Physical Security: আইটি ইনফ্রাস্ট্রাকচারের ফিজিক্যাল অ্যাক্সেস কন্ট্রোল এবং নিরাপত্তা!

Physical Security হলো এমন সব নীতি, প্রক্রিয়া এবং প্রযুক্তির সমষ্টি যা মানুষ, যন্ত্রপাতি, ভবন এবং তথ্যকে ভৌত হুমকি থেকে রক্ষা করে। আইটি প্রসঙ্গে এর অর্থ সার্ভার, নেটওয়ার্ক ডিভাইস, কম্পিউটার, ব্যাকআপ মিডিয়া, ক্যাবলিং এবং পাওয়ার সিস্টেমকে অননুমোদিত প্রবেশ, চুরি, ভাঙচুর, প্রাকৃতিক দুর্যোগ এবং পরিবেশগত ক্ষতি থেকে রক্ষা করা। NIST এবং ISO 27001-এর মতো আন্তর্জাতিক মান কাঠামোতে Physical and Environmental Security একটি স্বতন্ত্র Domain হিসেবে স্বীকৃত।

ভৌত নিরাপত্তার মৌলিক লক্ষ্য হলো CIA Triad-এর তিনটি স্তম্ভ—Confidentiality (গোপনীয়তা), Integrity (অখণ্ডতা), এবং Availability (প্রাপ্যতা)—রক্ষা করা। কেউ যদি সার্ভার রুমে প্রবেশ করে হার্ডড্রাইভ চুরি করে, তাহলে Confidentiality লঙ্ঘিত হয়। কেউ যদি সার্ভারের সাথে ক্ষতিকর ডিভাইস সংযোগ করে, তাহলে Integrity বিঘ্নিত হয়। কেউ যদি পাওয়ার সাপ্লাই বিচ্ছিন্ন করে বা সরঞ্জাম ধ্বংস করে, তাহলে Availability ক্ষতিগ্রস্ত হয়। সুতরাং ভৌত নিরাপত্তা ছাড়া সাইবার নিরাপত্তা অসম্পূর্ণ।

ভৌত নিরাপত্তায় একক প্রতিরক্ষা স্তরের উপর নির্ভরতা বিপজ্জনক। Defense-in-Depth বা Layered Security নীতিতে একাধিক স্বাধীন প্রতিরক্ষা স্তর স্থাপন করা হয় যেন একটি স্তর ভেঙে গেলেও পরবর্তী স্তর প্রতিরক্ষা প্রদান করে। সাধারণত পাঁচটি প্রধান স্তর বিবেচিত হয়।

প্রথম স্তর হলো Perimeter বা পেরিমিটার নিরাপত্তা—সম্পত্তির বাইরের সীমানা। এতে বেড়া, প্রাচীর, ফটক, গাড়ি বাধা (Bollard), এবং পরিধি আলোকসজ্জা অন্তর্ভুক্ত। দ্বিতীয় স্তর হলো ভবন প্রবেশ—মূল প্রবেশদ্বার, লবি, এবং রিসেপশন এলাকা যেখানে দর্শনার্থী যাচাই হয়। তৃতীয় স্তর হলো অভ্যন্তরীণ বিভাজন—বিভিন্ন বিভাগ, ফ্লোর বা এলাকায় প্রবেশ নিয়ন্ত্রণ। চতুর্থ স্তর হলো সংবেদনশীল কক্ষ—সার্ভার রুম, নেটওয়ার্ক ক্লোসেট, এবং R&D ল্যাব। পঞ্চম এবং সর্বশেষ স্তর হলো ডিভাইস-পর্যায়ের সুরক্ষা—র‍্যাক লক, কেস লক, এবং ক্যাবল ম্যানেজমেন্ট।

