রিজার্ভ চুরির প্রাথমিক তদন্ত শেষে যা বললেন ফরাস উদ্দিন
বাংলাদেশ ব্যাংকের রির্জাভ চুরির ঘটনায় নিউইয়র্ক ফেডারেল রির্জাভ ব্যাংক (ফেড) ও আন্তঃব্যাংক লেনদেনের বৈশ্বিক সংগঠন সুইফট দায় এড়াতে পারে না বলে মন্তব্য করেছেন সাবেক গভর্নর ও গঠিত তদন্ত কমিটির প্রধান ড. ফরাসউদ্দিন আহমদ। রোববার বাংলাদেশ ব্যাংকের আয়োজিত এক সংবাদ সম্মেলনে তিনি এ কথা বলেন।
তদন্ত কমিটির প্রধান ফরাস উদ্দিন বলেন, আমরা লক্ষ্য করেছি যে আন্তর্জাতিকভাবে বাংলাদেশ ও বাংলাদেশ ব্যাংকের সুনাম নষ্ট করার অপচেষ্টা হচ্ছে। আমরা এ সম্পর্কে তথ্য প্রমাণ যোগাড় করেছি, আমাদের কাছে যুক্তি আছে। ৪ ফেব্রুয়ারির যে দুর্ঘটনায় কত টাকা খোয়া গেছে তা নিয়ে বিতর্ক আছে। সাড়ে ৯৫০ কোটি ডলার ডাকাতির চেষ্টা হয়েছিল। তার থেকে ১০ কোটি ১০ লাখ ডলারের অ্যাডভাইস চলে গিয়েছিল। ডাকাতি প্রচেষ্টায় চুরি হয়েছে যে টাকাটা ৮ কোটি ১০ লাখ ১ হাজার ৬৩০ ডলার।
সুইফটের দায়
প্রথমত বলতে চাই এ ঘটনার জন্য প্রাথমিকভাবে সুইফট দায়ী। সুইফট এখন বলছে আমার কাজ হল সিস্টেম দেওয়া, এর নিরাপত্তা বিধান করা ব্যবহারকারীর দায়িত্ব। আমি স্বীকার করলাম ঠিক আছে। কিন্তু সুইফট বা যে কোন লোক একটা সিস্টেম দিল। এ সিস্টেমকে সুরক্ষিত অবস্থায় দেওয়া তার কর্তব্য। এবং যদি সিস্টেমটিকে সুরক্ষিত অবস্থায় দিয়ে থাকে তাহলে মাঝপথে যেন অরক্ষিত করা না হয় সেটাও তার দায়িত্ব। এখানে ঘটনা যেটা হয়েছে, পঁচানব্বই সাল থেকে সুইফট খুব ভালোভাবে অত্যন্ত সুরক্ষিতভাবে সিস্টেমটা এ দেশে কার্যকর করেছে।
২০১৫ সালের ৮ মার্চ তারিখে সুইফট বাংলাদেশ ব্যাংককে একটি পত্র দেয়। পত্র দিয়ে তারা বলে, সুইফটকে আরটিজিএস সিস্টেমের সঙ্গে তারা সংযুক্ত করতে চাচ্ছে। ওই চিঠিটার মধ্যে তারা উচ্ছ্বাস এবং তোষামোদ ছাড়া কোনো যুক্তি ছিল না। এ কানেকশনটা করলে বাংলাদেশ ব্যাংকের কি লাভ হবে বা দেশের কি লাভ হবে এ রকম কোন যুক্তি ছিলনা।
ওই চিঠি পাওয়ার পরে বাংলাদেশ ব্যাংকের নির্বাহী কমিটি দায়িত্বজ্ঞান ও কাণ্ডজ্ঞানহীনভাবে এটাকে অনুমোদন দেয়। কিন্তু ওই ওপেনিং কানেকশনটা করিয়ে দেওয়ার দায়িত্ব ছিল সুইফটের এবং এ কানেকশনটা করার আগে ১৩টা করণীয় ছিল। এর মধ্যে কোন কোনটা ছিল সুইফট করবে, কোনটা বাংলাদেশ ব্যাংক এবং কোন কোনটা যৌথভাবে করার কথা ছিল।
