত তথ্য শেয়ার করবেন না এবং এইসব সাইটে বন্ধু নির্বাচনে আরো সতর্ক হন।
* সব ধরনের অনলাইন অ্যাকাউন্টে ডাবল ফেক্টর আ্যথেনটিকেশন চালু করুন এবং কাজ শেষে লগআউট করে ফেলুন।
* সোশ্যাল নেটওয়ার্ক সাইট বা ইমেইলে কোনো অ্যাটাচমেন্ট পপ আপ, ফ্রি অ্যাডাল্ট সাইট এর লিংক, সেলিব্রেটি নিউজ, গসিপ ও ভিডিও, ফেইক নিউজ লিংক, ফ্রি শপিং অফার ইত্যাদি ওয়েবসাইট এর লিংকের ব্যাপারে সতর্ক থাকুন। কারণ এর সাহায্যে আপনার বিভিন্ন অনলাইন অ্যাকাউন্ট ইউজার আইডি ও পাসওয়ার্ড চুরি হতে পারে এবং অ্যাটাচমেন্ট এর মাধ্যমে মোবাইল বা ল্যাপটপে ভাইরাস বা ম্যালওয়ার ইনস্টল হয়ে যেতে পারে।
* ফিশিং ইমেইলগুলো খুব প্রফেশনাল লুকের হয় তাই এগুলো ভালো করে যাচাই করে ওপেন করুন। ইমেইল ও ওয়েবসাইট অ্যাড্রেস এর ফরমেট/অ্যানাটমি ভালোভাবে জেনে নিন। তাহলে আপনি বুঝতে পারবেন যে, কোন ইমেইল বা ওয়েবসাইট অ্যাড্রেস সঠিক আর কোনটা ফিশিং সাইট থেকে আসা।
* স্মার্টফোন বা ল্যাপটপে ভুয়া সিকিউরিটি সফটওয়্যার ইনস্টল করা থেকে সতর্ক হোন। এগুলোর মাধ্যমে হ্যাকাররা আপানর ডিভাইসের নিয়ন্ত্রণ নিয়ে নিতে পারে এবং আপানার ডিভাইসকে কোনো অনলাইন ক্রাইমে ব্যবহার করতে পারে।
* আপনার বিভিন্ন অনলাইন অ্যাকাউন্টগুলোর পাসওয়ার্ড কিছুদিন পর পর পরিবর্তন করুন।
* আপনার স্মার্টফোন, ল্যাপটপ টেকনিশিয়ান বা অন্য কারো হাতে গেলে চেক করে দেখুন অপরিচিত কোনো সফটওয়্যার ইনস্টল করা আছে কি না, থাকলে মুছে ফেলুন। কারণ পরবর্তীতে ওই সফটওয়্যারগুলোর মাধ্যমে আপনার ডাটা চুরি এবং আপনার অনলাইন কার্যক্রম পর্যবেক্ষণ করতে পারে।
* ফ্রি ওয়াই-ফাই এর মাধ্যমে কখনও আপনার সোশ্যাল নেটওয়ার্ক সাইটে বা কোনো গুরুত্বপূর্ণ আর্থিক কার্যক্রম করবেন না। কারণ ফ্রি/পাবলিক ওয়াই-ফাই সাইটগুলোর নিরাপত্তা ব্যবস্থা অনেক নাজুক থাকে, তাই হ্যাকাররা সহজে এর কন্ট্রোল নিয়ে নিতে পারে এবং বিভিন্ন স্পাইওয়ারের মাধ্যমে আপনার সব অনলাইন কার্যক্রম পর্যবেক্ষণ করতে পারে এবং আপনার বিভিন্ন ওয়েবসাইটের লগইন তথ্য চুরি করতে পারে।
* আপনার ব্রাউজারে অ্যান্টি ফিশিং টুলবার যেমন নেটক্রাফ্ট ইনস্টল করুন।
* আপনার ক্রেডিটকার্ড ও অনলাইন ব্যাংকিং অ্যাকাউন্ট স্টেটেমেন্ট নিয়মিত নিরীক্ষা করুন।
