Sinds Facebook opgegaan is in Meta, JPMorgan een metaverse-bankfiliaal heeft geopend, vastgoedbedrijven landposities kopen en big tech-organisaties als Apple, Samsung en Microsoft massaal vacatures uitschrijven, zoeken veel bedrijven hoe zij zich kunnen presenteren in de metaverse. Zij combineren hun fysieke en digitale identiteit door het aan elkaar koppelen van fysieke objecten, sociale media-accounts en facetten uit de gaming-, augmented realityen cryptocurrency-industrie. Met als doel een hybride en geïntegreerde gebruikerservaring te creëren zowel fysiek als digitaal.
Tekst: Jordan van den Akker
Hoewel de metaverse nog in de kinderschoenen staat, roept het veel vragen op over de toekomst van fysieke en digitale identiteiten en authentiseren
online en offline. Een van de meest urgente: hoe kunnen individuen, producten, diensten en bedrijven zichzelf online en offline vertegenwoordigen, en wat betekent een identiteit in deze volgende fase van het internet en waar vervaagt de grens tussen fysiek en digitaal?
1. Wat is een identiteit en waar zitten de verschillen tussen fysiek en digitaal?
In de fysieke wereld heeft je identiteit een groot aantal kenmerken – van waar je woont en waar je naar school gaat tot hoe je eruitziet en hoe je met de wereld omgaat. Hier krijg je vaak een fysiek certificaat, diploma of andersoortige bewijs voor van een vertrouwde partij: notaris, universiteit of gemeente.
Op dezelfde manier weerspiegelt je digitale identiteit je virtuele adres of domeinnaam, evenals je gedrag op internet. Voor individuele gebruikers is deze identiteit gebaseerd op informatie die over je verzameld is – inclusief zoekgeschiedenis, eerdere aankopen of demografische informatie – die je online profiel vormen.
Een combinatie is ook steeds vaker te zien, waarbij fysieke kenmerken ook digitaal nodig zijn. Zo is het prettig om een diploma digitaal te kunnen delen en digitaal te checken door een uitgevende instantie. Geen gedoe meer met scannen en delen van fysieke diploma’s, maar een 100 procent digitale variant. Hetzelfde geldt voor een hypotheek, aanschaf van een auto of kunst aan de muur.
2. Wat is metaverse en hoe gaat het concept de identiteit veranderen?
De definitie van de digitale identiteit krijgt een nieuwe betekenis in de metaverse. In de metaverse zijn de principes gedecentraliseerd, open platform op basis van openbare blockchain-technologie die vertrouwt op digitale identiteiten die zijn gekoppeld aan echte identiteiten. Ook worden fysieke items steeds meer gekoppeld aan deze identiteit.
In deze virtuele wereld hebben gebruikers controle over persoonlijke identificatiegegevens en interacties met andere gebruikers. Gebruikers kunnen zelfs selectief informatie vrijgeven, afhankelijk van hun eigen comfortniveau middels een persoonlijke wallet (waarbij ze zelf de privésleutel hebben). Persoonlijke fysieke items kunnen worden toegevoegd aan de wallet. Om zo te kunnen showen met bezittingen op een digitale manier.
Na stilstaand beeld en bewegend beeld is dit mogelijk een nieuwe fase van sociale media en gaming. Bovendien kunnen digitale identiteiten in de metaverse zowel individuen als instellingen of organisaties vertegenwoordigen. Een gebruiker kan verschillende digitale identiteiten hebben, zoals een medewerker van een organisatie een persoonlijke identiteit bij een virtueel concert, maar ze zijn allemaal gebaseerd op de echte identiteit van de gebruiker.
Dit idee anticipeert op de behoefte aan een interoperabele digitale en fysieke identiteit, of een soort digitaal paspoort dat individuen en organisaties in digitale omgevingen kunnen gebruiken om te bewijzen wie ze zijn en waarom ze anders zijn. Maar ook om fysiek objecten te koppelen aan een unieke digitale versie. Zo hebben Nike, Adidas, Amazon en Shopify al aangegeven dit makkelijker te maken en te integreren.
3. Waar kan ik me als organisatie al op voorbereiden?
Voor bedrijven is hun identiteit een weerspiegeling van het gedrag en de interacties van een merk, zowel online als offline. Het opbouwen van een authentieke fysieke en digitale identiteit, als individu of organisatie, begint met weten wie je bent, en belangrijker nog, wie je online en offline wilt zijn.
Organisaties dienen zich voor te bereiden op de volgende fase van het internet
Dat is wat dit extra kanaal voor je merk kan betekenen. Maar wat voor gevolgen heeft dit gezien vanuit securityperspectief? Organisaties dienen zich voor te bereiden op deze volgende fase van het internet, ook wel web 3.0 genoemd. Het is onvermijdelijk dat identiteiten zowel fysiek als digitaal gaan worden. De volgende stappen zouden een rol moeten spelen in een visiedocument over identiteiten en de metaverse:
- Als bedrijf moet je nadenken over je eigen visie op de metaverse en wat de eigen rol van de medewerkers kan gaan worden. Welke producten, dien-sten en data leveren we en is er momenteel behoefte om deze ook digitaal vast te leggen? Zouden klanten dit digitaal willen toevoegen aan hun persoonlijke wallet?
- Onderdeel van deze visie zou het gebruik van identity wallets moeten zijn. Dit kan zowel op een decentrale manier middels blockchain en centraal middels Public Key Infrastructuur (PKI). De vraag is: hoe gaan we om met deze wallets met allerlei soorten data (persoonlijke en financiële data, maar ook data van fysieke producten of diensten)?
- Ook het beveiligen van transacties is belangrijk. In beide trustmodellen, decentraal of centraal, worden sleutelparen gebruikt. Hoe gaan we daarmee om? Hoe versleutelen we de data? En wanneer ontsleutelen we het? En hoe gaan we om met sleutelmanagement?
- Nadenken over hoe fysieke producten en diensten vertaald kunnen worden naar een digitale omgeving. Wil je als bedrijf iets gaan leveren of een dienst aanbieden, hoe ga je dit dan vastleggen? Middels certificaten en attribuutcertificaten of openbare blockchain?
- Kies je voor het centrale trustmodel en dus PKI, dan dien je na te denken over de Europese en nationale weten regelgeving. En dien je na te denken over een vertrouwensketen van uitgifte van certificaten en attributen. En hoe kun je identity wallets centraal uitgeven, zodat gebruikers deze kunnen gebruiken (ook in decentrale use-cases)?
Welke kant het op gaat is onduidelijk. Maar wat wel duidelijk is, is dat de securitymanager nu al moet nadenken over de impact.
Jordan van den Akker is Business Security Consultant bij AET Europe