প্রতিটি স্তরে চারটি মৌলিক ফাংশন থাকা প্রয়োজন—Deter (নিরুৎসাহিত করা), Detect (শনাক্ত করা), Delay (বিলম্বিত করা), এবং Respond (প্রতিক্রিয়া)। নিরুৎসাহিত করে সতর্কতা সাইন, দৃশ্যমান ক্যামেরা এবং নিরাপত্তা রক্ষী। শনাক্তকরণে CCTV, মোশন সেন্সর, এবং অ্যালার্ম। বিলম্বে শক্ত দরজা, একাধিক লক, এবং Mantrap। প্রতিক্রিয়ায় নিরাপত্তা দল এবং আইন প্রয়োগকারী সংস্থা।

Access Control হলো নির্ধারণ করা যে কে, কখন, কোথায় এবং কীভাবে কোনো এলাকা বা সম্পদে প্রবেশ করতে পারবে। ভৌত Access Control-এর তিনটি মৌলিক প্রমাণীকরণ ফ্যাক্টর রয়েছে—Something You Have (ব্যাজ, চাবি, কার্ড), Something You Know (PIN, পাসওয়ার্ড), এবং Something You Are (Biometric)। নিরাপত্তা বাড়াতে একাধিক ফ্যাক্টর সমন্বিত করে Multi-Factor Access Control স্থাপন করা হয়।

প্রচলিত Access Control প্রযুক্তির মধ্যে সবচেয়ে পুরনো হলো ধাতব চাবি এবং যান্ত্রিক লক। এগুলো সহজ এবং সাশ্রয়ী হলেও ক্লোনিং সহজ, লগিং সম্ভব নয়, এবং চাবি হারালে সম্পূর্ণ সিস্টেম পুনঃনির্মাণ ব্যয়বহুল। আধুনিক সংস্থায় Electronic Access Control System ব্যবহৃত হয় যা প্রতিটি প্রবেশ লগ করে, দূরবর্তীভাবে নিয়ন্ত্রণযোগ্য, এবং কর্মী চলে গেলে তাৎক্ষণিকভাবে অ্যাক্সেস নিষ্ক্রিয় করা যায়।

RFID এবং NFC ভিত্তিক ব্যাজ সিস্টেম এখন প্রায় সর্বত্র ব্যবহৃত হয়। তবে সব RFID প্রযুক্তি সমান নিরাপদ নয়। পুরনো 125kHz HID Prox কার্ড সহজে ক্লোন করা যায়—Flipper Zero বা Proxmark3 দিয়ে কয়েক সেকেন্ডে কপি সম্ভব। 13.56MHz-এ MIFARE Classic-ও দুর্বল। আধুনিক DESFire EV2/EV3, iCLASS Seos, এবং Mobile Credential প্রযুক্তি অনেক বেশি নিরাপদ কারণ এগুলো ক্রিপ্টোগ্রাফিক চ্যালেঞ্জ-রেসপন্স ব্যবহার করে।

Biometric Authentication—আঙুলের ছাপ, আইরিস স্ক্যান, মুখ স্বীকৃতি, হাতের জ্যামিতি—উচ্চ নিরাপত্তা এলাকার জন্য বহুল ব্যবহৃত। তবে Biometric ডেটা সংগ্রহ এবং সংরক্ষণে গোপনীয়তার প্রশ্ন রয়েছে। False Acceptance Rate (FAR) এবং False Rejection Rate (FRR)-এর মধ্যে ভারসাম্য রক্ষা গুরুত্বপূর্ণ। Biometric একা নয় বরং ব্যাজ বা PIN-এর সাথে সমন্বিতভাবে ব্যবহার করাই সর্বোত্তম।

সার্ভার রুম যেকোনো সংস্থার সবচেয়ে সংবেদনশীল ভৌত সম্পদ। এই কক্ষের নিরাপত্তায় বিশেষ বিবেচনা প্রয়োজন। প্রথমত, অবস্থান নির্বাচন গুরুত্বপূর্ণ—বাহ্যিক জানালার পাশে, বেসমেন্টে যেখানে বন্যার ঝুঁকি, বা ভবনের শীর্ষতলায় যেখানে ছাদের ক্ষতির ঝুঁকি—এসব এড়ানো উচিত। আদর্শভাবে সার্ভার রুম ভবনের মাঝামাঝি, জানালাবিহীন একটি স্থানে হওয়া উচিত।

