Как фантастически разбогатеть на SSI? (платный вебинар, 170.000 руб. Шучу. Для вас — бесплатно)
Вчера писал про внедрение SSI в образовании и почему эта история летит везде, но еле ползет в России. Большинство ответов в личку и комментариях были "потому что непонятно как на этом заработать". Можно было бы сослаться на советскую ментальность с краткосрочным бизнес-мышлением, но мы все (страны) уходим в кризис и такая претензия становится все более актуальной.
Рассмотрим стратегию и тактику создания долгосрочных бизнес-моделей в индустрии суверенной личности.
Проблема.
SSI предлагает крайне эффективные решения и продукты для создания, хранения и доказуемой проверки персональных данных, фактов и документов, но зачастую компании их создающие страдают от непонимания целевого рынка и сложности в формулировании долгосрочной и прибыльной бизнес-модели.
Предварительные условия.
1) Модель суверенной личности ВСЕГДА предполагает наличие трех акторов: эмитент данных, держатель данных, проверяющий.
2) Без участия ЭМИТЕНТА система не работает, так как держателям нечего держать, а верификаторам нечего проверять.
3) В SSI системе выгоды и прирост эффективности должны получать все три стороны, но как правило они НЕ ЗНАЮТ об этом.
4) Эмитенты противятся или не хотят менять своё поведение при переходе на новую систему. Их должен заставить рынок или экономические выгоды.
Алгоритм решения.
1) Определить всех акторов: эмитент, держатель, проверяющий.
Зачастую такие акторы не совсем очевидны. В общем смысле любое SSI приложение ставит своей целью отобрать контроль над пользовательскими данными у тех, кому они не очень-то и нужны: у гос реестра над справками, у фейсбука над списком друзей, у телеграма над моими постами, у вуза над моими дипломами. Важно подходить к процессу с предпосылкой, что эмитент не захочет слишком быстро и легко расставаться со своим излишним контролем.
2) Определить боль каждого актора в существующем решении.
Боль, как правило, существует у каждого участника: эмитент — дорого, долго и сложно выпускать документы на бумаге; держатель — нет контроля и приватности; проверяющий — нет структуры и доказуемости данных. Задача данного шага переложить эти общие принципы на вашу конкретную индустрию.
3) Определить выгоды от внедрения для каждого актора.
Мы исходим из предпосылки, что главный бенефициар SSI — это сам пользователь, но если он является единственным выгодоприобретателем, то бизнес не взлетит. Важно продемонстрировать преимущества для каждого участника. Чем глубже вы будете копать в экономику, тем яснее для вас станет, что проверяющий как правило является основным драйвером таких изменений.
4) Выработать стратегию внедрения
Начинается все всегда с эмитента, но как мы убедим эмитента, если его личные выгоды относительно небольшие. Например, Нетологии абсолютно наплевать в каком виде они выпускают подтверждение образования и выпускают ли вообще — ведь клиент уже заплатил. Здесь задача сформировать рыночное давление на эмитента.
5) Предполагая, что верификатор (проверяющий) получает максимальную ценность, использовать его мотивацию для склонения / принуждения остальных участников к переходу на SSI решение.
В демократических странах этим обладающим авторитетом выгодоприобретателем является государство, но для СНГ подобная схема не работает — государство выгоден дорогой, запутанный и непрозрачный процесс подтверждения фактов и документов. В этом случае запрос должен исходить от бизнеса: как отдельных крупных компаний (реже), так и ассоциаций или консорциумов (чаще).
В следующий раз поговорим о фазах проектирования, разработки, запуска и маркетинга продукта. А тем временем завтра в 20:00 МСК пройдет очередной виртуальный митап русскоязычного SSI сообщества. Спикеры расскажут об опыте построения SSI продуктов для центрального банка и использования ZKP для доказательства фактов с нулевым разглашением. Вся инфа и ссылка на зум в тг-канале @ssi_community
Вчера писал про внедрение SSI в образовании и почему эта история летит везде, но еле ползет в России. Большинство ответов в личку и комментариях были "потому что непонятно как на этом заработать". Можно было бы сослаться на советскую ментальность с краткосрочным бизнес-мышлением, но мы все (страны) уходим в кризис и такая претензия становится все более актуальной.
Рассмотрим стратегию и тактику создания долгосрочных бизнес-моделей в индустрии суверенной личности.
Проблема.
SSI предлагает крайне эффективные решения и продукты для создания, хранения и доказуемой проверки персональных данных, фактов и документов, но зачастую компании их создающие страдают от непонимания целевого рынка и сложности в формулировании долгосрочной и прибыльной бизнес-модели.
Предварительные условия.
1) Модель суверенной личности ВСЕГДА предполагает наличие трех акторов: эмитент данных, держатель данных, проверяющий.
2) Без участия ЭМИТЕНТА система не работает, так как держателям нечего держать, а верификаторам нечего проверять.
3) В SSI системе выгоды и прирост эффективности должны получать все три стороны, но как правило они НЕ ЗНАЮТ об этом.
4) Эмитенты противятся или не хотят менять своё поведение при переходе на новую систему. Их должен заставить рынок или экономические выгоды.
Алгоритм решения.
1) Определить всех акторов: эмитент, держатель, проверяющий.
Зачастую такие акторы не совсем очевидны. В общем смысле любое SSI приложение ставит своей целью отобрать контроль над пользовательскими данными у тех, кому они не очень-то и нужны: у гос реестра над справками, у фейсбука над списком друзей, у телеграма над моими постами, у вуза над моими дипломами. Важно подходить к процессу с предпосылкой, что эмитент не захочет слишком быстро и легко расставаться со своим излишним контролем.
2) Определить боль каждого актора в существующем решении.
Боль, как правило, существует у каждого участника: эмитент — дорого, долго и сложно выпускать документы на бумаге; держатель — нет контроля и приватности; проверяющий — нет структуры и доказуемости данных. Задача данного шага переложить эти общие принципы на вашу конкретную индустрию.
3) Определить выгоды от внедрения для каждого актора.
Мы исходим из предпосылки, что главный бенефициар SSI — это сам пользователь, но если он является единственным выгодоприобретателем, то бизнес не взлетит. Важно продемонстрировать преимущества для каждого участника. Чем глубже вы будете копать в экономику, тем яснее для вас станет, что проверяющий как правило является основным драйвером таких изменений.
4) Выработать стратегию внедрения
Начинается все всегда с эмитента, но как мы убедим эмитента, если его личные выгоды относительно небольшие. Например, Нетологии абсолютно наплевать в каком виде они выпускают подтверждение образования и выпускают ли вообще — ведь клиент уже заплатил. Здесь задача сформировать рыночное давление на эмитента.
5) Предполагая, что верификатор (проверяющий) получает максимальную ценность, использовать его мотивацию для склонения / принуждения остальных участников к переходу на SSI решение.
