Insider Threat: প্রতিষ্ঠানের ভেতরের কর্মীদের দ্বারা ডেটা চুরি এবং সাইবার ঝুঁকি!

Insider Threat বলতে এমন ব্যক্তিদের দ্বারা সৃষ্ট সাইবার নিরাপত্তা ঝুঁকি বোঝায়, যাদের প্রতিষ্ঠানের সিস্টেম, নেটওয়ার্ক বা ডেটায় বৈধ অ্যাক্সেস রয়েছে। এই ব্যক্তিরা বর্তমান বা প্রাক্তন কর্মচারী, ঠিকাদার, ভেন্ডর বা অংশীদার হতে পারেন। তাদের কাছে প্রতিষ্ঠানের ইন্টার্নাল আর্কিটেকচার, পাসওয়ার্ড পলিসি, ডেটা স্টোরেজ এবং নিরাপত্তা দুর্বলতা সম্পর্কে বিশেষ জ্ঞান থাকে, যা তাদের পক্ষ থেকে চালানো যেকোনো আক্রমণকে আরও কার্যকর করে তোলে।

Insider Threat-এর বিপজ্জনক দিক হলো এর প্রায়-অদৃশ্য প্রকৃতি। প্রচলিত সিকিউরিটি কন্ট্রোল, যেমন ফায়ারওয়াল, IDS বা পেরিমিটার ডিফেন্স, মূলত বাইরের আক্রমণ ঠেকানোর জন্য ডিজাইন করা। কিন্তু একজন কর্মী যখন তার কম্পিউটার থেকে অফিসিয়াল কাজের অংশ হিসেবে ফাইল ডাউনলোড করেন, তখন কোনো সিস্টেম সাধারণত সেটিকে অস্বাভাবিক হিসেবে চিহ্নিত করে না। সমস্যা শুরু হয় তখন, যখন সেই ফাইলগুলো ব্যক্তিগত ক্লাউড স্টোরেজ বা প্রতিযোগী প্রতিষ্ঠানে চলে যায়।

Insider Threat-কে সাধারণভাবে কয়েকটি গুরুত্বপূর্ণ ক্যাটাগরিতে ভাগ করা যায়। প্রথম ক্যাটাগরি হলো Malicious Insider বা ক্ষতিকর অভ্যন্তরীণ ব্যক্তি। এরা সচেতনভাবে এবং পরিকল্পিতভাবে প্রতিষ্ঠানের ক্ষতি করার উদ্দেশ্যে কাজ করেন। আর্থিক লাভ, প্রতিযোগী প্রতিষ্ঠানের জন্য গুপ্তচরবৃত্তি, ব্যক্তিগত প্রতিশোধ বা মতাদর্শগত কারণ এদের প্রধান অনুপ্রেরণা।

দ্বিতীয় ক্যাটাগরি হলো Negligent Insider বা অসতর্ক অভ্যন্তরীণ ব্যক্তি। এরা প্রতিষ্ঠানের ক্ষতি করার ইচ্ছা পোষণ করেন না, কিন্তু অসতর্কতা, অজ্ঞতা বা নিয়ম না মানার কারণে গুরুতর নিরাপত্তা ঘটনার জন্ম দেন। উদাহরণস্বরূপ, সংবেদনশীল ডেটা ব্যক্তিগত ইমেইলে পাঠানো, অননুমোদিত USB ড্রাইভ ব্যবহার করা, কিংবা ফিশিং লিঙ্কে ক্লিক করা।

তৃতীয় ক্যাটাগরি হলো Compromised Insider, যেখানে একজন বৈধ কর্মীর অ্যাকাউন্ট হ্যাক হয়ে যায় এবং আক্রমণকারী সেই অ্যাকাউন্ট ব্যবহার করে আক্রমণ চালায়। এক্ষেত্রে কর্মী নিজে দোষী নন, কিন্তু তার ক্রেডেনশিয়াল ব্যবহৃত হওয়ায় ঘটনাটি Insider Threat হিসেবেই বিবেচিত হয়। চতুর্থ একটি উদীয়মান ক্যাটাগরি হলো Third-Party Insider, যেখানে ভেন্ডর, কনসালট্যান্ট বা সাপ্লাই চেইন পার্টনারদের মাধ্যমে ঝুঁকি তৈরি হয়।

