كيفية إرسال بريد إلكتروني آمن: 5 نصائح لمرسلي الحكومة
نشرت: 2016-11-16أمن الرسائل والحكومة
لقد كان من دواعي سروري مؤخرًا أن أتحدث في حلقة نقاش بعنوان: كيف نحقق Google للحكومة؟ كانت اللجنة جزءًا من مؤتمر Reverb الذي يجمع قادة القطاع الخاص مع أولئك الذين يعملون في الحكومة لإلهام ودفع الابتكار فيما نفترض عادةً أنه وكالات متأخرة فيما يتعلق باستخدامها وتنفيذها للتكنولوجيا.
عندما دُعيت للمشاركة في هذه اللجنة ، جلست مع Kurt Diver ، رئيس قسم التسليم لدينا للتفكير في شكل Google of Government من وجهة نظر المراسلة. لقد تعمقنا في صناديق البريد الوارد الخاصة بنا لاكتشاف أمثلة على رسائل البريد الإلكتروني التي تلقيناها من الوكالات الحكومية لمعرفة ما إذا كانت تلبي الحد الأدنى من الأمان.
ليس من المستغرب أن رسائل البريد الإلكتروني التي قمنا بمراجعتها لم تفي باختبارنا الحقيقي للمراسلة الآمنة. (كإخلاء للمسؤولية ، نظرنا فقط إلى مثالين من سان فرانسيسكو وأوكلاند ودنفر.) في جميع الحالات ، كانت تفتقر إلى DKIM (البريد المعرف بمفاتيح المجال) على نطاقات الإرسال الخاصة بهم لضمان محتوى الرسالة.
DKIM هو حل تشفير يستخدم عن طريق إرسال المنصات حول العالم ومقدمي خدمات الإنترنت للمساعدة في ضمان عدم العبث بالرسائل أثناء الطيران وعدم انتحال المجالات. يساعد امتداد DKIM ، DMARC ، في إنشاء سياسة يمكن لنطاق الاستلام (مثل Gmail أو Hotmail) الرجوع إليها عند وصول رسالة فشلت في فحص DKIM. ماذا يجب أن يفعل موفر صندوق البريد بهذه الرسالة؟ إحتفظ به؟ أوصلها؟ الحجر الصحي عليه؟ أو أسقطها على الأرض لأنها خادعة ، مصممة للاحتيال على شخص ما بهويتهم ، أو ما هو أسوأ؟
نظرًا لانتشار البريد الإلكتروني في الأخبار الوطنية ، وأنه غالبًا ما يكون ناقلًا في انتهاكات البيانات البارزة ، فإن حقيقة أن الحكومات المحلية وحكومات الولايات لا تستفيد من مصادقة البريد الإلكتروني لزيادة مصداقية اتصالاتهم الرقمية أمر مثير للقلق.
على الجانب المشرق ، عندما نظرنا إلى USPS ، وجدنا سياسة DKIM صالحة تم تعيينها لرفض الرسائل الاحتيالية. بالإضافة إلى الاستفادة من بروتوكولات مصادقة البريد الإلكتروني الأساسية مثل نظام التعرف على هوية المرسل (SPF) ، تم إرسال بريد USPS الإلكتروني باستخدام TLS (أمان طبقة النقل) ، وهي وسيلة انتهازية لتشفير البريد الإلكتروني أثناء الرحلة من المرسل إلى المتلقي الذي يضمن عدم تمكن أي شخص من قراءة المحتوى أثناء عبوره الإنترنت .
قد تكون الوكالات الحكومية ليست على دراية بمدى ضعف الرسائل أثناء النقل والسهولة التي يمكن بها انتحال النطاق. من المفهوم أن المراسلة ليست في صميم التوصيف الوظيفي للحكومة المحلية أو التابعة للولاية أو الحكومة الفيدرالية ، ولكن يمكن القول إنها يجب أن تكون على رادارها نظرًا لفائدتها في أتمتة وظائف خدمة العملاء المرتبطة بحكومة يقودها الناس.
المراسلة كمسار للأتمتة
في العام الماضي ، أمضيت يومًا في القفز من مكتب إلى مكتب في قاعة مدينة سان فرانسيسكو محاولًا الحصول على رخصة عمل. كانت عملية التطبيق بأكملها مدفوعة بشريًا وتفتقر إلى الوضوح. وفي الآونة الأخيرة ، تلقيت فاتورة لإحدى تراخيص العمل التي تطلبت مني تنزيل تطبيق بتنسيق PDF من الويب ، وملئه ، وإعادة إرساله بالبريد إلى City Hall. هذا ما أحب أن أفكر فيه على أنه محاولة نصف ملتزمة لرقمنة عملية بسيطة.
الحقيقة هي أن نماذج الويب المستضافة ذات المشغلات الذكية يمكنها بسهولة قبول إرسال وإصدار تأكيد فوري لهذا الإرسال بمعلومات إضافية. بمجرد الموافقة على الأوراق / الطلب ، يمكن إرسال رسالة أخرى. يمكن إجراء العديد من العمليات المكثفة عبر الهاتف والشخصية التي تتخلل City Hall إلكترونيًا من خلال البريد الإلكتروني وتطبيقات الأجهزة المحمولة.