В демократических странах этим обладающим авторитетом выгодоприобретателем является государство, но для СНГ подобная схема не работает — государство выгоден дорогой, запутанный и непрозрачный процесс подтверждения фактов и документов. В этом случае запрос должен исходить от бизнеса: как отдельных крупных компаний (реже), так и ассоциаций или консорциумов (чаще).
В следующий раз поговорим о фазах проектирования, разработки, запуска и маркетинга продукта. А тем временем завтра в 20:00 МСК пройдет очередной виртуальный митап русскоязычного SSI сообщества. Спикеры расскажут об опыте построения SSI продуктов для центрального банка и использования ZKP для доказательства фактов с нулевым разглашением. Вся инфа и ссылка на зум в тг-канале @ssi_community
Шел второй месяц глобального карантина. Мы собрали список из 60+ уже запущенных антиCOVID приложений: https://docs.google.com/spreadsheets/d/1qvqym-WXn6SS7DmMA5T69m-DqIPF3khL_X1hpL3zg2o/edit?usp=sharing
— У многих больше миллиона установок, многие интегрированы в платформы с сотнями миллионов пользователей (очевидно WeChat).
— Подавляющее большинство построено по архитектуре SSI — p2p сеть с доказуемо принадлежащими пользователю данными.
— Около половины проектов open source (я вижу как любители грантов уже гуглят как сделать git clone чтобы втюхать чужую работу какому-нибудь институту развития)
— Одно из приложений использует блокчейн — но не очень понятно зачем
— Еврокомиссия выпустила даже официальные рекомендации для разработчиков covid софта: https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf
— Microsoft, IBM, DTV, Evernym, Bank of Scotland, W3C, DIF, SITA работают над общим протоколом. Мы там активно эту тему обсуждаем в слаке. Если вы понимаете что можете контрибьютить: http://fightthevirus.world/
— Если хотите быть в курсе: https://toolscci.groups.io/
В России:
— таких решений ожидаемо 0, потому что частные компании боятся или им не дают ("этаже персданные а ваши сервера в пинтагоне!!111"), а Ростелеком до сих пор зум депутатам установить не может
— ватные СМИ орут как резанные про "цифровой концлагерь" не желая прочитать одну короткую статью в вики и понять, что проблема решается БЕЗ централизованного сбора данных
— У многих больше миллиона установок, многие интегрированы в платформы с сотнями миллионов пользователей (очевидно WeChat).
— Подавляющее большинство построено по архитектуре SSI — p2p сеть с доказуемо принадлежащими пользователю данными.
— Около половины проектов open source (я вижу как любители грантов уже гуглят как сделать git clone чтобы втюхать чужую работу какому-нибудь институту развития)
— Одно из приложений использует блокчейн — но не очень понятно зачем
— Еврокомиссия выпустила даже официальные рекомендации для разработчиков covid софта: https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf
— Microsoft, IBM, DTV, Evernym, Bank of Scotland, W3C, DIF, SITA работают над общим протоколом. Мы там активно эту тему обсуждаем в слаке. Если вы понимаете что можете контрибьютить: http://fightthevirus.world/
— Если хотите быть в курсе: https://toolscci.groups.io/
В России:
— таких решений ожидаемо 0, потому что частные компании боятся или им не дают ("этаже персданные а ваши сервера в пинтагоне!!111"), а Ростелеком до сих пор зум депутатам установить не может
— ватные СМИ орут как резанные про "цифровой концлагерь" не желая прочитать одну короткую статью в вики и понять, что проблема решается БЕЗ централизованного сбора данных
Сегодня в 20:00 МСК второй виртуальный митап русскоязычного SSI сообщества. Будут два офигительных доклада:
1) Verifiable Credentials + ZKP, использование цифровых сертификатов с нулевым разглашением
2) Обеспечение доверия в финансовых институтах: кейс для SSI
Подключаться в 20:00 по ссылке: https://zoom.us/j/569625657
Криптанафтам и чиновникам вход строго запрещен.
1) Verifiable Credentials + ZKP, использование цифровых сертификатов с нулевым разглашением
2) Обеспечение доверия в финансовых институтах: кейс для SSI
Подключаться в 20:00 по ссылке: https://zoom.us/j/569625657
Криптанафтам и чиновникам вход строго запрещен.
Zoom Video
Join our Cloud HD Video Meeting
Zoom is the leader in modern enterprise video communications, with an easy, reliable cloud platform for video and audio conferencing, chat, and webinars across mobile, desktop, and room systems. Zoom Rooms is the original software-based conference room solution…
Как Apple и Google вирус побеждали
Google и Apple анонсировали anti-COVID приложение: ниже разбор как оно работает, какие есть преимущества и в чем недостатки.
Пока власти оказались парализованы и шокированы внезапно случившейся необходимость хоть чуть-чуть поработать, Apple и Google выкатывают совместный API, который позволит отслеживать история заражения для 3 миллиардов человек.
Приложение фиксирует все контакты человека в анонимной криптографической форме. Пока человек не заболел, вся история контактов хранится только в его телефоне и становится публичной только если получен положительный результат теста. Таким образом система позволяет сохраняя анонимность оповещать о факте контакта с инфицированными.
Как это работает?
1. Раз в день устройство генерирует уникальный daily tracing key (DTK)
2. На его основе каждые 15 минут генерируется новый proximity ID (pID), который транслируется через bluetooth передатчик
3. Ваше устройство записывает ВСЕ чужие айдишники, которые оно видит
4. Если кто-то получил положительный COVID тест, то устройство этого человека публикует все свои DTK
5. Ваше устройство скачивает опубликованные DTK и сравнивает их с историей, таким образом выявляются факты контакта с covid+ людьми.
В принципе работы криптографии разобрался Андрей Тукманов:
"Устройство пользователя хранит уникальный 256 битный случайный tracing key. Этот ключ создается один раз и привязывается к устройству, в документации не содержится протокола смены владельца устройства. Каждые 24 часа генерируется новый ключ (daily tracing key), длиной 128 бит. Он вычисляется по алгоритму HDKF и зависит от tracing key и номера дня. Зная tracing key, можно вычислить daily tracing key за любой день. Алгоритм HDKF позволяет использовать случайность для устранения этой связи, однако в протоколе явно указано, что все ключи явно детерминированы. Обратная операция невозможна. Для вычисления ключа используется sha256 -- одна из наиболее широко используемых хэш функций. Каждые 10 минут вычисляется новый 128 битный rolling proximity identifier. Он вычисляется по алгоритму HMAC и зависит от ключа и номера интервала с начала дня."
Обе компании утверждают, что решение полностью приватное, контролируется пользователем, информация никогда не покидает устройство. Но есть ряд ньюансов.
Во-первых, каждый ключ это 16 байт и если мы берем текущую скорость роста зараженных, то каждому устройству необходимо будет скачать сотни мегабайт - гигибайты данных ежедневно. Следовательно, необходимо ограничить выборку. Как? Геолокация. Это немного не соотносится с заявлениями о приватности.
Во-вторых, принцип работы BTLE подразумевает возможность публикации истории mac адресов, если вы были протестированы полжительно. Существующий adtech стэк уже на базе этого может гарантированно сказать о любом случайно выбранном телефоне является ли его владелец Covid-положительным. Не секьюрно.