* ইমেইল, এসএমএস বা ফোন কল এর মাধ্যমে কোন সরকারি সংস্থার হয়ে যেমন পুলিশ, র্যাব নির্বাচন কমিশন, শুল্ক কর্তৃপক্ষ, বিদ্যুত বিভাগ বা পানি সরবরাহকারী যদি কোনো ব্যক্তিগত বা আর্থিক তথ্য চায়, এক্ষেত্রে সাড়া না দিয়ে সরাসরি সংশ্লিষ্ট প্রতিষ্ঠানের সঙ্গে যোগাযোগ করুন।
* আপনার ব্রাউজারে ‘ডু নট ট্র্যাক’ অপশনটি চালু করুন।
* অতি গোপনীয় ইমেইল, ফাইল আদান প্রদান বা সংরক্ষণের ক্ষেত্রে Pretty Good Privacy (PGP) বা openPGP এনক্রিপশন পদ্ধতি ব্যবহার করতে পারেন।
* গুরুত্বপূর্ণ অনলাইন অ্যাকাউন্ট লগইন তথ্য যেমন ইউজার আইডি ও পাসওয়ার্ড ব্রাউজারে সেভ করে রাখবেন না।
* ওইসব ইমেইলের ব্যাপারে সতর্ক হন যেগুলো আপনার ব্যক্তিগত তথ্য, ফিন্যানসিয়াল তথ্য, ক্রেডিট কার্ড তথ্য, ব্যাংকের তথ্য ইত্যাদির জন্য রিকোয়েস্ট করে এবং সঠিক সোর্স যাচাই করা ছাড়া কোনো তথ্য দিবেন না।
কিভাবে আপনার প্রতিষ্ঠানকে সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাক থেকে রক্ষা করবেন:
একটি প্রতিষ্ঠানের মূল চালিকা শক্তি হল কর্মী, প্রযুক্তি এবং পদ্ধতি। প্রতিষ্ঠানের সাইবার নিরাপত্তার হুমকি মোকাবেলায় এই তিন দিকে নজর দিতে হবে।
(ক) প্রতিষ্ঠানের সব পর্যায়ের কর্মীদেরকে সাইবার সিকিউরিটি এবং এর হুমকি সম্পর্কে সচেতনামূলক প্রশিক্ষণ দিতে হবে। কর্মীরা যাতে জানে কিভাবে সে নিজেকে ও তার ডাটাকে সংরক্ষণ করতে পারে এবং অনলাইন সে কি করবে বা করবে না।
(খ) প্রতিষ্ঠানে পর্যায়ক্রমিক সাইবার সিকিউরিটি অ্যাসেমেন্ট করতে হবে। কারণ প্রতিষ্ঠানের তথ্য ও উপাত্ত এবং এর প্রবাহ প্রতিনিয়ত পরিবর্তন হয়।
(গ) প্রতিষ্ঠানের নিজেস্ব আইটি সিকিউরিটি পলিসি থাকা উচিত।
(ঘ) কোনো সোর্স বা ই-মেইল, ওয়েবসাইট লিংক, অ্যাপ সন্দেহ হলে সংশ্লিষ্ট ডিপার্টমেন্টকে জানাতে হবে।
(ঙ) সোর্সের পরিচিতি নিশ্চিত না হয়ে কখনও কোনো ইমেইল/ ফোন কল এর রেসপন্স করা যাবে না। কখনও অবিশ্বস্ত সাইট থেকে আসা সংযুক্তি, লিংক, অ্যাপ ডাইনলোড করা যাবে না।
(চ) প্রতিষ্ঠানের আইসিটি ডিভাইস এর পাসওয়ার্ড এবং অ্যাকসেস পলিসি মাঝে মাঝে রিভিউ এবং পরিবর্তন করা উচিত।
(ছ) প্রতিষ্ঠানের কর্মী ছাটাইয়ের ক্ষেত্রে আলাদা পলিসি করা উচিত। বিশেষ করে গুরুত্বপূর্ণ ডিপার্টমেন্ট এর কর্মী এবং কর্মী নিয়োগের ক্ষেত্রে ব্যাকগ্রাউন্ড চেক করা।
