Het is nog altijd onbekend hoeveel Nederlandse studenten, docenten en onderwijsmedewerkers zijn getroffen door de hack bij onderwijsplatform Canvas. Ook is nog niet duidelijk welke gegevens van Nederlandse gebruikers precies zijn buitgemaakt. Dat schrijft minister Letschert van Onderwijs in antwoord op Kamervragen van D66.
Canvas is een veelgebruikt digitaal leerplatform waarop onderwijsinstellingen lesmateriaal aanbieden, opdrachten laten inleveren en communicatie tussen studenten en docenten faciliteren. Wereldwijd maken volgens leverancier Instructure duizenden onderwijsinstellingen gebruik van het platform. Ook in Nederland wordt Canvas gebruikt door universiteiten, hogescholen en andere onderwijsinstellingen.
Canvas-hack
De zorgen ontstonden nadat de criminele groep ShinyHunters claimde gegevens van 275 miljoen Canvas-gebruikers in handen te hebben. De groep dreigde de buitgemaakte data online te publiceren als er geen losgeld zou worden betaald. ShinyHunters is geen onbekende naam in de cybercriminaliteit. De groep werd eerder in verband gebracht met de diefstal van gegevens van miljoenen klanten bij telecombedrijf Odido.
Instructure liet na de dreiging weten dat het een akkoord met de criminelen had gesloten om publicatie van de gestolen gegevens te voorkomen. Volgens het bedrijf zijn er zogenoemde shred logs ontvangen waaruit zou blijken dat de data zijn vernietigd. Beveiligingsexperts plaatsen daar kanttekeningen bij, omdat dergelijke verklaringen van criminelen moeilijk onafhankelijk te controleren zijn. Het is daardoor onzeker of de gegevens daadwerkelijk niet meer in omloop zijn.
Aantal gedupeerden
D66 stelde naar aanleiding van het incident Kamervragen aan de minister. De partij wilde onder meer weten hoeveel Nederlandse studenten door de hack zijn geraakt. Volgens Letschert is dat op dit moment niet vast te stellen. De MBO Raad, Universiteiten van Nederland en de Vereniging Hogescholen hebben de minister laten weten dat alleen bekend is welke instellingen getroffen zijn. Instructure heeft volgens hen nog niet duidelijk gemaakt welke gegevens precies zijn buitgemaakt.
Daardoor kunnen onderwijsinstellingen op dit moment geen betrouwbare inschatting maken van het aantal getroffen studenten, docenten en medewerkers. Wel staan de instellingen volgens de minister in contact met Instructure om meer duidelijkheid te krijgen over de omvang en aard van het datalek.
ShinyHunters
Letschert meldt verder dat Nederlandse onderwijsinstellingen voor zover bekend niet rechtstreeks door ShinyHunters zijn benaderd. Ook is niet bekend of Instructure daadwerkelijk losgeld heeft betaald. De minister benadrukt dat het aan bedrijven zelf is om in zulke situaties een afweging te maken, maar wijst erop dat het dringende advies van de overheid is om geen losgeld te betalen.
De kwestie onderstreept opnieuw hoe kwetsbaar digitale leeromgevingen kunnen zijn. Onderwijsinstellingen zijn sterk afhankelijk van externe platformen voor onderwijs, communicatie en administratie. Wanneer zulke systemen worden geraakt door een datalek, is niet alleen technische beveiliging van belang, maar ook snelle en transparante informatievoorziening richting instellingen en gebruikers.