প্রবেশ নিয়ন্ত্রণে দ্বিগুণ প্রমাণীকরণ বাধ্যতামূলক—ব্যাজ + PIN বা ব্যাজ + Biometric। প্রতিটি প্রবেশ লগ করা এবং নিয়মিত পর্যালোচনা করা প্রয়োজন। Mantrap বা Anti-tailgating ব্যবস্থা থাকলে আদর্শ। প্রতিটি র‍্যাক পৃথকভাবে লক করা থাকতে হবে এবং র‍্যাক-পর্যায়ে অ্যাক্সেস লগিং বাঞ্ছনীয়।

পরিবেশগত নিয়ন্ত্রণও সমান গুরুত্বপূর্ণ। তাপমাত্রা (সাধারণত ১৮-২৭ ডিগ্রি সেলসিয়াস) এবং আর্দ্রতা (৪০-৬০%) নিয়ন্ত্রিত রাখতে HVAC সিস্টেম। বন্যা শনাক্তকরণ সেন্সর মেঝেতে স্থাপন। অগ্নি শনাক্তকরণ এবং নিভানোর জন্য VESDA (Very Early Smoke Detection Apparatus) এবং Inert Gas (FM-200, Novec 1230) ভিত্তিক সিস্টেম—যা ইলেকট্রনিক্সের ক্ষতি না করে আগুন নেভায়। বিদ্যুৎ ব্যর্থতার জন্য UPS (Uninterruptible Power Supply) এবং Backup Generator।

CCTV মনিটরিং প্রতিটি প্রবেশদ্বার, করিডর এবং র‍্যাক-পর্যায়ে স্থাপন করা উচিত। ফুটেজ অন্তত ৯০ দিন সংরক্ষণ করার নিয়ম। মনিটরিং রুমে ২৪/৭ সক্রিয় পর্যবেক্ষণ অথবা AI-ভিত্তিক স্বয়ংক্রিয় Anomaly Detection।

ভৌত নিরাপত্তায় মানুষ একটি গুরুত্বপূর্ণ উপাদান। কর্মী Onboarding প্রক্রিয়ায় ব্যাকগ্রাউন্ড চেক, ফটো ID যাচাই এবং অরিয়েন্টেশন প্রশিক্ষণ অন্তর্ভুক্ত। প্রতিটি কর্মীর ব্যাজে রঙ-কোড বা চিহ্ন দিয়ে তাদের অ্যাক্সেস স্তর নির্দেশ করা যায়। কর্মী Termination-এর সময় তাৎক্ষণিকভাবে সমস্ত অ্যাক্সেস বাতিল করা—Disgruntled Employee সম্ভাব্য সবচেয়ে বড় Insider Threat।

দর্শনার্থী ব্যবস্থাপনায় Visitor Management System ব্যবহার করুন। প্রতিটি দর্শনার্থীর পরিচয়পত্র যাচাই, ফটো ক্যাপচার, অস্থায়ী ব্যাজ প্রদান এবং কর্মী Escort বাধ্যতামূলক করুন। দর্শনার্থী লগ ইলেকট্রনিকভাবে সংরক্ষণ করুন। Pre-registration বাধ্যতামূলক করলে অপরিকল্পিত দর্শনার্থীর সংখ্যা কমে এবং নিরাপত্তা বাড়ে।

তৃতীয় পক্ষ বিক্রেতা—পরিচ্ছন্নতা কর্মী, HVAC টেকনিশিয়ান, কুরিয়ার, খাবার সরবরাহকারী—এদের জন্য পৃথক প্রটোকল প্রয়োজন। চুক্তিতে নিরাপত্তা প্রয়োজনীয়তা স্পষ্টভাবে উল্লেখ করুন। নিয়মিত বিক্রেতাদের ব্যাকগ্রাউন্ড চেক, অ-নিয়মিতদের Escort বাধ্যতামূলক, এবং তাদের কাজের সময় ও এলাকা সীমাবদ্ধ রাখুন।

