วิธีส่งอีเมลที่ปลอดภัย: 5 เคล็ดลับสำหรับผู้ส่งของรัฐบาล

เผยแพร่แล้ว: 2016-11-16

การรักษาความปลอดภัยการส่งข้อความและรัฐบาล

เมื่อเร็วๆ นี้ ฉันมีความยินดีเป็นอย่างยิ่งที่ได้พูดในหัวข้อ: How Do We Achieve the Google of Government? คณะกรรมการนี้เป็นส่วนหนึ่งของการประชุม Reverb ซึ่งจับคู่ผู้นำภาคเอกชนกับผู้ที่ทำงานในรัฐบาลเพื่อสร้างแรงบันดาลใจและขับเคลื่อนนวัตกรรมในสิ่งที่เราคิดว่าเป็นหน่วยงานที่ตามหลังในแง่ของการใช้และการใช้เทคโนโลยี

เมื่อฉันได้รับเชิญให้เข้าร่วมในการอภิปรายนี้ ฉันได้นั่งคุยกับ Kurt Diver หัวหน้าแผนก Deliveryability เพื่อใคร่ครวญว่า Google ของรัฐบาลมีหน้าตาเป็นอย่างไรจากมุมมองของการส่งข้อความ เราเจาะลึกเข้าไปในกล่องจดหมายของเราเพื่อดูตัวอย่างอีเมลที่เราได้รับจากหน่วยงานของรัฐ เพื่อดูว่าพวกเขาผ่านเกณฑ์ความปลอดภัยขั้นต่ำหรือไม่

ไม่น่าแปลกใจเลยที่อีเมลที่เราตรวจสอบไม่ตรงตามการทดสอบสารสีน้ำเงินสำหรับการส่งข้อความที่ปลอดภัย (เพื่อเป็นข้อจำกัดความรับผิดชอบ เราดูตัวอย่างเพียงไม่กี่ตัวอย่างจากซานฟรานซิสโก โอกแลนด์ และเดนเวอร์) ในทุกกรณี พวกเขาขาด DKIM (DomainKeys Identified Mail) ในโดเมนที่ส่งเพื่อให้แน่ใจว่าเนื้อหาของข้อความ

DKIM เป็นโซลูชันการเข้ารหัสที่ใช้โดยการส่งแพลตฟอร์มไปทั่วโลกและ ISP เพื่อช่วยให้แน่ใจว่าข้อความจะไม่ถูกดัดแปลงในระหว่างเที่ยวบินและโดเมนนั้นจะไม่ถูกปลอมแปลง ส่วนขยายของ DKIM หรือ DMARC ช่วยสร้างนโยบายที่โดเมนผู้รับ (เช่น Gmail หรือ Hotmail) สามารถอ้างอิงได้เมื่อมีข้อความมาถึงซึ่งไม่ผ่านการตรวจสอบ DKIM ผู้ให้บริการกล่องจดหมายควรทำอย่างไรกับข้อความนี้ เก็บมันไว้? ส่งมาให้? กักกันมัน? หรือวางลงบนพื้นเพราะมันหลอกลวง ออกแบบมาเพื่อหลอกลวงผู้อื่นในตัวตนของพวกเขา หรือแย่กว่านั้น?

เมื่อพิจารณาจากความแพร่หลายของอีเมลในข่าวระดับประเทศ และบ่อยครั้งที่มักเป็นพาหะของการละเมิดข้อมูลที่มีรายละเอียดสูง ข้อเท็จจริงที่ว่ารัฐบาลท้องถิ่นและรัฐไม่ได้ใช้ประโยชน์จากการตรวจสอบความถูกต้องของอีเมลเพื่อเพิ่มความน่าเชื่อถือของการสื่อสารทางดิจิทัลของพวกเขานั้นเป็นเรื่องที่น่าอึดอัดใจ

ในแง่ดี เมื่อเราดูที่ USPS เราพบว่านโยบาย DKIM ที่ถูกต้องตั้งค่าให้ปฏิเสธข้อความหลอกลวง นอกเหนือจากการใช้ประโยชน์จากโปรโตคอลการตรวจสอบสิทธิ์อีเมลพื้นฐาน เช่น SPF แล้ว อีเมล USPS ยังถูกส่งโดยใช้ TLS (Transport Layer Security) ซึ่งเป็นวิธีการฉวยโอกาสในการเข้ารหัสอีเมลระหว่างผู้ส่งไปยังผู้รับ ซึ่งทำให้แน่ใจได้ว่าไม่มีใครสามารถอ่านเนื้อหาขณะท่องอินเทอร์เน็ตได้ .

