"Шифрованная связь - это не дополнительная опция, а обязанность".
Интервью с налоговым юристом Матиасом Баенцем о безопасности, ответственности и доверии клиентов.
Вопрос: Господин Баенц, поскольку мы уже общались, прежде чем представить вас и вашу юридическую фирму, мне было бы очень интересно узнать: Почему зашифрованная связь так важна для юристов?
Ответ: Шифрованная связь для юристов - это не совсем то, что касается только юристов - это должно касаться всех. Но для юристов существует еще и профессиональное правовое измерение. Это означает, что юристы действуют в рамках особого свода правил и имеют определенные обязанности, которые не применяются в частной сфере.
Это означает, что, будучи юристом, я просто имею свод правил, которые диктуют мне определенные вещи, в то время как, будучи частным пользователем, я могу спросить себя: Затрагивает ли это меня вообще? Интересует ли это меня? Считаю ли я это плохим? С другой стороны, как юрист, я всегда должен учитывать не только свое профессиональное право, но и, прежде всего, интересы своего клиента.
Существуют четкие рекомендации, которые гласят: Я не должен вредить интересам своего клиента. Кстати, эти правила существовали всегда. Но в связи с проблемой защиты данных возникли новые риски, один из которых - риск вмешательства. И все адвокаты должны относиться к этому серьезно. Все юристы обязаны следить за тем, чтобы клиент не подвергался риску утечки данных, непреднамеренного доступа к ним или их публикации.
Это можно обеспечить только с помощью подлинной, зашифрованной связи, такой как Tuta Mail. Однако многие юристы даже не подозревают, что это так, и что к этому нужно относиться серьезно. Обычные технические меры предосторожности при передаче электронной почты, такие как TLS, просто не обеспечивают этого.
Думаю, большинство юристов даже не знают, что такое SSL или TLS. Провайдеры электронной почты обычно успокаивают пользователей, говоря, что соединение зашифровано. Часто это отображается так: “Соединение зашифровано”. Но многие люди не знают, что это относится только к соединению с их собственным почтовым сервером. Остальная часть соединения, по сути, не зашифрована.
Это означает, что данные могут быть перехвачены и изменены. Этот факт просто не знают и не воспринимают достаточно серьезно. Люди часто говорят: “Ну и что в этом плохого?“. Или: “Кого это должно волновать?”, и при таком отношении реальная угроза даже не замечается. Однако, на мой взгляд, шифрованная связь - это не дополнительная опция, а обязанность, особенно для юристов.
Вопрос: Да, я думаю, что тема “быть измененным” также очень важна, потому что большинство людей не обращают на нее внимания. Недавно в Германии в СМИ появилась информация о том, что счет-фактура, отправленный по электронной почте одной из компаний, был подделан. Насколько велик здесь риск и какова ответственность компаний, когда электронные письма, особенно счета-фактуры, отправляются без шифрования? Должны ли компании полагаться на зашифрованные электронные письма?
Ответ: Риск огромен - и в данном случае заказчику пришлось узнать об этом на собственном опыте. Но, разумеется, это всегда применимо в обоих направлениях. Возможно, сначала стоит кратко объяснить, в чем заключалась проблема в данном конкретном случае.
Электронный почтовый ящик компании был взломан - по крайней мере, так предположил суд. Давайте примем это за основу. Значит, кто-то вмешался - хакер. Учетная запись получателя, то есть платежного счета, была изменена для всех писем, связанных с документами по счетам. Все остальное выглядело точно так же. Письма выглядели так же, только номер счета был изменен. Однако никто этого не заметил - ни компания, ни клиент.
Затем суд установил две вещи. Во-первых, выполнил ли клиент свой долг этим платежом на счет, указанный в счете? Нет, сказал суд, не исполнил. Другими словами, долг оставался непогашенным. Это был первый серьезный удар для клиента - то, что он не выполнил свой долг, несмотря на оплату 11 000 евро.
Суд не мог решить иначе. Если деньги не поступили туда, куда следовало, значит, они не были уплачены.
Вопрос о том, должна ли была компания сделать что-то для предотвращения взлома - например, зашифровать электронную почту, - изначально не имел значения в данном контексте. Он стал актуальным только тогда, когда возник вопрос: несет ли компания ответственность за ущерб? Не является ли ущербом именно та сумма, которую клиент перевел за бесценок?
