<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">From my perspective, it is not redundant unless we start requiring the RSA to be signed by a corporate officer and apply that requirement to any transfer applicant whose RSA was not already signed by a corporate officer (i.e. make them have an officer sign a new RSA).<div class=""><br class=""></div><div class="">Owen</div><div class=""><br class=""><div><br class=""><blockquote type="cite" class=""><div class="">On Jun 23, 2022, at 12:08 , Matthew Wilder <<a href="mailto:matthew.wilder@telus.com" class="">matthew.wilder@telus.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="auto" class="">Thank you Owen for your response. <div dir="auto" class=""><br class=""></div><div dir="auto" class="">This is a reasonable point. I agree that some explicit accountability is achieved through attestation. I do wonder whether this too may be redundant. For instance, do other legal artifacts - especially RSA - provide enough of a framework for accountability to combat fraud?<div dir="auto" class=""><br class=""></div><div dir="auto" class="">Certainly that is not a question I would expect the community to answer, since this is rather in the purview of staff.</div><div dir="auto" class=""><br class=""></div><div dir="auto" class="">Regards,</div><div dir="auto" class="">Matthew</div></div></div><br class=""><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu., Jun. 23, 2022, 11:49 a.m. Owen DeLong, <<a href="mailto:owen@delong.com" target="_blank" rel="noreferrer" class="">owen@delong.com</a>> wrote:<br class=""></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space" class=""><br class=""><div class=""><br class=""><blockquote type="cite" class=""><div class="">On Jun 23, 2022, at 09:06 , Matthew Wilder <<a href="mailto:matthew.wilder@telus.com" rel="noreferrer noreferrer" target="_blank" class="">matthew.wilder@telus.com</a>> wrote:</div><br class=""><div class=""><div dir="ltr" class="">Hi Noah, et al.<div class=""><br class=""></div><div class="">It appears that a few of you are not convinced of the problem statement for this Draft policy. Just a reminder this is a draft policy authored by the Policy Experience Working Group, to solve a customer experience problem identified by staff. Also, taking off my AC hat and putting on my day job hat for a moment - I can assure you that if you are at an organization of significant scale and complexity - this is indeed a real problem. In the case of qualification for transfers (8.5.5) this is a redundant step, in practice, since significant sums of money must be approved by executives in order to execute transfers.</div></div></div></blockquote><div class=""><br class=""></div>It’s not entirely redundant… The significant sums approval doesn’t provide the necessary nexus of evidence for ARIN to hold the officers accountable in the event of resource fraud.</div><div class=""><br class=""></div><div class="">Companies often escape prosecution by throwing lower level employees under the bus and claiming officers had no knowledge of the action in question.</div><div class=""><br class=""></div><div class="">This step prevents that from occurring in the case of ARIN resource fraud.</div><div class=""><br class=""></div><div class="">So yes, while I have some limited sympathy to the problem statement, I am in fact unconvinced that the problem requires a solution or that the current state imposes an unnecessary burden.</div><div class=""><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="">Swapping back to my AC hat now. To my mind, the introduction of officer attestations generally helped achieve two positive outcomes. First, it supported the principle of conservation. Second, it reduced the opportunity for fraud. There may be other benefits obtained by the requirement for officer attestation, and I am open to hearing everyone's perspective on this.</div></div></div></blockquote><div class=""><br class=""></div>In my opinion it never really did much for the latter, and I’m not convinced it did much for the former, either.</div><div class=""><br class=""></div><div class="">From my perspective it has always been about ensuring accountability and making sure that an accountable corporate officer (section 16 where applicable or equivalent elsewhere) is accountable for the actions of the company with regard to ARIN resource registrations. I think that’s still a valid need.</div><div class=""><br class=""></div><div class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="">This draft policy would do away with the need for officer attestation for justification of transfers, but only because the market provides the same benefits mentioned above. Would-be fraudsters on the transfer market would now face significant cost to execute a transfer, and presumably, an organization operating in bad faith could easily provide officer attestation. Similarly, documentation of an overly-optimistic plan - securing more resources than realistically needed - will mean a higher cost to the organization bankrolling the transfer. As a result, the individuals accountable for the organization's decisions are well aware of - and implicitly supportive of - the plan. An officer attestation is therefore redundant in both cases.</div></div></div></blockquote><div class=""><br class=""></div>If I agreed with your understanding of the benefits of attestation, then I’d probably agree about the market providing equivalent benefits. However, as pointed out above, the market does NOT provide the benefit of accountability and therefore, I think that it is still quite necessary and does protect the interests of ARIN and the community.