Cybersecurity তে Legality (আইনগত বিষয়) এবং Ethics (নৈতিকতা) নিয়ে সবসময়ই বিতর্ক থাকে বিশেষ করে Penetration Testing-এর ক্ষেত্রে। "Hacking" বা "Hacker" শব্দগুলো সাধারণত নেতিবাচক ভাবে দেখা হয়, বিশেষ করে Pop Culture (Pop Culture (movies, TV shows, games) আমাদের "hacker" সম্পর্কে যেভাবে দেখায়, বাস্তবতার সাথে তার অনেক পার্থক্য আছে। এর কারণেই hacking শব্দটা শুনলেই অনেকের মনে খারাপ ধারণা তৈরি হয়) এর কারণে। তাই "আইন মেনে হ্যাক করা" বিষয়টা অনেকের কাছে অদ্ভুত লাগে কিন্তু আসলে এটা কীভাবে বৈধ হয়, সেটাই বুঝতে হবে।

🔐 Legality (আইনগত দিক)

Penetration Test হলো একটি Authorised Audit অর্থাৎ সিস্টেমের মালিকের অনুমতি নিয়ে তাদের নিরাপত্তা পরীক্ষা করা।

👉 সহজভাবে:

অনুমতি থাকলে = বৈধ (Legal) অনুমতি ছাড়া = অবৈধ (Illegal)

Pentest শুরুর আগে Penetration Tester এবং System Owner এর মধ্যে বিস্তারিত আলোচনা হয়।

সেখানে ঠিক করা হয়:

কোন System বা Application টেস্ট হবে কোন Tools/Techniques ব্যবহার করা যাবে কী সীমার মধ্যে কাজ করা হবে এই আলোচনার ভিত্তিতে একটি scope নির্ধারণ করা হয়, যা পুরো pentest-এর দিক নির্ধারণ করে।

অনেক দেশে Pentest কোম্পানিগুলোকে নির্দিষ্ট আইন ও Accreditation মানতে হয়। যেমন UK তে National Cyber Security Centre এর CHECK accreditation আছে, যেখানে শুধুমাত্র অনুমোদিত কোম্পানিগুলোই সরকারি সিস্টেমে pentest করতে পারে।

Bangladesh Context বুঝা খুব জরুরি যদি তুমি Cybersecurity/Pentesting Career করতে চাওঃ

বাংলাদেশে সরকারি Pentest কে করে?

1️⃣ Government Side (সবচেয়ে গুরুত্বপূর্ণ)

বাংলাদেশে সরকারি সিস্টেমে Pentest করার মূল দায়িত্ব থাকে:

👉 BGD e-GOV CIRT

এটা বাংলাদেশ সরকারের Official Cyber Incident Response Team, তারা সরাসরি VAPT (Vulnerability Assessment & Penetration Testing) করে ইতোমধ্যে ২,০০০+ এর বেশি সরকারি System Test করেছে।

Government System Pentest = Mostly CIRT বা তাদের Supervision ছাড়া কোনো Private Company একা গিয়ে কোনো Govt System Hack/Test করতে পারে না।

2️⃣ Government Testing Authority

👉 Bangladesh Computer Council এর অধীনে

👉 Software and Hardware Quality Testing and Certification Center এটা সরকারি Testing & Certification Body.

Software/Hardware Quality Testing করে ISO ও International Standard Maintain করে।

3️⃣ Private Cybersecurity Companies (Bangladesh) বাংলাদেশে কিছু Private কোম্পানি আছে যারা Pentest Service দেয়।

যেমন:

Enterprise InfoSec Consultants → CREST Accredited (International Standard) Pico Labs Bytium EC-Council Global Services (International)

👉 কিন্তু গুরুত্বপূর্ণ কথা: ➡️ এরা সরকারি Critical System Pentest করতে পারে শুধুমাত্র:

Government Approval থাকলে। CIRT / Authority Supervision থাকলে।

⚖️ বাংলাদেশে Pentesting-এর আইন (Legal Rules)

বাংলাদেশে UK এর মতো Specific "Pentest Law" নেই এটা একটা বড় Limitation।

🔴 মূল আইন:

