On Tue, 2008-11-04 at 11:03 +0100, Erik Bais wrote:

Ik ga even publiekelijk reageren voor de paar mensen die prive gereageerd hebben, om ook de communicatie even op gang te houden.

Ik zit zelf niet in de zitting, maar ik ben gevraagt door een van de fractie leden van de 1ste kamer om deze info 'even' bij elkaar te zoeken.

Mijn aanname is dat het noodzakelijk is om compliant op te slaan, omdat anders de none-repudiation van de bewijslast in geding gaat komen. ( de isp moet kunnen bewijzen dat er niet met de gegevens geknoeid is.) Hierdoor heb je storage nodig die duurder is dan wat je normaal voor operations gebruikt. Dit zou je kunnen bewijzen dat je tussen een moord op een locatie eerst een kinderfeestje gaat geven en met een voetbalteam naar binnen gaat, waarna je dan pas het NFI naar sporen gaat laten zoeken.

Volgens mij hoeft de ISP niet te _bewijzen_ dat je er niet mee gerommeld hebt. Je mag het gewoon niet doen (wet is wet). Bij een bevraging door de politie moet de politie/ULI ervoor zorgen dat het bewijsmateriaal read-only wordt opgeslagen. Of wordt hierover iets in het BBGT (besluit beveiliging gegevens telecom) vastgelegd?

Het idee van de overheid is om de opslag centraal te regelen, als tegenargument dat dit alles zo duur gaat worden. Dit gaat een grote inbreuk op de privacy zijn, omdat er dan zonder verdachtmaking en toetsing van de ISPs door de gegevens gezocht kan worden.

In het wetsvoorstel staat dat het niet centraal geregeld wordt. Wie wil het dan alsnog centraal regelen?

Voor de mensen welke dit zouden willen, kan ik wel een voorbeeld mailen hoe dat technisch op te lossen is naar aanleiding van een technische oplossing om deze machtsbalans in stand te houden en toch de overheid voor de meeste kosten op te laten draaien. Stuur mij even een mailtje voor dat design, dan stuur ik dat even buiten de maillist. Aangezien ik vandaag terug naar Dubai vlieg vanuit Amsterdam, zal dit dus morgen worden voor die reply.

Hierbij.

Voor nu heb ik de gegevens nodig voor dit alles, dus iedereen die me hun info qua opslag noodzaak zou kunnen mailen, gaarne.

De gegevens zijn redelijk goed te comprimeren, maar daar wil ik in eerste instantie niet vanuit gaan. ( ivm none-repudiation en doorzoekbaarheid ) Als dit wel toegestaan is, dan kan dat later wel bekeken worden.

Qua http logging van websites ga ik een verschil maken van dedicated ( ISP owned / Managed hw) en shared hosting. Wat ik gezien heb is dat managed meestal meer logging produceerd dan een simpel shared hosting pakketje. ( 2 - 3 GB per dag tov 7MB avg. per dag )

http-logging? Sinds wanneer moet die opgeslagen worden voor dataretentie? Met vriendelijke groet, Pim van Stam

In afwachting, Erik Bais

________________________________________ From: nlnog-bounces at nlnog.net [nlnog-bounces at nlnog.net] On Behalf Of Erik Bais [erik at bais.name] Sent: Monday, November 03, 2008 11:25 PM To: nlnog at nlnog.net Subject: [Nlnog] Vraagje mbt logging en kosten ivm Bewaarplicht ...

Hi,

Ik ben gevraagt om ter voorbereiding voor een gesloten zitting van de 1ste kamer Commissie van Justitie wat inzage te geven in kosten mbt bewaarplicht. Deze zitting is op 11 November.

De gegevens welke gebruikt worden, zullen door onafhankelijke EDP auditors bekeken worden tijdens de zitting. Dit zal waarschijnlijk de laatste mogelijkheid zijn om deze gegevens nogmaals bij de CvJ voor te leggen en wat de impact gaat zijn van dit besluit voor de ISP.

Om dit correct te doen, ben ik momenteel wat gegevens bij elkaar aan het verzamelen en zou hier graag jullie willen vragen om de volgende info te verschaffen (dit mag ook private als je de gegevens niet publiekelijk wil delen.)

De gegevens die ik heb, zijn 3 jaar oud en ik heb deze uit mijn presentatie gehaald toen ik nog bij IS werkte.

Wat zie je als website logging per dag per website: Mijn inschatting momenteel is 7MB per dag gemiddeld. Hoeveel website's host je momenteel ?

Hoeveel storage ga je nodig hebben per dedicated / virtueel dedicated server per jaar ? Colo is niet van de hoster en hoef je niet mee te nemen.