Третье, это потенциальная угроза дудоса (DoS). Если кто-то в качестве пранка, сознательной атаки или просто ошибки единовременно опубликует несколько тысяч (миллионов, миллиардов) ключей, это автоматически обяжет миллионы Android и iOS устройств скачать и обработать сотни мегабайт информации.
В целом это конечно крутое решение и крайне умный подход к борьбе с эпидемией. При всех потенциальных недостатках это попытка сделать privacy-preserving решение и, в любом случае, в сто раз лучше, чем та ерунда, которую изобретают и, к сожалению, пропихивают чиновники. Проблема, однако, в том, что решение является opt-in (только по согласию пользователя) и зависит от властей региона по вносу данных о результатах тестирования. Не могу представить ситуацию, чтобы условный Роспотребнадзор делился реальными данными, как минимум из-за безалаберности и вредности — отсутствия возможности злоупотреблять полномочиями.
- - - - - -
API от Эпла: https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ContactTracing-FrameworkDocumentation.pdf
Google и Apple анонсировали anti-COVID приложение: ниже разбор как оно работает, какие есть преимущества и в чем недостатки.
Пока власти оказались парализованы и шокированы внезапно случившейся необходимость хоть чуть-чуть поработать, Apple и Google выкатывают совместный API, который позволит отслеживать история заражения для 3 миллиардов человек.
Приложение фиксирует все контакты человека в анонимной криптографической форме. Пока человек не заболел, вся история контактов хранится только в его телефоне и становится публичной только если получен положительный результат теста. Таким образом система позволяет сохраняя анонимность оповещать о факте контакта с инфицированными.
Как это работает?
1. Раз в день устройство генерирует уникальный daily tracing key (DTK)
2. На его основе каждые 15 минут генерируется новый proximity ID (pID), который транслируется через bluetooth передатчик
3. Ваше устройство записывает ВСЕ чужие айдишники, которые оно видит
4. Если кто-то получил положительный COVID тест, то устройство этого человека публикует все свои DTK
5. Ваше устройство скачивает опубликованные DTK и сравнивает их с историей, таким образом выявляются факты контакта с covid+ людьми.
В принципе работы криптографии разобрался Андрей Тукманов:
"Устройство пользователя хранит уникальный 256 битный случайный tracing key. Этот ключ создается один раз и привязывается к устройству, в документации не содержится протокола смены владельца устройства. Каждые 24 часа генерируется новый ключ (daily tracing key), длиной 128 бит. Он вычисляется по алгоритму HDKF и зависит от tracing key и номера дня. Зная tracing key, можно вычислить daily tracing key за любой день. Алгоритм HDKF позволяет использовать случайность для устранения этой связи, однако в протоколе явно указано, что все ключи явно детерминированы. Обратная операция невозможна. Для вычисления ключа используется sha256 -- одна из наиболее широко используемых хэш функций. Каждые 10 минут вычисляется новый 128 битный rolling proximity identifier. Он вычисляется по алгоритму HMAC и зависит от ключа и номера интервала с начала дня."
Обе компании утверждают, что решение полностью приватное, контролируется пользователем, информация никогда не покидает устройство. Но есть ряд ньюансов.
Во-первых, каждый ключ это 16 байт и если мы берем текущую скорость роста зараженных, то каждому устройству необходимо будет скачать сотни мегабайт - гигибайты данных ежедневно. Следовательно, необходимо ограничить выборку. Как? Геолокация. Это немного не соотносится с заявлениями о приватности.
Во-вторых, принцип работы BTLE подразумевает возможность публикации истории mac адресов, если вы были протестированы полжительно. Существующий adtech стэк уже на базе этого может гарантированно сказать о любом случайно выбранном телефоне является ли его владелец Covid-положительным. Не секьюрно.
Третье, это потенциальная угроза дудоса (DoS). Если кто-то в качестве пранка, сознательной атаки или просто ошибки единовременно опубликует несколько тысяч (миллионов, миллиардов) ключей, это автоматически обяжет миллионы Android и iOS устройств скачать и обработать сотни мегабайт информации.
В целом это конечно крутое решение и крайне умный подход к борьбе с эпидемией. При всех потенциальных недостатках это попытка сделать privacy-preserving решение и, в любом случае, в сто раз лучше, чем та ерунда, которую изобретают и, к сожалению, пропихивают чиновники. Проблема, однако, в том, что решение является opt-in (только по согласию пользователя) и зависит от властей региона по вносу данных о результатах тестирования. Не могу представить ситуацию, чтобы условный Роспотребнадзор делился реальными данными, как минимум из-за безалаберности и вредности — отсутствия возможности злоупотреблять полномочиями.
- - - - - -
API от Эпла: https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ContactTracing-FrameworkDocumentation.pdf
Все СМИ несколько дней надрывались о цифровых ошейниках и цифровом концлагере, а Минсвязи тем временем выкатило приложение для цифровых пропусков. Что же там внутри?
1) Приложение декомплировали, исходный код доступен любому желающему: https://gitlab.com/iTaysonLab/gorkiy2
2) Все очень плохо с персданными, они просто лежат в открытом доступе по http. Вот пример: https://www.gosuslugi.ru/checksession/1?id=1da115d1-8fda-4709-b9e7-c20707717f36
3) Самое главное здесь не решена ни проблема статусов здоровья (о чем мы уже месяц пытаемся втолковать), ни истории контактов. То есть, данное приложение не решает ни одной задачи по реальному контролю над распространением вируса. Есть наивный самоопросник, но очевидно, что это не работает. Единственная функция приложения — контроль над пропусками.
Вывод: к сожалению, вместо реального использования технологий для решения проблемы (как именно я пишу последние несколько недель), МКС решил просто слепить мокап без реального функционала. Выглядит как (1) профанация, (2) непонимание что делать или (3) медлительность.
1) Приложение декомплировали, исходный код доступен любому желающему: https://gitlab.com/iTaysonLab/gorkiy2
2) Все очень плохо с персданными, они просто лежат в открытом доступе по http. Вот пример: https://www.gosuslugi.ru/checksession/1?id=1da115d1-8fda-4709-b9e7-c20707717f36
3) Самое главное здесь не решена ни проблема статусов здоровья (о чем мы уже месяц пытаемся втолковать), ни истории контактов. То есть, данное приложение не решает ни одной задачи по реальному контролю над распространением вируса. Есть наивный самоопросник, но очевидно, что это не работает. Единственная функция приложения — контроль над пропусками.
Вывод: к сожалению, вместо реального использования технологий для решения проблемы (как именно я пишу последние несколько недель), МКС решил просто слепить мокап без реального функционала. Выглядит как (1) профанация, (2) непонимание что делать или (3) медлительность.
В сознание многих проникает мысль, что мир поменялся. Посмотрим как именно какие можно сделать из этого выводы.