👉 Digital Security Act 2018

এই আইনে বলা আছে:

Unauthorized Access = অপরাধ

হ্যাকিং করলে:

জেল (১৪ বছর পর্যন্ত) জরিমানা (২৫ লাখ টাকা পর্যন্ত)

👉 তাই: ✔️ অনুমতি ছাড়া Pentest = সরাসরি Criminal Offense

📜 অন্যান্য Relevant আইন:

ICT Act Telecommunication Regulation Act

📋 বাংলাদেশে Pentesting করার Practical Rules

Bangladesh এ Formal Framework কম থাকলেও Industry Practice অনুযায়ী:

✅ MUST FOLLOW:

1. Written Permission (Agreement / Contract)

Without this → illegal

2. Defined Scope

কোন Server / App Test হবে।

3. Rules of Engagement (ROE)

কি Allowed / কি Not Allowed

4. Data Handling Policy

Sensitive Data Misuse করা যাবে না।

5. Reporting বাধ্যতামূলক

Vulnerability Disclose করতে হবে।

⚠️ Reality Check (Important Insight)

👉 বাংলাদেশে এখনো:

Fully Structured Pentest Accreditation System নেই

National Standard Framework Limited

👉 তাই System টা এমন:

Govt = CIRT controlled

Private Sector = Contract Based

⚖️ Ethics (নৈতিকতা)

Ethics মানে হলো কোনটা সঠিক আর কোনটা ভুল, সেই নৈতিক বিচার। Pentester অনেক সময় এমন পরিস্থিতিতে পড়ে যেখানে কাজটি আইনগত ভাবে ঠিক, কিন্তু নৈতিকভাবে প্রশ্নবিদ্ধ হতে পারে।

যেমন:

ডাটাবেজে ঢুকে sensitive data দেখা কর্মচারীদের উপর Phishing Attack চালানো (Test করার জন্য)

👉 যদি আগে থেকেই এগুলো agreement এ থাকে, তাহলে legal, কিন্তু তবুও ethical concern থাকতে পারে।

🎩 Hacker-এর ৩টি ধরন (Hat Category)

Category বর্ণনা উদাহরণ

🟢 White Hat আইন মেনে কাজ করে, অন্যের উপকার করে Authorised Penetration Tester

⚪ Grey Hat মাঝে মাঝে আইন ভাঙে, কিন্তু ক্ষতি করার উদ্দেশ্য না Scam Website নামিয়ে দেওয়া।

🔴 Black Hat অপরাধী, ক্ষতি বা টাকা আদায়ের উদ্দেশ্যে কাজ করে Ransomware Attacker

📜 Rules of Engagement (ROE)

ROE হলো একটি গুরুত্বপূর্ণ ডকুমেন্ট, যা Pentest শুরু হওয়ার আগে তৈরি করা হয়। এতে ৩টি মূল অংশ থাকে:

1. Permission (অনুমতি) Pentest করার জন্য স্পষ্ট অনুমতি দেয় আইনি সুরক্ষা নিশ্চিত করে।

2. Test Scope (সীমা নির্ধারণ) কোন Server, A বা System টেস্ট হবে কোনটা টেস্টের বাইরে থাকবে।

3. Rules (নিয়ম)কোন T ব্যবহার করা যাবে।

যেমন:

❌ Phishing attack নিষিদ্ধ হতে পারে।

✅ MITM (Man-in-the-Middle) attack অনুমোদিত হতে পারে।

🎯 সারসংক্ষেপ

Pentesting = অনুমতি নিয়ে নিরাপত্তা পরীক্ষা।

Legality নির্ভর করে permission + scope এর উপর Ethics নির্ভর করে ব্যক্তিগত নৈতিকতা ও পরিস্থিতি এর উপর।

ROE হলো pentest-এর "Rulebook"

Bangladesh এ Govt Pentest করে Mainly BGD e-GOV CIRT

Private Company কাজ করতে পারে, But Approval দরকার

Main Law = Digital Security Act 2018

Rule = No Permission = Illegal Hacking

Proper Pentest = Contract + Scope + ROE