ملخص

  • أظهر تدقيق AFRINIC اللاحق أن مشكلة الحوكمة المركزية كانت سلسلة مكسورة بين طلب صالح، وتقييم السياسة، والموافقة، وحركة المخزون، وسجل WHOIS العام؛ وقد زاد خطر الفساد كلما تمكن دور واحد من تغيير عدة حلقات دون تدقيق مستقل.
  • كان WHOIS بيانًا عامًا بالوصاية، وليس دليلاً ذاتيًا على التخصيص القانوني. يمكن أن يبدو السجل المعدل موثوقًا حتى عندما تكون التذكرة الأساسية أو الموافقة أو تبرير المخزون غائبة أو متنازع عليها.
  • التمييز بين العناوين المأخوذة من مجمع AFRINIC المتاح والتغييرات التي تم إجراؤها على السجلات القديمة مهم: الأول يتعلق بإنشاء حق ظاهري، بينما الثاني يتعلق باستبدال الهوية والوصاية في سجلات هشة تاريخيًا.
  • الضوابط التي وصفها AFRINIC بعد الفضيحة - المراجعة النهائية العليا، وقابلية تتبع التغيير، والتسوية اليومية، والامتيازات المؤهلة، وآلية التدقيق الدائمة - من الأفضل قراءتها كخريطة لأسطح الرقابة التي تطلبت حماية أقوى قبل عام 2019، وليس كدليل على أن كل ضمانة كانت غائبة سابقًا.
  • يجب قياس مسؤولية مجلس الإدارة بما إذا كان المديرون قد طالبوا بتدقيقات تشغيلية وتقارير استثنائية وأدلة على الإغلاق للأصل الأساسي للسجل، بدلاً مما إذا كانوا يعرفون شخصياً الاسم المرتبط بكتلة مشبوهة.

كان ينبغي أن يكون الملف هو المؤسسة

لا يصنع سجل أرقام الإنترنت مساحة العنوان. إنه يدير مخزونًا محدودًا ويسجل من يحق له استخدام أجزاء محددة منه. يخفي هذا الوصف المتواضع تركيزًا غير عادي للسلطة. يمكن لمسؤول الاستضافة تقييم الحاجة، ويمكن لفريق العمليات نقل كتلة من الحالة المتاحة إلى الحالة المفوضة، ويمكن للسجل العام أن يجعل النتيجة تبدو مستقرة للشبكات والوسطاء وباحثي الأمن والحامل المفترض. عندما يتم فصل هذه الإجراءات بشكل صحيح وتوثيقها، يكون ملف التخصيص هو المؤسسة: فهو يحافظ على الأسباب والموافقات والتاريخ الذي يجعل الإدخال شرعياً. عندما لا يتم ذلك، يمكن أن يصبح السجل العام خيالاً جذابًا.

غالبًا ما يتم ضغط الفضيحة التي ظهرت حول AFRINIC في عام 2019 في قصة شخص سيء. هذا مرتب عاطفيًا وغير مفيد مؤسسيًا. يمكن فصل موظف معين. يمكن تقديم إحالة جنائية. لا يفسر أي من الإجراءين لماذا كانت التغييرات غير المصرح بها ممكنة، ولماذا استمرت الحالات الشاذة، ولماذا لم تؤد الأدلة الداخلية إلى مراجعة حاسمة، أو لماذا ساعد الغير في تجميع صورة لم يقدمها الحارس نفسه علنًا. السجل الذي يعالج الحلقة كسيرة ذاتية للمذنب يترك النظام الممكن دون فحص كبير.

السؤال الأكثر تطلبًا هو ما الذي كان يجب أن يثبته ملف التخصيص بين عامي 2013 و 2019. كان بحاجة إلى إظهار أن مقدم الطلب محدد كان مؤهلاً؛ وأن طلب المورد موجود؛ وأن الموظفين قاموا بتقييم الطلب مقابل السياسة السارية آنذاك؛ وأن الكمية المعتمدة تطابق الحاجة الموضحة؛ وأن الشروط التعاقدية والدفع قد استوفيت حيثما ينطبق؛ وأن المخزون قد تم تغييره بواسطة شخص مخول؛ وأن إدخال WHOIS العام أعاد إنتاج النتيجة المصرح بها بدلاً من اختراعها. كل تعديل لاحق يحتاج إلى سلطته الخاصة وفاعله وطابعه الزمني وأدلته وموافقته. يجب أن يكون المراجع قادرًا على التحرك للأمام والخلف عبر تلك السلسلة.

تقرير دقة قاعدة بيانات WHOIS الصادر عن AFRINIC لعام 2021 يقدم أقوى حساب مؤسسي عام لما وجده الفحص اللاحق. يقول إن التدقيق فحص سجلات 2,824 بادئة IPv4 تم تفويضها إلى أعضاء المورد من 2005 حتى 2019. تسعة منها لم يكن لها رقم تذكرة وكانت مرتبطة بتخصيصات Fiber Grid التي تمت في 2012-2013؛ من 2,815 سجلًا بمراجع تذاكر، احتوى 2,800 على طلب مورد تم تقييمه، بينما كانت التناقضات في 15 تتعلق ببادئات مستوردة من سجلات أخرى من خلال مشروع نقل التسجيل السابق. لا تظهر هذه الأرقام أن جميع ممتلكات التخصيص كانت فوضوية.

تظهر شيئًا أكثر دقة: أرشيف مأهول في الغالب يحتوي على مجموعة صغيرة من الملفات الاستثنائية التي كانت عواقبها كبيرة جدًا، وكانت المؤسسة بحاجة إلى طريقة لاكتشاف الاستثناءات قبل أن تفعل الأزمة الخارجية.

