จำนวนเอเจนซี่ที่เล่น “Russian Roulette” ด้วยอีเมลของพวกเขายังคงสูงอย่างน่าอัศจรรย์ไม่ถึงสองเดือนก่อนเส้นตายของกระทรวงความมั่นคงแห่งมาตุภูมิในวันที่ 16 ตุลาคม จำนวนโดเมนหน่วยงานที่ยังไม่เป็นไปตามข้อกำหนดภายใต้ Binding Operational Directive 18-01 มีมากกว่า 200 โดเมน
เป้าหมายหลักของ BODตั้งแต่เดือนตุลาคมปีที่แล้วคือการให้หน่วยงานต่างๆ เปลี่ยนไปใช้โปรโตคอล Domain-based Message Authentication, Reporting and Conformance (DMARC)
อย่างเต็มรูปแบบ ซึ่งเป็นระบบตรวจสอบอีเมลที่ออกแบบมาเพื่อตรวจจับ
และป้องกันการปลอมแปลงอีเมล นอกจากนี้ยังต้องใช้ Hyper Text Transfer Protocol Secure (HTTPS), HTTP Strict Transport Security (HSTS) และปิดใช้งานมาตรฐานการเข้ารหัสที่อ่อนแอกว่า
“หากคุณไม่รู้ว่าอีเมลมาจากที่ใด นั่นคือการสร้างความเสี่ยงจากแพลตฟอร์มการสื่อสารอันดับหนึ่ง” Alexander Garcia-Tobarซีอีโอของ VailMail บริษัทด้านความปลอดภัยทางไซเบอร์ที่มุ่งเน้นการใช้ DMARC และมาตรฐานการป้องกันอีเมลอื่นๆ กล่าวที่ การประชุมสุดยอดทางไซเบอร์ล่าสุดที่ได้รับการสนับสนุนจาก 1105 Government Information Group ในวอชิงตัน “ความเสี่ยงยังคงเพิ่มขึ้นเนื่องจากอีเมลไม่ปลอดภัยอย่างสมบูรณ์ อาชญากร ผู้มีบทบาทของรัฐ และอื่นๆ กำลังใช้ประโยชน์จากข้อเท็จจริงที่ว่าอีเมลไม่ได้รับการพิสูจน์ตัวตน คุณจะไม่ยอมรับบัตรเครดิตโดยไม่รูดบัตร แต่ดูเหมือนว่าจะไม่เป็นไรในการรับอีเมลตามมูลค่าของบัตร”
CX Exchange ของ Federal News Network: เข้าร่วมกับเราในช่วงบ่ายสองวันที่ 26 และ 27 เมษายน ซึ่งเราจะสำรวจเทคโนโลยี นโยบาย และกระบวนการที่สนับสนุนความพยายามของหน่วยงานในการให้บริการสาธารณะ ธุรกิจ และเจ้าหน้าที่ของรัฐอย่างมีประสิทธิภาพมากขึ้น
เว็บไซต์ของสำนักงานการจัดการและงบประมาณติดตามความคืบหน้า
ของหน่วยงานเทียบกับ BOD 18-01 และข้อกำหนดอื่น ๆ ที่เกี่ยวข้อง แสดงให้เห็นหน่วยงานที่น่าประหลาดใจบางหน่วยงานที่มีความคืบหน้าเพียงเล็กน้อยหรือไม่มีเลยในการปฏิบัติตาม คณะกรรมการการเลือกตั้งแห่งสหพันธรัฐมีความสมบูรณ์อยู่ที่ 28 เปอร์เซ็นต์ สำนักคุ้มครองผู้บริโภคทางการเงินเสร็จสมบูรณ์ที่ 33 เปอร์เซ็นต์ และกรมธนารักษ์มีความสมบูรณ์อยู่ที่ร้อยละ 55
ที่มา: เว็บไซต์ OMB pulse.cio.gov
นี่เป็นเพียงสามหน่วยงานที่ติดต่อกับสาธารณะ และแฮ็กเกอร์สามารถปลอมแปลงบัญชีอีเมลของตนได้อย่างง่ายดายเพื่อหลอกลวงประชาชนให้เปิดเผยข้อมูลส่วนบุคคล เพิ่มเติม: OMB พบในรายงาน Federal Information Security Management Act ปี 2017 ที่เสนอต่อสภาคองเกรสว่าจำนวนการโจมตีทางอีเมลหรือฟิชชิ่งเพิ่มขึ้นสองเท่าในปี 2017 เป็นมากกว่า 7,300 ครั้ง
แพทริก ปีเตอร์สันผู้ก่อตั้งและประธานบริหารของ Agari ซึ่งเป็นบริษัทไซเบอร์อีกแห่งที่ปกป้องอีเมล กล่าวว่า 81 เปอร์เซ็นต์ของหน่วยงานพลเรือนได้นำ DMARC ระยะที่หนึ่งมาใช้ ซึ่งหมายความว่าพวกเขาสามารถยืนยันที่อยู่อีเมลของตนกับผู้ใช้รายอื่นได้
เขากล่าวว่า 52 เปอร์เซ็นต์ของหน่วยงานได้ดำเนินการส่วนที่สองของ DMARC ซึ่งมุ่งเน้นไปที่การปกป้อง ปฏิเสธ และบังคับใช้โปรโตคอลความปลอดภัยของชื่อโดเมน
“ในอีก 2-3 เดือนข้างหน้า เพื่อให้ได้ 100 เปอร์เซ็นต์ทั่วทั้งรัฐบาลนั้นไม่ใช่เรื่องง่าย” ปีเตอร์สันกล่าว “ในการเข้าสู่ระยะที่ 2 เอเจนซีต้องติดตามผู้ส่งที่เป็นบุคคลที่สามทั้งหมด นั่นหมายถึงเอเจนซีย่อยทั้งหมดที่ใช้โดเมนย่อยเพื่อส่งอีเมล ที่จะใช้งานได้ แต่หวังว่าภายในกำหนดเส้นตายของเดือนตุลาคม เอเจนซี่จะเข้าใกล้ 75 ถึง 80 เปอร์เซ็นต์มากขึ้น นั่นจะเป็นการพลิกกลับหนึ่งปีที่ดีทีเดียว”
กรณีศึกษา HHS โดยใช้ DMARC
Peterson ชี้ไปที่กรณีศึกษาที่ Agari ชอบเน้นว่าเหตุใด DMARC จึงมีความสำคัญมาก อาการิทำงานร่วมกับกรมอนามัยและบริการมนุษย์เพื่อปกป้องเว็บไซต์HealthCare.gov
หลังจากใช้ DMARC ในปี 2559 HHS ไม่พบแคมเปญฟิชชิงกับเว็บไซต์ดูแลสุขภาพยอดนิยม
“หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของพวกเขาส่งข้อความถึงเราโดยแจ้งว่าไม่มีฟิชชิ่งเกิดขึ้น และเขาคิดว่ามีบางอย่างผิดปกติกับระบบ เราตรวจสอบอีกครั้งเป็นสองเท่า และพบว่าทุกอย่างปกติดี” ปีเตอร์สันกล่าว “อีเมลถูกปฏิเสธและไม่ได้รับการจัดส่ง พวกผู้ร้ายได้ออกไปโจมตีหน่วยงานอื่นเพราะการส่งอีเมลแจ้งพลเมืองปลอมไม่ได้ผลดี”
