So senden Sie eine sichere E-Mail: 5 Tipps für staatliche Absender

Messaging-Sicherheit und Regierung

Ich hatte kürzlich das Vergnügen, auf einem Panel mit dem Titel „ How Do We Achieve the Google of Government? “ zu sprechen. Das Panel war Teil der Reverb-Konferenz, die Führungskräfte aus der Privatwirtschaft mit Regierungsmitarbeitern zusammenbringt, um Innovationen in Organisationen zu inspirieren und voranzutreiben, von denen wir normalerweise annehmen, dass sie in Bezug auf den Einsatz und die Implementierung von Technologie hinterherhinken.

Als ich zur Teilnahme an diesem Panel eingeladen wurde, setzte ich mich mit Kurt Diver, unserem Head of Deliverability, zusammen, um darüber nachzudenken, wie das Google of Government aus Sicht der Nachrichtenübermittlung aussah. Wir tauchten tief in unsere Posteingänge ein, um Beispiele von E-Mails herauszufischen, die wir von Regierungsbehörden erhalten hatten, um zu sehen, ob sie ein Mindestmaß an Sicherheit erfüllten.

Es überrascht nicht, dass die von uns überprüften E-Mails unseren Lackmustest für sicheres Messaging nicht bestanden haben. (Als Haftungsausschluss haben wir uns nur einige Beispiele aus San Francisco, Oakland und Denver angesehen.) In allen Fällen fehlte ihnen DKIM (DomainKeys Identified Mail) auf ihren sendenden Domains, um den Inhalt der Nachricht sicherzustellen.

DKIM ist eine kryptografische Lösung, die von Sendeplattformen auf der ganzen Welt und ISPs verwendet wird, um sicherzustellen, dass Nachrichten während der Übertragung nicht manipuliert und Domains nicht gefälscht werden. Die Erweiterung von DKIM, DMARC, hilft beim Erstellen einer Richtlinie, auf die eine empfangende Domain (wie Gmail oder Hotmail) verweisen kann, wenn eine Nachricht eintrifft, die eine DKIM-Prüfung nicht bestanden hat. Was soll der Mailbox-Provider mit dieser Nachricht machen? Behalte es? Stelle es zu? Quarantäne? Oder es auf den Boden fallen lassen, weil es täuschend ist, jemanden um seine Identität betrügen soll, oder Schlimmeres?

Angesichts der Verbreitung von E-Mails in den nationalen Nachrichten und der Tatsache, dass E-Mails häufig ein Vektor für hochkarätige Datenschutzverletzungen sind, ist die Tatsache, dass lokale und staatliche Regierungen die E-Mail-Authentifizierung nicht nutzen, um die Vertrauenswürdigkeit ihrer digitalen Kommunikation zu erhöhen, beunruhigend.

Auf der positiven Seite, als wir uns den USPS ansahen, fanden wir eine gültige DKIM-Richtlinie, die betrügerische Nachrichten ablehnt. Zusätzlich zur Nutzung grundlegender E-Mail-Authentifizierungsprotokolle wie SPF wurde die USPS-E-Mail mit TLS (Transport Layer Security) gesendet, einem opportunistischen Mittel zur Verschlüsselung von E-Mails auf dem Weg vom Absender zum Empfänger, das sicherstellt, dass niemand den Inhalt lesen kann, während er das Internet durchquert .

Es kann sein, dass sich Regierungsbehörden nicht bewusst sind, wie anfällig Nachrichten bei der Übertragung sein können und wie einfach eine Domäne gefälscht werden kann. Verständlicherweise steht Messaging nicht im Mittelpunkt der Stellenbeschreibungen von Kommunal-, Landes- oder Bundesbehörden, aber angesichts seines Nutzens bei der Automatisierung von Kundendienstfunktionen im Zusammenhang mit einer von Menschen gesteuerten Regierung sollte es wohl auf ihrem Radar stehen.

Messaging als Weg zur Automatisierung

Letztes Jahr verbrachte ich einen Tag damit, im Rathaus von San Francisco von Schreibtisch zu Schreibtisch zu hüpfen, um eine Geschäftslizenz zu erhalten. Der gesamte Bewerbungsprozess war menschlich gesteuert und es mangelte an Klarheit. Dann, zuletzt, erhielt ich eine Rechnung für eine der Gewerbelizenzen, für die ich einen Antrag im PDF-Format aus dem Internet herunterladen, ausfüllen und an das Rathaus zurücksenden musste. Dies ist, was ich gerne als einen halbwegs engagierten Versuch betrachte, einen einfachen Prozess zu digitalisieren.

