Beste NLNOG-leden, Met het einde van het jaar in zicht is het weer de periode van jaaroverzichten en cijfertjes. Dit keer wou ik ook graag een duit in het zakje doen. De meesten van jullie zullen weten dat ik hobby-project heb waarbij ik abuse-informatie verzamel en meldt bij de betreffende ISP (zo niet, kijk de presentatie op NLNOG-dag 2017 even terug: https://youtu.be/Mt-KfNQG1oQ). Hoewel de statistici het dataset vast te klein en onbetrouwbaar vinden, wil ik hier toch een klein overzicht over 2018 voor Nederland maken. In onderstaande overzichten wordt naar incidenten gekeken waar het ip-adres op dat moment geregistreerd stond in Nederland; voor het ASN wordt de gene gebruikt die de IP-range op dat moment adverteerde. Ik noem bewust geen namen of ASN, zodat niemand zich persoonlijk aangesproken hoeft te voelen. Als we naar het aantal incidenten per ASN kijken, zal het niemand verbazen dat de eerste plaats vergeven wordt aan een bulletproof hoster. Ook op de zesde plaats treffen we zo’n partij aan. Opvallend genoeg bestaat de rest van de top 10 alleen uit hostingproviders (shared hosting, VPS en colocatie). De eerste accessprovider treffen we pas op de elfde plaats. Hieruit zouden we voorzichtig de conclusie kunnen trekken dat besmette PC’s bij argeloze thuisgebruikers niet meer het grootste gevaar zijn, maar dat slecht beveiligde servers (zowel virtueel als fysiek) een grotere bedreiging op vormen. Als we naar het type incidenten over het totaal (hosting + access) kijken, dan springen er 4 types bovenuit: opeenvolgend zijn dat SSH-login pogingen, SMTP-authenticatie pogingen, pogingen SIP te misbruiken en portscans. Met name TCP-poorten 7000 en 6666 zijn populair bij de portscans. Kijken we alleen naar de hosting-aanbieders uit de top 10 (bulletproof-partijen uitgesloten), dan is de volgorde SSH-login pogingen, pogingen SIP te misbruiken, Portscans en SMTP-authenticatie pogingen. Overigens moet bij het SIP-verkeer opgemerkt worden dat het UDP-verkeer is, waarbij het source-address eenvoudig te spoofen is. Anderzijds levert SIP-communicatie niet veel verkeer op, waardoor het niet interessant is voor een DDoS en is het misbruiken voor telefonie-fraude waarschijnlijker omdat dit veel lucratiever is. Concluderend zouden we kunnen stellen dat het goed gaat met de beveiliging door thuisgebruikers, waar adequaat handelen door de accessproviders een belangrijk onderdeel is. Voor de hosters is een belerend vingertje meer op de plaats; misbruik en gecompromitteerde servers zouden makkelijk gedetecteerd kunnen worden met de juiste beveiligingstools. Misschien moet de branche hier in 2019 eens (gezamenlijk) nadenken over een handelswijze bij incidenten. Waar accessproviders vaak vrij snel overgaan tot blokkades tot de problemen zijn opgelost, krijgen hostingklanten vaak 24 tot 48 uur de tijd op het probleem op te lossen voor er geblokkeerd wordt, terwijl in deze periode het abuse doorgaat. Ook in het kader van de GDPR / AVG lijkt het mij verstandiger sneller tot blokkade over te gaan als derden controle hebben over systemen met gegevens. Ik wens iedereen fijne feestdagen en een goed, gezond abuse-vrij 2019! Jurrian van Iersel
Mooie terugblik Jurrian, Dit zou inderdaad een van de speerpunten van de DHPA en co moeten zijn. Wellicht dat er aandacht aan besteed kan worden door dit stuk te publiiceren onder de mediapartners en via LinkedIN. Marco Op vr 21 dec. 2018 om 11:31 schreef Jurrian van Iersel < jurrian@vaniersel.net>:
Beste NLNOG-leden,
Met het einde van het jaar in zicht is het weer de periode van jaaroverzichten en cijfertjes. Dit keer wou ik ook graag een duit in het zakje doen. De meesten van jullie zullen weten dat ik hobby-project heb waarbij ik abuse-informatie verzamel en meldt bij de betreffende ISP (zo niet, kijk de presentatie op NLNOG-dag 2017 even terug: https://youtu.be/Mt-KfNQG1oQ). Hoewel de statistici het dataset vast te klein en onbetrouwbaar vinden, wil ik hier toch een klein overzicht over 2018 voor Nederland maken.