এখন এর বড় বড় দুই তিনটা কাজ শেষ না করে ২০১৫ সালের নভেম্বরে সুইফটের সঙ্গে আরটিজিএসের কানেকশন করিয়ে দেওয়া হয়। কানেকশনটা করে দেওয়ার সময়, আমি একটা কথা বারবার বলছি এ কানেকশনটা করার কোন যৌক্তিকতা নাই, সুইফটের মাধ্যমে আন্তর্জাতিক লেনদেন বাংলাদেশ ব্যাংক করে থাকে, আর আরটিজিএস স্থানীয়ভাবে লেনদেন করে থাকে। কাজেই স্থানীয় লেনদেন সঙ্গে আন্তর্জাতিক লেনদেনের সংযোগ করার কোন রকমের যৌক্তিকতা নাই। কানেকশনটা করার সময় দেখা গেল যে সুইফটে যে অ্যান্টিভাইরাস ছিল সেটার কারণে এ কানেকশনটা দেওয়া যাচ্ছে না।
আমি আগেই বলছি যে দুই তিনটা বড় করণীয় ছিল যা তারা করে নাই। এর মধ্যে একটি হল হার্ডওয়্যার সিকিউরিটি মডিউল (এইচএসএম)। এই এইচএসএম সিস্টেম প্রোভাইড করার পরে এই কানেকশনটা দেওয়ার কথা ছিল, তারা এটা প্রোভাইড করে নাই। এখন পর্যন্ত এটা করা হয় নাই।
প্রথম যখন কানেকশনটা দেওয়া হয়, তখন অ্যান্টিভাইরাসটা ডিসঅ্যাবল করার চেষ্টা করা হয়েছিল, কিন্তু তা করতে পারেনি তাদের ইঞ্জিনিয়ার। প্রথম রেড্ডি ও পরে আথ্রেস। তারপর আথ্রেস যখন কানেকশনটা দেন তখন কথা ছিল একটা ইন্টেরিম কানেকশন দেওয়া হয়। কথা ছিল রেগুলার কানেকশনটা হয়ে গেলে ইন্টেরিম কানেকশনটা বাদ দেওয়া হবে এবং তখন অ্যান্টিভাইরাসটা পুরোপুরি মূলোৎপাটন করে ফেলা হয়। কারণ এটা না হলে সিস্টেমটা কানেক্ট করা যাচ্ছে না।
আপাতদৃষ্টিতে ওইখানে বাংলাদেশ ব্যাংকের যারা কাজ করছেন তাদের এটা জাানানো হয়নি। কারণ আথ্রেস সাহেব তখন বাংলাদেশ ব্যাংককে এটা বুঝিয়ে দিয়ে যান নাই। এরপর ফাইনাল কানেকশনটা হয়ে যাওয়ার পর ইন্টেরিম কানেকশন বাদ দেয়ার যে কথা ছিল তা করা হয় নাই। এই সিস্টেমের একটা ব্যাকআপ থাকার দরকার ছিল যা তারা করে নাই।
এর পরে নিলয় ভানন নামের একজন লোককে পাঠানো হয়, বলা হয় যে তিনি সুইফটের প্রতিনিধি, আসলে তিনি কোন প্রতিনিধি না। মানে টোটাল আমি বলতে চাচ্ছি কানেকশনটা দেওয়ার পরে আজ পর্যন্ত এ বিষয়টা ক্লিয়ার করে বাংলাদেশ ব্যাংককে বুঝিয়ে দেওয়া হয়নি, কিভাবে অপারেট করতে হবে, কোথায় কি সমস্যা হতে পারে কিছুই বলা হয়নি। যেটা সবচেয়ে মারাত্মক বিষয় এখানে হয়েছে সেটা হল সার্ভারকে ২৪ ঘণ্টা খোলা রাখার ইনস্ট্রাকশন তারা দিয়ে যায়। প্রথমে মৌখিকভাবে পরে টেলিফোনে কনফার্ম করেছে যে এটা চব্বিশ ঘণ্টা খোলা রাখতে হবে, যেটার রেকর্ড আছে। এসব কারণে আমরা মনে করি সুইফট যদিও সারা পৃথিবীতে একটি বিখ্যাত প্রতিষ্ঠান তার প্রতি আমাদের অনেক শ্রদ্ধা আছে, কিন্তু তাদের নিশ্ছিদ্র নিরাপত্তার ব্যাপার ছিল সেটা এখন আর নাই।