Tatsache ist, dass gehostete Webformulare mit intelligenten Auslösern eine Übermittlung problemlos akzeptieren und sofort eine Bestätigung dieser Übermittlung mit zusätzlichen Informationen ausstellen können. Sobald der Papierkram/die Anfrage genehmigt wurde, kann eine weitere Nachricht gesendet werden. Viele der telefonischen und persönlichen intensiven Prozesse, die das Rathaus prägen, könnten elektronisch über E-Mail und mobile Apps durchgeführt werden.

Nachdem ich meinen Antrag an das Rathaus zurückgeschickt hatte, erhielt ich eine E-Mail-Bestätigung. Ich möchte die E-Mail, die ich erhalten habe, wirklich feiern, aber es ist ziemlich schwierig angesichts der Tatsache, dass ihr eines der grundlegenden Erkennungsmerkmale des heutigen gewöhnlichen Marketings und der Transaktionskommunikation fehlte. Wie die Fortune-100-Marken, die die Erwartungen der Verbraucher prägen, prägt das Innenleben (oder auch nicht) der Regierung die Einstellung der Bürger zum Umgang mit lokalen, staatlichen und bundesstaatlichen Behörden.

5 Versandtipps für den öffentlichen Sektor

Nachdem ich mir die E-Mails ein wenig genauer angesehen habe, habe ich die folgende kurze Liste zusammengestellt, um allen zu helfen, die in einer Stadt- oder Landesbehörde arbeiten und über E-Mail nachdenken, um Menschen besser elektronisch zu bedienen.

1. Verwenden Sie einen freundlichen Absender: Die Nachricht, die ich erhalten habe, kam von „noreply@“. Denken Sie an den Ton, den dies angibt. Es ist eine Sache, keine Antworten an eine bestimmte Adresse zu akzeptieren, aber wenn ich bei noreply anhalten und mir nicht die Mühe machen würde, die Domain zu lesen, hätte ich keine Ahnung, wer der Absender war.
2. Fügen Sie eine Signatur hinzu: Der E-Mail fehlte eine Signatur – sie war kurz und informativ, aber denken Sie noch einmal an die Art von Kommunikation, die wir in freier Wildbahn gewohnt sind – sie hat Fuß- und Kopfzeilen.
3. Fügen Sie ein Identifizierungssiegel hinzu : Es gab kein Stadtsiegel, das mir helfen würde zu wissen, dass diese E-Mail von der City Hall von San Francisco oder einer damit verbundenen Behörde kam.
4. Vorsicht bei Anhängen : Meine E-Mail enthielt einen Anhang. E-Mail-Anhänge sind nicht unbedingt empfehlenswert. In diesem Fall war es ein HTML-Dokument, das harmloser ist als eine Zip-Datei, eine ausführbare Datei oder ein anderes Binärdokument, aber es erhöht die Wahrscheinlichkeit, dass diese Nachricht im Spam-Ordner landet. Die beste Vorgehensweise besteht hier darin, die Informationen im Textkörper der E-Mail zu verschlüsseln oder auf ein Portal mit einem Login zurückzuverlinken, wo auf diese Informationen zugegriffen werden kann.
5. Keine Angst vor Nur-Text-E-Mails: Die E-Mails wurden als HTML-Dokumente kodiert, waren aber nichts als Text. Beim Blick „unter die Haube“ gab es eine enorme Menge an unnötigem Code, der wirklich nichts bewirkte. Die relativ einfachen E-Mails, von denen eine keine Links im Text hatte, hätten als Text vs. HTML gesendet werden können. Wenn Sie HTML codieren, nutzen Sie Bilder und andere traditionelle Elemente, die mit HTML-E-Mails verbunden sind, denn das ist es, was der Empfänger erwartet und worauf Anti-Spam-Filter achten, um das Verhältnis von Text zu Bild zu messen.

Wohin die Regierung von hier aus geht

Die Regierung von morgen sollte sich an den Startups und Unternehmen von heute orientieren, die wegweisende Technologien und neue Kommunikationsmethoden im Internet sind. Da unsere Gesellschaft immer komplexer wird, kann die menschliche Größe nicht mit dem Bevölkerungswachstum und den Verbrauchererwartungen Schritt halten, die sich weiterentwickeln und immer komplexer und technologisch versierter werden.

Ich mache Regierungsbehörden keinen Vorwurf, dass sie nicht wissen, was die Mindestanforderungen oder Grunderwartungen der Verbraucher sind, wenn es um E-Mail oder andere Formen der digitalen Kommunikation geht. Aber es ist wichtig, dass jede Art von Messaging, das eine Regierungsbehörde wählt, ob App-gesteuert, E-Mail oder SMS, mit Sorgfalt und gemäß den Best Practices der Branche erfolgen muss, um die Behörde zusammen mit Ihnen und mir zu schützen.

Weitere Informationen zur E-Mail-Authentifizierung und Best Practices finden Sie in unserem Leitfaden zur E-Mail-Zustellbarkeit 2016 .