In onderstaande overzichten wordt naar incidenten gekeken waar het ip-adres op dat moment geregistreerd stond in Nederland; voor het ASN wordt de gene gebruikt die de IP-range op dat moment adverteerde. Ik noem bewust geen namen of ASN, zodat niemand zich persoonlijk aangesproken hoeft te voelen. Als we naar het aantal incidenten per ASN kijken, zal het niemand verbazen dat de eerste plaats vergeven wordt aan een bulletproof hoster. Ook op de zesde plaats treffen we zo’n partij aan. Opvallend genoeg bestaat de rest van de top 10 alleen uit hostingproviders (shared hosting, VPS en colocatie). De eerste accessprovider treffen we pas op de elfde plaats.
Hieruit zouden we voorzichtig de conclusie kunnen trekken dat besmette PC’s bij argeloze thuisgebruikers niet meer het grootste gevaar zijn, maar dat slecht beveiligde servers (zowel virtueel als fysiek) een grotere bedreiging op vormen. Als we naar het type incidenten over het totaal (hosting + access) kijken, dan springen er 4 types bovenuit: opeenvolgend zijn dat SSH-login pogingen, SMTP-authenticatie pogingen, pogingen SIP te misbruiken en portscans. Met name TCP-poorten 7000 en 6666 zijn populair bij de portscans.
Kijken we alleen naar de hosting-aanbieders uit de top 10 (bulletproof-partijen uitgesloten), dan is de volgorde SSH-login pogingen, pogingen SIP te misbruiken, Portscans en SMTP-authenticatie pogingen. Overigens moet bij het SIP-verkeer opgemerkt worden dat het UDP-verkeer is, waarbij het source-address eenvoudig te spoofen is. Anderzijds levert SIP-communicatie niet veel verkeer op, waardoor het niet interessant is voor een DDoS en is het misbruiken voor telefonie-fraude waarschijnlijker omdat dit veel lucratiever is.
Concluderend zouden we kunnen stellen dat het goed gaat met de beveiliging door thuisgebruikers, waar adequaat handelen door de accessproviders een belangrijk onderdeel is. Voor de hosters is een belerend vingertje meer op de plaats; misbruik en gecompromitteerde servers zouden makkelijk gedetecteerd kunnen worden met de juiste beveiligingstools. Misschien moet de branche hier in 2019 eens (gezamenlijk) nadenken over een handelswijze bij incidenten. Waar accessproviders vaak vrij snel overgaan tot blokkades tot de problemen zijn opgelost, krijgen hostingklanten vaak 24 tot 48 uur de tijd op het probleem op te lossen voor er geblokkeerd wordt, terwijl in deze periode het abuse doorgaat. Ook in het kader van de GDPR / AVG lijkt het mij verstandiger sneller tot blokkade over te gaan als derden controle hebben over systemen met gegevens.
Ik wens iedereen fijne feestdagen en een goed, gezond abuse-vrij 2019!
Jurrian van Iersel _______________________________________________ NLNOG mailing list NLNOG@nlnog.net http://mailman.nlnog.net/listinfo/nlnog
-- With enthusiastic greetings, Marco van den Akker VP of nearly everything TiNC Works!
