Технология суверенной личности — рынок в триллион долларов

Правительства Евросоюза, США и Канады, а также технологические гиганты и ведущие университеты мира переходят на систему цифровых документов под названием “self-sovering identity” или “суверенная личность”. Как работает эта технология и почему прямо сейчас она создает новый рынок размером в триллион долларов рассказывает генеральный директор Credentia Степан Гершуни.

На протяжении столетий единственной формой подтверждения фактов были бумажные документы. Несмотря на стремительную цифровизацию всех областей жизни, значительная часть документов и фактов по сей день остаются в бумажной форме.

Бумажные документы не соответствуют уровню технологического прорыва, который произошел за последние годы, когда интернет стал универсальным средством связи между людьми, корпорациями и правительствами.

Если преимущества цифры над бумагой очевидны, то что же сдерживало мир от перехода и почему до 2020 года не появилось технологии для этого?

Первая причина — это разрозненность большого количество ИТ-систем. Решения, которые призваны упростить жизнь в реальности только усложняют её: теперь вместо одной папки с документами пользователь должен помнить десятки разных логинов и паролей от интернет-сервисов. Каждый из них имеет свой собственный интерфейс, правила использования, мобильное приложение, что только запутывает пользователей. Данные между системами не передаются вообще (сколько раз вы заполняли одинаковые поля в формах различных сайтов?), либо требуют долгой и дорогостоящей интеграции.

Другая причина — небезопасность централизованных реестров и баз данных. Причина этому не плохая защита, а высокая ценность данных. Если в одной базе данных, пусть очень хорошо защищенной, хранятся данные о финансовой истории миллионов людей, но для злоумышленников существует серьезная мотивация подкупить администратора или провести очень сложную и дорогую атаку, чтобы в результате получить незаконный доступ к данным. Доказательством этому являются регулярные взломы крупнейших банков, корпораций и даже государственных ИТ-систем.

К счастью, решение этих проблем существует и активно внедряется крупнейшими бизнесами и государственными органами ведущих экономик мира. Грубо говоря, можно выделить два подхода по работе с данными в цифровом виде:

Первый — централизованный (реестровый) подход, когда уполномоченная организация предлагает пользователям создавать учетные записи и через них получать доступ к услуге — например, личная страница Facebook или государственная система по хранению медицинских данных. В таком случае вся информация хранится централизованно, пользователь не имеет полного одностороннего контроля. Увеличивается риск кибератак, а сам пользователь никак не может защитить или контролировать свои собственные данные. Более того, если одна из систем была взломана, то использующий тот же пароль в другом месте пользователь становится уязвим, но зачастую даже не имеет об этом никакой информации.

Второй подход — технология суверенной личности (Self-Sovereign Identity, SSI) — это архитектура программного обеспечения, при которой данные пользователя хранятся децентрализованно (не требуют единого реестра) и полностью контролируются пользователем. При этом, соблюдается юридическая значимость и доказуемая верифицируемость таких данных и документов. В данном случае данные не хранятся централизованно, а вместо корпораций и государств принадлежат только самому владельцу данных, то есть пользователю.

Суверенность и портируемость данных означает, что вы можете выбрать любое приложение “цифрового кошелька” и в одном месте хранить все свои документы — от паспорта до медицинской справки, авиабилета и диплома. Аналогично бумаге, только вы сами решаете как хранить, кто будет иметь доступ к вашим данным и как вы хотите их защищать.

SSI подход включает в себя использование технологии распределенного хранения для пожизненной гарантии доступности данных, а также выборочное раскрытие информации — например, используя доказательства с нулевым разглашением (zero-knowledge proof). Это дает возможность доказать в цифровом и юридически значимом виде любой факт о себе, не разглашая деталей: например, доказать, что возраст больше 18 лет, не сообщая дату рождения.

Помимо удобства, такой подход предоставляет более высокий уровень безопасности: злоумышленнику недостаточно взломать одну, пусть максимально защищенную, базу данных, чтобы украсть 5 миллионов банковских карт — вместо этого, ему необходимо будет взломать 5 миллионов отдельных систем, что является задачей на порядок более сложной, если вообще выполнимой.

Один из стандартов в рамках SSI — Verifiable Credentials — в ноябре 2019 г. был принят международным консорциумом W3C, занимающимся разработкой стандартов для интернета, таких как HTML, XML, HTTP. Этот стандарт определяет составление, выпуск и проверку любой информации и документации в цифровом формате. Использование единого стандарта означает, что больше не нужно интегрировать разные ИТ-системы. Ваш цифровой диплом, выпущенный согласно стандарту VC, будет автоматически распознан системой поиска работы, а чек, гарантийный талон и сертификат соответствия товара автоматом окажется в кошельке покупателя.

Продуктом в системе суверенной личности является любой документ или факт — это может быть вполне классический договор, паспорт гражданина или водительское удостоверение, но так же и любые другие значимые факты и данные.

Цифровые документы и факты различаются по типу их эмитента:

Также существуют отдельные классы документов для различных держателей:

Еврокомиссия, Министерство Внутренней Безопасности США, Правительство Канады, крупнейшие ВУЗы от Массачусетского Технологического Института и Гарварда до Мюнхенского Университета, а также крупный бизнес — Oracle, SAP, IBM, Microsoft, Workday уже сегодня приоритезируют разработку SSI систем для решения различных задач: от выдачи паспортов и водительских удостоверений до повышения прозрачности учета компетенций на рынке труда.

