De Canvas-hack is nog maar het begin, vrees ik
De hack van leermanagementsysteem Canvas is geen incident dat draait om één platform of leverancier. Dat stelt Michael Feldstein, Chief Strategy Officer van het 1EdTech Consortium, in zijn blogpost “This is not about the Canvas Hack”. Volgens hem gaat het om een bredere aanval van georganiseerde cybercriminelen op het onderwijs als sector.
Feldstein benadrukt dat het bij de hack van Canvas niet ging om een amateur die via een achterdeurtje binnenkwam. De aanvallers maakten gebruik van meerdere aanvalsvectoren tegelijk: openbaar toegankelijke cursussites, helpdeskfunctionaliteit en social engineering via een telefonisch contact. Instructure, het bedrijf achter Canvas, voldoet aan de SOC 2-norm. Dat betekent dat het bedrijf regelmatig externe beveiligingsaudits ondergaat. Toch slaagden de criminelen erin data te stelen en -waarschijnlijk- losgeld te vragen.
Opvallend is, aldus Feldstein, dat de criminelen expliciet vroegen om publiciteit: ze wilden dat Instructure bekendmaakte wie ze waren en dat ze de data hadden teruggegeven nadat het losgeld was betaald. Het doel was reclame maken voor hun werkwijze. Het verkopen van persoonsgegevens is niet hun verdienmodel. Ze positioneren zich als betrouwbare afpersers: betaal, en je krijgt je data terug. Feldstein spreekt van georganiseerde misdaad op FBI-niveau.
Na de aanval ontstonden er volgens Feldstein ook vragen over de veiligheid van LTI. Dat is de standaard voor het koppelen van educatieve toepassingen aan een digitale leeromgeving. Feldstein stelt dat de aanval niets met LTI te maken had. De huidige versie, LTI 1.3, voldoet aan de actuele beveiligingseisen. Versie 1.1 werd vijf jaar geleden afgeschreven omdat die niet meer voldeed aan de geldende normen. Het 1EdTech Consortium certificeert LTI 1.1 niet meer en beveelt het gebruik ervan sterk af. Instellingen die nog eigen tools hebben gebouwd op LTI 1.1, zijn zelf verantwoordelijk voor de risico’s die dat met zich meebrengt.
Feldstein is kritisch over partijen die de Canvas-hack aangrijpen om LTI in het algemeen in diskrediet te brengen. Dat is volgens hem feitelijk onjuist en contraproductief. Hij vergelijkt het met de bewering dat Microsoft onveilig is omdat Windows 3.11 dat is. De echte opgave is nu om kwetsbaarheden te identificeren en te dichten, niet om punten te scoren ten koste van anderen. Feldstein sluit af met een oproep tot gemeenschappelijkheid: als de EdTech-gemeenschap niet als geheel optreedt, is iedereen kwetsbaar.
Mijn opmerkingen
Feldstein merkt terecht op dat het onderwijs, na de zorg, doelwit is geworden van criminele hackers. Binnen het onderwijs genereren we veel privacygevoelige data in diverse platforms. Ik ben bang dat de hack van Canvas nog maar het begin is. Dankzij AI-agents wordt het makkelijker voor deze criminelen om ook platforms met minder gebruikers dan bijvoorbeeld Canvas onder vuur te nemen. Denk aan itslearning, Eduarte en Osiris. Cybersecurity moet daarom de hoogste prioriteit hebben binnen onderwijsorganisaties. Op zich is het jammer dat onderwijsorganisaties hier zulke inspanningen voor moeten verrichten. Je kunt het geld, tijd en expertise namelijk niet voor andere zaken inzetten. Maar het is wel noodzakelijk.
Wat betreft LTI: de boodschap van Feldstein over versie 1.1 is helder, maar vraagt wel om actie van instellingen en bedrijven die zelf tools hebben gebouwd op die verouderde standaard. Ik weet van één veel gebruikt platform binnen het onderwijs -ik noem geen namen- dat een jaar geleden LTI 1.3 nog steeds niet op een goede manier ondersteunde. Ik heb er ook weleens voor gepleit om versie 1.1. toch maar te gebruiken omdat ik het security risico toen als beperkt inschatte. Die tijd is echter voorbij.
Verder is het m.i. belangrijk dat onderwijsinstellingen hun krachten bundelen op dit terrein. Dat gebeurt al, bijvoorbeeld in SURFcert-verband. Toch kan deze krachtenbundeling nog een stap verder gaan. Denk bijvoorbeeld aan een shared service voor IT-dienstverlening waarvan meerdere onderwijsinstellingen aandeelhouder zijn.
Lees het hele
artikel