একজন বিশ্বস্ত কর্মী হঠাৎ করে কেন প্রতিষ্ঠানের ক্ষতি করতে চান, সেটি বোঝা গুরুত্বপূর্ণ। আর্থিক চাপ অন্যতম প্রধান কারণ। ঋণ, পারিবারিক সমস্যা বা জুয়ার মতো অভ্যাস কর্মীদের প্রলোভিত করে গোপন তথ্য বিক্রি করতে। দ্বিতীয়ত, কর্মস্থলে অসন্তোষ একটি বড় ভূমিকা পালন করে। প্রমোশন না পাওয়া, অন্যায্য আচরণ, কিংবা চাকরিচ্যুতির পরের ক্ষোভ কর্মীদের প্রতিশোধপরায়ণ আচরণে ঠেলে দেয়।

মতাদর্শগত কারণও গুরুত্বপূর্ণ। কোনো কর্মী হয়তো প্রতিষ্ঠানের নীতির সঙ্গে দ্বিমত পোষণ করে তথ্য ফাঁস করেন—এটিকে Hacktivism বা Whistleblowing হিসেবে দেখা হয়। এছাড়া, সামাজিক প্রকৌশল বা Social Engineering-এর মাধ্যমে বাইরের অ্যাটাকাররা কর্মীদের প্রভাবিত করে গোপনীয় তথ্য আদায় করতে পারেন। সবশেষে, রয়েছে নিছক অসতর্কতা ও প্রশিক্ষণের অভাব, যা অজান্তেই বড় ঝুঁকি তৈরি করে।

ইতিহাসে Insider Threat-এর বহু উদাহরণ রয়েছে, যা প্রমাণ করে এই ঝুঁকি কতটা বাস্তব। Edward Snowden-এর ঘটনা সম্ভবত সবচেয়ে আলোচিত। তিনি একজন কন্ট্রাক্টর হিসেবে NSA-এর সংবেদনশীল গোয়েন্দা তথ্যে প্রবেশাধিকার পেয়েছিলেন এবং সেই অ্যাক্সেস ব্যবহার করে বিপুল পরিমাণ ক্লাসিফায়েড ডকুমেন্ট ফাঁস করেন। প্রতিষ্ঠানগত পর্যায়ে এই ঘটনা প্রমাণ করে যে, এমনকি সর্বোচ্চ নিরাপত্তাবেষ্টিত সংস্থাও Insider Threat-এর শিকার হতে পারে।

কর্পোরেট সেক্টরে, Tesla একবার এক প্রাক্তন কর্মীর বিরুদ্ধে মামলা করেছিল, যিনি অভ্যন্তরীণ উৎপাদন তথ্য পরিবর্তন করে এবং তা বাইরের সংস্থায় পাঠিয়ে ক্ষতিসাধন করেছিলেন বলে অভিযোগ ছিল। ব্যাংকিং সেক্টরেও কর্মীদের দ্বারা গ্রাহক তথ্য বিক্রির ঘটনা বহুবার ঘটেছে, যেখানে ডার্ক ওয়েব বাজারে ব্যাংক অ্যাকাউন্ট ডেটা চড়া দামে বিক্রি হয়েছে।

বাংলাদেশের প্রেক্ষাপটেও এ ধরনের ঘটনা বিরল নয়। টেলিকম অপারেটর থেকে গ্রাহকের কল রেকর্ড বা লোকেশন তথ্য ফাঁসের অভিযোগ, ব্যাংক কর্মীদের দ্বারা KYC তথ্য বিক্রি, কিংবা ফ্রিল্যান্স আইটি প্রফেশনালদের মাধ্যমে কোম্পানির সোর্স কোড লিকের ঘটনাগুলো ক্রমেই দৃশ্যমান হচ্ছে।