সম্প্রতি আপনারা দেখবেন এশিয়ার আরেকটি বড় দেশে একটি ব্যাংকে ঘটনা ঘটেছে, সেটা ভিয়েতনামে। কাজেই সুইফট যে বলছে সমস্ত বাংলাদেশের বা ব্যবহারকারীর এটা ঠিক নয়। এর মানে এ নয় আমরা সুইফটকে গালমন্দ করছি। আমরা বলছি যে সুইফটকে আরও বেশি সতর্ক হতে হবে। তার দায়িত্ব আছে, দায় স্বীকার করতে হবে। অস্বীকার করে এটা ১ লাখ বার বললেও হবে না। তার দায় আছে। এ দায় কাটিয়ে ওঠার জন্য যা যা করা দরকার তার সেটা করা দরকার। এটা হচ্ছে সুইফটের দায়।
ফেডের দায়
দ্বিতীয় হল ফেডারেল রিজার্ভ ব্যাংকের বিষয়। ফ্রেব্রুয়ারির ৪ তারিখ সন্ধ্যা সোয়া সাতটা পর্যন্ত বাংলাদেশ ব্যাংকের ব্যাক অফিস থেকে ১৮টা ম্যাসেজ যায়। ১৮টা ম্যাসেজে প্রায় ৫০ কোটি ডলারের পেমেন্ট ইন্সট্রাকশন ছিল। তার মধ্যে চারটা ইন্সট্রাকশন ছিল বাসেল ব্যাংককে ২০ কোটি ডলার আমাদের বন্ড কেনার জন্য। ওইগুলোর মধ্যে তারা ১০টা ইমপ্লিমেন্ট করেছে, ৮টা রেখেছে তারা পরে করবে।
ওইদিন রাতে কে বা কারা এই সিস্টেমটাকে হস্তগত করে আরও ৩৫ থেক ৭০টি ম্যাসেজ পাঠায় নিউইয়র্কে। প্রায় সাড়ে ৯শ কোটি পেমেন্ট স্থানান্তরের জন্য বাংলাদেশের নাম করে নির্দেশগুলো পাঠানো হয়। এটা বাংলাদেশ ব্যাংকের কর্মকর্তা যারা, তারা পাঠিয়েছেন এ ধরনের কোনো প্রমাণাদি এখন পর্যন্ত আমাদের হাতে আসে নাই।
এফআরবি কি করল তারা ৩৫টি অর্ডারকে বাতিল করে দিল, কারণ সেখানো কোনো ইন্টারমিডিয়েটরি ব্যাংক ছিল না। বাকি ৩৫টার মধ্যে ৫টা ইমপ্লিমেন্ট করল, তাদের মনে কিন্তু সন্দেহ আসে। এর ফলে বাংলাদেশ ব্যাংকের কাছে তারা ১২টা ইন্সাট্রাকশনের ব্যাখা চাইল। কিন্তু তাদের জানা উচিত ছিল বাংলাদেশে অলরেডি শুক্রবার হয়ে গেছে, ব্যাখা তারা দিতে পারবে না। ওই ৩৫টা থেকে তারা ৫টা পেমেন্ট করে দিল। আমাদের অবজার্ভেশন হল এই ৫টা মধ্যে ৪টিই হল ব্যক্তির নামে। ওইরকম নামে বাংলাদেশ ব্যাংকের কোন পেমেন্ট নির্দেশ যায় না।
এখানে আমাদের প্রশ্ন হল তারা ব্যাখা চাওয়ার পর বাংলাদেশ ব্যাংক ব্যাখা না দিলেও তারা সেটা পেমেন্ট করল কেন,তখন কেন পেমেন্টটা স্টপ করল না। এখানে আমাদের সন্দেহ হওয়া স্বাভাবিক, কারণ ৪টা ব্যক্তি অ্যাকাউন্টে টাকা গেল। এখন যেটা বড় প্রশ্ন সেটা হল ৪ ফেব্রুয়ারি রাত থেকে ১৬ মার্চ পর্যন্ত সুইফট কোনো ম্যাসেজ রিকভার করে বাংলাদেশ ব্যাংকে দিতে পারে নাই। সুইফটের সিস্টেমটা কমপ্রোমাইজ হয়েছে। যদি কমপ্রোমাইজ না হত ৬ -৭ তারিখ বাংলাদেশ ব্যাংকে কি ম্যাসেজ পাঠিয়েছে, আর তাদের ওখানে কি ম্যাসেজ গেছে তা রিপ্রডিউস করে তারা পাঠাতে পারত। দেড় মাসেও তারা কোন ইনফরমেশন রিকভার করে রিপ্রডিউস করতে পারে নাই। এটাই সবচেয়ে বড় প্রমাণ, সুইফট সিস্টেম কমপ্রোমাইজ হয়েছে।