Goedemiddag, Vanuit ISPConnect staat abuse bestrijding wel degelijk op de lijst om aankomend jaar meer aan te gaan doen. Dit wel binnen de redelijke mogelijkheden die er zijn. Een voorbeeld van de eerste stappen hiervoor is te vinden op https://www.abuseplatform.nl/ wat een samenwerking is van een aantal organisaties (waaronder ISPConnect, DHPA, DINL, NBIP en SIDN). Meer informatie over de MVO activiteiten van ISPConnect (waaronder abuse bestrijding valt) is te vinden op https://www.ispconnect.nl/maatschappelijk-verantwoord-ondernemen-betekent-he... Als er specifieke vragen op dit vlak zijn voor ISPConnect dan adviseer ik om contact op te nemen met info@ispconnect.nl. Met vriendelijke groet, Mark Scholten Bestuurslid ISPConnect From: NLNOG [mailto:nlnog-bounces@nlnog.net] On Behalf Of Marco van den Akker Sent: Friday, December 21, 2018 12:21 To: Jurrian van Iersel Cc: nlnog@nlnog.net Subject: Re: [NLNOG] NL abuse-overzicht 2018 Mooie terugblik Jurrian, Dit zou inderdaad een van de speerpunten van de DHPA en co moeten zijn. Wellicht dat er aandacht aan besteed kan worden door dit stuk te publiiceren onder de mediapartners en via LinkedIN. Marco Op vr 21 dec. 2018 om 11:31 schreef Jurrian van Iersel <jurrian@vaniersel.net>: Beste NLNOG-leden, Met het einde van het jaar in zicht is het weer de periode van jaaroverzichten en cijfertjes. Dit keer wou ik ook graag een duit in het zakje doen. De meesten van jullie zullen weten dat ik hobby-project heb waarbij ik abuse-informatie verzamel en meldt bij de betreffende ISP (zo niet, kijk de presentatie op NLNOG-dag 2017 even terug: https://youtu.be/Mt-KfNQG1oQ). Hoewel de statistici het dataset vast te klein en onbetrouwbaar vinden, wil ik hier toch een klein overzicht over 2018 voor Nederland maken. In onderstaande overzichten wordt naar incidenten gekeken waar het ip-adres op dat moment geregistreerd stond in Nederland; voor het ASN wordt de gene gebruikt die de IP-range op dat moment adverteerde. Ik noem bewust geen namen of ASN, zodat niemand zich persoonlijk aangesproken hoeft te voelen. Als we naar het aantal incidenten per ASN kijken, zal het niemand verbazen dat de eerste plaats vergeven wordt aan een bulletproof hoster. Ook op de zesde plaats treffen we zo’n partij aan. Opvallend genoeg bestaat de rest van de top 10 alleen uit hostingproviders (shared hosting, VPS en colocatie). De eerste accessprovider treffen we pas op de elfde plaats. Hieruit zouden we voorzichtig de conclusie kunnen trekken dat besmette PC’s bij argeloze thuisgebruikers niet meer het grootste gevaar zijn, maar dat slecht beveiligde servers (zowel virtueel als fysiek) een grotere bedreiging op vormen. Als we naar het type incidenten over het totaal (hosting + access) kijken, dan springen er 4 types bovenuit: opeenvolgend zijn dat SSH-login pogingen, SMTP-authenticatie pogingen, pogingen SIP te misbruiken en portscans. Met name TCP-poorten 7000 en 6666 zijn populair bij de portscans. Kijken we alleen naar de hosting-aanbieders uit de top 10 (bulletproof-partijen uitgesloten), dan is de volgorde SSH-login pogingen, pogingen SIP te misbruiken, Portscans en SMTP-authenticatie pogingen. Overigens moet bij het SIP-verkeer opgemerkt worden dat het UDP-verkeer is, waarbij het source-address eenvoudig te spoofen is. Anderzijds levert SIP-communicatie niet veel verkeer op, waardoor het niet interessant is voor een DDoS en is het misbruiken voor telefonie-fraude waarschijnlijker omdat dit veel lucratiever is. Concluderend zouden we kunnen stellen dat het goed gaat met de beveiliging door thuisgebruikers, waar adequaat handelen door de accessproviders een belangrijk onderdeel is. Voor de hosters is een belerend vingertje meer op de plaats; misbruik en gecompromitteerde servers zouden makkelijk gedetecteerd kunnen worden met de juiste beveiligingstools. Misschien moet de branche hier in 2019 eens (gezamenlijk) nadenken over een handelswijze bij incidenten. Waar accessproviders vaak vrij snel overgaan tot blokkades tot de problemen zijn opgelost, krijgen hostingklanten vaak 24 tot 48 uur de tijd op het probleem op te lossen voor er geblokkeerd wordt, terwijl in deze periode het abuse doorgaat. Ook in het kader van de GDPR / AVG lijkt het mij verstandiger sneller tot blokkade over te gaan als derden controle hebben over systemen met gegevens. Ik wens iedereen fijne feestdagen en een goed, gezond abuse-vrij 2019! Jurrian van Iersel _______________________________________________ NLNOG mailing list NLNOG@nlnog.net http://mailman.nlnog.net/listinfo/nlnog -- With enthusiastic greetings, Marco van den Akker VP of nearly everything TiNC Works!
Hey Jurrian, Ik heb een paar korte vragen.
