Реестровая модель — это тупиковый путь (викторина в конце поста)
М. Мишустин, Минцифры и другие органы власти активно проводят цифровизацию и в этом году планируют запустить больше 50 государственных цифровых реестров: от разрешений на рыбалку до учёта оружия и алкогольной продукции. В одном только Миннауки сегодня работает 26 отдельных ИТ-систем.
И, к сожалению, почти все эти системы придётся либо полностью выкинуть, либо переделать. Потому что реестровая модель хранения данных в большинстве случаев не имеет никакого смысла, и вот почему:
1) Авторизация происходит по логину и паролю, которые хранятся у какого-то провайдера и могут быть (что регулярно происходит) украдены без вашего ведома.
2) Данные, хранящиеся у провайдера (например, государственного реестра) могут быть утеряны, скомпроментированы или изменены без вашего ведома.
3) Доступ к вашим данным, но хранящимся в централизованном реестре может получить кто угодно.
4) Никто, кроме владельца реестра не может настроить правила API или работы с данными для третьих участников рынка.
5) Кстати, любой самодельный блокчейн без учёта стандартов обмена данными так же является замкнутым реестром и активно негативно влияет на интероперабельность.
Почему так делается? Это дёшево, просто, понятно чиновникам и может быть сделано малокомпетентными подрядчиками за сверхскромное вознаграждение.
Более правильным путём является SSI-архитектура:
1) Повторяет все свойства бумаги, но в цифровом виде: контроль документа владельцем, выборочное раскрытие, непосредственное управление доступом и содержанием.
2) Взаимодействие с рынком в откроем формате. Как контрагент, чтобы проверить лицензию компании, я не должен ждать год прежде чем к реестру припилят API или заполнять замороченные формы — я могу запросить и лично проверить аутентичность документа, зная стандарт его формирования.
3) Взломы будут всегда, но при взломе пострадает только 1 пользователь, а не утекут миллионы записей из реестровой базы данных.
4) Задача государства — это создавать и поддерживать ПРОТОКОЛЫ, но сейчас они пытаются делать фулстак решения, которые одновременно и сложные, и всегда неизбежно недостаточно функциональны, потому что все кейсы предусмотреть невозможно. Софт для работы с документами для бизнеса должен делаться бизнесом, как это всегда и происходило.
5) Данный подход ни на йоту не снижает контроль государства над любыми данными, но зато предоставляет безопасность, приватность, конкуренцию в софте для хранения и проверки документов, свободу на уровне приложений для рынка.
Ну а теперь делайте ваши ставки, господа: получится ли эту идею обьяснить хоть кому-нибудь или это все зря потраченное время?
М. Мишустин, Минцифры и другие органы власти активно проводят цифровизацию и в этом году планируют запустить больше 50 государственных цифровых реестров: от разрешений на рыбалку до учёта оружия и алкогольной продукции. В одном только Миннауки сегодня работает 26 отдельных ИТ-систем.
И, к сожалению, почти все эти системы придётся либо полностью выкинуть, либо переделать. Потому что реестровая модель хранения данных в большинстве случаев не имеет никакого смысла, и вот почему:
1) Авторизация происходит по логину и паролю, которые хранятся у какого-то провайдера и могут быть (что регулярно происходит) украдены без вашего ведома.
2) Данные, хранящиеся у провайдера (например, государственного реестра) могут быть утеряны, скомпроментированы или изменены без вашего ведома.
3) Доступ к вашим данным, но хранящимся в централизованном реестре может получить кто угодно.
4) Никто, кроме владельца реестра не может настроить правила API или работы с данными для третьих участников рынка.
5) Кстати, любой самодельный блокчейн без учёта стандартов обмена данными так же является замкнутым реестром и активно негативно влияет на интероперабельность.
Почему так делается? Это дёшево, просто, понятно чиновникам и может быть сделано малокомпетентными подрядчиками за сверхскромное вознаграждение.
Более правильным путём является SSI-архитектура:
1) Повторяет все свойства бумаги, но в цифровом виде: контроль документа владельцем, выборочное раскрытие, непосредственное управление доступом и содержанием.
2) Взаимодействие с рынком в откроем формате. Как контрагент, чтобы проверить лицензию компании, я не должен ждать год прежде чем к реестру припилят API или заполнять замороченные формы — я могу запросить и лично проверить аутентичность документа, зная стандарт его формирования.
3) Взломы будут всегда, но при взломе пострадает только 1 пользователь, а не утекут миллионы записей из реестровой базы данных.
4) Задача государства — это создавать и поддерживать ПРОТОКОЛЫ, но сейчас они пытаются делать фулстак решения, которые одновременно и сложные, и всегда неизбежно недостаточно функциональны, потому что все кейсы предусмотреть невозможно. Софт для работы с документами для бизнеса должен делаться бизнесом, как это всегда и происходило.
5) Данный подход ни на йоту не снижает контроль государства над любыми данными, но зато предоставляет безопасность, приватность, конкуренцию в софте для хранения и проверки документов, свободу на уровне приложений для рынка.
Ну а теперь делайте ваши ставки, господа: получится ли эту идею обьяснить хоть кому-нибудь или это все зря потраченное время?