อาจเป็นไปได้ว่าหน่วยงานของรัฐไม่ทราบว่าข้อความที่ส่งผ่านมีช่องโหว่เพียงใด และความง่ายในการปลอมแปลงโดเมน เป็นที่เข้าใจกันว่าการส่งข้อความไม่ใช่หัวใจของรายละเอียดงานของท้องถิ่น รัฐ หรือรัฐบาลกลาง แต่เนื้อหาดังกล่าว ควร อยู่ในเรดาร์ของพวกเขา เนื่องจากมีประโยชน์ในการทำให้ฟังก์ชันบริการลูกค้าอัตโนมัติที่เกี่ยวข้องกับรัฐบาลที่ขับเคลื่อนด้วยประชาชน

การส่งข้อความเป็นเส้นทางสู่การทำงานอัตโนมัติ

ปีที่แล้ว ฉันใช้เวลาหนึ่งวันที่เด้งจากโต๊ะหนึ่งไปอีกโต๊ะหนึ่งที่ศาลากลางของซานฟรานซิสโกเพื่อพยายามขอใบอนุญาตประกอบธุรกิจ ขั้นตอนการสมัครทั้งหมดถูกขับเคลื่อนโดยมนุษย์และขาดความชัดเจน ล่าสุด ฉันได้รับใบเรียกเก็บเงินสำหรับใบอนุญาตประกอบธุรกิจฉบับหนึ่งซึ่งกำหนดให้ฉันต้องดาวน์โหลดใบสมัครในรูปแบบ PDF จากเว็บ กรอกแบบฟอร์ม แล้วส่งกลับมาที่ศาลากลางจังหวัด นี่คือสิ่งที่ฉันชอบคิดว่าเป็นความพยายามเพียงครึ่งเดียวในการแปลงกระบวนการง่ายๆ ให้เป็นดิจิทัล

ความจริงก็คือเว็บฟอร์มที่โฮสต์พร้อมทริกเกอร์อัจฉริยะสามารถยอมรับการส่งและออกการยืนยันการส่งนั้นพร้อมข้อมูลเพิ่มเติมได้ทันที เมื่อเอกสาร/คำขอได้รับการอนุมัติ สามารถส่งข้อความอื่นได้ กระบวนการที่เข้มข้นทางโทรศัพท์และแบบตัวต่อตัวจำนวนมากที่คั่นกลางศาลากลางสามารถทำได้ทางอิเล็กทรอนิกส์ผ่านอีเมลและแอพมือถือ

หลังจากที่ฉันส่งใบสมัครกลับมาที่ศาลากลางแล้ว ฉันได้รับการยืนยันทางอีเมลแล้ว ฉันต้องการฉลองอีเมลที่ได้รับจริงๆ แต่มันค่อนข้างยากเนื่องจากขาดคุณสมบัติการระบุพื้นฐานใดๆ ของการตลาดทั่วไปและการสื่อสารธุรกรรมในปัจจุบัน เช่นเดียวกับแบรนด์ Fortune 100 ที่กำหนดความคาดหวังของผู้บริโภค การทำงานภายใน (หรือไม่ก็ตาม) ของรัฐบาลจะกำหนดทัศนคติของพลเมืองต่อการติดต่อกับหน่วยงานในท้องถิ่น รัฐ และรัฐบาลกลาง

5 การส่งคำแนะนำสำหรับภาครัฐ

หลังจากดูอีเมลอีกเล็กน้อย ฉันได้รวบรวมรายการสั้นๆ ต่อไปนี้เพื่อช่วยทุกคนที่ทำงานในหน่วยงานในเมืองหรือของรัฐ และคิดเกี่ยวกับอีเมล เพื่อให้บริการผู้คนทางอิเล็กทรอนิกส์ได้ดียิ่งขึ้น