يمكن أن يبدو معدل الاستثناء مطمئنًا عند التعبير عنه كنسبة مئوية. هذا هو المقام الخاطئ للسجل. /14 غير مدعومة تمثل 262,144 عنوانًا. /16 غير مدعومة تمثل 65,536. يتبع خطر الرقابة كمية وحالة وقابلية عكس الموارد المتأثرة، وليس مجرد عدد التذاكر الناقصة. التدقيق الذي يبلغ عن اكتمال الوثائق بنسبة 99% لا يزال بإمكانه إخفاء فشل مادي إذا كانت النسبة المئوية المفقودة تشمل كتلًا كبيرة أو تغييرات مميزة أو سجلات قابلة للتحويل النقدي. الندرة حولت الأعداد الصغيرة من الملفات الاستثنائية إلى إغراءات بحجم الميزانية دون جعل العناوين ملكية خاصة.

أربعة أفعال يجب ألا تنهار إلى فعل واحد

تعتمد سلامة التخصيص على فصل أربعة أفعال: التقييم، والتفويض، والتنفيذ، والنشر. يسأل التقييم ما إذا كان مقدم الطلب والطلب يفي بالسياسة. يحول التفويض هذا التقييم إلى قرار مؤسسي. يغير التنفيذ المخزون والسجلات الداخلية المرتبطة. يغير النشر ما يراه العالم الخارجي في WHOIS والخدمات ذات الصلة. قد يساهم موظف واحد في أكثر من مرحلة في مؤسسة صغيرة، لكن لا ينبغي إكمال أي تخصيص مهم بناءً على فعل ذلك الموظف غير المدعوم فقط.

الفصل الأول هو بين المحلل الذي يطور القضية والشخص الذي يوافق عليها. يمارس مسؤولو الاستضافة الحكم بالضرورة. لا يمكن للسياسة توقع كل خطة شبكة أو نمط استخدام أو شكل شركة. هذا التقدير هو السبب في أهمية المراجعة الثانية. لا ينبغي للمراجع أن يؤكد فقط أن المربعات ممتلئة. يجب على المراجع أن يتحدى الهوية والأهلية والكمية والمنظمات ذات الصلة والتخصيصات السابقة والسرعة غير العادية والمؤشرات خارج المنطقة وتضارب المصالح. يجب أن ينتقل الطلب الكبير أو الاستثنائي إلى مستوى موافقة أعلى. يجب تثبيت هوية الموافقة ومبررها قبل أن يغادر المورد المجمع.

الفصل الثاني هو بين الموافقة والتنفيذ الفني. يجب أن تقبل واجهة العمليات فقط مرجع موافقة غير قابل للتغيير يتطابق بادئته المعتمدة ومنظمته مع التغيير المقترح. إذا كان بإمكان الموظفين إنشاء المنظمة الوجهة مباشرة، وتصنيف كتلة، وتغيير المخزون، ونشر إدخال WHOIS، تكون المؤسسة قد استبدلت سلسلة سلطة بحساب قوي. تسجيل مثل هذا الحساب ليس كافيًا. السجلات التي يتم مراقبتها فقط بعد ظهور الشك هي بقايا جنائية، وليست رقابة وقائية.

الفصل الثالث هو بين التنفيذ والتسوية. ملف الإحصائيات المفوضة اليومي، ومخزون الموارد الداخلي، ونظام العضوية، وWHOIS هي تمثيلات مختلفة لنفس الفعل المؤسسي. يجب توقع الاختلافات أحيانًا لأن الأنظمة تتحديث في أوقات مختلفة. يجب أيضًا أن تكون مرئية وقديمة ومصفاة. يجب أن ينشئ الاختلاف غير المبرر الذي يتضمن حالة المورد أو مقبض المنظمة أو حجم البادئة استثناءً يملكه شخص خارج الفريق الذي أجرى التغيير. يجب أن يظل الاستثناء مفتوحًا حتى يتم إرفاق السلطة الداعمة أو عكس السجل.

الفصل الرابع هو بين الإدارة والضمان. الفريق المسؤول عن التخصيص لا يمكن أن يكون الفريق الوحيد الذي يقرر أن ضوابطه كافية. يحتاج التدقيق الداخلي إلى حق الوصول للقراءة للتسلسل الكامل، وتفويض يغطي خدمات التسجيل والتكنولوجيا، وخط تقارير إلى لجنة قادرة على طلب اتخاذ إجراء من التنفيذيين. قد يختبر التدقيق المالي الخارجي الإيرادات والالتزامات والحسابات دون إعادة بناء تغييرات موارد الأرقام. مجلس إدارة السجل الذي يتلقى رأيًا ماليًا نظيفًا لم يتلق بذلك ضمانًا بأن السجل الأساسي دقيق.

هذه الفواصل ليست زخارف بيروقراطية. إنها تخلق خلافًا في اللحظة التي يكون فيها الخلاف أرخص. يمكن للمراجع إيقاف طلب غير مدعوم قبل النشر. يمكن للمسجل تحديد عدم تطابق قبل توجيه العناوين أو تأجيرها أو بيعها. يمكن للمدقق اكتشاف نمط قبل أن يتراكم الأطراف المقابلة مصالح الاعتماد. بمجرد مرور سنوات، يصبح كل تصحيح منافسة بين الحاملين التاريخيين والمستخدمين الحاليين والمشترين والشبكات والسجل نفسه.

يمكن لـ WHOIS نشر الثقة التي لم يكسبها

يصف RFC 7020، المنشور في 2013، دقة التسجيل كمتطلب أساسي لنظام سجل أرقام الإنترنت. يجب على السجل ضمان التفرد وتوفير معلومات دقيقة عن التخصيصات. المتطلب تشغيلي، وليس زخرفيًا. تستخدم الشبكات والمستجيبون للحوادث وحاملو الموارد بيانات التسجيل لفهم من المسؤول عن الكتلة. ومع ذلك، فإن إدخال WHOIS هو فقط التأكيد النهائي. لا يمكنه إثبات السلطة التي أنتجته.