Тезис первый: есть два пути
Одна страна, отвечая на эпидемию, выбрала путь не закрывать экономику и в итоге, смирившись с потерями, большинство переболело и выработался социальный иммунитет. Другая страна пошла по пути технологического отслеживания заражения, изоляции, закрытия границ и адаптации к новым условиям.
Первая страна защищена от этого и похожих типов вируса. Вторая страна готова к любым будущим эпидемиям.
Тезис второй: создаётся citizen management system
Перед миром стоит глобальная задача по созданию системы управления социумом. "Большой брат" и тотальный информационный контроль пришел не в виде антиутопии, а в виде запроса общества. Прямо сейчас, сегодня, у нас есть выбор отдать контроль над такой системой в руки intrinsically evil государства, или создать суверенную систему, которая не жертвуя персональными данными и приватностью, (криптографически) доказуемо гарантирует безопасность.
Тезис третий: технология первична
Задача по разделению статусов здоровья (см. приложенную картинку) ничем не отличается от, например, той работы, которую мы делали внедряя verifiable credentials в образование — создание проверяемых фактов о человеке. Внешне кажется, что медицина, образование, финансы или, скажем, водительские удостоверения, это совсем разные сферы, но если мы говорим об имплементации и решаемых технических задачах (криптография, распределенное хранилище, p2p, блокчейн, privacy), то они совпадают практически полностью.
Тезис четвертый: а шо у нас там?
Нам продолжают писать разные люди и федеральные органы власти, что вот мол круто бы запустить такую штуку, да еще и на основе SSI. Просят заполнять заявки на гранты (любой грант = воровство), делать многостраничные презентации, созваниваться ("давайте через неделю, ведь ничего срочного и важного не происходит"), но никто ни разу — ни один хоть как-то связанный с государством человек — не посчитал своим долгом дойти до дела. Ведь за бумажки и видимость бестолковой но крайне активной деятельности выдадут зарплату, а за реальные дела можно и огрести. Убежден, что это свойство извращенной политической и управленческой системы России, но не имею ни малейшего желания пытаться это болото как-то изменить.
Тезис последний: очевидный
Людей нельзя контролировать силой и приказами. По крайней мере, не превращая общество и государство в фашизм. А по-другому государство не умеет. Поэтому пускай важные толстые пингвины в костюмах занимают свои позолоченные места, а мир будет продолжать работать и без их явного участия.
Контролировать людей можно только тем способом, который работал всю историю — мотивацией (mech. design, для прошаренных). Никто не арестует и не выпишет штраф, если вы смогли получить QR код в кривом-косом госушном приложении. Но это ровно в ваших интересах (безопасности, финансовых, социальных) включить функцию трекинга инфекции в телефоне и получить цифровой сертификат здоровья чтобы вас, скажем, пустили на рейс.
И чтобы совсем стало ясно: я пишу об эпидемии и технологических методах борьбы с ней, но совершенно очевидно, что эти методы применимы для решения куда более обширного круга задач. Эпидемия пройдет, а изменившийся социальный уклад общества останется.
Make sure to embrace the change.
Тезис первый: есть два пути
Одна страна, отвечая на эпидемию, выбрала путь не закрывать экономику и в итоге, смирившись с потерями, большинство переболело и выработался социальный иммунитет. Другая страна пошла по пути технологического отслеживания заражения, изоляции, закрытия границ и адаптации к новым условиям.
Первая страна защищена от этого и похожих типов вируса. Вторая страна готова к любым будущим эпидемиям.
Тезис второй: создаётся citizen management system
Перед миром стоит глобальная задача по созданию системы управления социумом. "Большой брат" и тотальный информационный контроль пришел не в виде антиутопии, а в виде запроса общества. Прямо сейчас, сегодня, у нас есть выбор отдать контроль над такой системой в руки intrinsically evil государства, или создать суверенную систему, которая не жертвуя персональными данными и приватностью, (криптографически) доказуемо гарантирует безопасность.
Тезис третий: технология первична
Задача по разделению статусов здоровья (см. приложенную картинку) ничем не отличается от, например, той работы, которую мы делали внедряя verifiable credentials в образование — создание проверяемых фактов о человеке. Внешне кажется, что медицина, образование, финансы или, скажем, водительские удостоверения, это совсем разные сферы, но если мы говорим об имплементации и решаемых технических задачах (криптография, распределенное хранилище, p2p, блокчейн, privacy), то они совпадают практически полностью.
Тезис четвертый: а шо у нас там?
Нам продолжают писать разные люди и федеральные органы власти, что вот мол круто бы запустить такую штуку, да еще и на основе SSI. Просят заполнять заявки на гранты (любой грант = воровство), делать многостраничные презентации, созваниваться ("давайте через неделю, ведь ничего срочного и важного не происходит"), но никто ни разу — ни один хоть как-то связанный с государством человек — не посчитал своим долгом дойти до дела. Ведь за бумажки и видимость бестолковой но крайне активной деятельности выдадут зарплату, а за реальные дела можно и огрести. Убежден, что это свойство извращенной политической и управленческой системы России, но не имею ни малейшего желания пытаться это болото как-то изменить.
Тезис последний: очевидный
Людей нельзя контролировать силой и приказами. По крайней мере, не превращая общество и государство в фашизм. А по-другому государство не умеет. Поэтому пускай важные толстые пингвины в костюмах занимают свои позолоченные места, а мир будет продолжать работать и без их явного участия.
Контролировать людей можно только тем способом, который работал всю историю — мотивацией (mech. design, для прошаренных). Никто не арестует и не выпишет штраф, если вы смогли получить QR код в кривом-косом госушном приложении. Но это ровно в ваших интересах (безопасности, финансовых, социальных) включить функцию трекинга инфекции в телефоне и получить цифровой сертификат здоровья чтобы вас, скажем, пустили на рейс.
И чтобы совсем стало ясно: я пишу об эпидемии и технологических методах борьбы с ней, но совершенно очевидно, что эти методы применимы для решения куда более обширного круга задач. Эпидемия пройдет, а изменившийся социальный уклад общества останется.
Make sure to embrace the change.
В подкасте проекта «Сноб» рассказал о выпущенных на днях анти-Covid решениях Москвы и Минкомсвязи, а так же основных мировых практиках технологического решения проблемы пандемии:
— что делают в Китае, Израиле, Сингапуре, Евросоюзе (Италия, Австрия, Германия)?
— что предлагаю Apple и Google?
— какой функционал поможет быстрее завершить карантин и открыть экономику?
— как все эти приложения работают с персональными данными?
— как технология суверенной личности поможет создать системы без риска попадания в «цифровой концлагерь»?
— как p2p и SSI в этом помогут? (в подкасте на широкую аудиторию я испугался употреблять слова «криптография» и «блокчейн»)
Вопрос, на который совместно с ведущим ответа мы так не нашли — это почему же ничего из того, что действительно нужно разрабатывать, не делается в России 🤷🏿🤷🏼🤷🏻
https://slysh-virus-a-korona-ne-zhmyot.simplecast.com/?fbclid=IwAR1mKkN9u6kZY_42zeEfyd4pSB9FO45nfy-tGVdJzwX2NezIjdchLqCR4Qk
Прямая ссылка на прослушивание: https://we.fo/1503529910
— что делают в Китае, Израиле, Сингапуре, Евросоюзе (Италия, Австрия, Германия)?