</div><div class=""><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class=""><br class=""></div><div class="">To Noah and others who have voiced opposition - let me know if you see a case where the officer attestation in 8.5.5 protects the interests of ARIN and the community.</div></div></div></blockquote><div class=""><br class=""></div>Yes… See above.</div><div class=""><br class=""></div><div class="">Owen</div><div class=""><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class=""><br class=""></div><div class="">Best regards,</div><div class="">Matthew</div><div class=""><br class=""></div><div class=""><br class=""></div></div><br class=""><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jun 21, 2022 at 9:15 PM Noah <<a href="mailto:noah@neo.co.tz" rel="noreferrer noreferrer" target="_blank" class="">noah@neo.co.tz</a>> wrote:<br class=""></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto" class=""><br class=""><br class=""><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Wed, 22 Jun 2022, 04:56 ARIN, <<a href="mailto:info@arin.net" rel="noreferrer noreferrer" target="_blank" class="">info@arin.net</a>> wrote:<br class=""></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-US" class=""><div class=""><p class="MsoNormal">On 16 June 2022, the ARIN Advisory Council (AC) accepted "ARIN-prop-309: Remove Officer Attestation Requirement for 8.5.5" as a Draft Policy.</p><div class=""> <br class=""></div><p class="MsoNormal">Draft Policy ARIN-2022-3: Remove officer attestation requirement for 8.5.5</p><p class="MsoNormal">Problem Statement:</p><p class="MsoNormal">Requiring an officer attestation requires unnecessary resources and increases the time to complete an IPv4 transfer.</p><p class="MsoNormal"><u class=""></u> <u class=""></u></p><p class="MsoNormal">Policy statement:</p><p class="MsoNormal"><u class=""></u> <u class=""></u></p><p class="MsoNormal">8.5.5. Block Size</p><p class="MsoNormal"><u class=""></u> <u class=""></u></p><p class="MsoNormal">Organizations may qualify for the transfer of a larger initial block, or an additional block, by providing documentation to ARIN which details the use of at least 50% of the requested IPv4 block size within 24 months.</p><p class="MsoNormal"><u class=""></u> <u class=""></u></p><p class="MsoNormal">Removing “An officer of the organization shall attest to the documentation provided to ARIN.</p></div></div></blockquote></div><div dir="auto" class="">Using time as an excuse does not fly. Attestation is accountability and enforces legitimacy.</div><div dir="auto" class=""><br class=""></div><div dir="auto" class="">An authorized officer should not only be aware but MUST also be involved in attesting of documents that involve any Internet Number Resources transfers.</div><div dir="auto" class=""><br class=""></div><div dir="auto" class="">We have experienced fast hand on the negative impact of Admin Contacts being clueless to what its that Tech contacts do.</div><div dir="auto" class=""><br class=""></div><div dir="auto" class="">So I oppose the policy for using time as an excuse to remove an important process that ensures legitimacy.</div><div dir="auto" class=""><br class=""></div><div dir="auto" class="">Noah</div><div dir="auto" class=""><br class=""></div><div class="gmail_quote" dir="auto"></div></div>
_______________________________________________<br class="">
ARIN-PPML<br class="">
You are receiving this message because you are subscribed to<br class="">
the ARIN Public Policy Mailing List (<a href="mailto:ARIN-PPML@arin.net" rel="noreferrer noreferrer" target="_blank" class="">ARIN-PPML@arin.net</a>).<br class="">
Unsubscribe or manage your mailing list subscription at:<br class="">
<a href="https://lists.arin.net/mailman/listinfo/arin-ppml" rel="noreferrer noreferrer noreferrer" target="_blank" class="">https://lists.arin.net/mailman/listinfo/arin-ppml</a><br class="">
Please contact <a href="mailto:info@arin.net" rel="noreferrer noreferrer" target="_blank" class="">info@arin.net</a> if you experience any issues.<br class="">
</blockquote></div><br clear="all" class=""><div class=""><br class=""></div>-- <br class=""><div dir="ltr" class=""><div dir="ltr" class=""><p class="MsoNormal" style="color:rgb(34,34,34)"><b class=""><span style="font-size:10pt;font-family:Helvetica,sans-serif;color:rgb(118,113,113)" class="">Matthew Wilder</span></b><span style="font-size:10pt;font-family:Helvetica,sans-serif;color:rgb(118,113,113)" class=""><u class=""></u><u class=""></u></span></p><p class="MsoNormal" style="color:rgb(34,34,34)"><span style="font-size:10pt;font-family:Helvetica,sans-serif;color:rgb(118,113,113)" class="">Sr Engineer - IPv6, <span class="">IP</span> <span class="">Address</span> <span class="">Management</span></span></p></div></div>
_______________________________________________<br class="">ARIN-PPML<br class="">You are receiving this message because you are subscribed to<br class="">the ARIN Public Policy Mailing List (<a href="mailto:ARIN-PPML@arin.net" rel="noreferrer noreferrer" target="_blank" class="">ARIN-PPML@arin.net</a>).<br class="">Unsubscribe or manage your mailing list subscription at:<br class=""><a href="https://lists.arin.net/mailman/listinfo/arin-ppml" rel="noreferrer noreferrer" target="_blank" class="">https://lists.arin.net/mailman/listinfo/arin-ppml</a><br class="">Please contact <a href="mailto:info@arin.net" rel="noreferrer noreferrer" target="_blank" class="">info@arin.net</a> if you experience any issues.<br class=""></div></blockquote></div><br class=""></div></blockquote></div>
</div></blockquote></div><br class=""></div></body></html>