২০১৩ সালের Target ব্রিচের সূচনা একটি HVAC বিক্রেতার মাধ্যমে হলেও আক্রমণের প্রাথমিক ভেক্টর ছিল সাইবার। তবে অনেক ক্ষেত্রে ভৌত প্রবেশ সরাসরি বড় ক্ষতির কারণ হয়েছে। ২০১৪ সালে University of California San Francisco-তে চুরি যাওয়া অনিএনক্রিপ্টেড ল্যাপটপ থেকে ১০,০০০ রোগীর তথ্য ফাঁস হয়েছিল—যা HIPAA লঙ্ঘনের কারণে বিপুল জরিমানা সৃষ্টি করেছিল।

২০১৬ সালে Heathrow Airport-এ একটি অননুমোদিত USB ড্রাইভ পার্কিং লটে পাওয়া গিয়েছিল যাতে নিরাপত্তা প্রটোকল এবং রানওয়ের তথ্য ছিল—এটি কর্মী সচেতনতা এবং তথ্য নিয়ন্ত্রণের ব্যর্থতার একটি ক্লাসিক উদাহরণ। ২০২০ সালে SolarWinds আক্রমণের একটি গবেষণায় প্রকাশ পেয়েছিল যে কোম্পানির বিল্ড সার্ভারে ভৌত নিরাপত্তা অপর্যাপ্ত ছিল।

ইতিবাচক উদাহরণ হিসেবে Google-এর Tier IV ডেটা সেন্টারগুলো বিশ্বের সবচেয়ে নিরাপদ ভৌত স্থাপনাগুলোর মধ্যে অন্যতম। ছয় স্তরের নিরাপত্তা, Iris Scan সমেত Biometric প্রমাণীকরণ, এবং ২৪/৭ AI-পরিচালিত CCTV মনিটরিং তাদের মূল বৈশিষ্ট্য। হার্ডড্রাইভ Decommission করার সময় সেগুলো সম্পূর্ণরূপে ভেঙে ফেলা হয়—কখনো বিক্রি বা পুনর্ব্যবহার করা হয় না।

ভৌত নিরাপত্তার জন্য একটি লিখিত Physical Security Policy তৈরি করুন যা ভূমিকা, দায়িত্ব, প্রক্রিয়া এবং নীতি স্পষ্ট করে। নিয়মিত Physical Security Risk Assessment পরিচালনা করুন—প্রতি ১২ মাসে অন্তত একবার। সমস্ত প্রবেশ লগ পর্যালোচনা করুন এবং অস্বাভাবিক আচরণ অনুসন্ধান করুন।

কর্মীদের জন্য নিয়মিত Security Awareness প্রশিক্ষণ পরিচালনা করুন। Tailgating প্রতিরোধ, সন্দেহজনক ব্যক্তি শনাক্তকরণ, এবং Incident Reporting—এসব বিষয়ে স্পষ্ট দিকনির্দেশনা দিন। "If you see something, say something" সংস্কৃতি গড়ে তুলুন। ব্যাজ সব সময় দৃশ্যমান অবস্থায় পরা বাধ্যতামূলক করুন।

ডিভাইস-পর্যায়ের সুরক্ষায় Cable Lock ব্যবহার করুন ল্যাপটপের জন্য, পোর্ট ব্লকার দিয়ে অব্যবহৃত USB পোর্ট সিল করুন, এবং BIOS পাসওয়ার্ড সেট করুন। সমস্ত মোবাইল ডিভাইসে Full Disk Encryption (BitLocker, FileVault) বাধ্যতামূলক। হার্ডড্রাইভ Decommission করার সময় NIST SP 800-88 অনুযায়ী Cryptographic Erasure বা ভৌত ধ্বংস নিশ্চিত করুন।

পরিবেশগত হুমকির বিরুদ্ধে প্রস্তুতিতে Business Continuity এবং Disaster Recovery পরিকল্পনা থাকা আবশ্যক। Geographically separated Backup Site বা Hot Site স্থাপন করুন। নিয়মিত Tabletop Exercise এবং Full-scale Drill পরিচালনা করুন যেন সংকটে সবাই নিজের ভূমিকা জানে।