— что предлагаю Apple и Google?
— какой функционал поможет быстрее завершить карантин и открыть экономику?
— как все эти приложения работают с персональными данными?
— как технология суверенной личности поможет создать системы без риска попадания в «цифровой концлагерь»?
— как p2p и SSI в этом помогут? (в подкасте на широкую аудиторию я испугался употреблять слова «криптография» и «блокчейн»)
Вопрос, на который совместно с ведущим ответа мы так не нашли — это почему же ничего из того, что действительно нужно разрабатывать, не делается в России 🤷🏿🤷🏼🤷🏻
https://slysh-virus-a-korona-ne-zhmyot.simplecast.com/?fbclid=IwAR1mKkN9u6kZY_42zeEfyd4pSB9FO45nfy-tGVdJzwX2NezIjdchLqCR4Qk
Прямая ссылка на прослушивание: https://we.fo/1503529910
Почему многие страны "просрали" время действовать по поводу коронавируса? Объясняем с точки зрения дизайна алгоритмических механизмов и теории игр.
Один из фундаментальный принципов incentive design и бихевиористической экономики — квази-гиперболическое дисконтирование Laibson 1997 дает инструмент для формализации прокрастинации в действиях экономических акторов.
Модель описывает стоимость совершения действия как bx + c, где
с — константная цена совершения действия
x — потеря от каждого дня не-совершения действия
b — уникальный фактор совершения действия именно сегодня (bias восприятия сделать что-то сейчас сложнее, чем завтра или прокрастинация) [Akerlof 1991, Pollack 1968]
Из модели следует, что несмотря на повышающуюся стоимость х (в данном случае — экспоненциально), из-за наличия фактора b оптимальной теоретикоигровой стратегией всегда будет совершить действие завтра. Пруф: стоимость сегодня bc, стоимость на следующий день x+c, стоимость послезавтра bx + ct. Оптимальное решение завтра, потому что (b-1)c > bx
Естественным образом, многие узнают себя, потому "завтра" это не конкретная дата, а именно относительно отложенное событие.
На самом деле до всяких там математиков и компьютер саентистов, эту модель прекрасно и понятно описал Джек Керуак еще в 1951 году в On the road рассказывая о хроническом безделии калифорнийских мексиканцев: “Sure baby, mañana. It was always mañana. For the next few weeks that was all I heard––mañana a lovely word and one that probably means heaven.”
Так и в политике: зная что будет хуже, оптимальной стратегией политика является не совершать никаких действий, но обязательно планировать их "на завтра", которое, как известно не может превратиться в "сейчас".
Один из фундаментальный принципов incentive design и бихевиористической экономики — квази-гиперболическое дисконтирование Laibson 1997 дает инструмент для формализации прокрастинации в действиях экономических акторов.
Модель описывает стоимость совершения действия как bx + c, где
с — константная цена совершения действия
x — потеря от каждого дня не-совершения действия
b — уникальный фактор совершения действия именно сегодня (bias восприятия сделать что-то сейчас сложнее, чем завтра или прокрастинация) [Akerlof 1991, Pollack 1968]
Из модели следует, что несмотря на повышающуюся стоимость х (в данном случае — экспоненциально), из-за наличия фактора b оптимальной теоретикоигровой стратегией всегда будет совершить действие завтра. Пруф: стоимость сегодня bc, стоимость на следующий день x+c, стоимость послезавтра bx + ct. Оптимальное решение завтра, потому что (b-1)c > bx
Естественным образом, многие узнают себя, потому "завтра" это не конкретная дата, а именно относительно отложенное событие.
На самом деле до всяких там математиков и компьютер саентистов, эту модель прекрасно и понятно описал Джек Керуак еще в 1951 году в On the road рассказывая о хроническом безделии калифорнийских мексиканцев: “Sure baby, mañana. It was always mañana. For the next few weeks that was all I heard––mañana a lovely word and one that probably means heaven.”
Так и в политике: зная что будет хуже, оптимальной стратегией политика является не совершать никаких действий, но обязательно планировать их "на завтра", которое, как известно не может превратиться в "сейчас".
Covid-19 и крипта
Отчёт о том, что делаем мы и наши итальянские, немецкие, канадские и американские коллеги для применения технологий в решении проблемы пандемии. "Цифровые пропуска" едва ли имеют смысл и решают реальные проблемы, связанные с эпидемией (медицинского и экономического характера), но давайте говорить о том, что делать совершенно необходимо.
Очевидно, что карантин нельзя будет снять единовременно и для всех. Для многих людей режим изоляции продлится и до конца года. Но есть решения, которые позволят минимизировать риск заражения и повторной волны эпидемии, а так же позволят восстановить работу многих отдельных сегментов экономики в сжатые сроки.
1) Цифровой медицинский сертификат помимо общей информации содержит следующую информацию о статусе инфекционного заболевания:
- Результат ПЦР-тестирования,
- Результат серологического исследования (количественный IgG, количественный IgM),
- Экспресс-тест (тест-полоска на наличие / отсутствие IgG, IgM),
- Выписка с диагнозом Covid, установленным на основе КТ,
- История контактов с Covid-положительными людьми (API Google и Apple, данные других организаций, геолокационные данные),
- (в будущем) факт вакцинации SARS-CoV-2
Естественно, как я уже писал, все это построено на p2p технологии и SSI архитектуре — персональные данные не хранятся централизовано, а проверка осуществляется децентрализованно и независимо. Но вы уже в курсе 🙂
2) Готова (пока наивная) схема данных в формате расширения schema.org (спасибо крутанам из bloom.co) — sneak peak на фотографии в аттаче.
3) CCI совместно с нашими венчурными товарищами (Digital Trust VC) разработали go-to-market алгоритм для SSI Covid Certificates, но мне персонально крайне нравится его фундаментальность. Я думаю, это личный фреймворк для поиска go-to-market стратегии любых SSI решений.
4) Нам нужна помощь. Будем признательны за любые максимально внятные (имеющие право и желание принимать решения) контакты в профильных ведомствах (Потребнадзор, ФМБА, Минздрав, Минтранс) и крупных компаниях (РЖД, Аэрофлот, такси, ритейл, логистика, доставка, крупные оффлайн сети - HoReCa, торговые центры и т.д.) Без ведущих стейкхолдеров на борту и коммуникации с государством во всех его ипостасях это почти нерешаемая задача.
Следующий отчет на следующей неделе, а для тех кому интересен SSI c технической точки зрения — в пятницу у нас очередной (третий) виртуальный митап. Информация в тг-чате @ssi_community
Отчёт о том, что делаем мы и наши итальянские, немецкие, канадские и американские коллеги для применения технологий в решении проблемы пандемии. "Цифровые пропуска" едва ли имеют смысл и решают реальные проблемы, связанные с эпидемией (медицинского и экономического характера), но давайте говорить о том, что делать совершенно необходимо.
