মাথা নোয়ালো সরকার, এক্ষুনি কার্যকর হচ্ছে না ‘ভয়ংকর’ VPN নীতি

গত ২৮শে জুন থেকে দেশে লাগু হওয়ার কথা ছিল নয়া VPN নিয়ম। কিন্তু, ভারতীয় আইটি মন্ত্রকের অন্যতম অংশ ‘ইন্ডিয়ান কম্পিউটার ইমার্জেন্সি রেসপন্স টিম’ (CERT-In), সম্প্রতি এই নতুন নিয়ম বাস্তবায়নের সময়সীমা বাড়ানোর ঘোষণা করেছে। আপনাদের অবগতের জন্য জানিয়ে রাখি, কেন্দ্রের তথ্য ও প্রযুক্তি মন্ত্রক (IT Ministry) এই নিয়মের অধীনে ‘ভার্চুয়াল প্রাইভেট নেটওয়ার্ক’ (VPN) প্রদানকারীদেরকে কমপক্ষে ৫ বছরের জন্য ব্যবহারকারীদের ডেটা নিবন্ধন এবং সংরক্ষণ করার নির্দেশ দিয়েছে। পাশাপাশি, সমস্ত সরকারী এবং বেসরকারী সংস্থাগুলির জন্য বাধ্যতামূলকভাবে সাইবার সিকিউরিটি লঙ্ঘনের ঘটনা লক্ষ্য করার ছয় ঘন্টার মধ্যে তা রিপোর্ট করার একটি আদেশ জারি করা হয়েছিল, যার সময়সীমাও বাড়ানো হয়েছে। উভয় নীতি এখন ২৮শে জুনের পরিবর্তে ২৫শে সেপ্টেম্বর ২০২২ থেকে কার্যকর হবে বলে জানানো হয়েছে।

একটি নতুন নির্দেশনায় CERT-In বলেছে যে, তথ্য প্রযুক্তি আইন (Information Technology Act) ২০০০ -এর ধারা ৭০বি (70B) -এর উপ-ধারা (৬) এর অধীনে জারি করা ‘সাইবার সিকিউরিটি ডাইরেকশন’ নিয়মের প্রয়োগের জন্য VPN পরিষেবা প্রদানকারীদের পাশাপাশি ‘মাইক্রো, স্মল অ্যান্ড মিডিয়াম এন্টারপ্রাইজ’ (MSMEs) দ্বারা চাওয়া সময়সীমার বর্ধিতকরণকে বিবেচনায় নেওয়া হয়েছে। এটি ২৮শে জুন ২০২২ থেকে কার্যকর করার কথা ছিল।

ডেটা সেন্টার, ভার্চুয়াল প্রাইভেট সার্ভার (VPS) প্রদানকারী, ক্লাউড সার্ভিস প্রোভাইডার এবং ভার্চুয়াল প্রাইভেট নেটওয়ার্ক সার্ভিস (VPN Service) প্রদানকারীরা সাবস্ক্রিবার/গ্রাহকদের যাচাইকরণের জন্য আরও অতিরিক্ত কিছু সময় চেয়েছে ভারতীয় আইটি মন্ত্রকের কাছে। অন্যদিকে, MSMEs ‘সাইবার সিকিউরিটি ডাইরেকশন’ নিয়ম বাস্তবায়নের জন্য প্রয়োজনীয় কাঠামো তৈরি করার জন্য নিজেদের সমর্থ করতে আরও সময় চেয়েছিল। ফলস্বরূপ, সার্ভিস প্রদানকারীদের জন্য উল্লেখিত উভয় সাইবার নিরাপত্তা নির্দেশাবলী নীতি প্রতিপালনে সম্মতি জানানোর সময়সীমা ২৫শে সেপ্টেম্বর ২০২২ পর্যন্ত স্থগিত করা হয়েছে।

গত এপ্রিলে জারি করা এই নির্দেশনায়, VPN পরিষেবা প্রদানকারীদের – ডেটা সেন্টারের পাশাপাশি ভার্চুয়াল প্রাইভেট সার্ভার (VPS) প্রদানকারী এবং ক্লাউড পরিষেবা প্রদানকারীদের, “যেকোনো বাতিলকরণ (cancellation) বা নিবন্ধীকরণের (registration) পরে আইন দ্বারা বাধ্যতামূলকভাবে পাঁচ বছর বা তার বেশি সময়ের জন্য পরিষেবার সঠিক তথ্য নিবন্ধন বা রেজিস্টার এবং সংরক্ষিত রাখার” নির্দেশ দেওয়া হয়েছিল।

প্রসঙ্গত, VPN সার্ভিস প্রোভাইডারদের ব্যবহারকারীর যেইসকল আইডেন্টিফিকেশন সংক্রান্ত তথ্য স্টোর করে রাখার নির্দেশ দেওয়া হয়েছে তার মধ্যে সামিল রয়েছে – সাবস্ক্রাইবারদের বৈধ নাম, পরিষেবাটিতে সাবস্ক্রাইব করার সময়কাল, IPs বরাদ্দ এবং ব্যবহারের তথ্য, ইমেল অ্যাড্রেস, IP অ্যাড্রেস, রেজিস্ট্রেশনের সঠিক সময়, সাবস্ক্রিপশন নেওয়ার উদ্দেশ্য, বৈধ ঠিকানা এবং কন্টাক্ট নম্বর। পাশাপাশি পরিষেবাতে সাইন ইন করা গ্রাহকদের ওনারশিপ বা ইউসেজ প্যাটার্নও বজায় রাখার কথাও জানানো হয়েছে।

এই বিষয়ে CERT-In আরও জানিয়েছে, ইলেকট্রনিক্স ও তথ্যপ্রযুক্তি মন্ত্রণালয়ের আদেশ অমান্য করলে বা তথ্য উপস্থাপন করতে ব্যর্থ হলে, আইটি অ্যাক্ট, ২০০০ এর ধারা ৭০বি (70B) এর উপ-ধারা (৭) এর অধীনে “শাস্তিমূলক ব্যবস্থা” নেওয়া হতে পারে। এমনকি এক বছর পর্যন্ত কারাদণ্ডও হতে পারে।

এছাড়াও, CERT-In – ইন্টারনেট পরিষেবা প্রদানকারী, সোশ্যাল মিডিয়া প্ল্যাটফর্ম ও ডেটা সেন্টার সহ সমস্ত সরকারী এবং বেসরকারী সংস্থাগুলিকে সাইবার সিকিউরিটি লঙ্ঘনের ঘটনাগুলি লক্ষ্য করার ছয় ঘন্টার মধ্যে বাধ্যতামূলকভাবে রিপোর্ট করতে বলেছিল।

যদিও সংস্থাগুলি এখনো সঠিকভাবে জানায়নি যে তারা এই নয়া নীতিগুলি মানতে আদৌ ইচ্ছুক কিনা। হয়তো সম্মতির তালিকা এখনো ছোট বলেই আইটি মন্ত্রকের তরফ থেকে আদেশ কার্যকর করার তারিখ পিছিয়ে দেওয়ার সিদ্ধান্ত নেওয়া হয়েছে।