هذا التمييز مركزي في قضية AFRINIC. تتبعت التقارير العامة التغييرات المشبوهة من خلال سجلات WHOIS التاريخية وعناوين الاتصال وتسجيلات النطاق وملاحظات التوجيه. كانت تلك المصادر مفيدة لأنها كشفت التناقضات. لم تكن بديلاً عن ملف التخصيص. السجل العام الذي يقول إن منظمة تحمل بادئة يثبت ما مثلته السجل في ذلك الوقت. لا يثبت أن المنظمة قدمت طلبًا صحيحًا، أو أن الطلب تمت الموافقة عليه، أو أن الشخص الذي غير الإدخال كان مخولاً للقيام بذلك.

يمكن أن تنتج الطبيعة العامة لـ WHOIS راحة كاذبة داخل المؤسسة أيضًا. إذا رأى الموظفون كتلة مسجلة لمنظمة متماسكة ظاهريًا، وتتعامل الواجهة مع الإدخال الحالي كالحقيقة البادئة، يبدأ السجل في التحقق من نفسه. يمكن قبول طلب دعم لاحق لأنه يأتي من جهة الاتصال التي أدخلها تغيير غير مصرح به سابق. يمكن أن تسمح شهادة الصيانة بعد ذلك بتعديلات إضافية. مع كل معاملة، تكتسب الفرضية المزيفة تاريخًا إداريًا أطول.

الترياق ليس مجرد مصادقة أقوى لجهة الاتصال الحالية. يمكن مصادقة مطالبة مخترقة بشكل مثالي. يجب على السجل الحفاظ على جذر السلطة: الطلب الأصلي، والهوية القانونية المؤكدة، وتقييم السياسة، والموافقة، والعقد حيثما مطلوبًا، والدفع، وقرار البادئة، وكل تحويل أو تحديث لاحق. تستحق التغييرات في جهة الاتصال أو الصيانة فحصًا خاصًا لأنها تغير من يمكنه تفويض التغيير التالي. طلب استبدال هوية المنظمة وبيانات اعتماد الوصول الخاصة بها ليس صيانة روتينية؛ إنه تغيير محتمل في السيطرة.

يقول تقرير AFRINIC اللاحق إن كل كائن WHOIS كان محميًا بواسطة صيانة منذ أغسطس 2017 ويصف مصادقة PGP لتغييرات الموظفين والصيانة القوية. هذه ضمانات مفيدة ضد التحرير غير المصادق عليه. لا تجيب عما إذا كان الموظف المصادق عليه كان مخولاً جوهريًا لإجراء تغيير معين. تحكم الوصول يثبت أي بيانات اعتماد تصرفت. الحوكمة يجب أن تثبت لماذا كان الفعل مسموحًا به.

هذا الاختلاف يفسر لماذا لا يمكن اختزال المراقبة إلى أمان الحساب. التنبيهات ذات الصلة دلالية بالإضافة إلى كونها تقنية. كتلة كبيرة تغيرت من متاحة إلى مفوضة دون طلب معتمد مرتبط؛ مورد أعيد تصنيفه كقديم؛ منظمة تاريخية خاملة حصلت على نطاق بريد إلكتروني مسجل حديثًا؛ عدة حاملين غير مرتبطين تم تعيين تفاصيل اتصال مشتركة لهم؛ مقبض منظمة تم تغييره قبل وقت قصير من النقل؛ أو بادئة تظهر في WHOIS ولكن ليس في نظام العضوية كلها تتطلب تحقيقًا حتى إذا نجح كل تسجيل دخول.

المجمع الحر والعقار القديم كانا مشكلتين رقابيتين مختلفتين

فصل التدقيق اللاحق فئتين عريضتين من الموارد المتأثرة. الأولى تشمل العناوين التي قالت AFRINIC إنها اختلست من مجمعها المتاح ونسبت إلى منظمات دون مبرر. حدد التقرير هذه بـ 2,371,584 عنوان IPv4. الثانية تشمل الموارد القديمة: التخصيصات التي تمت قبل نظام السجل الإقليمي الناضج، وهاجرت إلى رعاية AFRINIC، غالبًا دون عقد حالي وأحيانًا مرتبطة بمنظمات غيرت اسمها أو اندمجت أو حلت أو فقدت جهات اتصال مطلعة.

التمييز مهم لأن اختبارات الرقابة تختلف. نقل كتلة من المجمع المتاح يجب أن يتطلب طلبًا وقرارًا معاصرين. يبدأ المخزون بـ AFRINIC كمسؤول عن المساحة غير المخصصة. التفويض غير المدعوم يكون مرئيًا بالتالي من خلال غياب حدث تخصيص صالح. يمكن للتدقيق أن يسأل: أين الطلب، ومن قام بتقييمه، ومن وافق عليه، وما السياسة التي بررته، وكيف تغير ملف المورد الداخلي؟

التغيير القديم يمثل مشكلة ملكية أصعب. الكتلة لديها بالفعل حامل تاريخي. قد يُطلب من السجل تحديث اسم أو جهة اتصال أو خلف شركة أو صيانة. عنوان بريد إلكتروني معطل ليس دليلاً على أن المورد مهجور. المطالب النشط الجديد ليس دليلاً على الخلافة. قد يتضمن الملف الحاسم بيانات تسجيل قديمة وسجلات شركة ووثائق اندماج ومراسلات وأدلة من سجل آخر. الموظف الذي يمكنه استبدال تفاصيل الاتصال القديمة دون تحقق مستقل يمكنه فعليًا اختيار الشخص الذي سيتحدث باسم حامل غائب.

وصف تقرير AFRINIC الميزات التي جعلت العقار القديم عرضة للخطر: بعض الحاملين لم يكن لديهم اتفاق تعاقدي مع السجل؛ يمكن أن تكون جهات الاتصال متقاعدة أو رحلت؛ قد تكون المنظمات منحلة أو معاد هيكلتها؛ وبعض المعاملات المزعومة تضمنت نقل كلمات مرور الصيانة. سجل التقرير أيضًا أن جهات الاتصال التاريخية بين 2012 و 2015 تم تحديثها أحيانًا إلى نطاقات بريد إلكتروني بدت مطابقة للحامل المسمى ولكنها كانت مسجلة مؤخرًا جدًا لتناسب التاريخ المفترض للمنظمة. هذا هو بالضبط نوع الشذوذ الذي يمكن للسجل اختباره تلقائيًا.

