<div dir="ltr">Hi Allison,<div><br></div><div>Some of us have been trying to better socialize the network and cybersecurity use-cases to the parties in a position to have an impact on these discussions.  I can only speak for us, citing examples like the <a href="https://domaintools.com/resources/white-papers/how-whois-data-ensures-a-safe-and-secure-internet">white paper</a> we published last week.  But I do see progress in this regard.</div><div><br></div><div>Security practitioners are challenged here by not being as well organized as we could be this regard (everyone is heads down doing work and policy isn't really our thing).  And we lack the longstanding relationships with ICANN that create a level of influence and access that matters.  But again, I see the seeds of effort here as well.</div><div><br></div><div>I do believe that nearly everyone on this list, in the RDS process, and sitting in DPA chairs in the EU have a true appreciation that security work is already hard and making it harder is not an intent.  I do believe they know it matters to the very same people they are trying to protect.</div><div><br></div><div>But, that does not change the tenor of the baseline response derived from GDPR:  "yes, but it doesn't matter.  bc the law."   And that is not an incorrect answer.  it is just an unfortunate one for some of us.</div><div><br></div><div>The security perspective still needs to be better socialized outside of places like this list.  It does matter.  And we need more people and organizations from your sector involved.  </div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Feb 14, 2018 at 5:36 PM, allison nixon <span dir="ltr"><<a href="mailto:elsakoo@gmail.com" target="_blank">elsakoo@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi everyone,<div><br></div><div>I have already begun to hear unrest from my colleagues who work in infosec and network operations about the degradation of WHOIS, as registrars have already begun to act on their own, stripping everything and blocking bulk queriers on domains frequently used for attacks. Every day of additional uncertainty equals an additional day of victimization.<div><br></div><div>Why has no one approached the DPAs with the evidence of security purposes for WHOIS? How much network degradation will we tolerate before someone bothers to give them a little hint? How many more judgments from the DPAs are we going to read that display clear ignorance of all legitimate cybersecurity purposes? Did no one see this coming?</div><div><br></div><div>Since we are talking about cost benefit analysis, here is a quick one I just did that I would like to share with the group. I did a quick look for the value of the domain registration industry as a whole. Seems to be ~$4 billion. The losses incurred by the WanaCry malware are estimated to be at ~$8 billion. A single security incident destroying value equal to double your entire industry. </div><div><br></div><div>In May 2017, the FBI stated that over three years the "business email compromise" scams have topped ~$5 billion in losses, which would be slightly more than one domain-industry unit of value, and WHOIS is crucial to fighting it.</div><div><br></div><div>source: <a href="https://www.reuters.com/article/us-cyber-lloyds-report/global-cyber-attack-could-spur-53-billion-in-losses-lloyds-of-london-idUSKBN1A20AB" target="_blank">https://www.reuters.<wbr>com/article/us-cyber-lloyds-<wbr>report/global-cyber-attack-<wbr>could-spur-53-billion-in-<wbr>losses-lloyds-of-london-<wbr>idUSKBN1A20AB</a></div><div>source: <a href="https://cira.ca/factbook/domain-industry-data-and-canadian-Internet-trends/domain-name-industry" target="_blank">https://cira.ca/<wbr>factbook/domain-industry-data-<wbr>and-canadian-Internet-trends/<wbr>domain-name-industry</a></div><div>source: <a href="https://www.csoonline.com/article/3195010/security/bec-attacks-have-hit-thousands-top-5-billion-in-losses-globally.html" target="_blank">https://www.csoonline.<wbr>com/article/3195010/security/<wbr>bec-attacks-have-hit-<wbr>thousands-top-5-billion-in-<wbr>losses-globally.html</a></div><div><br></div><div>Remember, the whole point of GDPR is to force companies to act with more social responsibility. <br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Feb 14, 2018 at 6:08 PM, Rubens Kuhl <span dir="ltr"><<a href="mailto:rubensk@nic.br" target="_blank">rubensk@nic.br</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><span><br><div><br><blockquote type="cite"><div>On 14 Feb 2018, at 20:49, John Horton <<a href="mailto:john.horton@legitscript.com" target="_blank">john.horton@legitscript.com</a>> wrote:</div><br class="m_6138265718537663200m_-8827381183644565574Apple-interchange-newline"><div><div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;color:#444444">Hmm, well, perhaps it's because I work for a company that processes quite a bit of data with a combination of algorithms and some human review, but I feel pretty confident that there are ways to simplify that with magic algorithms and forms. </div></div></div></blockquote></div><br><div><br></div></span><div>Magic algorithms are fine in pattern detection because there is always a human review at some point or the cost of error is low, like in raising an abuse case that contains wording like supposedly", "allegedly" etc. In this case, every false negative comes with a tremendous liability. </div><div><br></div><div>Also, if machine-learning technology and deep pockets for lawsuits become a requirement for being a registrar, you can count on the number of registrars dropping to single digits. </div><span class="m_6138265718537663200HOEnZb"><font color="#888888"><div><br></div><div><br></div><div><br></div><div>Rubens</div><div><br></div><div><br></div></font></span></div><br>______________________________<wbr>_________________<br>
gnso-rds-pdp-wg mailing list<br>
<a href="mailto:gnso-rds-pdp-wg@icann.org" target="_blank">gnso-rds-pdp-wg@icann.org</a><br>
<a href="https://mm.icann.org/mailman/listinfo/gnso-rds-pdp-wg" rel="noreferrer" target="_blank">https://mm.icann.org/mailman/l<wbr>istinfo/gnso-rds-pdp-wg</a><span class="HOEnZb"><font color="#888888"><br></font></span></blockquote></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><div><br></div>-- <br><div class="m_6138265718537663200gmail_signature" data-smartmail="gmail_signature">______________________________<wbr>___<br>Note to self: Pillage BEFORE burning.</div>
</font></span></div>
<br>______________________________<wbr>_________________<br>
gnso-rds-pdp-wg mailing list<br>
<a href="mailto:gnso-rds-pdp-wg@icann.org">gnso-rds-pdp-wg@icann.org</a><br>
<a href="https://mm.icann.org/mailman/listinfo/gnso-rds-pdp-wg" rel="noreferrer" target="_blank">https://mm.icann.org/mailman/<wbr>listinfo/gnso-rds-pdp-wg</a><br></blockquote></div><br></div>