Суд сказал: Может быть, но не вся сумма.
Дело в том, что суд затем сказал: обе договаривающиеся стороны вступили в рискованную форму общения. Поэтому действует принцип: тот, кто добровольно участвует в чем-то рискованном, должен нести этот риск как ответственный гражданин. В обстоятельствах, когда знания и опыт распределены неравномерно, например, гигантские корпорации против потребителей, ситуация может быть иной.
Однако в данном случае речь шла об известной компании с одной стороны и известном потребителе с другой. Поэтому суд не смог доказать значительную разницу в знаниях и сказал: в принципе, риск несут оба.
Однако в конечном итоге компания была “награждена” чуть большей виной, поскольку суд сказал: “Вы нарушили еще одну обязанность - а именно обязанность по Общему регламенту защиты данных обеспечить безопасность собственной ИТ-системы”.
Когда Баенца спросили, что бы он посоветовал другим юридическим фирмам, не решающимся перейти на платформы шифрованной связи, он посоветовал бы начать с малого, например, с учетной записи Tuta Mail.
Вопрос: Это очень интересно. Значит ли это, что клиент должен был требовать шифрованной связи?
Ответ: Если они хотят перестраховаться - да, именно так. Можно сказать и так. Суд сказал: вы оба участвовали в этом уязвимом общении, поэтому вы оба виноваты.
Вопрос: Это действительно интересно. Чтобы предотвратить описанные вами проблемы - то есть то, что адвокаты должны защищать, то, что они обязаны делать, - вы и ваша юридическая фирма предлагаете различные варианты зашифрованной связи, а не только Tuta Mail. Почему для вас так важно, чтобы клиент мог выбирать разные каналы связи?
Ответ: В этом есть два разных аспекта. Один аспект заключается в том, что я хочу предоставить клиенту возможность выбора. Это не обязанность, которую на меня накладывают, но с моей точки зрения, было бы неправильно придерживаться одной системы и отвергать все остальные. В конце концов, я не знаю, какие варианты клиент может уже использовать. И я не хочу создавать дополнительный барьер, я хочу сделать все как можно проще .
Именно поэтому мы предлагаем различные варианты. Если вы хотите работать с PGP, соглашайтесь. Если вы хотите работать с Tuta Mail, сделайте это. Если у вас есть что-то другое, сделайте это по-другому.
Второй аспект: если я размещаю свои коммуникации в разных инструментах, то создаю меньше потенциальных векторов атак в одном месте. Это своего рода стратегия разделения, чтобы я не был полностью зависим от одного провайдера и не подвергался атакам. Я не хочу, чтобы 100 процентов моих коммуникаций осуществлялось с помощью одной системы, поскольку это, естественно, сопряжено с риском.
Вопрос: Как на это реагируют ваши клиенты?
Ответ: В этом, собственно, и заключается суть вопроса. У большинства клиентов нет даже системы шифрования, не говоря уже об идеях или предпочтениях. Когда они приближаются к мысли о том, что это действительно важно для их дела, они обычно принимают систему, которую я предлагаю. И это была Tuta Mail на протяжении последних десяти лет. Для клиентов важно, чтобы она просто работала . Они не хотят пробовать или сравнивать разные вещи. Они просто хотят, чтобы все работало.
Я был очень рад, когда чуть более десяти лет назад появилась Tutanota, потому что это была система, которую было очень легко внедрить. Даже тех клиентов, которые не любили технические уловки, мне удалось убедить использовать зашифрованную связь на постоянной основе. До этого было гораздо сложнее - особенно с PGP. Мне приходилось объяснять: “Вы должны установить то-то и то-то, сгенерировать сертификат…”, что становилось слишком сложным для клиентов.
Когда клиенты преодолели этот барьер, им стало легко. Чтобы начать пользоваться зашифрованной связью, им даже не нужно создавать свой аккаунт в Tuta - это было и остается особенно приятным. Таким образом, они могут продолжать пользоваться своей обычной почтовой программой и по-прежнему безопасно общаться со мной по ссылке из Tutanota, или Tuta today. Через общий пароль они получают доступ ко всем предыдущим сообщениям в любое время через интернет-браузер, поэтому им не нужно расшифровывать каждое сообщение по отдельности, они могут просмотреть все предыдущие сообщения по одной ссылке. Это очень удобно для клиентов.