يمكن أن تتقارب المشكلتان. قال التدقيق إن بعض الموارد التي كان يجب أن تظل في مجمع AFRINIC تم وسمها كمساحة قديمة مزعومة قبل أن تصبح موضوعات لمعاملات بيع. إذا كان دقيقًا، يظهر هذا التسلسل لماذا حقول الحالة هي متغيرات رقابية، وليست أوصافًا. إعادة تصنيف كتلة يمكن أن تنقلها من عملية تتطلب قرار تخصيص جديد إلى عملية أكثر غموضًا مؤطرة كصيانة لحق قديم. النظام الذي يحمي التخصيص ولكنه يسمح بإعادة التصنيف بمراجعة محدودة يترك بابًا جانبيًا حول أقوى بوابة له.

لذلك، سيعامل التصميم القوي تغييرات الحالة كمعاملات مميزة. لا ينبغي لمحلل واحد أن يكون قادرًا على إعلان كتلة مجمع كقديمة. يجب أن يتطلب التغيير أدلة من سجلات تاريخية مفوضة، وموافقتين على الأقل، ومقارنة آلية مع تاريخ المجمع المستلم للسجل، وإشعار إلى وظيفة ضمان. يجب أن يظل الحالة السابقة غير قابلة للتغيير. إذا لم يتمكن المراجع اللاحق من رؤية كل من التصنيف القديم والجديد وسلطة الانتقال، لم يحافظ السجل على التاريخ؛ لقد استبدله.

غيرت الندرة التهديد، وليس التفويض

خلال 2013-2019، جعلت ندرة IPv4 نقاط الضعف الرقابية ذات قيمة متزايدة. دخلت AFRINIC المرحلة الأولى من سياسة /8 النهائية في 2017. الأسواق العامة والمعاملات الخاصة أرفقت أسعارًا كبيرة للعناوين، بينما بقيت العديد من التخصيصات القديمة غير مستغلة بشكل كافٍ، أو ضعيفة التوثيق، أو مرتبطة بمنظمات خاملة. الفجوة بين المعالجة الإدارية والقيمة التجارية خلقت خطر فساد واضح.

ومع ذلك، لا ينبغي لسعر السوق أن يحدد الخطأ المؤسسي. عناوين IPv4 ليست قضبانًا معدنية في خزنة. يدير السجل معرفات فريدة بموجب سياسة المجتمع. الضرر المباشر من التخصيص غير المدعوم هو أن المؤسسة تقدم مطالبات متضاربة أو كاذبة حول الوصاية، وتحرم المتقدمين المؤهلين من مساحة المجمع النادرة، وتكشف الشبكات للتراجع لاحقًا. السوق الثانوي يضخم الحافز ويضاعف الاعتماد، لكن الفشل يبدأ في سجل السلطة.

هذا مهم لأن تقديرات القيمة المذهلة يمكن أن تشوه العلاجات. قد يضرب العنوان عدد العناوين بسعر ملحوظ ويعلن خسارة بعشرات الملايين من الدولارات. يمكن لمثل هذا التقدير أن يعبر عن الحجم، لكنه لا يثبت الملكية القانونية أو العائدات المحققة أو الأضرار القابلة للاسترداد. كما لا يخبر المجلس أي رقابة فشلت. الوحدة ذات الصلة للحوكمة هي القرار غير المصرح به: كيف تغيرت حالة الكتلة، وما الأدلة المفقودة، وما الحساب الذي تصرف، وما المراجعة التي كان يجب أن توقفه، ومدة بقاء الاستثناء مرئيًا.

كان يجب أن تتسبب الندرة في زيادة AFRINIC من التدقيق قبل الفضيحة. التخصيصات الكبيرة وتحديثات القديمة والتغييرات في السجلات الخاملة أصبحت معاملات حساسة اقتصاديًا. لا تحتاج المؤسسة إلى افتراض أن كل موظف فاسد. يجب أن تفترض أن الامتياز القيم سيجذب في النهاية الخطأ أو الضغط أو التواطؤ أو الإساءة. موافقة الصانع والمدقق، والإجازة الإجبارية، والتناوب على قوائم الانتظار عالية المخاطر، وإعلانات التضارب، وأخذ عينات الاستثناء المستقلة، والكشف التلقائي عن الحالات الشاذة هي استجابات عادية لهذا الافتراض.

امتد التهديد أيضًا إلى ما بعد الفعل الأول. كتلة ذات تسجيل مشكوك فيه يمكن توجيهها عبر شبكة غير مرتبطة، أو تأجيرها للعملاء، أو استخدامها كضمان في ترتيب تجاري، أو بيعها لمشترٍ صدق السجل العام. كل طرف إضافي يرفع تكلفة التصحيح. هذا يعني أن التوقيت جزء من فعالية الرقابة. التنبيه الذي يتم التحقيق فيه بعد ثلاث سنوات قد يساعد في شرح الماضي بينما يفعل القليل لمنع التشابك القانوني والتشغيلي.

ما يثبته التدقيق الاستعادي في الواقع

تقرير AFRINIC لعام 2021 لا غنى عنه ومحدود. إنه لا غنى عنه لأنه يحدد فئات المؤسسة وطرقها وأعدادها وضوابطها التصحيحية. يقول إن الفحص اللاحق استخدم ملفات الموارد الداخلية وسجلات WHOIS وتاريخها وإحصائيات مفوضة وسجلات التذاكر وطلبات العضوية والموارد وDNS العكسي وسجل توجيه الإنترنت والسجلات التاريخية الخارجية والتقارير العامة ومعلومات المخبرين. هذا قريب من مجموعة الأدلة التي يجب لنظام الرقابة المستمر الفعال أن يسويها.