Рассмотрим несколько крупнейших проектов более детально.

В июне 2020 года была завершена первая стадия пилота по заказу Министерства Внутренней Безопасности США (DHS) по разработке цифровой версии карты резидента. Многие другие страны также рассматривают использование SSI технологии для решения задачи создания цифровых паспортов и удостоверений личности. Программа решает целый ряд задач: от создания цифрового идентификатора личности для использования в других государственных и коммерческих сервисах до решения проблемы подделки физических документов.

В ходе первого этапа программы было предложено 7 независимых решений, каждое из которых автоматически поддерживает все остальные (что было продемонстрировано в ходе тестов взаимодействия, interop testing) не требуя специальной интеграции.

Цифровые дипломы и сертификаты на основе технологии суверенной личности выдают многие ВУЗы мира, включая российские. Однако, одна из ведущих в этом направлении некоммерческих организаций — Digital Credentials Consortium, созданный на базе MIT и Harvard University — пошла дальше и поставила своей задачей стандартизировать не только технический формат, но и структуру данных применительно конкретно к образованию. Такая работа ведется на базе IEEE — крупнейшей ассоциации, которая занимается стандартизацией технологических стандартов в микроэлектронике и информационных системах.

Цифровые дипломы не только позволяют решить проблему подделки и в разы снизить стоимость создания одного документа — они так же позволяют объединить в едином профиле данные о компетенциях и квалификациях полученных на разных уровнях образования. Например, в едином профиле работодатель сможет проверить подписанные факты получения аттестата и диплома, опыт работы, прохождение онлайн курсов и участие в конференции. Каждый факт имеет эмитента и юридически значимую подпись, что помогает снизить издержки работодателей при скоринге и проверке фактов из резюме соискателя.

Одной из самых массовых сфер применения SSI технологии являются сертификаты и паспорта на разного рода физические товары. В 2020 году американские компании Digital Bazaar и Transmute Industries реализовали систему цифровой сертификации импорта сырья в США. В частности, такие сертификаты позволяют подтверждать качество и историю производства стали и сырой нефти.

Europass — панъевропейская система резюме — готовится к переходу на подтверждаемые цифровые документы на базе SSI. Более 100 миллионов жителей Европейского Союза получат возможность формировать подтверждаемое резюме с автоматическим учетом любых источников образования, всех возможных языков и детальной моделью компетенций.

Проект Velocity Network, который является некоммерческим партнерством крупнейших работодателей в сфере IT, позволяет не только европейцам, но и гражданам любых стран создавать проверяемое и доказуемое резюме с опытом работы, дополнительным образованием и оценкой результатов. К проекту уже подключилось больше 20 ИТ-корпораций, среди которых Oracle, SAP, IBM, Microsoft, Workday.

Одна из самых активных сфер применения SSI технологии — это оцифровка на базе открытого стандарта всех медицинских документов. Особенно актуальны подобные проекты стали на фоне эпидемии COVID-19, но технология позволяет упростить взаимодействие не только с результатами анализов, но и любыми другими медицинскими документами: медицинские книжки, карты вакцинации, ветеринарные паспорта, любые справки и выписки.

Помимо чисто технической реализации, суверенная цифровая личность требует изменения существующего или создания абсолютного нового правового фреймворка. Еврокомиссия, Правительство Канады и ряд некоммерческих ассоциаций за последние несколько лет сделали огромную работу в этом направлении.

Задача Pan-Canadian Trust Framework (Панканадской модели доверия) — это переход к полностью цифровому взаимодействию граждан, государства и бизнеса и в стране. Это набор практик, регуляции и рекомендаций по дизайну систем, которые решают две основные задачи, возникающие при переходе к цифровой децентрализованной модели доверия:

В конечном счете, PCTF служит расширению прав и возможностей канадцев путем обеспечения того, чтобы право человека на цифровую личность не могло быть скомпрометировано, чтобы конфиденциальность и безопасность оставались критически важными и чтобы распространение технологии давало людям удобство и выбор из множества провайдеров.

Парламент Калифорнии принял изменения в Civil Code, согласно которым Verifiable Credentials является стандартом для выпуска, хранения и проверки медицинских документов и, в частности, результатов тестирования на COVID-19.

European self-sovereign identity framework (eSSIF) — это часть европейской инициативы по развитию перспективных технологий, включающей суверенную личность и блокчейн. В рамках инициативы создается регуляция и “золотой стандарт” по использованию SSI в качестве цифрового нотариата, сертификации и доверенного обмена данными. Помимо конкретных кейсов применения, данная инициатива регламентирует работу систем суверенной личности с европейскими цифровыми идентификаторами личности (eIDAS).

В 2020 году Еврокомиссия выделила 5,4 миллиона евро в виде грантов для развития SSI технологий и создания бизнес-приложений.

Ежегодно в мире создаются миллиарды документов и триллионы записей в тысячах разрозненных информационных систем. До недавнего времени не существовало способа объединить эти данные на основе единого цифрового протокола, в котором они бы по-настоящему принадлежали и контролировались пользователем. Та скорость, с которой технологию суверенной личности адаптируют крупнейшие бизнесы и ведущие экономики мира демонстрирует ее необходимость и ценность. Подобно интернету, в какой бы индустрии вы не работали — от автосервиса до банка или государственной организации, — эта технология позволит оптимизировать процессы, улучшить безопасность и удобство оказываемых услуг для клиентов.