In onderstaande overzichten wordt naar incidenten gekeken waar het ip-adres op dat moment geregistreerd stond in Nederland; voor het ASN wordt de gene [...]
Naar welk overzicht verwijs je hier precies? Bedoelde je de overzichten in de lopende tekst, of bedoelde je nog iets van een bijlage die ik heb gemist?
Als we naar het aantal incidenten per ASN kijken, zal het niemand verbazen dat de eerste plaats vergeven wordt aan een bulletproof hoster. Ook op de zesde plaats treffen we zo’n partij aan. Opvallend genoeg bestaat de rest van de top 10 alleen uit hostingproviders (shared hosting, VPS en colocatie). De eerste accessprovider treffen we pas op de elfde plaats.
Hieruit zouden we voorzichtig de conclusie kunnen trekken dat besmette PC’s bij argeloze thuisgebruikers niet meer het grootste gevaar zijn, maar dat slecht beveiligde servers (zowel virtueel als fysiek) een grotere bedreiging op vormen.
Hoewel ik totaal geen kennis en ervaring met statistieken heb, lijkt het me lastig om zulke conclusies te trekken. Immers, zulke conclusies kun je alleen trekken als je ook kijkt naar andere randvoorwaarden, zoals het volume van het adres space in elk van de branches en dergelijke. Toch?
zijn opgelost, krijgen hostingklanten vaak 24 tot 48 uur de tijd op het probleem op te lossen voor er geblokkeerd wordt, terwijl in deze periode het abuse doorgaat. Ook in het kader van de GDPR / AVG lijkt het mij verstandiger sneller tot blokkade over te gaan als derden controle hebben over systemen met gegevens.
Kun je dat nader toelichten? Ik denk namelijk dat je wel gelijk hebt als het gaat om de bescherming van persoonsgegevens, maar niet als het gaat om, zeg maar, "AVG-proof" te zijn. Dank, dank. Ciao, Rejo -- Rejo Zenger E rejo@zenger.nl | P +31(0)639642738 | W https://rejo.zenger.nl T @rejozenger | J rejo@zenger.nl OpenPGP 1FBF 7B37 6537 68B1 2532 A4CB 0994 0946 21DB EFD4 XMPP OTR 271A 9186 AFBC 8124 18CF 4BE2 E000 E708 F811 5ACF
Jurrian/Rejo, Het lijkt heel erg op de TU Delft studie versie 0.1. De cijfers lijken alleen een overzicht van 'vatbare' diensten te geven, ze missen de belangrijkste parameter mbt abuse afhandeling: hoe snel wordt erop een abuse melding gereageerd. De TU Delft neemt dat in haar studie mee. Veel (veel ipjes) en 'vatbare diensten' (bv dedicated servers) = mogelijk veel abuse, als daar snel en adequaat op wordt gereageerd hoeft dat geen probleem te zijn. TU Delft normaliseert de cijfers, om zo de grote van het netwerk niet van doorslaggevende betekenis te laten zijn. (Weinig abuse, maar eea staat er maanden is vaak wel een probleem.) Groet, Alex -- IDGARA | alex@idgara.nl |+31(0)6 511-08-221 Van: Rejo Zenger <rejo@zenger.nl> Aan: <nlnog@nlnog.net> Verzonden: 24-12-2018 16:24 Onderwerp: Re: [NLNOG] NL abuse-overzicht 2018 Hey Jurrian, Ik heb een paar korte vragen.
In onderstaande overzichten wordt naar incidenten gekeken waar het ip-adres op dat moment geregistreerd stond in Nederland; voor het ASN wordt de gene [...]
Naar welk overzicht verwijs je hier precies? Bedoelde je de overzichten in de lopende tekst, of bedoelde je nog iets van een bijlage die ik heb gemist?
Als we naar het aantal incidenten per ASN kijken, zal het niemand verbazen dat de eerste plaats vergeven wordt aan een bulletproof hoster. Ook op de zesde plaats treffen we zo’n partij aan. Opvallend genoeg bestaat de rest van de top 10 alleen uit hostingproviders (shared hosting, VPS en colocatie). De eerste accessprovider treffen we pas op de elfde plaats.
Hieruit zouden we voorzichtig de conclusie kunnen trekken dat besmette PC’s bij argeloze thuisgebruikers niet meer het grootste gevaar zijn, maar dat slecht beveiligde servers (zowel virtueel als fysiek) een grotere bedreiging op vormen.