إنه محدود لأن AFRINIC أعدته بعد الأزمة، بينما كانت النزاعات القانونية وتحقيق الشرطة نشطة. يذكر استنتاجات حول الاختلاس والوصاية الشرعية التي ربما تكون متنازع عليها من قبل الأطراف المتأثرة. يجب على القراء التمييز بين النتيجة الإدارية للسجل والتحديد القضائي النهائي. يمكن للتقرير أن يثبت ما وجدته AFRINIC وما الإجراءات التي قالت إنها اتخذتها. لا يمكنه، بمفرده، حل كل كتلة متنازع عليها أو إثبات المسؤولية الجنائية لفرد.

تكشف أرقام التقرير عن تعقيد الإصلاح. اعتبارًا من نوفمبر 2020، أدرج 1,060,864 عنوانًا مستردًا من المجمع وموضوعًا في الحجر الصحي، و1,310,720 عنوانًا للمجمع لا يزال قيد المراجعة، و467,968 عنوانًا قديمًا تم عكس تغييراتها غير المبررة، و394,496 عنوانًا قديمًا تم دمجها بناءً على طلب الشركات القابضة، و936,704 عنوانًا قديمًا تحت النزاع في انتظار تحديد الوصاية. تظهر هذه الفئات أن التصحيح لم يكن عملية حذف بسيطة. بعض السجلات يمكن استعادتها، وبعضها تطلب دمجًا شركاتيًا، والكثير منها تضمن مطالبات متنافسة.

أقرت AFRINIC بأن التراجعات كانت بطيئة. حيث ادعت منظمات متعددة الوصاية، قامت بقفل العناوين ضد المزيد من التغيير في WHOIS في انتظار الاتفاق أو التحديد المختص. حيث لم يستجب الحاملون لطلبات التحديث ولم يتم تلقي أي اعتراض، قالت إن التحديثات المشتبه بها تم عكسها والعناوين مقفلة حتى يكمل الحامل الشرعي العناية الواجبة. قد تحافظ هذه الإجراءات على الوضع الراهن، لكنها تظهر أيضًا لماذا كانت الوقاية مهمة: ملف التخصيص الذي كان يمكن أن يحدد السلطة قبل أن يصبح التغيير نزاعًا لم يعد كافيًا للقيام بذلك بشكل نظيف بعد ذلك.

وصف التقرير أيضًا الضوابط التي تم اعتمادها أو تعزيزها بعد الاكتشاف. أشار إلى الأتمتة، وسياسة مراقبة تغيير مخططة لفحوصات إضافية وإمكانية التتبع، والمراجعة العليا النهائية لطلبات الموارد والعضوية، وسياسة الاحتيال والفساد المعتمدة في يونيو 2019، ومنصة إبلاغ مستقلة للمخالفات أطلقت في 2020، وتحقق أقوى للتحديثات القديمة، وتقارير عدم تطابق يومية بين MyAFRINIC و WHOIS، ومقارنة مع الإحصائيات المفوضة، ومصادقة PGP، وامتيازات مؤهلة حسب الدور، وتصعيد التغييرات خارج امتيازات الموظفين العادية.

لا ينبغي قراءة هذه الإجراءات كاعترافات بأنه لم يكن أي منها موجودًا من قبل. غالبًا ما تصف المؤسسات التحسينات دون نشر مصفوفة رقابة دقيقة قبل وبعد. لكن القائمة كاشفة تحليليًا. كل إجراء يستجيب لوضع فشل يمكن التعرف عليه: الأتمتة تحد من الاختصارات التقديرية؛ المراجعة النهائية تقطع الموافقة الذاتية؛ إمكانية التتبع تحافظ على من غير ماذا؛ التسوية تكشف السجلات المتباينة؛ الامتيازات المؤهلة تقلل من الوصول المفرط؛ التقارير المستقلة تتجاوز القمع الإداري. تشير قائمة الإصلاح مباشرة إلى الأسطح التي كان الضمان عليها غير كافٍ سابقًا.

السجلات التي لا يتحداها أحد هي مجرد أرشيفات

من المغري تخيل أن السجلات الفنية الكاملة كانت ستحل المشكلة. كانت ستساعد، لكن السجل ليس رقابة ما لم تحدد المؤسسة ما الذي تكتشفه، ومن يراجعه، وبأي سرعة، وماذا يحدث بعد ذلك. السجل الذي يظهر أن بيانات اعتماد موظف مخول غيرت مقبض منظمة هو محايد. التنبيه الذي يظهر أن نفس الشخص قام بتقييم الطلب، ووافق على التغيير، وغير كتلة كبيرة هو معلومات حوكمة.

تسجيل السجل الفعال يحتاج إلى ثلاث طبقات على الأقل. طبقة الحدث تسجل المصادقة والفاعل والوقت والواجهة والكائن والقيمة القديمة والقيمة الجديدة. طبقة السلطة تربط الحدث بالتذكرة وإصدار السياسة والموافقة والأدلة. طبقة الضمان تسجل ما إذا كانت الفحوصات الآلية قد نجحت، وما إذا كان المراجع قد فحص التغيير، وما الاستثناءات التي نشأت وكيف تم إغلاقها. بدون طبقة السلطة، يعرف المراجع ما حدث ولكن ليس ما إذا كان ينبغي أن يحدث. بدون طبقة الضمان، لا تستطيع المؤسسة إثبات أن أي شخص نظر.

يجب أيضًا أن تكون السجلات مقاومة للتلاعب ومحفوظة طوال عمر المطالبة ذات الصلة. وصاية IPv4 يمكن أن تتفوق على الموظفين والأنظمة والشركات. فترة احتفاظ تشغيلية قصيرة قد تكون معقولة لآثار التطبيق الروتينية ولكنها كارثية للتاريخ الموثوق لـ /16. يجب على السجل الحفاظ على تاريخ موقع وقابل للإلحاق فقط للحالة والمنظمة وجهات الاتصال والصيانة والتذاكر والموافقات. يمكن حماية المواد الحساسة للمتقدمين بشكل منفصل بينما تحافظ التجزئة والمراجع على السلامة.

