Categorieën
Archief Kennisparels

[191] 29 maart 2021: A systematic review of crime facilitated by the consumer Internet of Things

Inleiding en context

Allemaal een hele fijne nieuwe werkweek toegewenst. Het is maandag 29 maart 2021. De zomertijd is gearriveerd en dan maar hopen op een even fijn voorjaar en zomer zoals die van vorig jaar. Volgens het CBS zijn we in ieder geval behoorlijk tevreden over ons persoonlijk welzijn. Dit blijkt uit nieuwe cijfers van het onderzoek sociale samenhang en welzijn: https://www.cbs.nl/nl-nl/nieuws/2021/13/persoonlijk-welzijn-vrijwel-gelijk-gebleven

Vandaag een ´kennisparel´ over ´nieuwe vormen´ van criminaliteit die veroorzaakt worden door de zogenaamde Internet of Things (Iot). Er zijn inmiddels zeer veel dingen mogelijk door het IoT. De alarmklok gaat af en tegelijkertijd warmt de koffiemachine zich al op. Je krijgt een e-mail dat je energieleverancier ziet dat er een probleem is met je stoppenkast voordat jij het doorhebt. Of misschien sta je op het punt naar huis te gaan en start je je thermostaat via de app op je telefoon om ervoor te zorgen dat het huis warm is bij thuiskomt. Steeds meer apparaten in je leven krijgen onder andere een computerchip en verbinding met wifi. Op deze manier kunnen apparaten niet alleen maar informatie verzamelen, maar ze kunnen het dan ook delen met jou via een app op je smartphone of met geselecteerde bedrijven. Dit is simpelweg wat het IoT is. Neem alle apparaten in de hele wereld en verbind ze met het internet.

Het is dan ook te voorzien dat zich ´nieuwe vormen´ van criminaliteit gaan voordoen door het massale gebruik van het IoT. Het is dan van belang om in plaats van te reageren te anticiperen een belangrijke voorwaard om greep op deze vormen van criminaliteit te krijgen. Bijgesloten ´kennisparel´ biedt een systematisch overzicht van deze ontwikkelingen. Het is daarbij zaak om vroegtijdig te anticiperen en vooral om het criminaliteitspreventie beleid daarop toe te spitsen. De onderstaande dia geeft een beeld van de gevolgen wanneer dit niet op een adequate manier wordt gedaan:

Bron

Blythe, John M. & Shane D. Johnson (2021). A systematic review of crime facilitated by the consumer Internet of Things. Security Journal, vol. 34, pp. 97-125. https://link.springer.com/article/10.1057/s41284-019-00211-8

Samenvatting

The nature of crime is changing—estimates suggest that at least half of all crime is now committed online. Once everyday objects (e.g. televisions, baby monitors, door locks) that are now internet connected, collectively referred to as the Internet of Things (IoT), have the potential to transform society, but this increase in connectivity may generate new crime opportunities. Here, we conducted a systematic review to inform understanding of these risks. We identify a number of high-level mechanisms through which offenders may exploit the consumer IoT including profiling, physical access control and the control of device audio/visual outputs. The types of crimes identified that could be facilitated by the IoT were wide ranging and included burglary, stalking, and sex crimes through to state level crimes including political subjugation. Our review suggests that the IoT presents substantial new opportunities for offending and intervention is needed now to prevent an IoT crime harvest.

The IoT refers to electronic devices that are internet connected and can communicate and interact with one another. The IoT is considered the next technological revolution, and in the home, products can range from smart locks, to home assistants which afford greater convenience and intelligent living. In this article, we systematically review crimes that have or may be facilitated by the consumer IoT. We begin by explaining why we might expect the IoT to facilitate crime and specify what types of devices we are concerned with. We then discuss the approach taken to review the literature and present our findings. It is well documented that many new products and services have led to “crime harvests”. These arise when insufficient attention is given to the crime and security implications of new products and services which become prevalent in the legitimate market. Considering the evolution of a product or service, these have a lifecycle which involves four stages: (1) an introduction phase, where use is limited to early adopters; (2) a growth stage in which uptake increases; (3) a maturity stage in which the mass market is reached, and (4) a point where the market is saturated and sales decline.