  1. ใช้ที่เป็นมิตรจาก: ข้อความที่ฉันได้รับมาจาก "noreply@" คิดถึงโทนที่ชุดนี้ เป็นเรื่องหนึ่งที่จะไม่ตอบรับการตอบกลับไปยังที่อยู่ใดที่อยู่หนึ่ง แต่ถ้าฉันหยุดที่ noreply และไม่สนใจที่จะอ่านโดเมน ฉันก็ไม่รู้ว่าใครเป็นคนส่ง
  2. รวมลายเซ็น: อีเมลไม่มีลายเซ็น—สั้นและให้ข้อมูล แต่ลองคิดดูอีกครั้งว่าการสื่อสารประเภทใดที่เราเคยเห็นในธรรมชาติ—พวกเขามีส่วนท้ายและส่วนหัว
  3. รวมตราประทับระบุตัวตน : ไม่มีตราประทับประจำเมืองเพื่อช่วยให้ฉันรู้ว่าอีเมลนี้มาจากศาลากลางของซานฟรานซิสโกหรือหน่วยงานที่เกี่ยวข้อง
  4. ระวังไฟล์แนบ : มีไฟล์แนบในอีเมลของฉัน ไฟล์แนบอีเมลไม่จำเป็นต้องเป็นแนวปฏิบัติที่ดีเสมอไป ในกรณีนี้ เป็นเอกสาร HTML ที่ไม่เป็นอันตรายมากกว่าไฟล์ zip, ปฏิบัติการได้ หรือเอกสารไบนารีอื่นๆ แต่จะเพิ่มโอกาสที่ข้อความนี้จะจบลงในโฟลเดอร์สแปม แนวทางปฏิบัติที่ดีที่สุดคือการเข้ารหัสข้อมูลในเนื้อหาของอีเมลหรือลิงก์กลับไปยังพอร์ทัลที่มีการเข้าสู่ระบบซึ่งสามารถเข้าถึงข้อมูลนี้ได้
  5. อย่ากลัวอีเมลแบบข้อความเท่านั้น: อีเมลถูกเข้ารหัสเป็นเอกสาร HTML แต่ไม่มีอะไรเลยนอกจากข้อความ เมื่อดู "ภายใต้ประทุน" มีโค้ดที่ไม่จำเป็นจำนวนมากที่ไม่สามารถทำอะไรได้สำเร็จจริงๆ อีเมลที่ค่อนข้างง่าย ซึ่งหนึ่งในนั้นไม่มีลิงก์ในเนื้อหา สามารถส่งเป็นข้อความเทียบกับ HTML ได้ หากคุณกำลังจะเขียนโค้ด HTML ให้ใช้ประโยชน์จากรูปภาพและองค์ประกอบดั้งเดิมอื่นๆ ที่เกี่ยวข้องกับอีเมล HTML เพราะนั่นคือสิ่งที่ผู้รับคาดหวังและตัวกรองป้องกันสแปมจะพิจารณาอย่างไรเพื่อวัดอัตราส่วนข้อความต่อรูปภาพ

ที่รัฐบาลไปจากที่นี่

รัฐบาลในวันพรุ่งนี้ควรนำหน้าออกจากการเริ่มต้นและธุรกิจในปัจจุบันซึ่งเป็นผู้บุกเบิกเทคโนโลยีและวิธีการสื่อสารใหม่บนอินเทอร์เน็ต เมื่อสังคมของเรามีความซับซ้อนมากขึ้นเรื่อยๆ ระดับมนุษย์ไม่สามารถก้าวให้ทันกับการเติบโตของประชากรและความคาดหวังของผู้บริโภคที่พัฒนาและซับซ้อนขึ้นเรื่อยๆ และมีความรอบรู้ในเทคโนโลยีมากขึ้น

ฉันไม่ได้โทษหน่วยงานของรัฐที่ไม่รู้ว่าข้อกำหนดขั้นต่ำหรือความคาดหวังพื้นฐานของผู้บริโภคเป็นอย่างไร เมื่อพูดถึงอีเมลหรือการสื่อสารดิจิทัลในรูปแบบอื่นๆ แต่สิ่งสำคัญคือไม่ว่าการส่งข้อความใดที่หน่วยงานของรัฐเลือก ไม่ว่าจะเป็นแอปที่ขับเคลื่อนด้วย อีเมล หรือ SMS จะต้องดำเนินการด้วยความระมัดระวังและเป็นไปตามแนวทางปฏิบัติที่ดีที่สุดของอุตสาหกรรม เพื่อปกป้องหน่วยงานไปพร้อมกับคุณและฉัน

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตรวจสอบสิทธิ์อีเมลและแนวทางปฏิบัติที่ดีที่สุด โปรดดูที่ คู่มือการส่งอีเมลประจำปี 2559 ของ เรา