Hoewel ik totaal geen kennis en ervaring met statistieken heb, lijkt het me lastig om zulke conclusies te trekken. Immers, zulke conclusies kun je alleen trekken als je ook kijkt naar andere randvoorwaarden, zoals het volume van het adres space in elk van de branches en dergelijke. Toch?
zijn opgelost, krijgen hostingklanten vaak 24 tot 48 uur de tijd op het probleem op te lossen voor er geblokkeerd wordt, terwijl in deze periode het abuse doorgaat. Ook in het kader van de GDPR / AVG lijkt het mij verstandiger sneller tot blokkade over te gaan als derden controle hebben over systemen met gegevens.
Kun je dat nader toelichten? Ik denk namelijk dat je wel gelijk hebt als het gaat om de bescherming van persoonsgegevens, maar niet als het gaat om, zeg maar, "AVG-proof" te zijn. Dank, dank. Ciao, Rejo -- Rejo Zenger E rejo@zenger.nl | P +31(0)639642738 | W https://rejo.zenger.nl T @rejozenger | J rejo@zenger.nl OpenPGP 1FBF 7B37 6537 68B1 2532 A4CB 0994 0946 21DB EFD4 XMPP OTR 271A 9186 AFBC 8124 18CF 4BE2 E000 E708 F811 5ACF _______________________________________________ NLNOG mailing list NLNOG@nlnog.net http://mailman.nlnog.net/listinfo/nlnog
Op 24-12-2018 om 16:24 schreef Rejo Zenger:
Hey Jurrian,
Ik heb een paar korte vragen.
In onderstaande overzichten wordt naar incidenten gekeken waar het ip-adres op dat moment geregistreerd stond in Nederland; voor het ASN wordt de gene [...]
Naar welk overzicht verwijs je hier precies? Bedoelde je de overzichten in de lopende tekst, of bedoelde je nog iets van een bijlage die ik heb gemist?
Ik bedoel inderdaad de lopende tekst. Misschien was het handiger geweest dit anders te verwoorden.
Als we naar het aantal incidenten per ASN kijken, zal het niemand verbazen dat de eerste plaats vergeven wordt aan een bulletproof hoster. Ook op de zesde plaats treffen we zo’n partij aan. Opvallend genoeg bestaat de rest van de top 10 alleen uit hostingproviders (shared hosting, VPS en colocatie). De eerste accessprovider treffen we pas op de elfde plaats.
Hieruit zouden we voorzichtig de conclusie kunnen trekken dat besmette PC’s bij argeloze thuisgebruikers niet meer het grootste gevaar zijn, maar dat slecht beveiligde servers (zowel virtueel als fysiek) een grotere bedreiging op vormen. Hoewel ik totaal geen kennis en ervaring met statistieken heb, lijkt het me lastig om zulke conclusies te trekken. Immers, zulke conclusies kun je alleen trekken als je ook kijkt naar andere randvoorwaarden, zoals het volume van het adres space in elk van de branches en dergelijke. Toch? Ik ben met je eens dat je het het aantal ip-adressen per type provider mee moet nemen om een goed beeld te krijgen. Echter zijn de verhoudingen die ik zie dusdanig groot (factor 500 tot 1000) dat ik die conclusie wel durf te trekken. zijn opgelost, krijgen hostingklanten vaak 24 tot 48 uur de tijd op het probleem op te lossen voor er geblokkeerd wordt, terwijl in deze periode het abuse doorgaat. Ook in het kader van de GDPR / AVG lijkt het mij verstandiger sneller tot blokkade over te gaan als derden controle hebben over systemen met gegevens. Kun je dat nader toelichten? Ik denk namelijk dat je wel gelijk hebt als het gaat om de bescherming van persoonsgegevens, maar niet als het gaat om, zeg maar, "AVG-proof" te zijn.