يجب أن يتبع تصميم التنبيه القيمة والنمط. البادئات الكبيرة، والتغييرات المتكررة من قبل نفس الفاعل، والتحديثات خارج الساعات العادية، والمنظمات المنشأة حديثًا التي تتلقى مساحة كبيرة، ونطاقات الاتصال المسجلة مؤخرًا، وإعادة استخدام العناوين عبر حاملين غير مرتبطين، وتغييرات الحالة التي تنطوي على تصنيف قديم، وعدم التطابق بين المتاجر الموثوقة هي إشارات عالية القيمة. لا تثبت أي إشارة واحدة خطأً. الغرض منها هو طلب زوج ثانٍ من العيون بينما الأدلة طازجة.

الإغلاق مهم بقدر الاكتشاف. يجب أن ينتهي كل تنبيه بأحد أربع نتائج مسجلة: مصرح به ومدعوم، أو مصحح كخطأ، أو مرفوع للتحقيق، أو مقبول كاستثناء موثق من قبل ضابط كبير معين. يجب أن تحسن التفسيرات الحميدة المتكررة القاعدة. الاستثناءات المتكررة التي تنطوي على نفس الفاعل أو المنظمة أو الوسيط يجب أن توسع المراجعة. قائمة انتظار التنبيه التي تنمو دون ملكية تخلق مظهر المراقبة بينما تسمح للمخاطر بالتقدم في العمر.

لم يكن المجلس بحاجة إلى أن يكون مسؤول استضافة

لا يمكن للمديرين فحص كل تخصيص. لا ينبغي لهم المحاولة. مسؤوليتهم هي جعل الإدارة تثبت أن السجل الأساسي يظل دقيقًا وأن الاستثناءات محتواة. في سجل الأرقام، لا يمكن الوفاء بهذا الواجب من خلال البيانات المالية وحدها. المخزون النادر وسجل السلطة هما أصول تشغيلية يمكن أن ينتج عن فسادها التزامات وتقاضي وفقدان شرعية دون الظهور أولاً كتناقض محاسبي.

كان يجب على المجلس أن يطلب تقرير رقابة موجز في كل اجتماع. كان يمكن أن يتضمن عدد وحجم عناوين التخصيصات الجديدة؛ والتغييرات القديمة عالية المخاطر؛ والتغييرات التي تمت خارج الواجهات القياسية؛ والسجلات غير المتطابقة بين المخزون والعضوية و WHOIS؛ والتنبيهات المفتوحة حسب العمر؛ والتجاوزات؛ والحسابات المميزة؛ وإعلانات التضارب غير المحلولة؛ ونتائج التدقيق حسب الخطورة. لن يكشف التقرير أسرار المتقدمين. كان سيخبر المديرين ما إذا كانت الرقابة تعمل.

التفويضات المنشورة للجنة التدقيق حول الفترة المشار إليها إلى التقارير المالية والرقابة المالية الداخلية وإدارة المخاطر والتدقيق الداخلي وأنظمة المعلومات وحوكمة التكنولوجيا. كان هذا النطاق واسعًا بما يكفي للسؤال عن خدمات التسجيل. ومع ذلك، تظهر المحاضر العامة من 2018 أن اللجنة ناقشت توظيف مدقق داخلي، بينما تصف محاضر أبريل 2019 خطة تدقيق داخلي تغطي الامتثال المؤسسي والمالية والمحاسبة وخدمات التسجيل واستمرارية الأعمال. وجود خطة ليس دليلاً على أن الاختبارات ذات الصلة قد اكتملت قبل أن تصبح المشكلة عامة.

هذا التمييز - التفويض، الخطة، التنفيذ، النتيجة، العلاج - هو سلسلة المساءلة المناسبة. غالبًا ما تعلن المجالس عن ميثاق وتفترض أن الضمان يتبع. لا يتبع. يجب على اللجنة الموافقة على خطة قائمة على المخاطر، وضمان أن المدقق لديه الوصول والاستقلالية، وتلقي النتائج، وتعيين المالكين والتواريخ، والتحقق من الإغلاق. إذا دخلت خدمات التسجيل في خطة التدقيق لعام 2019 فقط بعد سنوات من الندرة المتزايدة، يجب على المديرين أن يسألوا لماذا لم يخضع الأصل الأساسي لاختبارات تشغيلية مماثلة في وقت سابق. إذا تم اختباره، يجب أن يسألوا أي الاختبارات فشلت في اكتشاف تغييرات الحالة والهوية غير المدعومة.

المعرفة الفردية تبقى ذات صلة ولكنها ليست الاختبار الوحيد. المدير الذي تلقى تحذيرًا محددًا ولم يفعل شيئًا يتحمل مسؤولية مختلفة عن الشخص الذي لم يتم إخباره أبدًا. لا تزال المؤسسة لا تستطيع الدفاع عن نفسها بالقول إن المجلس كان يفتقر إلى المعرفة التفصيلية إذا كان تصميم تقاريرها قد أبقي الاستثناءات المادية تحت خط رؤية المجلس. الحوكمة هي جزئيًا بناء هذا الخط.

التقارير العامة كانت رقابة خارجية كملاذ أخير

التقارير التي نشرتها MyBroadband و KrebsOnSecurity ومنافذ أخرى جمعت السجلات العامة والتي تم الحصول عليها تجاريًا في رواية مقلقة. تتبعت الإدخالات التاريخية والشركات والنطاقات وجهات الاتصال والتوجيه. كان عملهم قيمًا لأنه أجبر التناقضات في شكل لم يعد بإمكان المؤسسات والحاملين المتأثرين تجاهله بسهولة. لم يكن ينبغي أن يكون آلية الكشف الأساسية للسجل.

لدى التقارير الاستقصائية معايير إثبات مختلفة عن قرار التخصيص. يمكن للصحفيين تحديد الحالات الشاذة والتماس التعليق ونشر استنتاج مدعوم. السجل الذي يعكس سجلًا يجب أن يحدد السلطة كتلة بكتلة ويوفر الإجراءات القانونية للمطالبين المتنافسين. هذا الاختلاف ليس سببًا لرفض التقارير. إنه سبب للسجل لاستيعاب الإشارات الخارجية الموثوقة كخيوط أثناء إجراء فحصه الموثق الخاص.