Единственная сложность заключалась в том, что иногда, когда возникали длительные перерывы в общении, мне приходилось снова сообщать им пароль. Чтобы упростить задачу, я обычно сообщаю его им не по электронной почте, конечно, а по другому защищенному каналу. Практичность Tuta заключается в том, что я могу надежно хранить пароль для клиента в Tuta Contacts и просто искать его, когда он запрашивается. Таким образом, я могу снова дать его клиенту даже через полгода или больше.
Вопрос: Мне очень приятно это слышать. Tutanota была запущена одиннадцать лет назад, так что вы являетесь первопроходцем. Я почти удивлен, что мы с вами не пересекались раньше. (Смеется.) Вы все еще помните тот переходный период? Были ли какие-то сложности у вашей юридической фирмы при внедрении Tutanota?
Ответ: Конечно, если честно, они есть и сегодня. К сожалению, мне не удалось перевести весь наш офис на Tutanota, теперь уже Tuta Mail. Сказывается то самое знаменитое упорство. Если бы мы полностью перешли, у нас бы внезапно появились новые адреса электронной почты, что для многих клиентов является абсолютным отказом. Речь идет не об одном-двух клиентах, а о сотнях. У людей от этого мурашки по коже.
Но когда я показываю им: Вы можете продолжать использовать свой собственный домен, если хотите, ваш адрес электронной почты останется визуально тем же самым - это не проблема с Tuta Mail - тогда вам все равно придется все настроить и перенести. Это требует согласования с провайдером, определенных настроек и единовременных усилий. И тут в дело вступает коммерческое мышление: Что это даст мне? Насколько велик риск? Стоит ли это усилий?
Вот почему мы в конечном итоге остановились на двухсистемной модели. Я убедил некоторых партнеров настроить доступ к Tuta или попросить меня настроить его для них, или, по крайней мере, принимать от меня зашифрованные письма Tuta в свой обычный почтовый ящик, открывать их через ссылку и браузер, а также отвечать на них в зашифрованном виде. Мы используем эту систему для особо деликатных тем, для совместных мандатов или если хотим использовать принцип двойного контроля. Большинство коллег продолжают использовать свою обычную систему для повседневного общения. Мне пока не удалось изменить это.
Несмотря на известные причуды, люди предпочитают придерживаться того, к чему привыкли. Это классический анализ риска и выгоды. Поэтому я сам использую два подхода: Tuta Mail для конфиденциальных вопросов, то есть практически для всего моего общения с клиентами, и Outlook для всего остального. В конечном счете, речь также идет о надежном шифровании писем на почтовом сервере, которым в моем случае является Tuta.
Вопрос: Это разумное решение. Как вы оцениваете стратегию Microsoft по переносу всего в “облако” и связанные с этим проблемы защиты данных - в том числе в связи с возможным доступом США к данным? Это значительный риск для юридической фирмы. Является ли американское облако - даже если данные хранятся на немецких серверах - фактически запретом для юридических фирм?
Ответ: Безусловно. Поэтому я надеюсь, что в ближайшие несколько лет нам все же удастся полностью мигрировать. После перехода на Tuta все работает как прежде. Благодаря приложению и настольному клиенту вы можете использовать Tuta Mail в любом месте. В отличие от Outlook, где в зависимости от клиента приходится работать через IMAP, здесь все гораздо проще.
Вопрос: Теперь к вам: Не могли бы вы кратко представить себя и свою юридическую фирму? На чем вы специализируетесь?
Ответ: С удовольствием. Мы являемся юридической фирмой среднего размера с офисами в Гамбурге, Берлине, Потсдаме, Шверине, Ростоке, а также за рубежом. Мы специализируемся на консультировании компаний среднего размера, а также индивидуальных клиентов - в основном в области коммерческого и налогового права. Мы являемся юристами, налоговыми консультантами и аудиторами.
Здесь, в Шверине, у нас есть налоговый отдел, который занимается всеми налоговыми вопросами наших клиентов - от ведения бухгалтерского учета до составления налоговых деклараций и годовой финансовой отчетности. Я сам являюсь юристом, специализирующимся на налоговом праве, и уже много лет интенсивно занимаюсь вопросами налогового законодательства - особенно в критических случаях: сложные налоговые проверки, добровольное раскрытие информации, уголовные дела по обвинению в уклонении от уплаты налогов. Именно в таких случаях я и прихожу на помощь.