Crime harvests can take different forms. In the case of the theft of physical products, this tends to occur during the growth and mass market stages of the product lifecycle. During these stages, products are well-known, desirable and sufficiently abundant to make locating/stealing them easy and their sale inconspicuous. Crime harvests have played out many times. Traditional urban examples include vehicle theft in the 1990s, and mobile phone theft in the noughties. In these, and similar examples, solutions were found — albeit retrospectively — but offenders had exploited vulnerabilities in the design of these products for a considerable amount of time, in some cases decades, before they were addressed. In the case of physical theft, crime opportunities may reduce with market saturation, since few people will want to buy stolen items at this point. However, for many goods, particularly electronic and (say) automotive ones, manufacturers constantly develop them to increase functionality and sales. Moreover, goods can be exported to countries where market saturation has not occurred. Consequently, opportunities for theft will not always decline with market penetration.

Online, crime opportunities are not limited to the theft of purchased products and so are even less likely to decline. Instead, opportunities will be proportional to the number of people using a service. For example, the introduction of email has allowed fraudsters to adopt “needle in a haystack” approaches – such as phishing scams – to steal (say) victim’s financial data. With such scams, victims are sent emails from seemingly (but not) genuine sources (e.g. a bank) that include a link to website. If they click on the link,  they are directed to a malicious website and asked to provide sensitive information, including their username, password, or bank details. In this case, as the adoption of email services increases, so does the number of crime opportunities.

With these points in mind, the aims of this paper are to provide a systematic review of existing work on cybercrime and the consumer IoT to address the following research questions:

1. What are the primary mechanisms through which cybercrimes may be committed using IoT devices?

2. What cybercrimes have/could be facilitated through consumer IoT devices?

To be clear, this paper is not about cybercrime in general. This would be beyond the scope of a single article. Instead, our focus is on crimes facilitated by the IoT. In the tradition of situational crime prevention, it is important to have this clear focus as our aim is to understand the crime opportunities the consumer IoT presents with a view to catalysing and informing attempts to prevent associated crime harvests.

In recent decades, criminological research has focused on understanding the factors that facilitate crime and interventions that reduce it. A variety of approaches have been taken, and frameworks developed. The body of evidence continues to grow and there are now many systematic reviews of what works. While this is to be celebrated, for new forms of crime, including those (potentially) facilitated by the IoT, our knowledge of what works to reduce them is limited. Given that at least half of all crime now occurs online, there is a clear need for criminologists to focus on these forms of offending to help better understand and address them. The aim of this review was to systematically take stock of what we know and to map out a research agenda to encourage this.

Afsluitend

Het criminaliteitspreventieve beleid is niet statisch. Maatschappelijke ontwikkelingen bepalen dat eerder gemaakte keuzes slechts een beperkte geldigheidsduur hebben. Voor alle trends en ontwikkelingen op de criminaliteitsmarkt gelden terugkoppelingsmechanismen: daders, slachtoffers en criminaliteitsbestrijders leren van deze ontwikkelingen en reageren op elkaar. Tot op heden is het anticiperen van overheden op nieuwe ontwikkelingen zeldzaam te noemen. Het tijdig voorzien van problematische ontwikkelingen en het tijdig aandragen van oplossingen hiervoor is in feite de beste vorm van primaire preventie. Bijgesloten overzichtsstudie biedt inzicht welke mogelijke verschuivingen zich gaan voordoen door het gebruik van IoT op de criminaliteitsmarkt.

De algemene verwachting is dat technologische ontwikkelingen nieuwe gelegenheidsstructuren zullen scheppen voor ‘nieuwe vormen van criminaliteit’. Hierbij moet gedacht worden aan diefstal van elektronische diensten, intellectueel eigendom, kennis en informatie, spionage, smaad, afpersing, illegale handel, identiteitsfraude/identiteitsdiefstal. Dit zijn typische delicten die tot op heden betrekkelijk weinig aandacht hebben gekregen vanuit de ‘klassieke criminaliteitspreventie’. Werk aan de winkel dus.