بعد أن أعدت طلبي بالبريد إلى City Hall ، تلقيت تأكيدًا بالبريد الإلكتروني. أريد حقًا الاحتفال بالبريد الإلكتروني الذي تلقيته ، لكنه صعب نظرًا لحقيقة أنه يفتقر إلى أي من ميزات التعريف الأساسية لاتصالات المعاملات والتسويقية العادية اليوم. مثل العلامات التجارية Fortune 100 التي تحدد توقعات المستهلك ، فإن الأعمال الداخلية (أو لا) للحكومة تشكل مواقف المواطنين تجاه التعامل مع الوكالات المحلية والولائية والفدرالية.
5 إرسال النصائح للقطاع العام
بعد النظر في البريد الإلكتروني أكثر قليلاً ، قمت بتجميع القائمة المختصرة التالية لمساعدة أي شخص يعمل في مدينة أو وكالة تابعة للدولة والتفكير في البريد الإلكتروني ، لتقديم خدمة أفضل للأشخاص إلكترونيًا.
- استخدم صداقة من: الرسالة التي تلقيتها جاءت من "noreply @." فكر في النغمة التي يحددها هذا. إن عدم قبول الردود على عنوان معين أمر واحد ، ولكن إذا توقفت عند noreply ولم أكلف نفسي عناء قراءة النطاق ، فلن يكون لدي أدنى فكرة عن هوية المرسل.
- قم بتضمين توقيع: كان البريد الإلكتروني يفتقر إلى التوقيع - كان قصيرًا ومفيدًا ولكن مرة أخرى ، فكر في نوع الاتصالات التي اعتدنا رؤيتها في البرية - فهي تحتوي على تذييلات ورؤوس.
- تضمين ختم تعريف : لم يكن هناك ختم مدينة لمساعدتي في معرفة أن هذا البريد الإلكتروني جاء من مجلس مدينة سان فرانسيسكو ، أو وكالة مرتبطة.
- احذر من المرفقات : كان هناك مرفق في بريدي الإلكتروني. مرفقات البريد الإلكتروني ليست بالضرورة ممارسة جيدة. في هذه الحالة ، كان مستند HTML أكثر اعتدالًا من ملف مضغوط أو قابل للتنفيذ أو مستند ثنائي آخر ، ولكنه يزيد من احتمالية أن تنتهي هذه الرسالة في مجلد البريد العشوائي. أفضل ممارسة هنا هي تشفير المعلومات في نص البريد الإلكتروني أو الارتباط مرة أخرى بالبوابة باستخدام تسجيل دخول حيث يمكن الوصول إلى هذه المعلومات.
- لا تخف من رسائل البريد الإلكتروني النصية فقط: تم تشفير رسائل البريد الإلكتروني كمستندات HTML ، لكنها لم تكن سوى نصوص. عند النظر إلى "تحت الغطاء" ، كان هناك قدر هائل من الشفرات غير الضرورية التي لم تحقق أي شيء حقًا. يمكن أن يتم إرسال رسائل البريد الإلكتروني البسيطة نسبيًا ، والتي لا تحتوي إحداها على روابط في النص الأساسي ، كنص مقابل HTML. إذا كنت ستقوم بتشفير HTML ، فاستفيد من الصور والعناصر التقليدية الأخرى المرتبطة بالبريد الإلكتروني بتنسيق HTML لأن هذا ما يتوقعه المستلم وما تنظر إليه عوامل تصفية مكافحة البريد العشوائي لقياس نسب النص إلى الصورة.
أين تذهب الحكومة من هنا
يجب أن تأخذ حكومة الغد صفحة من الشركات الناشئة والشركات اليوم التي تعد تقنيات رائدة وطرق اتصال جديدة على الإنترنت. نظرًا لأن مجتمعنا يزداد تعقيدًا ، لا يستطيع النطاق البشري مواكبة النمو السكاني وتوقعات المستهلكين التي تتطور وتصبح أكثر تعقيدًا وأكثر ذكاءً من الناحية التكنولوجية.
لا أخطئ الوكالات الحكومية في عدم معرفتها للحد الأدنى من المتطلبات أو التوقعات الأساسية للمستهلكين عندما يتعلق الأمر بالبريد الإلكتروني أو غيره من أشكال الاتصالات الرقمية. ولكن ، من المهم أنه مهما كانت الرسائل التي تختارها أي وكالة حكومية ، سواء كانت مدفوعة بالتطبيق أو البريد الإلكتروني أو الرسائل القصيرة ، فيجب أن يتم ذلك بعناية ووفقًا لأفضل الممارسات الصناعية من أجل حماية الوكالة معك وأنا.
لمزيد من المعلومات حول مصادقة البريد الإلكتروني وأفضل الممارسات ، راجع دليل إمكانية تسليم البريد الإلكتروني لعام 2016 .