Я также оказываю помощь в составлении договоров, особенно когда речь идет об оптимизации налогообложения. Это не то, что может сделать традиционный налоговый консультант в одиночку; для реализации этого требуется специализированный юрист. Поэтому я часто являюсь связующим звеном между налоговыми вопросами и их юридическим воплощением - например, в случае корпоративных структур, завещаний, брачных контрактов и других подобных деликатных вопросов.
Вопрос: Речь идет о весьма конфиденциальных данных. Я понимаю, почему вы были рады появлению Tutanota на рынке.
Ответ: Да, безусловно. Для меня это было внутренним оправданием того, что я интенсивно занимаюсь этой технологией. Это требует времени - в дополнение к профессиональной работе, клиентам, прецедентному праву, законодательству. Но мне, как налоговому юристу, в частности, часто приходится иметь дело с очень чувствительными данными, некоторые из которых подпадают под уголовное законодательство, это было важно. Я хочу, чтобы мое общение было таким же безопасным, как конфиденциальный разговор в защищенной комнате”.
Вопрос: Это прекрасное отношение, которое мы хотели бы видеть чаще. Удивительно, но тенденция сейчас движется в правильном направлении. Когда мы смотрим на такие скандалы, как манипуляции со счетами через взломанные электронные письма, о которых мы уже упоминали, как вы думаете, какую роль будет играть безопасная коммуникация в будущем?
Ответ: Она будет приобретать все большее значение. Меня беспокоят два события: во-первых, тенденция в США, когда президент присваивает себе область, не подлежащую судебному контролю. Для нашего понимания права в Германии это вряд ли понятно, но там это воспринимается всерьез. Таким образом, правовой защиты в этих сферах практически не существует.
Разумеется, это также затрагивает компании, на которые распространяются законы США, ключевое слово Patriot Act и цифровой суверенитет. Даже если серверы расположены в Европе: если американскую компанию просят передать данные властям США, она должна это сделать. Обещания типа “Мы не будем этого делать” ничего не стоят в чрезвычайной ситуации. Это касается и Microsoft.
С другой стороны, в Европе предпринимаются политические усилия по ослаблению шифрования с помощью “черных ходов”. Например, так называемый чат-контроль: Они хотят обеспечить хорошее шифрование, но создать доступ для следственных органов. Для меня, как юриста, это нежелательно. Не существует черного хода только для хороших парней. Как только вы получаете доступ, вы в конечном итоге открываете дверь для других.
Вопрос: Давайте вернемся к цифровому суверенитету в Европе. Где мы окажемся через пять лет? Будут ли власти по-прежнему использовать Microsoft?
Ответ: Надеюсь, что нет, или, по крайней мере, не в нынешнем виде. Подходы есть, например, в Шлезвиг-Гольштейне, но боюсь, что через пять лет мы к этому не придем. Может быть, через десять. Одна из главных проблем - это ИТ-консалтинг, предоставляемый властями. Они часто придерживаются своих стандартов, потому что это работает. Проблемы и опасения часто подавляются.
Мы видим это на примере электронной карты пациента. По сути, это хорошо, но плохо реализовано. Вместо того чтобы всегда делать все с нуля, власти могли бы использовать подходы с открытым исходным кодом и развивать их, как, например, Nextcloud или Tuta Mail, в Германии есть много хороших компаний. Вместо этого постоянно изобретается колесо, и каждый варит свой собственный суп. Это стоит времени и денег и ничего не дает.
Вопрос: И наконец: Что вы посоветуете юридическим фирмам, которые все еще не уверены, стоит ли им переходить на шифрованную связь?
Ответ: Просто сделайте это. Начните с малого, как я. Создайте учетную запись Tuta и используйте ее для конфиденциальной переписки. Предложите его своим клиентам. Пусть все развивается медленно, не меняя все сразу. Не бойтесь технологий - вот мой совет.
Вопрос: Так что просто действуйте. Я тоже всегда так советую. Делайте маленькие шаги на пути к лучшей защите данных и безопасности, потому что, к сожалению, не существует волшебного переключателя, который нужно переключить всего один раз. Но маленькими шагами можно пройти долгий путь. Господин Баенц, большое спасибо за интервью; я бы хотел пообщаться с вами еще раз в ближайшее время!
Ответ: Большое спасибо, было очень приятно.