<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div><blockquote type="cite" class=""><div class=""><div dir="ltr" style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><div class="gmail_quote"><blockquote class="gmail_quote" style="margin: 0px 0px 0px 0.8ex; border-left-width: 1px; border-left-style: solid; border-left-color: rgb(204, 204, 204); padding-left: 1ex;"><div style="word-wrap: break-word; line-break: after-white-space;" class=""><div class="">The review in the RSA does not allow for any random party to force AfriNIC to initiate such a costly and burdensome process against any particular member without probable cause to do so. The proposed policy does.</div></div></blockquote><div class=""><span class="gmail_default" style="font-family: "trebuchet ms", sans-serif; font-size: small;"></span></div><div class=""><span class="gmail_default" style="font-family: "trebuchet ms", sans-serif; font-size: small;"><font color="#0000ff" class="">Please can you clarify how the review exercise proposed by this policy will be<span class="Apple-converted-space"> </span><b class="">costly<span class="Apple-converted-space"> </span></b>and<span class="Apple-converted-space"> </span><b class="">burdensome</b>? Have you had a similar experience in your region or in what capacity was that statement made? Is there anything the Staff must have missed while assessing the implementation of this policy, perhaps you can throw more light?</font></span></div></div></div></div></blockquote><div><br class=""></div></div>It’s hard to do this without risking running afoul of antitrust regulations (citing specific examples of companies by name), but let me make an attempt…<div class=""><br class=""></div><div class="">Let’s consider a large multinational eyeball ISP with residential cable, DSL, and FTTH provisions in a dozen or more countries.</div><div class=""><br class=""></div><div class="">Said company likely has several million customers and as a consequence is holding more than a /10 worth of IPv4 addresses in aggregate. Because the company grew over time and through a combination of sales, mergers, and acquisitions, that IPv4 address space is not a single contiguous /10, but 50, 60, or more smaller blocks that add up to the equivalent of a /10.</div><div class=""><br class=""></div><div class="">Even if the company has excellent records, a full audit of their utilization will require several man hours in order to compile, format, validate, prepare, and deliver the data to AfriNIC. Then, the AfriNIC staff will have to review all of that data. In such a large pile of data, likely some accidental discrepancies will occur, not because of malice or malfeasance, but because humans make mistakes. Over time, errors accumulate through data entry, erroneous updates, stale data, etc. Those errors will require additional man hours to investigate and correct once identified. This cycle will likely repeat for multiple iterations.</div><div class=""><br class=""></div><div class="">At the end of it, you end up in a situation where AfriNIC and a company that has done nothing wrong have spent literally hundreds of man-hours over the course of 3-6 months only to come to the conclusion that nothing is wrong. Under the proposed policy, this process can be repeatedly triggered by outside accusation(s) without any real limits.</div><div class=""><br class=""></div><div class="">If this policy is implemented, it is an open invitation to commit resource denial of service attacks on large AfriNIC resource holders with virtually no cost and no accountability for the attacker.</div><div class=""><br class=""></div><div class="">I hope this clarifies my concern.</div><div class=""><br class=""></div><div class="">Admittedly, for smaller organizations, this might be less burdensome and less problematic, but the policy proposal makes no such distinction and lacks any safeguards to prevent such abuse.</div><div class=""><br class=""></div><div class="">Owen</div><div class=""><br class=""></div></body></html>