تحمل التقارير أيضًا حدودًا. تختلف تقديرات الأسعار حسب التاريخ وسمعة الكتلة وشروط الصفقة وسيولة السوق. قد تحتوي خدمات WHOIS التاريخية على لقطات غير كاملة. يمكن أن تظهر الروابط الشركاتية السيطرة أو الارتباط دون إثبات أن معاملة مورد معينة كانت مصرحًا بها. التوجيه من كتلة لا يحدد بذاته الطرف الذي غير التسجيل. لذلك، ينسب التحليل المؤسسي المسؤول الادعاءات، ويفصل الملاحظة عن الاستنتاج، ويتجنب معالجة التكرار كتدعيم.

قدمت نتائج AFRINIC اللاحقة دعمًا مؤسسيًا للقلق المركزي: يقول تقريرها إن موظفين داخليين ربما تصرفوا مع أطراف ثالثة، وأن تحقيق APNIC أدى إلى إجراءات تأديبية، وأن مسؤول استضافة سابقًا أساء استخدام الحقوق والامتيازات. كما قامت بكميات موارد المجمع التي استنتجت أنها نُسبت دون مبرر. هذه نتائج خطيرة. ما زالت لا تلغي الحاجة إلى فحص الضوابط. على العكس، كلما كانت النتيجة أقوى ضد شخص من الداخل، كلما كان الدليل أوضح أن مقاومة الداخل كان يجب أن تكون جزءًا من تصميم السجل.

السؤال العام الأكثر فائدة ليس لماذا أراد موظف مزعوم الربح. الموارد النادرة تخلق حوافز واضحة. إنه لماذا مؤسسة تملك المخزون اليومي والتذاكر وتاريخ التغيير وبيانات الحساب لم تحول الحالات الشاذة إلى تحدٍ مستقل في الوقت المناسب. يمكن للغرباء رؤية شظايا؛ السجل يمتلك الوصلات. كان يجب على نظام الرقابة أن يجعل تلك الوصلات بشكل روتيني.

الإصلاح يتطلب سجلًا قابلًا للإثبات، وليس سجلًا يبدو أنظف

بعد الفضيحة، هناك ضغط لجعل WHOIS يبدو صحيحًا بسرعة. يمكن لهذا الضغط أن يعيد إنتاج الخطأ الأصلي بمعاملة النشر كحقيقة. لا ينبغي للسجل أن يستبدل حاملًا غير مدعوم بآخر لأن المطالبة الثانية تبدو أكثر منطقية. يحتاج إلى معيار استرداد يحافظ على الأدلة، ويحمي الاستمرارية، ويجعل عدم اليقين مرئيًا.

أولاً، يجب تجميد الحالة الأصلية وتاريخ التغيير الكامل. يحتاج المحققون إلى نسخ من التذاكر والرسائل والموافقات ووثائق الهوية والسجلات والإحصائيات المفوضة وملاحظات التوجيه وسجلات الشركة ذات الصلة. ثانيًا، يجب تقييد الوصول المرتبط بخطر التلاعب الموثوق دون مسح الأدلة. ثالثًا، يجب أن تتلقى كل كتلة سجل حالة يفصل أصل المجمع والتاريخ القديم والتسجيل الحالي والاستخدام الحالي وأدلة المطالب والوضع القانوني.

رابعًا، يجب أن يتطابق العلاج مع الثقة. كتلة مجمع ليس لها طلب صالح ومسار غير مصرح به واضح يمكن استردادها، رهناً بالإشعار والمراجعة. كتلة قديمة بها خلفاء متنافسون قد تحتاج إلى قفل بينما تحدد المحكمة أو العملية المتفق عليها الوصاية. المستخدم الحالي الذي اشترى بحسن نية ظاهر قد لا يكون له مطالبة متفوقة ضد الحامل الشرعي، لكن الاضطراب التقني المفاجئ يمكن أن يضر العملاء. تصحيح التسجيل وواقع التوجيه والعلاج التجاري هي أسئلة ذات صلة ولكنها متميزة.

خامسًا، يجب على السجل نشر التقدم الإجمالي دون الحكم المسبق على القضايا. الأعداد حسب الحالة وحجم العناوين والقدم والعلاج تسمح للأعضاء بتقييم ما إذا كانت المؤسسة تعمل على حل المشكلة. لا يحتاج الجمهور إلى أدلة خاصة أو تفاصيل اتهامية حول المطالبين غير المحلولين. يحتاج إلى معرفة النطاق وقواعد القرار وطريق المراجعة وما إذا كانت التصحيحات تصبح أسرع.

أخيرًا، يجب أن يكون الملف المسترد أقوى من ملف ما قبل الفضيحة. يجب أن يحتوي على الأدلة التي تدعم الموقف النهائي، وكل إشعار، واعتراض، وقرار، ومراجع، وتغيير تشغيلي. الاسترداد لا يكتمل عندما يبدو إدخال WHOIS الحالي مرتبًا. يكتمل عندما يمكن لشخص مستقل شرح لماذا هذا الإدخال أصبح موثوقًا الآن.

هندسة رقابية لسجل عام نادر

الإصلاحات العملية ليست غريبة ولا عقابية. يجب أن يكون التحقق من الهوية مستقلاً عن المحلل الذي يدعم الطلب. التخصيصات الكبيرة وتغييرات السيطرة القديمة يجب أن تتطلب موافقتين. يجب على النظام ربط البادئة المعتمدة والمنظمة والحالة بأمر التنفيذ. يجب أن تكون السجلات الحالية والتاريخية قابلة للإلحاق فقط في الطبقة الموثوقة. يجب أن تكون الامتيازات محدودة الدور، وتُراجع ربع سنويًا، وتُزال فورًا عندما تتغير الواجبات. لا يجوز لأي شخص إدارة وصوله الخاص.

