<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 28, 2019 at 7:16 PM Ronald F. Guilmette <<a href="mailto:rfg@tristatelogic.com" target="_blank">rfg@tristatelogic.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>In message <<a href="mailto:CAN-Dau3yAjwbgfySKYAz7jbMyA7RuHr4JKF%2BMMM%2B_t0NG1ZXVw@mail.gmail.com" target="_blank">CAN-Dau3yAjwbgfySKYAz7jbMyA7RuHr4JKF+MMM+_t0NG1ZXVw@mail.gmail.com</a>><br>David Farmer <<a href="mailto:farmer@umn.edu" target="_blank">farmer@umn.edu</a>> wrote:<br>
<br>>Ok, I guess it is theoretically possible there are options that are<br>>equivalent to retail theft detectors, with no impact on good actors.<br>>However, I'm not aware of any policy options with such properties, all of<br>>them that I can think of involve the balancing act I referred too. If you<br>>have ideas for policies that only impact the bad actors please share them.<br>
<br>Total transparency for everything.<br>
<br>Your university would not have a problem with that.  Nor would most<br>publicly-traded companies.  Nor would a majority of non-profits, I think.<br></blockquote><div><br></div><div>"Total transparency for everything" is nice hyperbole, but is not a practical policy even for my university. We need practical policy proposals with the details necessary to evaluate and implement them. <br></div><div><br></div><div>Exactly what information and at what level of detail do you want to be included your total transparency? If you mean, that the reports we have to give ARIN with the details of how all our current IP addresses are used when we justify more of them, basically a catalog of each subnet on our network. If that has to be public, my security people would definitely take issue with that, that is basically a road map for attacking our network. ARIN needs to know technical details about each of our networks at a level that none of us want to be made public. Having that level of information made public is a technical security risk to our organizations and users.<br></div><div><br></div><div><div>Now if you want my university's audited financial records, sure those are public, but not until they have been audited. While you personally might find them interesting, I don't see how they are relevant to our IP address usage and why ARIN would care, ARIN may want certain organizational documents for an 8.2 M&A Transfer, but probably not my university's full financial records. And even if ARIN did need them we wouldn't want ARIN making them public, if you want my university's financial records you come to us for them.</div><div> </div></div><div>Basically, as I see it, "total transparency for everything" is no the equivalent to retail theft detectors, and it involves the trade-offs I was referring to.</div><div><br></div><div>Thanks</div><div><br></div><div> </div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div>-- <br><div dir="ltr" class="gmail-m_-3864215813979403035m_-3847615561794166447m_-8735826293234709637m_9040141734204790030gmail_signature">===============================================<br>David Farmer               <a href="mailto:Email%3Afarmer@umn.edu" target="_blank">Email:farmer@umn.edu</a><br>Networking & Telecommunication Services<br>Office of Information Technology<br>University of Minnesota   <br>2218 University Ave SE        Phone: 612-626-0815<br>Minneapolis, MN 55414-3029   Cell: 612-812-9952<br>===============================================</div></div></div></div></div></div></div>