Insider Threat বিভিন্ন পদ্ধতিতে সংঘটিত হতে পারে। সবচেয়ে প্রচলিত হলো Data Exfiltration, যেখানে কর্মী ফাইল কপি করে USB, পার্সোনাল ক্লাউড, ইমেইল অ্যাটাচমেন্ট বা প্রিন্ট আউটের মাধ্যমে বাইরে পাঠান। Privilege Abuse-এর ক্ষেত্রে অ্যাডমিন বা সুপার-ইউজার তাদের প্রয়োজনীয় কাজের বাইরে গিয়ে অননুমোদিত রিসোর্সে প্রবেশ করেন।

Sabotage হলো আরেকটি ভয়াবহ পদ্ধতি, যেখানে কর্মী ইচ্ছাকৃতভাবে সিস্টেম, ডেটা বা পরিষেবা ধ্বংস করেন—যেমন গুরুত্বপূর্ণ সার্ভার মুছে ফেলা বা ব্যাকআপ নষ্ট করা। Fraud-এর ক্ষেত্রে কর্মী নিজের সুবিধার্থে আর্থিক রেকর্ড পরিবর্তন করেন। এসব আচরণের আগে সাধারণত কিছু লক্ষণ প্রকাশ পায়—যেমন স্বাভাবিক কাজের সময়ের বাইরে লগইন, প্রয়োজনের অতিরিক্ত ডেটা ডাউনলোড, কাজের সঙ্গে অপ্রাসঙ্গিক সিস্টেমে প্রবেশের চেষ্টা, কিংবা অস্বাভাবিকভাবে বেড়ে যাওয়া ইমেইল ভলিউম।

Insider Threat শনাক্ত করার জন্য প্রতিষ্ঠানগুলোর একটি বহুস্তরবিশিষ্ট কৌশল প্রয়োজন। User and Entity Behavior Analytics বা UEBA টুল কর্মীদের স্বাভাবিক আচরণের একটি Baseline তৈরি করে এবং সেখান থেকে কোনো ব্যতিক্রম ঘটলে অ্যালার্ট দেয়। যেমন, একজন কর্মী যদি সাধারণত দিনে ১০টি ফাইল অ্যাক্সেস করেন এবং হঠাৎ একদিন ৫০০টি ফাইল ডাউনলোড করেন, তবে সেটি Red Flag হিসেবে বিবেচিত হয়।

Data Loss Prevention বা DLP সলিউশন সংবেদনশীল ডেটার গতিবিধি পর্যবেক্ষণ করে এবং ব্যবসায়িক নীতির বাইরে গেলে ব্লক বা সতর্ক করে। SIEM সিস্টেম বিভিন্ন উৎস থেকে লগ একত্র করে অস্বাভাবিক প্যাটার্ন সনাক্ত করতে সাহায্য করে। এছাড়া, Privileged Access Management বা PAM সলিউশন উচ্চ-অধিকারপ্রাপ্ত অ্যাকাউন্টগুলোর কার্যক্রম রেকর্ড ও নিয়ন্ত্রণ করে।

মানবিক দিক থেকেও পর্যবেক্ষণ গুরুত্বপূর্ণ। HR এবং সিকিউরিটি টিমের সমন্বয়ে কর্মীদের সন্তুষ্টি, আর্থিক অবস্থা এবং আচরণগত পরিবর্তনের প্রতি নজর রাখা উচিত, অবশ্যই গোপনীয়তা ও নৈতিকতা বজায় রেখে।

Insider Threat প্রতিরোধে সবচেয়ে কার্যকর কৌশল হলো Defense in Depth এবং Zero Trust মডেল গ্রহণ। Principle of Least Privilege অনুযায়ী প্রতিটি কর্মীকে শুধু তার কাজের জন্য প্রয়োজনীয় ন্যূনতম অ্যাক্সেস দেওয়া উচিত। Need-to-Know ভিত্তিতে ডেটা সেগমেন্টেশন করা গেলে কোনো একজন কর্মী একাই বিশাল পরিমাণ সংবেদনশীল তথ্যে প্রবেশ করতে পারবেন না।