Als een server misbruikt wordt, of dit nu door een complexe rootkit of door een 'eenvoudig' lek in een CMS is, biedt derden de mogelijkheid toegang te krijgen tot persoonsgegevens. Dit kan simpelweg het aanleggen van een lijst van e-mailadressen van het contactformulier zijn of een overzicht van alle gebruikers (naam + emailadres) tot inzage in het volledige klantenbestand. Sommige providers geven klanten 24 tot 48 uur de tijd om zelf het probleem op te lossen ("er draaien heel belangrijke systemen voor onze klant op deze server, die kunnen we niet zomaar uit de lucht halen"), maar dat betekend dus ook dat het potentiële datalek 24 tot 48 uur lang open blijft staan. Nu ben ik geen expert op het gebied van de AVG, maar volgens mij wordt er in deze wet (vrij vertaald) ook gezegd dat je er zo veel mogelijk aan doet om persoonsgegevens te beschermen. De boel 24 tot 48 uur open laten staan lijkt mij niet "zoveel mogelijk aan doen". Ik zou deze periode flink verkorten of beginnen met de boel volledig dichtzetten/loskoppelen van internet en pas weer openen als er zekerheid is dat een dienst veilig is (bv. de poorten voor mail weer openzetten terwijl de webserver onbereikbaar blijft tot het lek in de website gedicht is). Groet, Jurrian
Hey Jurrian,
Hoewel ik totaal geen kennis en ervaring met statistieken heb, lijkt het me lastig om zulke conclusies te trekken. Immers, zulke conclusies kun je alleen trekken als je ook kijkt naar andere randvoorwaarden, zoals het volume van het adres space in elk van de branches en dergelijke. Toch? Ik ben met je eens dat je het het aantal ip-adressen per type provider mee moet nemen om een goed beeld te krijgen. Echter zijn de verhoudingen die ik zie dusdanig groot (factor 500 tot 1000) dat ik die conclusie wel durf te trekken.
Het is ook precies wat Alex eerder zei, dat is wat ik bedoelde. Ik denk dat het lastig om misschien zelfs wel onverstandig is om conclusies te trekken als je niet meer contextuele gegevens meeneemt.
Kun je dat nader toelichten? Ik denk namelijk dat je wel gelijk hebt als het gaat om de bescherming van persoonsgegevens, maar niet als het gaat om, zeg maar, "AVG-proof" te zijn. [...] Nu ben ik geen expert op het gebied van de AVG, maar volgens mij wordt er in deze wet (vrij vertaald) ook gezegd dat je er zo veel mogelijk aan doet om persoonsgegevens te beschermen. De boel 24 tot 48 uur open laten staan lijkt mij niet "zoveel mogelijk aan doen". Ik zou deze periode flink verkorten of
De reden dat ik dit vraag: of de AVG relevant is in dit context hangt sterk samen met de partij die je aanspreekt. Als je als provider je klanten de ruimte geeft om iets naar eigen inzicht te hosten (colocatie, shared hosting, etc), dan is het die klant die verantwoordelijk is voor een verantwoorde omgang met de persoonsgegevens op die server of in dat shared hosting account. [1] Het is niet de provider die de infrastructuur biedt. Met andere woorden: hoewel die provider wel een rol heeft in de bescherming van persoonsgegevens, volgt dat niet of niet direct uit de AVG. [1] Hier ontbreekt wat nuance, ik ben me daarvan bewust. -- Rejo Zenger E rejo@zenger.nl | P +31(0)639642738 | W https://rejo.zenger.nl T @rejozenger | J rejo@zenger.nl OpenPGP 1FBF 7B37 6537 68B1 2532 A4CB 0994 0946 21DB EFD4 XMPP OTR 271A 9186 AFBC 8124 18CF 4BE2 E000 E708 F811 5ACF
Rejo Zenger schreef op 2018-12-27 10:36:
Hey Jurrian,
Hoewel ik totaal geen kennis en ervaring met statistieken heb, lijkt het me lastig om zulke conclusies te trekken. Immers, zulke conclusies kun je alleen trekken als je ook kijkt naar andere randvoorwaarden, zoals het volume van het adres space in elk van de branches en dergelijke. Toch? Ik ben met je eens dat je het het aantal ip-adressen per type provider mee moet nemen om een goed beeld te krijgen. Echter zijn de verhoudingen die ik zie dusdanig groot (factor 500 tot 1000) dat ik die conclusie wel durf te trekken.
Het is ook precies wat Alex eerder zei, dat is wat ik bedoelde. Ik denk dat het lastig om misschien zelfs wel onverstandig is om conclusies te trekken als je niet meer contextuele gegevens meeneemt.
