Twee relevante blogposts over het beveiligingsincident van Canvas
Het zal je niet ontgaan zijn: verleden week heeft hackersgroep Shinyhunters -bekend van de hack van Odido- het leermanagementsysteem Canvas gehackt en gebruikersgegevens ontvreemd. In twee recente blogposts -“Instructure Is Risking the Trust That Built Canvas” van Phil Hill (On EdTech, 8 mei 2026) en “Why the Canvas hack was inevitable” van Tim Klapdor (10 mei 2026)- wordt de aanval vanuit twee verschillende invalshoeken beoordeeld: die van communicatie en vertrouwen, en die van IT-beheer en organisatorische keuzes.
Ik ben zelf als projectleider betrokken bij twee implementatietrajecten van Canvas en heb in mijn werk dan ook behoorlijk last van dit beveiligingsincident. Los van het feit dat het ernstig is als gegevens van gebruikers “op straat komen te liggen”, kan het vertrouwen van gebruikers in de applicatie (en in de leverancier Instructure) hierdoor worden geschaad. Daar komt bij dat onderwijsinstellingen begrijpelijkerwijs ervoor gekozen hebben om Canvas tijdelijk niet meer te gebruiken. Dat verstoort in mijn situatie onder meer ontwikkelwerk en professionalisering. Je ervaart ook aan de lijve hoe afhankelijk je bent van digitale technologie in je dagelijks leven. Docenten en studenten, die Canvas gebruiken, hebben uiteraard veel meer last van deze hack en de gevolgen daarvan.
Het zou overigens veel ernstiger zijn als hackers toegang zouden krijgen dat systemen als Osiris, Eduarte of Magister. Die systemen bevatten namelijk veel gevoeliger gebruikersgegevens dan Canvas. Op de betreffende incidentpagina van Instructure lees je om welke gegevens het gaat (de info is van 11 mei 2026, 7 uur): The data fields involved include information like usernames, email addresses, course names, enrollment information and messages. Core learning data (course content, submissions, credentials) was not compromised. We’re still validating all findings, but we want to be clear about what we understand was and wasn’t affected. Er zijn geen aanwijzingen dat wachtwoorden, geboortedatums, overheidsnummers of financiële gegevens zijn buitgemaakt.
Ik vrees dat onderwijssystemen, waar veel instellingen gebruik van maken, vaker object zullen zijn van hackpogingen. Ik ben ook bang dat we er mee moeten leren leven dat systemen die we gebruiken gehackt zullen worden en dat onze persoonsgegevens op straat komen te liggen. Odido, Ticketmasters, Adobe en Instructure met Canvas zijn niet de eersten, en zullen zeker niet de laatste zijn. Leveranciers van software hebben een grote verantwoordelijkheid om dergelijke incidenten te voorkomen, afnemers van software zullen fors moeten investeren in cybersecurity en gebruikers zullen ook moeten weten hoe zij hacks kunnen voorkomen en hoe zij om moeten gaan met gevolgen (zoals alert zijn op phishing). Daarnaast zal justitie de betreffende criminelen moeten opsporen en straffen. Zie: Hoe je als organisatie de impact van een datalek verkleint
Zoals gezegd heb ik de afgelopen dagen een aantal blogposts gelezen over dit beveiligingsincident.
Phil Hill beschrijft hoe Instructure er in de eerste dagen na de aanval niet in slaagde adequaat te communiceren naar haar klanten. Instructure had op 29 april voor het eerst ongeautoriseerde activiteit in haar systemen gedetecteerd. Op 5 mei werden getroffen instellingen ingelicht, maar op 6 mei markeerde Instructure het incident op haar statuspage al als “Resolved”; een oordeel dat geen stand zou houden. Op de ochtend van 7 mei zagen gebruikers bij meerdere instellingen ‘omleidingspagina’s’ van ShinyHunters, de groep die de verantwoordelijkheid voor de inbreuk claimt en een lijst van getroffen instellingen publiceerde. Studenten van Harvard waren onder de gebruikers die op die pagina belandden in plaats van op Canvas. Diezelfde middag nam Instructure het platform alsnog offline.
Wat in die periode opviel, was dat niet Instructure maar de instellingen zelf de communicatie naar hun gemeenschappen op zich namen. Onderwijsinstellingen -ook in Nederland- informeerden hun studenten en medewerkers, terwijl Instructure zich beperkte tot statuspage-meldingen over onderhoudsmodus en inlogproblemen. Pas op vrijdag 8 mei publiceerde Instructure een uitgebreide Security Incident Update & FAQ op haar eigen website. Daarin werd bevestigd dat de aanval via een kwetsbaarheid in zogeheten Free-For-Teacher-accounts verliep. Dat is een type account dat breed gebruikt wordt in het primair en voortgezet onderwijs en dat inmiddels tijdelijk is afgesloten. De gestolen data omvat gebruikersnamen, e-mailadressen, studentnummers en berichten tussen Canvas-gebruikers. Ik vind het overigens ook een taak van onderwijsinstellingen zelf om hun studenten en medewerkers te informeren.