Separation of Duties বা দায়িত্ব বিভাজন একটি ক্লাসিক কন্ট্রোল, যেখানে গুরুত্বপূর্ণ লেনদেন বা সিদ্ধান্ত অন্তত দুইজন কর্মীর অনুমোদনের প্রয়োজন হয়। এটি জালিয়াতি ও Sabotage-এর ঝুঁকি ব্যাপকভাবে কমিয়ে দেয়। Multi-Factor Authentication চালু রাখলে Compromised Insider আক্রমণের সম্ভাবনাও হ্রাস পায়।

পেশাগত প্রশিক্ষণ ও সচেতনতা কর্মসূচি অপরিহার্য। নিয়মিত Security Awareness Training, ফিশিং সিমুলেশন এবং Insider Threat-সংক্রান্ত কেস স্টাডি আলোচনা কর্মীদের সতর্ক রাখে। প্রতিষ্ঠানের একটি স্পষ্ট Acceptable Use Policy থাকা উচিত, যেখানে ডেটা হ্যান্ডলিং, USB ব্যবহার, ব্যক্তিগত ডিভাইস ও ক্লাউড স্টোরেজ সম্পর্কিত নীতিমালা পরিষ্কার করে দেওয়া থাকবে।

কর্মী যোগদান এবং প্রস্থানের প্রক্রিয়া বিশেষভাবে গুরুত্বপূর্ণ। Onboarding-এ যথাযথ ব্যাকগ্রাউন্ড চেক এবং Offboarding-এ অবিলম্বে অ্যাকাউন্ট ডিজেবল ও ডিভাইস ফেরত গ্রহণ নিশ্চিত করতে হবে। অনেক ঘটনায় দেখা গেছে, প্রস্থানের পরও সাবেক কর্মী অ্যাকাউন্টে প্রবেশের সুযোগ পেয়েছেন—এটি অগ্রহণযোগ্য।

বড় প্রতিষ্ঠানগুলোর উচিত একটি আনুষ্ঠানিক Insider Threat Program প্রতিষ্ঠা করা, যা NIST SP 800-53 এবং CERT Insider Threat Center-এর গাইডলাইনের সঙ্গে সামঞ্জস্যপূর্ণ। এই প্রোগ্রামে নির্বাহী পর্যায়ের সমর্থন, ক্রস-ফাংশনাল টিম (HR, Legal, IT, Security), স্পষ্ট নীতিমালা এবং প্রতিক্রিয়া পরিকল্পনা অন্তর্ভুক্ত থাকা উচিত।

প্রোগ্রামের অংশ হিসেবে Insider Threat Risk Assessment নিয়মিত করতে হবে, যেখানে সম্পদ চিহ্নিতকরণ, সম্ভাব্য হুমকি বিশ্লেষণ এবং বিদ্যমান কন্ট্রোলের কার্যকারিতা মূল্যায়ন করা হয়। Whistleblower বা Reporting মেকানিজম গঠন করা যেতে পারে, যেখানে কর্মীরা নাম প্রকাশ না করে সন্দেহজনক কার্যকলাপ রিপোর্ট করতে পারবেন।

Insider Threat কর্মসূচি বাস্তবায়নে আইনি এবং নৈতিক দিক অত্যন্ত গুরুত্বপূর্ণ। কর্মীদের গোপনীয়তা অধিকার, শ্রম আইন এবং তথ্য সুরক্ষা বিধি মেনে চলতে হয়। GDPR, HIPAA বা স্থানীয় ডেটা প্রোটেকশন আইন অনুসারে কর্মীদের পর্যবেক্ষণ সম্পর্কে স্বচ্ছভাবে অবহিত করা প্রয়োজন।

অতিরিক্ত নজরদারি কর্মীদের মধ্যে অবিশ্বাসের পরিবেশ তৈরি করতে পারে, যা উৎপাদনশীলতা এবং কর্মী সন্তুষ্টিকে ক্ষতিগ্রস্ত করে। তাই সিকিউরিটি ও প্রাইভেসির মধ্যে সঠিক ভারসাম্য বজায় রাখা অপরিহার্য।