Cum să trimiteți un e-mail securizat: 5 sfaturi pentru expeditorii guvernamentali

Securitatea mesajelor și Guvernul

Recent, am avut plăcerea de a vorbi la un panou intitulat: Cum realizăm Google of Government? Panoul a făcut parte din Conferința Reverb, care reunește liderii din sectorul privat cu cei care lucrează în guvern pentru a inspira și impulsiona inovația în ceea ce presupunem în mod normal că sunt agenții în urmă în ceea ce privește utilizarea și implementarea tehnologiei.

Când am fost invitat să particip la acest panel, m-am întâlnit cu Kurt Diver, șeful nostru de livrabilitate, pentru a rumina despre cum arată Google of Government din punct de vedere al mesajelor. Ne-am scufundat adânc în căsuțele noastre de e-mail pentru a găsi exemple de e-mailuri pe care le-am primit de la agențiile guvernamentale pentru a vedea dacă au îndeplinit un nivel minim de securitate.

Nu este surprinzător că e-mailurile pe care le-am examinat nu au îndeplinit testul nostru de turnesol pentru mesaje sigure și securizate. (Ca declinare a răspunderii, ne-am uitat doar la câteva exemple din San Francisco, Oakland și Denver.) În toate cazurile, nu aveau DKIM (DomainKeys Identified Mail) pe domeniile lor de trimitere pentru a asigura conținutul mesajului.

DKIM este o soluție criptografică folosită de platformele de trimitere din întreaga lume și de furnizorii de servicii de internet pentru a vă asigura că mesajele nu sunt modificate în timpul zborului și că domeniile nu sunt falsificate. Extensia DKIM, DMARC, ajută la crearea unei politici la care un domeniu de primire (cum ar fi Gmail sau Hotmail) o poate face referire atunci când sosește un mesaj care a eșuat verificarea DKIM. Ce ar trebui să facă furnizorul de căsuțe poștale cu acest mesaj? Păstrează-l? Livreaz-o? O carantina? Sau aruncați-o pe podea pentru că este înșelătoare, concepută pentru a frauda cuiva identitatea sau mai rău?

Având în vedere prevalența e-mailului în știrile naționale și că este adesea un vector în încălcări de date cu profil înalt, faptul că guvernele locale și de stat nu folosesc autentificarea e-mailului pentru a crește fiabilitatea comunicațiilor lor digitale este deconcertant.

Pe partea bună, când ne-am uitat la USPS, am găsit o politică DKIM validă setată pentru a respinge mesajele frauduloase. Pe lângă utilizarea protocoalelor de autentificare a e-mailului de bază, cum ar fi SPF, e-mailul USPS a fost trimis folosind TLS (Transport Layer Security), un mijloc oportunist de criptare a e-mailului în zbor de la expeditor la destinatar, care asigură că nimeni nu poate citi conținutul pe măsură ce traversează Internetul. .

Este posibil ca agențiile guvernamentale să nu fie conștiente de cât de vulnerabile pot fi mesajele în tranzit și de ușurința cu care un domeniu poate fi falsificat. De înțeles, mesageria nu se află în centrul fișei de post a guvernului local, de stat sau federal, dar ar trebui să fie pe radarul lor, având în vedere utilitatea sa în automatizarea funcțiilor de servicii pentru clienți asociate cu un guvern condus de oameni.

Mesajele ca o cale către automatizare

Anul trecut, am petrecut o zi sărind de la birou la birou la Primăria din San Francisco, încercând să obțin o licență de afaceri. Întregul proces de aplicare a fost condus de om și lipsit de claritate. Apoi, cel mai recent, am primit o factură pentru una dintre licențele de afaceri care mi-a cerut să descarc o cerere în format PDF de pe web, să o completez și să o trimit înapoi la Primărie. Aceasta este ceea ce îmi place să cred ca fiind o încercare pe jumătate angajată de a digitaliza un proces simplu.

Faptul este că formularele web găzduite cu declanșatoare inteligente pot accepta cu ușurință o trimitere și pot emite instantaneu o confirmare a acelei trimiteri cu informații suplimentare. Odată ce documentația/cererea a fost aprobată, se poate trimite un alt mesaj. Multe dintre procesele intensive telefonice și în persoană care punctează Primăria ar putea fi efectuate electronic prin e-mail și aplicații mobile.