يجب أن تعمل التسوية يوميًا عبر مخزون الموارد وسجلات العضوية ونظام التذاكر والإحصائيات المفوضة و WHOIS. يجب أن تمنع الاختلافات عالية المخاطر المزيد من التغييرات حتى يتم حلها. يجب على المدقق الداخلي أخذ عينات من الملفات العادية وفحص كل استثناء مادي، وليس فقط تأكيد وجود إجراء. يجب أن تتلقى لجنة التدقيق النتائج مباشرة وتتابع العلاج. يجب أن تسمح قناة إبلاغ مستقلة للموظفين والأعضاء والغرباء بتقديم مخاوف مع حماية من الانتقام.

تستحق ضوابط التضارب اهتمامًا متساويًا. يجب على الموظفين المشاركين في تقييم الموارد الكشف عن الأعمال الخارجية والمصالح المالية الوثيقة والعلاقات مع الوسطاء أو المتقدمين. يجب تحديث الإعلانات واختبارها ضد الأطراف المقابلة المعروفة ومراجعتها من قبل شخص خارج الخط الإداري للموظف. الإعلان ليس شكلًا طقسيًا؛ يجب أن يغير تعيين القضية والوصول عندما يظهر تضارب.

يجب أن تقاوم المقاييس المتوسطات التي تخفي التعرض. يحتاج المجلس إلى أعداد الاستثناءات المرجحة بالعنوان، وليس فقط نسب إكمال التذاكر. يجب أن يرى أكبر الكتل غير المدعومة أو غير المحلولة، وأقدم الاستثناءات، وتكرار التجاوز، والتركيز حسب الفاعل، والوقت بين أول تنبيه والاحتواء. شذوذ /12 واحد يستحق اهتمامًا أكثر من مئات تصحيحات الاتصال غير الضارة.

يجب أن تحاول المراجعة المستقلة بشكل دوري إعادة بناء باردة. حدد كتلة من WHOIS وأثبت مسارها مرة أخرى إلى المخزون المستلم أو التفويض التاريخي. ثم حدد تذكرة موافقة وأثبت مسارها للأمام إلى الكتلة المنشورة بالضبط. الاتجاهان يلتقطان حالات فشل مختلفة. الاختبار الأمامي يجد الإجراءات المعتمدة التي نُفذت بشكل خاطئ. الاختبار الخلفي يجد إدخالات عامة لا توجد سلطة كافية لها.

يجب أن يكون للأعضاء دور تحقق دون تحمل عبء السجل. يمكن للبيانات الدورية أن تطلب من الحامل تأكيد الموارد وجهات الاتصال والصيانة. عدم الاستجابة يجب أن يؤدي إلى متابعة ومراجعة معززة، وليس مصادرة تلقائية. يجب أن يكون الحامل قادرًا على الحصول على تاريخ تغيير لموارده وتحدي التعديل غير المصرح به على الفور. هذا يوزع الكشف مع الحفاظ على مسؤولية السجل عن أفعاله.

الحكم المؤسسي

بين عامي 2013 و 2019، أدارت AFRINIC موردًا ارتفعت ندرته وفائدته التجارية بشكل حاد. حمل سجلها العام سلطة تتجاوز بكثير المكتب الذي حافظ عليه. تظهر الأدلة اللاحقة أن بعض الملفات والتغييرات لم تستطع دعم الادعاءات التي نشرها السجل، وأن الإصلاح تطلب فحصًا استعاديًا واسعًا، ومساعدة خارجية، وإجراءات تأديبية، وأقفالًا، وتراجعات، وقرارات حساسة للتقاضي.

تسمية تلك النتيجة بعمل شخص سيء واحد هي تهرب. يمكن لداخلي أن يبدأ الإساءة، لكن المؤسسة فقط هي التي تعطي لتلك الإساءة سلطة دائمة. كان يجب على ملف التخصيص أن يجبر كل طلب من خلال تقييم مستقل وموافقة وتنفيذ وتسوية وتدقيق. كان يجب أن يجعل تاريخ التغيير الأفعال الاستثنائية مرئية بسرعة. كان يجب على المجلس أن يعرف حالة بيئة الرقابة دون الحاجة إلى معرفة كل بادئة.

الدرس يمتد إلى ما بعد AFRINIC. حوكمة الإنترنت الموزعة غالبًا ما تحتفل بالثقة والمجتمع والكفاءة الفنية. هذه الفضائل لا تحل محل الضوابط. شرعية السجل تستند إلى القدرة على إثبات أن الشخص الموضح في سجله تلقى السلطة من خلال عملية عادلة وموثقة وقابلة للمراجعة. عندما لا يستطيع فعل ذلك، لا تكون الخسارة مجرد كمية عناوين. المؤسسة فقدت السيطرة على كلمتها.

المصادر والحدود التحليلية

الدليل المؤسسي الرئيسي هوتقرير دقة قاعدة بيانات WHOIS الصادر عن AFRINIC، والذي يُقرأ كحساب استعادي من قبل مؤسسة معنية وليس كحكم نهائي في كل نزاع مورد. يوفرRFC 7020متطلبات نظام السجل من التفرد ودقة التسجيل. يظهردليل السياسات الموحد الإصدار 1.0في AFRINIC بيئة السياسة العامة التي مارس فيها الموظفون مسؤولية التخصيص. يصفالتقرير السنوي لعام 2018والمواد المنشورة لمجلس الإدارة التفويض الرسمي للتدقيق وتطوير قدرة التدقيق الداخلي. يوفر تحقيق MyBroadband فيديسمبر 2019نتائج السجل العام المنسوبة ولا يعامل كحكم.

هذا التحليل لا يحدد المسؤولية الجنائية أو الملكية النفعية أو الأضرار أو الحامل الشرعي لأي بادئة متنازع عليها. لا يفترض أن كل رقابة موصوفة بعد 2019 كانت غائبة تمامًا قبل ذلك. يقيم سلسلة السلطة المرئية علنًا والآثار المؤسسية لنتائج AFRINIC اللاحقة نفسها. حيث تدعم الأدلة مجرد ادعاء أو نتيجة إدارية أو استنتاج، يتم التعامل معها على هذا النحو.