বাংলাদেশ ব্যাংকের দায়
এখন আমাদের করণীয়, বাংলাদেশ ব্যাংকের দায় কতটুকু। এখন পর্যন্ত যা তথ্য প্রমাণ যোগাড় করতে পেরেছি তাতে আমাদের কাছে মনে হয়েছে আরটিজিএসের সাথে যে কানেকশনটা বাংলাদেশ ব্যাংক খুবই অবিবেচকের মত করেছে, কিছুটা দায়িত্বজ্ঞানহীনতা রয়েছে, সেটা না করলেও চলত। এখন যারা ব্যাক অফিসে কাজ করত, যারা পেমেন্ট ইন্সট্রাকশন দেয়, তারা এবং অন্যান্য সংশ্লিষ্টরা এই প্রসেসের সঙ্গে কতটুকু সংযুক্ত ছিল এটা আমার চেষ্টা করেছি জানার।
আমাদের কাছে মনে হয়েছে, ৪ ফেব্রুয়রি রাতের যে ঘটনা এটার জন্য একটা স্পেসিফিক ম্যালওয়ার তৈরি করা হয় একটি বিশেষ দেশে। এই ম্যালওয়ারটি ফেডে বাংলাদেশ ব্যাংকের রিজার্ভ চুরির জন্যই বিশেষভাবে তৈরি করা হয়েছিল বলে আমাদের কাছে যথেষ্ট তথ্য প্রমাণ রয়েছে। ম্যালওয়ারটি বসিয়ে দিয়ে তারা পেমেন্ট ইন্সট্রাকশন পাঠাল। এটা আরটিজিএসের সঙ্গে যখন সুইফট সিস্টেমটা এনলার্জ করা হল তখন থ্রি স্টোক নামের একটি প্রক্রিয়ার মাধ্যমে এ পেমেন্টে সিস্টেমটা হস্তগত করেছিল। তারপরই সাইবার ক্রিমিনালরা এ ইন্সট্রাকশনগুলো পাঠায়। এফআরবি নিউ ইয়র্কের বোঝা উচিত ছিল আমি ম্যাসেজ পাঠাচ্ছি জবাব পাচ্ছি না, এতগুলো পেমেন্ট ইন্সট্রাকশন পাঠানো হল, তারা জবাব দিচ্ছে না, এগুলো প্রিন্ট করতে পারছে কি না কে জানে।
বাংলাদেশ ব্যাংকের কর্মকর্তারা এ ব্যাপারে অসাবধান, অসতর্ক,অদক্ষ এ ব্যাপারে কোনো সন্দেহ নেই। তবে বাংলাদেশ ব্যাংকের কোন কর্মকর্তা জ্ঞানত এই চুরির বা কাজের সঙ্গে জড়িত এমন তথ্য প্রমাণ আমরা পাইনি।
অর্থ উদ্ধার
তিনি আশা করেন, চুরি হওয়া অর্থের মধ্যে ৫ কোটি ডলার উদ্ধার করা যেতে পারে। তবে এ জন্য সরকার ও সংশ্লিষ্ট সকল পক্ষকে সমন্বিতভাবে, জোরদারভাবে এ টাকা উদ্ধারের জন্য প্রচেষ্টা চালানো উচিত, রাজনৈতিক ছায়াতলে থেকে কূটনৈতিক যোগাযোগ জোরদার করা উচিত।
এক প্রশ্নের জবাবে তিনি বলেন, ম্যালওয়ার তৈরি হয়ে থাকে পাকিস্তান ও উত্তর কোরিয়ায়। এর যেকোন একটি দেশে আলোচ্য ম্যালওয়্যারটি তৈরি হয়েছিল।
এসআই/এআরএস/এবিএস