Ik wil er geen welles-niets discussie van maken; ik heb vooraf gemeld dat het een relatief klein dataset was, dus de statistici zullen daar genoeg op aan te merken hebben. Je kunt je echter afvragen in hoeverre het in context plaatsen van de gegevens het geheel niet nog onbetrouwbaarder maakt. Je kunt het aantal IP-adressen per ASN wel achterhalen, maar dan weet het nog niet of deze ook echt in gebruik zijn en waarvoor. Er zijn genoeg ISP's die een mix van access en hosting aanbieden. Naast ISP's met een hoop ongebruikte IP-space zijn er ook die gebruik maken van Carrier-Grade NAT, wat goede context nog lastiger maakt. En hoe deel je bv. een bedrijf in dat zijn IT-infra gewoon op kantoor host op een lijn met een flinke IP-range? Zie je dit dan als hosting, terwijl de IP-range onder het ASN van een access-provider valt? En moet je eigenlijk niet het aantal machines achter een IP-adres meenemen voor een goede context? En in welke groep plaatsen we bv. IoT-devices als camera's, slimme thermostaten, enz.? Ga je de absolute aantallen dus in context plaatsen m.b.v. aantallen IP-adressen, waarbij de manier van tellen van de IP-adressen al discutabel is, dan worden de relatieve cijfers dus nog onbetrouwbaarder. Ik maak daarom liever gebruik van de absolute aantallen, die naar mijn mening zuiverder en betrouwbaarder zijn. Een ieder mag deze aantallen dan zelf relativeren binnen de context die volgens hem/haar juist is. In zowel de hosting- als de access-sector heb je grote en kleine spelers; ik denk dat het aantal gebruikers per sector uiteindelijk wel redelijk gelijk zal zijn. Als de top-10 dan volledig door hosting-partijen gevormd wordt, en de absolute aantallen tussen de hosting- en access-ISP's zich zo sterk verhouden denk ik dat mijn voorzichtige conclusie wel stand houdt.
Kun je dat nader toelichten? Ik denk namelijk dat je wel gelijk hebt als het gaat om de bescherming van persoonsgegevens, maar niet als het gaat om, zeg maar, "AVG-proof" te zijn. [...] Nu ben ik geen expert op het gebied van de AVG, maar volgens mij wordt er in deze wet (vrij vertaald) ook gezegd dat je er zo veel mogelijk aan doet om persoonsgegevens te beschermen. De boel 24 tot 48 uur open laten staan lijkt mij niet "zoveel mogelijk aan doen". Ik zou deze periode flink verkorten of
De reden dat ik dit vraag: of de AVG relevant is in dit context hangt sterk samen met de partij die je aanspreekt. Als je als provider je klanten de ruimte geeft om iets naar eigen inzicht te hosten (colocatie, shared hosting, etc), dan is het die klant die verantwoordelijk is voor een verantwoorde omgang met de persoonsgegevens op die server of in dat shared hosting account. [1] Het is niet de provider die de infrastructuur biedt. Met andere woorden: hoewel die provider wel een rol heeft in de bescherming van persoonsgegevens, volgt dat niet of niet direct uit de AVG.
[1] Hier ontbreekt wat nuance, ik ben me daarvan bewust.
Zoals gezegd ben ik geen AVG-expert en al helemaal geen jurist, maar volgens mij kun je als ISP vaak wel bij de gegevens komen (zeker fysiek, je zou gewoon een disk uit een server kunnen trekken). Een verwerkersovereenkomst lijkt mij dus van toepassing. Ben je dan als ISP niet mede-verantwoordelijk voor de bescherming van de gegevens? Bij een VPS of colocatie kun je misschien het probleem (de besmetting die een potentieel lek vormt) niet makkelijk verhelpen, maar de machine afsluiten (firewall, nullrouting, etc.) tot de beheerder aangeeft dat het allemaal veilig is kan natuurlijk wel. Nogmaals, ik ben geen expert op het gebied van de AVG en geen jurist, maar ik denk dat je als ISP de verantwoordelijkheid niet 100% op de klant kunt afschuiven omdat je het admin-account niet hebt. Misschien hebben we hier een mooie suggestie voor een zomer-event van NLNOG te pakken? Een mooie panel-discussie tussen technici aan de ene kant en juristen (bv. iemand van ICT-recht) en handhavers (bv. Autoriteit Persoonsgegevens) aan de andere kant? Om samen tot een aantal concrete oplossingen te komen voor vraagstukken als deze?
participants (5)
-
Alex de Joode -
Jurrian van Iersel -
Marco van den Akker -
Mark Scholten -
Rejo Zenger