Categories
A pearl of knowledge

[84] 31 July 2020: What security features and crime prevention advice is communicated in consumer IoT device manuals and support pages?

Inleiding en context

Vrijdagochtend 31 juli, augustus staat al weer aan de deur te kloppen. Vandaag een dag met tropische temperaturen, voor velen zoals blijkt door het aantal afwezigheidsmeldingen die ik ontvang, een heerlijke vakantiedag. Misschien kijken jullie toch af en toe in de werkmail en dan zie je dat ik stug door ga met het versturen van ´kennisparels´. Kennis voor beleid hoop ik, en vooral kennis die ondersteunend kan zijn aan dat beleid en natuurlijk de (grillige) praktijk.

Vandaag een inventariserend artikel over de beveiliging van consumentenproducten die verbonden zijn via de Internet of Things (IoT). Hoe staat het daar mee? Criminaliteitspreventie, en vooral de beveiliging van consumentenproducten is een belangrijk factor geweest ter verklaring van de daling van ´klassieke criminaliteit (vermogenscriminaliteit, geweldscriminaliteit, vandalisme, seksuele delicten)´, tegenwoordig ook wel ´offline criminaliteit´ genoemd. Op basis van de thans beschikbare kennis blijkt de beveiligingshypothese nationaal en internationaal de meest belangrijke en robuuste verklaring te zijn voor de daling van die offline criminaliteit. Er is een algemene (internationale) toename in de preventiebereidheid: de  kwaliteit en financiële investering in criminaliteitspreventie door burgers, overheden, bedrijfsleven en producenten is de laatste 25 jaar sterkt toegenomen. De toepassing van gelegenheid beperkende criminaliteitspreventieve maatregelen blijkt nationaal en internationaal zeer effectief te zijn: https://www.researchgate.net/publication/342803309_Ontwikkelingen_in_de_geregistreerde_criminaliteit_Nationale_en_internationale_trends_en_verklaringen

Maar in hoeverre geldt dit ook voor vormen van ´online criminaliteit´ of cybercrime. Hoe staat het daar met de preventiebereidheid van burgers en bedrijven? Wat doen producenten van consumenten producten aan de beveiliging van die producten? Kortom: hoe verhoudt zich de preventieve investering van deze ´nieuwe vormen van criminaliteit´ ten opzicht van de ´klassieke vormen van criminaliteit´? Bijgesloten artikel geeft daarop een antwoord, en het zal blijken dat er sprake is van beveiligingsachterstand bij online criminaliteit.

Bron

Blythe, John M., Nissy Sombatruang & Shane D. Johnson (June 2019). What security features and crime prevention advice is communicated in consumer IoT device manuals and support pages? Journal of Cybersecurity, vol. 5, no. 1, pp. 1-10. https://academic.oup.com/cybersecurity/article/5/1/tyz005/5519411

Samenvatting

Through the enhanced connectivity of physical devices, the Internet of Things (IoT) brings improved efficiency to the lives of consumers when on-the-go and in the home. However, it also introduces new potential security threats and risks. These include threats that range from the direct hacking of devices that could undermine the security, privacy and safety of its users, to the enslaving of IoT devices to commit cybercrime at scale, such as Denial of Service attacks. The IoT is recognized as being widely insecure, in large part, due to the lack of security features built into devices. Additionally, consumers do not always actively use security features when available.

More disconcerting is that we lack market surveillance on whether manufacturers ship products with good security features or how the importance of user-controlled security features is explained to IoT users. Our study seeks to address this gap. To do this, we compiled a database of 270 consumer IoT devices produced by 220 different manufacturers on sale at the time of the study. The user manuals and associated support pages for these devices were then analysed to provide a ‘consumer eye’ view of the security features they provide and the cyber hygiene advice that is communicated to users. The security features identified were then mapped to the UK Government’s Secure by Design Code of Practice for IoT devices to examine the extent to which devices currently on the market appear to conform to it.

Our findings suggest that manufacturers provide too little publicly available information about the security features of their devices, which makes market surveillance challenging and provides consumers with little information about the security of devices prior to their purchase. On average, there was discussion of around four security features, with account management and software updates being the most frequently mentioned. Advice to consumers on cyber hygiene was rarely provided. Finally, we found a lack of standardization in the communication of security-related information for IoT devices among our sample. We argue for government intervention in this space to provide assurances around device security, whether this is provided in a centralized or decentralized manner.

The manuals and support pages of consumer IoT devices do not provide adequate information about device security features. Of those that disclosed features, we were able to derive information on the top three principles from the DCMS CoP. Cyber hygiene advice is rarely provided in manuals, despite the importance it can play in preventing cybercrime. We suggest that what is communicated in manuals should be standardized and that security information should be stored in a centralized repository. Doing so would aid market surveillance and perhaps, more importantly, allow device security to be summarized in a more accessible format for consumers (e.g. through a labelling scheme) to aid their purchasing choices.

Afsluitend

Tja, dat ziet er dus niet al te best uit, zoals eerder opgemerkt is er een duidelijke beveiligingsachterstand bij de productie van goederen die verbonden zijn met IoT. Meer algemeen geldt dat ook voor de preventieve investeringen en preventiebereidheid rond het ballonbegrip cybercrime: een achterstand. Ook het gebruik van beveiligingsmaatregelen rond IoT door consumenten zelf laat te wensen over. Preventie blijft een wezenlijke conditie voor het reduceren van de gelegenheid om eenvoudig en vaak ongemerkt delicten te plegen. Die preventie moet meegroeien met de maatschappelijke ontwikkelingen. Daarbij zal de nadruk meer en meer komen te liggen op maatschappelijke veranderingen die voortkomen uit technische ontwikkelingen en internationalisering. Dat verdient tijdig preventieve investeringen om niet de kans te lopen dat het hang- en sluitwerk op onze voordeur goed is verzorgd, maar dat burgers en bedrijven via de elektronische snelweg worden bestolen. Veel kan dan geleerd worden van de huidige inzichten die de meest valide verklaring geven rond de daling van de ‘’klassieke’’ criminaliteit.

De Nederlandse overheid zou een voorbeeld kunnen nemen aan een recent initiatief in het VK, waarin deze een oproep doet om met voorstellen te komen om tot een betere beveiliging van het IoT te komen: https://www.gov.uk/government/publications/proposals-for-regulating-consumer-smart-product-cyber-security-call-for-views/proposals-for-regulating-consumer-smart-product-cyber-security-call-for-views

Voor de echte liefhebber sluit ik de achtergrondstudie bij die bij dit initiatief als analyse dienst heeft gedaan. Leesvoer te over lijkt mij gedurende deze warme zomerdag. Enjoy!