Maillogging: Voor een omgeving waarbij je ongeveer 30.000 mailboxen host, krijg je ongeveer 3GB aan logfiles per dag. Wat zie je zelf in je eigen omgeving en hoeveel mailboxes host je ?

DHCP / Radius logging. Hoeveel log-gegevens zie je uit deze omgeving per dag ?

Deze DHCP / Radius logging is puur de logging van de technische informatie, maar weet je over 10 maanden nogaan welke klant je welk IP nr hebt uitgedeelt ? En wat is de impact als je ook IPv6 gaat aanbieden aan je klanten ? Kan je dan nog steeds per IP adres over 10 mnd met 100% zekerheid aangeven wie de eigenaar was op moment X ? Als je dit niet kan (wat wel een requirement is), hoeveel denk je dat het gaat kosten om de integratie te maken en qua opslag, zodat je dit wel kan doen. ( integratie kosten en additionele opslag kosten om bij iedere IP record in de Radius / DHCP timestamp ook een identifier ( acct nr ? ) op te slaan )

Hoeveel van jullie hebben SOX complient storage ( en hoe groot is deze), waarbij het mogelijk is om logfiles read-only op te slaan zodat het niet aangepast kan worden (tampering) waarbij de gegevens ook daarwerkelijk als bewijslast zou kunnen worden gebruikt ?

Wat ga je denk je nodig hebben aan pure ( netto ) storage en daarnaast nog de RAID overhead en komt er dan nog aan backup storage bij. Hoeveel backups ga je maken en hoelang ga je die data ( van de backups ) bewaren.)

Uiteraard heb ik niet veel tijd gekregen om de info te verzamelen, dus als je dit zou kunnen verstrekken binnen 24 uur, zou ik dat heel erg op prijs stellen.

Mvg, Erik Bais _______________________________________________ NLNOG mailing list NLNOG at nlnog.net http://mailman.nlnog.net/mailman/listinfo/nlnog

On Tue, 2008-11-04 at 11:35 +0100, Sabri Berisha wrote:

On Tue, Nov 04, 2008 at 11:17:14AM +0100, Pim van Stam wrote:

Hi,

...

...

Het idee van de overheid is om de opslag centraal te regelen, als tegenargument dat dit alles zo duur gaat worden. Dit gaat een grote inbreuk op de privacy zijn, omdat er dan zonder verdachtmaking en toetsing van de ISPs door de gegevens gezocht kan worden.

Dat kan nu al, het CIOT bewaard bijvoorbeeld alle NAW+IP gegevens. Officieel zijn er regels opgesteld voor inzage. Maar wie controleert dat?

CIOt is uitvoering van een ander wetsartikel dan dataretentie. Hierbij wordt de actuele gegevens bewaard. CIOT _mag_ en kan deze gegevens niet langer dan 24 uur bewaren. Dit is dus geen oplossing voor dataretentie. Verder is er een audit-systeem in het leven geroepen waaraan de overheid, maar ook marktpartijen deelnemen. Tevens is hierop parlementair toezicht. Dit laatste geldt ook voor dataretentie.

...

In het wetsvoorstel staat dat het niet centraal geregeld wordt. Wie wil het dan alsnog centraal regelen?

Als ik het juiste wetsvoorstel gelezen heb is dat niet moeilijk: (http://parlando.sdu.nl/cgi/showdoc/session=anonymous at 3A1258256203/action=doc/query=3/pos=1/KST118556.pdf)

c. Het derde lid, tweede volzin, komt te luiden: Teneinde aan deze verplichtingen te kunnen voldoen bewaren de aanbieders de bij algemene maatregel van bestuur aan te wijzen gegevens voor een periode van twaalf maanden, vanaf het tijdstip waarop deze gegevens voor de eerste maal zijn verwerkt.

Het kabinet kan zelfstandig besluiten hoe dit geregeld moet worden. Dit zou bijvoorbeeld kunnen via het CIOT.

Ik lees toch echt dat de aanbieder de gegevens moet bewaren en bij AMVB alleen bepaald kan worden wat er bewaard moet worden. Dit is overigens ook nog eens gelimiteerd tot de gegevens die in het wetsvoorstel staan (geen url's dus).

Groeten,

-- Met vriendelijke groet, Pim van Stam WP van Stam ICT Postbus 628, 6710 BP Ede Postweg 38, 6741 BC Lunteren E: pim at vanstam-ict.nl T: (0318) 48 93 11 F: (0318) 48 93 51 G: (06) 46 44 42 92