Очевидно, что карантин нельзя будет снять единовременно и для всех. Для многих людей режим изоляции продлится и до конца года. Но есть решения, которые позволят минимизировать риск заражения и повторной волны эпидемии, а так же позволят восстановить работу многих отдельных сегментов экономики в сжатые сроки.
1) Цифровой медицинский сертификат помимо общей информации содержит следующую информацию о статусе инфекционного заболевания:
- Результат ПЦР-тестирования,
- Результат серологического исследования (количественный IgG, количественный IgM),
- Экспресс-тест (тест-полоска на наличие / отсутствие IgG, IgM),
- Выписка с диагнозом Covid, установленным на основе КТ,
- История контактов с Covid-положительными людьми (API Google и Apple, данные других организаций, геолокационные данные),
- (в будущем) факт вакцинации SARS-CoV-2
Естественно, как я уже писал, все это построено на p2p технологии и SSI архитектуре — персональные данные не хранятся централизовано, а проверка осуществляется децентрализованно и независимо. Но вы уже в курсе 🙂
2) Готова (пока наивная) схема данных в формате расширения schema.org (спасибо крутанам из bloom.co) — sneak peak на фотографии в аттаче.
3) CCI совместно с нашими венчурными товарищами (Digital Trust VC) разработали go-to-market алгоритм для SSI Covid Certificates, но мне персонально крайне нравится его фундаментальность. Я думаю, это личный фреймворк для поиска go-to-market стратегии любых SSI решений.
4) Нам нужна помощь. Будем признательны за любые максимально внятные (имеющие право и желание принимать решения) контакты в профильных ведомствах (Потребнадзор, ФМБА, Минздрав, Минтранс) и крупных компаниях (РЖД, Аэрофлот, такси, ритейл, логистика, доставка, крупные оффлайн сети - HoReCa, торговые центры и т.д.) Без ведущих стейкхолдеров на борту и коммуникации с государством во всех его ипостасях это почти нерешаемая задача.
Следующий отчет на следующей неделе, а для тех кому интересен SSI c технической точки зрения — в пятницу у нас очередной (третий) виртуальный митап. Информация в тг-чате @ssi_community
Виртуальный митап по суверенной личности #3
Сегодня будет в формате воркшопа, где свой вклад сможет сделать каждый из участников.
Тема: использование SSI для экосистемы коллекционеров и аукционов.
Время: 20:00 МСК, 17 апреля, пятница
Место: https://zoom.us/j/99850907175
Формат: Воркшоп длительностью примерно 1,5 часа с презентацией идеи и совместной доработкой. По итогу мы планируем получить совместно разработанный майндмэп в Miro, который отвечает на следующие вопросы:
1) Функционал системы
2) Ограничения системы
3) Бизнес-модель и внутренняя экономика
Перед воркошопом обязательно изучите данную схему, которая задает контекст обсуждению: https://miro.com/app/board/o9J_ktlSc5k=/
Сегодня будет в формате воркшопа, где свой вклад сможет сделать каждый из участников.
Тема: использование SSI для экосистемы коллекционеров и аукционов.
Время: 20:00 МСК, 17 апреля, пятница
Место: https://zoom.us/j/99850907175
Формат: Воркшоп длительностью примерно 1,5 часа с презентацией идеи и совместной доработкой. По итогу мы планируем получить совместно разработанный майндмэп в Miro, который отвечает на следующие вопросы:
1) Функционал системы
2) Ограничения системы
3) Бизнес-модель и внутренняя экономика
Перед воркошопом обязательно изучите данную схему, которая задает контекст обсуждению: https://miro.com/app/board/o9J_ktlSc5k=/
Чили запустили "паспорта иммунитета": https://www.bloomberg.com/news/articles/2020-04-16/chile-to-start-controversial-coronavirus-immunity-card-system
Франция в процессе: https://www.sicpa.com/news/covid-19-immunity-passport-secured-blockchain-enable-deconfinement
На картинке ниже схема работы такой системы на основе Verifiable Credentials.
Франция в процессе: https://www.sicpa.com/news/covid-19-immunity-passport-secured-blockchain-enable-deconfinement
На картинке ниже схема работы такой системы на основе Verifiable Credentials.
Как простыми словами объяснить сложные важные вещи?
Речь, конечно, об SSI. Множество компаний на протяжении последних 5-6 лет поломало копья в попытках рассказать миру о преимуществах, глобальных рыночных возможностях и необходимости данной индустрии. И вот к чему их привела эволюция: объясняя SSI, начинайте с кошелька.
Кошелёк, хоть и не передает всех технических и социальных ньюансов этой технологии и громадного спектра существующих продуктов, является очень интуитивным понятием, которое известно и близко каждому. Цитирую легендарного Драммонда Рида:
"SSI это как физический кошелек, только цифровой. В нем содержатся цифровые документы, выданные вам разными организациями и, аналогично их физическим аналогам, вы сами выбираете кому их показывать. В отличии от Apple, Google и других проприетарных кошельков, никто его не видит, не контролирует, не может изменить информацию или лишить вас каких-то документов. Кошелек и документы принадлежат вам и вы можете брать их с собой и перемещать между своими устройствами"
Некоторые подсознательные свойства физического кошелька крайне удобны для объяснения SSI и вам не придется больше тратить время, чтобы рассказывать о них с нуля:
- Изначально кошелек пуст
- Кошелек содержит мою собственность: никто не видит что там, не может это изменить или забрать у меня
- Я могу положить туда все что хочу: удостоверения личности, пластиковые карты, членские карты, карты лояльности, ключи, деньги, чеки, фотографии и т.д.
- Большая часть вещей в кошельке были эмитированы сторонними организациями — они подтверждают валидность, но контроль над объектом всегда у меня
- Я выбираю кому и когда показывать документы и вещи из кошелька
- Кошелек всегда по определению закрыт, пока я не выбираю что-то кому-то показать
- Кошелек портативен: со мной, куда бы я не пошёл
- Если мне нравится мой кошелек, я могу переложить все объекты из одного в любой другой
- Я несу ответственность за сохранность своего кошелька
Ну и на посошок пример из всем знакомого высшего образования: студент начинает учебу в университете и у него пустой кошелек. Сначала он получает пропуск и идентификатор студента (зачетка, студенческий), затем награды и грамоты за некоторые достижения в учебе, спорте, культурных активностях, после — билет на концерт, спортивную игру, чек за оказанные услуги, ключ от лаборатории и так далее.
Нет ни одной причины, чтобы хоть один из описанных выше артефактов не был бы цифровым. Ну кроме, конечно, России — здесь лобби средневековья, невежества и борьбы с любыми проявлениями прогресса слишком сильно.
