ของรัฐบาลทุกคนว่ามีงบประมาณเพียงพอสำหรับการรักษาความปลอดภัยทางไซเบอร์หรือไม่ พวกเขาจะบอกว่า ‘ไม่’ และในหลายกรณีนั่นอาจเป็นข้อความจริง” D’Angelo กล่าวว่าหน่วยงานใช้จ่ายประมาณร้อยละ 62 ของงบประมาณทางไซเบอร์ในการรักษาความปลอดภัยเครือข่ายและโครงสร้างพื้นฐาน แต่เพียงส่วนน้อยในอีเมลD’Angelo กล่าวว่าไม่มีผู้ขายรายเดียวที่สามารถทำทุกอย่างได้ แต่ผู้ขายรายเดียวในหมวดหมู่หลักนั้นสมเหตุสมผล “คุณไม่จำเป็นต้องมีผู้ให้บริการสี่หรือห้ารายสำหรับการรักษาความปลอดภัยอีเมล โดยเฉพาะอย่างยิ่งเมื่อโซลูชัน
มีแนวโน้มที่จะทำงานร่วมกันเป็นระบบเดียวในการวิเคราะห์ ระบุ บล็อก และแก้ไขภัยคุกคาม”
ในเดือนตุลาคม 2017 แผนกความมั่นคงแห่งมาตุภูมิได้ออกคำสั่งที่เรียกว่า Binding Operational Directive 18-01 ซึ่งบังคับให้หน่วยงานพลเรือนใช้ Domain-based Message Authentication, Reporting & Conformance protocol (DMARC) ซึ่งเป็นเทคโนโลยีในการตรวจสอบอีเมล
คำสั่งนี้มีขึ้นเพื่อป้องกันอาชญากรไซเบอร์จากการจี้อีเมลและขโมยเงินหรือเทคโนโลยีภายในหน่วยงาน จากการแสร้งทำเป็นเจ้าหน้าที่รัฐสภาและแสวงหาการบริจาคเพื่อการรณรงค์ หรือจากการปลอมแปลงโดเมนอีเมลที่ถูกต้องและจำลองผู้ใช้ให้คลิกหรือป้อนข้อมูลที่ละเอียดอ่อน
ฤดูร้อนที่ผ่านมา Dana Deasy ซีไอโอของกระทรวงกลาโหมได้รับคำสั่งให้นำโปรโตคอล DMARC มาใช้สำหรับทั้งแผนก
“เป็นขั้นตอนแรกที่ดีในการพยายามรักษาความปลอดภัยอีเมล แต่ปัญหาหนึ่งที่ผมอยากจะเห็นการเปลี่ยนแปลงของรัฐบาลก็คือ คำสั่งเหล่านี้มักจะมาโดยไม่มีเงินทุนหรือการจัดการแบบรวมศูนย์” D’Angelo กล่าว
เขาเรียกร้องให้มีการ “สั่งการด้วยฟัน” จัดสรรงบประมาณใหม่เพื่อเพิ่มค่าใช้จ่าย
ด้านความปลอดภัยของอีเมล มุ่งเน้นไปที่ VAP และเน้นการฝึกอบรมความตระหนักด้านความปลอดภัยมากขึ้น
“คุณต้องสันนิษฐานว่ามีคนมักจะเปิดชิ้นส่วนของมัลแวร์ คลิกที่ URL ไปที่ไซต์ที่ไม่ถูกต้อง และป้อนข้อมูลประจำตัวของพวกเขา ด้วยการฝึกอบรมความตระหนักด้านความปลอดภัย หน่วยงานสามารถระบุพนักงานที่เปราะบางและผิดพลาดได้มากกว่าภายในองค์กร ปรับแต่งการฝึกอบรมสำหรับพวกเขา และป้องกันไม่ให้ผู้โจมตีเข้ามาที่ประตูหน้าตั้งแต่แรก” D’Angelo กล่าว
กฎที่เสนอโดย OPM จะครอบคลุมหน่วยงานพลเรือนส่วนใหญ่ แต่ไม่รวมถึงกระทรวงกลาโหม ซึ่งได้รับการยกเว้นจาก EO ของประธานาธิบดี โดยเฉพาะอย่างยิ่ง กฎระเบียบให้อำนาจแก่หน่วยงานในการพิจารณาว่าพวกเขามีปัญหาการขาดแคลนผู้สมัครอย่างมากในชุดการจัดการเทคโนโลยีสารสนเทศหรือการขาดแคลน “ผู้สมัครที่มีคุณสมบัติสูง” สำหรับแผนกกิจการทหารผ่านศึกหรือไม่