Volgens Hill schiet de verklaring van Instructure op een belangrijk punt tekort. Externe berichtgeving van onder meer TechCrunch en Times Higher Education noemt een omvang van ongeveer 9.000 getroffen instellingen en tussen de 200 en 275 miljoen gebruikersrecords, naast miljarden berichten die ShinyHunters beweert te hebben buitgemaakt. Die omvang wordt in de FAQ niet erkend, evenmin als de afpersingseis met een deadline van 12 mei. Wie de FAQ las, zou niet weten dat dit tot de omvangrijkste datalekken in de onderwijssector behoort. In de verklaring ontbrak bovendien een met naam ondertekende verantwoordelijkheid van een directielid. Volgens Hill is dat een opvallend contrast met de manier waarop Instructure in 2012 reageerde op een grote storing. Toenmalig CEO Josh Coates schreef destijds een openbare post waarin hij uitlegde wat er was misgegaan en afsloot met de woorden: “We are embarrassed. We are sorry. We will do better.” Dat soort publieke verantwoording was mede de basis voor het vertrouwen waarop Canvas groot werd, en ontbrak aanvankelijk. Sinds afgelopen weekend opent de incident-pagina wel met een dergelijke verklaring, en trekt CEO Steve Daly het boetekleed aan over de tekortschietende communicatie.
Tim Klapdor plaatst de aanval in een breder bestuurlijk verband. Zijn betoog richt zich niet op de crisiscommunicatie, maar op de technische en organisatorische keuzes die de schade zo omvangrijk maakten. Aan de hand van het Cynefin-raamwerk stelt hij dat IT-afdelingen decennialang zijn blijven opereren vanuit een “complicated” denkmodel: een wereld met veel onderdelen, maar die kenbaar en beheersbaar is met de juiste expertise. Die aanname paste bij het tijdperk van lokale servers en losstaande systemen, maar houdt geen stand in een sterk verweven digitale omgeving waar onverwachte verstoringen geen uitzonderingen zijn maar systeemeigenschappen.
Volgens Klapdor is het probleem structureel. De afgelopen vijftien jaar centraliseerden instellingen hun ICT-infrastructuur massaal naar externe cloudleveranciers. Lokale servers werden buiten gebruik gesteld en interne ontwikkelcapaciteit werd afgebouwd. Het LMS werd daarin het centrale knooppunt voor vrijwel alle leer- en onderwijsfuncties. Dat ontwerp is kwetsbaar: wanneer één systeem uitvalt, liggen alle functies die er doorheen lopen stil. Bovendien geldt: wanneer beleid voorschrijft dat alle kernsystemen van gevestigde externe leveranciers moeten komen, delen alle systemen hetzelfde infrastructurele aanspreekpunt. Het resultaat is niet risicobeheersing, maar geconcentreerde kwetsbaarheid. Aldus Klapdor.
Een alternatief is mogelijk, betoogt hij. Het begrip “anti-fragiele systemen” -systemen die zijn ontworpen om te blijven functioneren wanneer onderdelen uitvallen- biedt aanknopingspunten. Open source software maakt het mogelijk om een gespiegelde installatie op lokale infrastructuur technisch haalbaar te maken. Zelfs een spiegeling naar een afzonderlijke cloud-omgeving had zinvolle weerbaarheid geboden. De kosten daarvan zijn volgens de auteur reëel, maar de kosten van meerdaagse uitval voor tientallen onderwijsinstellingen tegelijk zijn dat evenzeer. Klapdors vrees is dat de analyse die nu volgt zich zal richten op hoe de aanvallers binnenkwamen, en niet op de beheersbeslissingen die de schade zo breed maakten. In een complex systeem is het voorkomen van elke toekomstige aanval geen realistisch doel. Ontwerpen voor weerbaarheid wanneer aanvallen slagen, is dat volgens hem wel.
Veel organisaties kiezen er inderdaad voor om software als een service af te nemen bij commerciële leveranciers die op hun beurt weer gebruik maken van servers van Amazon, Google of Microsoft. Dit werkt inderdaad afhankelijkheid van enkele big tech bedrijven in de hand (ik schaar Instructure overigens niet onder ‘big tech’). Je zou inderdaad voor een meer regionale infrastructuur kunnen kiezen door, bijvoorbeeld in SURF verband, een eigen cloud-omgeving te realiseren. Een lokale infrastructuur is voor minder omvangrijke organisaties m.i. niet haalbaar omdat dit veel geld en specifieke menskracht vergt. Een regionale infrastructuur vraagt echter ook om een forse investering. Een belangrijk argument voor de huidige cloud computing-oplossingen is dat de schaalgrootte leidt tot relatief lage kosten. Dit voordeel valt weg als je kiest voor regionale oplossingen.
Lees het hele
artikel