Основано на посте Тимоти Рафа: https://medium.com/@rufftimo/when-explaining-ssi-start-with-the-wallet-bee5d2af6696
Речь, конечно, об SSI. Множество компаний на протяжении последних 5-6 лет поломало копья в попытках рассказать миру о преимуществах, глобальных рыночных возможностях и необходимости данной индустрии. И вот к чему их привела эволюция: объясняя SSI, начинайте с кошелька.
Кошелёк, хоть и не передает всех технических и социальных ньюансов этой технологии и громадного спектра существующих продуктов, является очень интуитивным понятием, которое известно и близко каждому. Цитирую легендарного Драммонда Рида:
"SSI это как физический кошелек, только цифровой. В нем содержатся цифровые документы, выданные вам разными организациями и, аналогично их физическим аналогам, вы сами выбираете кому их показывать. В отличии от Apple, Google и других проприетарных кошельков, никто его не видит, не контролирует, не может изменить информацию или лишить вас каких-то документов. Кошелек и документы принадлежат вам и вы можете брать их с собой и перемещать между своими устройствами"
Некоторые подсознательные свойства физического кошелька крайне удобны для объяснения SSI и вам не придется больше тратить время, чтобы рассказывать о них с нуля:
- Изначально кошелек пуст
- Кошелек содержит мою собственность: никто не видит что там, не может это изменить или забрать у меня
- Я могу положить туда все что хочу: удостоверения личности, пластиковые карты, членские карты, карты лояльности, ключи, деньги, чеки, фотографии и т.д.
- Большая часть вещей в кошельке были эмитированы сторонними организациями — они подтверждают валидность, но контроль над объектом всегда у меня
- Я выбираю кому и когда показывать документы и вещи из кошелька
- Кошелек всегда по определению закрыт, пока я не выбираю что-то кому-то показать
- Кошелек портативен: со мной, куда бы я не пошёл
- Если мне нравится мой кошелек, я могу переложить все объекты из одного в любой другой
- Я несу ответственность за сохранность своего кошелька
Ну и на посошок пример из всем знакомого высшего образования: студент начинает учебу в университете и у него пустой кошелек. Сначала он получает пропуск и идентификатор студента (зачетка, студенческий), затем награды и грамоты за некоторые достижения в учебе, спорте, культурных активностях, после — билет на концерт, спортивную игру, чек за оказанные услуги, ключ от лаборатории и так далее.
Нет ни одной причины, чтобы хоть один из описанных выше артефактов не был бы цифровым. Ну кроме, конечно, России — здесь лобби средневековья, невежества и борьбы с любыми проявлениями прогресса слишком сильно.
Основано на посте Тимоти Рафа: https://medium.com/@rufftimo/when-explaining-ssi-start-with-the-wallet-bee5d2af6696
Вчера Германия наконец официально запустила разработку цифровых сертификатов здоровья. Конечно же, SSI-enabled blockchain-based. Анонс так и начинается со слов "To enable a quick restart of the economy".
Среди авторов: Lufthansa, несколько крупных госпиталей, биотех компании, печатный двор Германии, медицинский регулятор.
Детали и анонс: https://ubirch.de/fileadmin/user_upload/2020-04-16_digital_corona_health_certificate.pdf
В РФ по-прежнему ноль подвижек в эту сторону. Продолжаем долбить бетонные стены...
Среди авторов: Lufthansa, несколько крупных госпиталей, биотех компании, печатный двор Германии, медицинский регулятор.
Детали и анонс: https://ubirch.de/fileadmin/user_upload/2020-04-16_digital_corona_health_certificate.pdf
В РФ по-прежнему ноль подвижек в эту сторону. Продолжаем долбить бетонные стены...
Technology-Market Fit
Появилась необходимость ввести термин "Technology-Market Fit". Вот почему:
1. Разные рынки имеют одни и те же потребности.
2. Но предпочитают разные технологии для их решения. Причины: регуляция, менталитет, культура, привычки. Например, хипста-финтех выстелил в России, а миллионы американцев все еще предпочитают чеки. Китайцы культурно готовы, чтобы все их перемещения и личные данные контролировало государство, а в ЕС принят GDPR, который в частности запрещает госорганам собирать данные о пользователе без informed consent (информированного явного согласия).
3. Новые технологии (децентрализованные криптовалюты, блокчейн, SSI) помогают решать существующие проблемы более эффективно, но не на всех рынках. Я не верю в Иран, Туркменистан и Венесуэлу, которые разрешат пользователям свободно пользоваться биткоином как средством платежа / финансовым активом. Не вижу причин, почему это не взлетит в Японии или Канаде.
4. SSI — это камень преткновения. В России рынок вполне серьезно рассуждает: "Ну сделают единый реестр, будут там лежать все документы и факты обо мне, что такого?... ¯\-(ツ)-/¯ "
5. Евросоюз в тот же день раздает пару миллионов евро грантов на внедрение SSI, где в конкурсной документации написано: "Must fall within the SSI concept. i.e., technologies which allow individuals to control their electronic identities and guard their privacy".
Вот лично вы: (а) готовы искать возможности на том рынке, на котором вы работаете? (b) готовы искать рынки для тех технологий и продуктов, которые решают масштабные проблемы эффективным путем?
Появилась необходимость ввести термин "Technology-Market Fit". Вот почему:
1. Разные рынки имеют одни и те же потребности.
2. Но предпочитают разные технологии для их решения. Причины: регуляция, менталитет, культура, привычки. Например, хипста-финтех выстелил в России, а миллионы американцев все еще предпочитают чеки. Китайцы культурно готовы, чтобы все их перемещения и личные данные контролировало государство, а в ЕС принят GDPR, который в частности запрещает госорганам собирать данные о пользователе без informed consent (информированного явного согласия).
3. Новые технологии (децентрализованные криптовалюты, блокчейн, SSI) помогают решать существующие проблемы более эффективно, но не на всех рынках. Я не верю в Иран, Туркменистан и Венесуэлу, которые разрешат пользователям свободно пользоваться биткоином как средством платежа / финансовым активом. Не вижу причин, почему это не взлетит в Японии или Канаде.
4. SSI — это камень преткновения. В России рынок вполне серьезно рассуждает: "Ну сделают единый реестр, будут там лежать все документы и факты обо мне, что такого?... ¯\-(ツ)-/¯ "
5. Евросоюз в тот же день раздает пару миллионов евро грантов на внедрение SSI, где в конкурсной документации написано: "Must fall within the SSI concept. i.e., technologies which allow individuals to control their electronic identities and guard their privacy".
Вот лично вы: (а) готовы искать возможности на том рынке, на котором вы работаете? (b) готовы искать рынки для тех технологий и продуктов, которые решают масштабные проблемы эффективным путем?
EdTech и HR меняется, не проспите
Крупнейшие ИТ-работодатели США и Европы объединяются в консорциум для создания сети децентрализованных цифровых проверяемых фактов об образовании, опыте, навыках и умениях. И ествественно (а как же иначе) это построено на SSI архитектуре, verifiable credentials и для особых фанатов этого дела — даже на блокчейне.