După ce mi-am trimis cererea înapoi la Primărie, am primit o confirmare prin e-mail. Îmi doresc foarte mult să sărbătoresc e-mailul pe care l-am primit, dar este destul de dificil, având în vedere faptul că nu avea niciuna dintre caracteristicile de identificare de bază ale comunicațiilor tranzacționale și de marketing curente de astăzi. La fel ca mărcile Fortune 100 care modelează așteptările consumatorilor, funcționarea interioară (sau nu) a guvernului modelează atitudinile cetățenilor față de relațiile cu agențiile locale, statale și federale.

5 Sfaturi de trimitere pentru sectorul public

După ce m-am uitat puțin mai mult la e-mail, am alcătuit următoarea listă scurtă pentru a ajuta pe oricine care lucrează într-o agenție de oraș sau de stat și se gândește la e-mail, pentru a servi mai bine oamenii pe cale electronică.

1. Utilizați un prieten de la: mesajul primit de la „noreply@”. Gândiți-vă la tonul pe care îl dă acest lucru. Un lucru este să nu accept răspunsuri la o anumită adresă, dar dacă m-aș opri la noreply și nu m-aș deranja să citesc domeniul, n-aș avea nicio idee cine a fost expeditorul.
2. Includeți o semnătură: e-mailul nu avea o semnătură - era scurt și informațional, dar, din nou, gândiți-vă la tipul de comunicări pe care suntem obișnuiți să le vedem în sălbăticie - au subsoluri și anteturi.
3. Includeți un sigiliu de identificare : nu a existat niciun sigiliu de oraș care să mă ajute să știu că acest e-mail a venit de la Primăria din San Francisco sau de la o agenție asociată.
4. Atenție la atașamente : a fost un atașament în e-mailul meu. Atașamentele de e-mail nu sunt neapărat o practică bună. În acest caz, a fost un document HTML care este mai bun decât un fișier zip, executabil sau alt document binar, dar crește probabilitatea ca acest mesaj să ajungă în dosarul de spam. Cea mai bună practică aici este să codificați informațiile din corpul e-mailului sau să faceți un link înapoi la un portal cu o autentificare unde aceste informații ar putea fi accesate.
5. Nu vă fie teamă de e-mailurile doar text: e-mailurile au fost codificate ca documente HTML, dar nu erau decât text. Când mă uitam „sub capotă”, a existat o cantitate imensă de cod inutil care cu adevărat nu realiza nimic. E-mailurile relativ simple, dintre care unul nu avea linkuri în corp, ar fi putut fi trimise ca text vs. HTML. Dacă aveți de gând să codificați HTML, folosiți imaginile și alte elemente tradiționale asociate cu e-mailul HTML, pentru că la asta se așteaptă destinatarul și la ce se uită filtrele anti-spam pentru a măsura raportul dintre text și imagine.

Unde se duce guvernul de aici

Guvernul de mâine ar trebui să ia o pagină din startup-urile și afacerile de astăzi care sunt tehnologii de pionierat și noi metode de comunicare pe Internet. Pe măsură ce societatea noastră devine din ce în ce mai complexă, scara umană nu poate ține pasul cu creșterea populației și cu așteptările consumatorilor care evoluează și devin din ce în ce mai complexe și mai avansate din punct de vedere tehnologic.

Nu reproșez agențiilor guvernamentale că nu știu care sunt cerințele minime sau așteptările de bază ale consumatorilor când vine vorba de e-mail sau alte forme de comunicare digitală. Însă, este important ca orice mesaje pe care le alege o agenție guvernamentală, fie că este bazată pe aplicație, prin e-mail sau prin SMS, trebuie făcută cu grijă și în conformitate cu cele mai bune practici din industrie, pentru a proteja agenția împreună cu tine și cu mine.

Pentru mai multe despre autentificarea e-mailului și cele mai bune practici, consultați Ghidul nostru de livrare e-mail 2016 .