(জ) স্প্যাম ও ফিশিং ইমেইল ফিল্টার করার জন্য প্রতিষ্ঠানের ইমেইল সার্ভার এবং এসএমটিপি গেটওয়েতে স্ক্যানিং/ফিল্টারিং মেকানিজম স্থাপন করা উচিত।
(ঝ) নন-সিগনেচার বেজড ফায়ারওয়াল এবং ক্লাউডবেজড অ্যান্টিভাইরাস ইনস্টল করা উচিত। ট্রেডিশনাল সিগনেচার বেজড ফায়ারওয়াল/ আপিএস, আডিএস এবং অ্যান্টিভাইরাস এর ওপর নির্ভর করা যাবে না। কারণ সাইবার অ্যাটাক এর পরিধি এবং ধরন প্রতিনিয়ত পরিবর্তন হচ্ছে।
(ঞ) প্রতিষ্ঠানের ইনকামিং এবং আউটগোয়িং যোগাযোগের ওপর নিয়ন্ত্রণ এবং মনিটরিং থাকা উচিত।
(ট) আইডেনটিটি, ফিজিক্যাল ও লজিক্যাল অ্যাকসেস কন্ট্রোল ও ম্যানেজমেন্ট সিস্টেম থাকা উচিত।
(ঠ) বড় প্রতিষ্ঠান এবং প্রতিষ্ঠানের কার্যক্রম অনুসারে সাইবার ইনসিডেন্ট রেসপন্স টিম থাকা উচিত।
(ড) প্রতিষ্ঠানের মিশন ক্রিটিকাল ও অতিগোপনীয় ডাটাগুলো আলাদাভাবে ব্যাকআপ এবং নিরাপত্তার ব্যবস্থা নিশ্চিত করা।
(ঞ) নিয়মিত সোশ্যাল ইঞ্জিনিয়ারিং পেনিট্রেশন টেস্ট করা ।
(ট) কর্পোরেট নেটওয়ার্ক থেকে সোশ্যাল নেটওয়ার্ক সাইটগুলোর অ্যাকসেস বন্ধ রাখা উচিত। কারণ ওইসব সাইট থেকে কর্মীর অজান্তে বিভিন্ন রকম ভাইরাস অ্যাটাচমেন্ট আসতে পারে। সোশ্যাল নেটওয়ার্ক সাইটগুলোতে বাগ এবং খুত থাকে, যার মাধ্যমে প্রতিষ্ঠানের নেটওয়ার্কে সাইবার অ্যাটাক হতে পারে ।
(ঠ) প্রতিষ্ঠানের অভ্যন্তরীণ কর্মী দ্বারা সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাক থেকে বাঁচার জন্য আলাদা আইনি নিয়ম নীতি থাকা উচিত, কর্মীর কম্পিউটারের লগইন এবং অডিটিং চালু রাখা, ক্রিটিকাল ডাটা আর্কাইভ রাখা, কর্মীর কাজের ধরন অনুযায়ী প্রতিষ্ঠানের ডাটাতে যতটুকু অ্যাকসেস রাইট দরকার ততটুকু রাইট দেয়া, একটি পুরো কাজকে বিভিন্ন ভাগে ভাগ করে কর্মীদের মধ্যে ভাগ করে দেয়া যেমন ব্যাংকের ক্ষেত্রে যিনি চেক ইস্যু করবেন তিনি চেক ভেরিফাই করবেন না ইত্যাদি।
অনলাইনকে জিরো ট্রাস্ট এরিয়া বলা হয়। তাই অনলাইনে কোনো কিছু পোস্ট দেওয়ার আগে, কোনো লিংকে ক্লিক করার বা কোনো কিছু ডাউনলোড করার আগে কয়েকবার ভাবুন যে, এর নেগেটিভ ফলাফল কি হতে পারে।
লেখক : সিস্টেমস ইঞ্জিনিয়ার
রাইজিংবিডি/ঢাকা/৭ মার্চ ২০১৭/ফিরোজ
রাইজিংবিডি.কম
আরো পড়ুন
