[NLNOG] NL abuse-overzicht 2018

[Jurrian van Iersel]

Rejo Zenger schreef op 2018-12-27 10:36:
> Hey Jurrian,
> 
>>> Hoewel ik totaal geen kennis en ervaring met statistieken heb, lijkt 
>>> het me lastig om zulke conclusies te trekken. Immers, zulke 
>>> conclusies kun je alleen trekken als je ook kijkt naar andere 
>>> randvoorwaarden, zoals het volume van het adres space in elk van de 
>>> branches en dergelijke. Toch?
>> Ik ben met je eens dat je het het aantal ip-adressen per type provider 
>> mee
>> moet nemen om een goed beeld te krijgen. Echter zijn de verhoudingen 
>> die ik
>> zie dusdanig groot (factor 500 tot 1000) dat ik die conclusie wel durf 
>> te
>> trekken.
> 
> Het is ook precies wat Alex eerder zei, dat is wat ik bedoelde. Ik
> denk dat het lastig om misschien zelfs wel onverstandig is om
> conclusies te trekken als je niet meer contextuele gegevens meeneemt.
> 
Ik wil er geen welles-niets discussie van maken; ik heb vooraf gemeld 
dat het een relatief klein dataset was, dus de statistici zullen daar 
genoeg op aan te merken hebben. Je kunt je echter afvragen in hoeverre 
het in context plaatsen van de gegevens het geheel niet nog 
onbetrouwbaarder maakt. Je kunt het aantal IP-adressen per ASN wel 
achterhalen, maar dan weet het nog niet of deze ook echt in gebruik zijn 
en waarvoor. Er zijn genoeg ISP's die een mix van access en hosting 
aanbieden. Naast ISP's met een hoop ongebruikte IP-space zijn er ook die 
gebruik maken van Carrier-Grade NAT, wat goede context nog lastiger 
maakt. En hoe deel je bv. een bedrijf in dat zijn IT-infra gewoon op 
kantoor host op een lijn met een flinke IP-range? Zie je dit dan als 
hosting, terwijl de IP-range onder het ASN van een access-provider valt? 
En moet je eigenlijk niet het aantal machines achter een IP-adres 
meenemen voor een goede context? En in welke groep plaatsen we bv. 
IoT-devices als camera's, slimme thermostaten, enz.?

Ga je de absolute aantallen dus in context plaatsen m.b.v. aantallen 
IP-adressen, waarbij de manier van tellen van de IP-adressen al 
discutabel is, dan worden de relatieve cijfers dus nog onbetrouwbaarder.

Ik maak daarom liever gebruik van de absolute aantallen, die naar mijn 
mening zuiverder en betrouwbaarder zijn. Een ieder mag deze aantallen 
dan zelf relativeren binnen de context die volgens hem/haar juist is.

In zowel de hosting- als de access-sector heb je grote en kleine 
spelers; ik denk dat het aantal gebruikers per sector uiteindelijk wel 
redelijk gelijk zal zijn. Als de top-10 dan volledig door 
hosting-partijen gevormd wordt, en de absolute aantallen tussen de 
hosting- en access-ISP's zich zo sterk verhouden denk ik dat mijn 
voorzichtige conclusie wel stand houdt.

>>> Kun je dat nader toelichten? Ik denk namelijk dat je wel gelijk hebt 
>>> als het gaat om de bescherming van persoonsgegevens, maar niet als 
>>> het gaat om, zeg maar, "AVG-proof" te zijn.
> [...]
>> Nu ben ik geen expert op het gebied van de AVG, maar volgens mij wordt 
>> er in
>> deze wet (vrij vertaald) ook gezegd dat je er zo veel mogelijk aan 
>> doet om
>> persoonsgegevens te beschermen. De boel 24 tot 48 uur open laten staan 
>> lijkt
>> mij niet "zoveel mogelijk aan doen". Ik zou deze periode flink 
>> verkorten of
> 
> De reden dat ik dit vraag: of de AVG relevant is in dit context hangt
> sterk samen met de partij die je aanspreekt. Als je als provider je
> klanten de ruimte geeft om iets naar eigen inzicht te hosten
> (colocatie, shared hosting, etc), dan is het die klant die
> verantwoordelijk is voor een verantwoorde omgang met de
> persoonsgegevens op die server of in dat shared hosting account. [1]
> Het is niet de provider die de infrastructuur biedt. Met andere
> woorden: hoewel die provider wel een rol heeft in de bescherming van
> persoonsgegevens, volgt dat niet of niet direct uit de AVG.
> 
> 
> 
> [1] Hier ontbreekt wat nuance, ik ben me daarvan bewust.

Zoals gezegd ben ik geen AVG-expert en al helemaal geen jurist, maar 
volgens mij kun je als ISP vaak wel bij de gegevens komen (zeker fysiek, 
je zou gewoon een disk uit een server kunnen trekken). Een 
verwerkersovereenkomst lijkt mij dus van toepassing. Ben je dan als ISP 
niet mede-verantwoordelijk voor de bescherming van de gegevens? Bij een 
VPS of colocatie kun je misschien het probleem (de besmetting die een 
potentieel lek vormt) niet makkelijk verhelpen, maar de machine 
afsluiten (firewall, nullrouting, etc.) tot de beheerder aangeeft dat 
het allemaal veilig is kan natuurlijk wel.

Nogmaals, ik ben geen expert op het gebied van de AVG en geen jurist, 
maar ik denk dat je als ISP de verantwoordelijkheid niet 100% op de 
klant kunt afschuiven omdat je het admin-account niet hebt.

Misschien hebben we hier een mooie suggestie voor een zomer-event van 
NLNOG te pakken? Een mooie panel-discussie tussen technici aan de ene 
kant en juristen (bv. iemand van ICT-recht) en handhavers (bv. 
Autoriteit Persoonsgegevens) aan de andere kant? Om samen tot een aantal 
concrete oplossingen te komen voor vraagstukken als deze?