Скорость найма, отбора и проверки опыта и знаний кандидатов — это ключевая компетенция любого, а особенно крупного бизнеса. В условиях фантастической мобильности рабочей силы и повсеместной удаленки это разница между правильно нанятыми людьми и потраченными 3-6 месяцами worth оклада сотрудника.
Что мы слышим от российского edtech и государственной системы образования? «Бумага - ок, кому не нравится вот пусть PDF отсканируют и не лезут к нам с дурацкими вопросами» 🤷🏻 (у нас дела поважнее — у нас в зуме звук пропал!)
Централизованные платформы, какими большими они бы не были, НИКОГДА не дадут возможности пользоваться системой любому, да и ещё сохранив приватность и контроль над данными за пользователем.
Upwork, Oracle, SAP прекрасно понимают это, но где же вы?
Крупнейшие ИТ-работодатели США и Европы объединяются в консорциум для создания сети децентрализованных цифровых проверяемых фактов об образовании, опыте, навыках и умениях. И ествественно (а как же иначе) это построено на SSI архитектуре, verifiable credentials и для особых фанатов этого дела — даже на блокчейне.
Скорость найма, отбора и проверки опыта и знаний кандидатов — это ключевая компетенция любого, а особенно крупного бизнеса. В условиях фантастической мобильности рабочей силы и повсеместной удаленки это разница между правильно нанятыми людьми и потраченными 3-6 месяцами worth оклада сотрудника.
Что мы слышим от российского edtech и государственной системы образования? «Бумага - ок, кому не нравится вот пусть PDF отсканируют и не лезут к нам с дурацкими вопросами» 🤷🏻 (у нас дела поважнее — у нас в зуме звук пропал!)
Централизованные платформы, какими большими они бы не были, НИКОГДА не дадут возможности пользоваться системой любому, да и ещё сохранив приватность и контроль над данными за пользователем.
Upwork, Oracle, SAP прекрасно понимают это, но где же вы?
Реестровая модель — это тупиковый путь (викторина в конце поста)
М. Мишустин, Минцифры и другие органы власти активно проводят цифровизацию и в этом году планируют запустить больше 50 государственных цифровых реестров: от разрешений на рыбалку до учёта оружия и алкогольной продукции. В одном только Миннауки сегодня работает 26 отдельных ИТ-систем.
И, к сожалению, почти все эти системы придётся либо полностью выкинуть, либо переделать. Потому что реестровая модель хранения данных в большинстве случаев не имеет никакого смысла, и вот почему:
1) Авторизация происходит по логину и паролю, которые хранятся у какого-то провайдера и могут быть (что регулярно происходит) украдены без вашего ведома.
2) Данные, хранящиеся у провайдера (например, государственного реестра) могут быть утеряны, скомпроментированы или изменены без вашего ведома.
3) Доступ к вашим данным, но хранящимся в централизованном реестре может получить кто угодно.
4) Никто, кроме владельца реестра не может настроить правила API или работы с данными для третьих участников рынка.
5) Кстати, любой самодельный блокчейн без учёта стандартов обмена данными так же является замкнутым реестром и активно негативно влияет на интероперабельность.
Почему так делается? Это дёшево, просто, понятно чиновникам и может быть сделано малокомпетентными подрядчиками за сверхскромное вознаграждение.
Более правильным путём является SSI-архитектура:
1) Повторяет все свойства бумаги, но в цифровом виде: контроль документа владельцем, выборочное раскрытие, непосредственное управление доступом и содержанием.
2) Взаимодействие с рынком в откроем формате. Как контрагент, чтобы проверить лицензию компании, я не должен ждать год прежде чем к реестру припилят API или заполнять замороченные формы — я могу запросить и лично проверить аутентичность документа, зная стандарт его формирования.
3) Взломы будут всегда, но при взломе пострадает только 1 пользователь, а не утекут миллионы записей из реестровой базы данных.
4) Задача государства — это создавать и поддерживать ПРОТОКОЛЫ, но сейчас они пытаются делать фулстак решения, которые одновременно и сложные, и всегда неизбежно недостаточно функциональны, потому что все кейсы предусмотреть невозможно. Софт для работы с документами для бизнеса должен делаться бизнесом, как это всегда и происходило.
5) Данный подход ни на йоту не снижает контроль государства над любыми данными, но зато предоставляет безопасность, приватность, конкуренцию в софте для хранения и проверки документов, свободу на уровне приложений для рынка.
Ну а теперь делайте ваши ставки, господа: получится ли эту идею обьяснить хоть кому-нибудь или это все зря потраченное время?
М. Мишустин, Минцифры и другие органы власти активно проводят цифровизацию и в этом году планируют запустить больше 50 государственных цифровых реестров: от разрешений на рыбалку до учёта оружия и алкогольной продукции. В одном только Миннауки сегодня работает 26 отдельных ИТ-систем.
И, к сожалению, почти все эти системы придётся либо полностью выкинуть, либо переделать. Потому что реестровая модель хранения данных в большинстве случаев не имеет никакого смысла, и вот почему:
1) Авторизация происходит по логину и паролю, которые хранятся у какого-то провайдера и могут быть (что регулярно происходит) украдены без вашего ведома.
2) Данные, хранящиеся у провайдера (например, государственного реестра) могут быть утеряны, скомпроментированы или изменены без вашего ведома.
3) Доступ к вашим данным, но хранящимся в централизованном реестре может получить кто угодно.
4) Никто, кроме владельца реестра не может настроить правила API или работы с данными для третьих участников рынка.
5) Кстати, любой самодельный блокчейн без учёта стандартов обмена данными так же является замкнутым реестром и активно негативно влияет на интероперабельность.
Почему так делается? Это дёшево, просто, понятно чиновникам и может быть сделано малокомпетентными подрядчиками за сверхскромное вознаграждение.
Более правильным путём является SSI-архитектура:
1) Повторяет все свойства бумаги, но в цифровом виде: контроль документа владельцем, выборочное раскрытие, непосредственное управление доступом и содержанием.
2) Взаимодействие с рынком в откроем формате. Как контрагент, чтобы проверить лицензию компании, я не должен ждать год прежде чем к реестру припилят API или заполнять замороченные формы — я могу запросить и лично проверить аутентичность документа, зная стандарт его формирования.
3) Взломы будут всегда, но при взломе пострадает только 1 пользователь, а не утекут миллионы записей из реестровой базы данных.
4) Задача государства — это создавать и поддерживать ПРОТОКОЛЫ, но сейчас они пытаются делать фулстак решения, которые одновременно и сложные, и всегда неизбежно недостаточно функциональны, потому что все кейсы предусмотреть невозможно. Софт для работы с документами для бизнеса должен делаться бизнесом, как это всегда и происходило.
5) Данный подход ни на йоту не снижает контроль государства над любыми данными, но зато предоставляет безопасность, приватность, конкуренцию в софте для хранения и проверки документов, свободу на уровне приложений для рынка.
Ну а теперь делайте ваши ставки, господа: получится ли эту идею обьяснить хоть кому-нибудь или это все зря потраченное время?