Meerdere Europese universiteiten overwegen deze week geld te betalen aan hackersgroep ShinyHunters. Het gaat om een aanval op het leerplatform Canvas van Instructure, dat door veel opleidingen in Nederland en Europa wordt gebruikt. De groep zegt data van studenten en medewerkers te hebben buitgemaakt en dreigt met publicatie. Instellingen wegen betaling af om verdere schade te beperken en tijd te winnen voor herstel en onderzoek.
Hack raakt Canvas-gebruikers direct
Canvas is een digitaal leerplatform (LMS) voor colleges, opdrachten en cijfers. Universiteiten gebruiken het om lesmateriaal te delen en communicatie te stroomlijnen. Bij een inbraak kunnen namen, e-mailadressen, cursusinschrijvingen en ingeleverde opdrachten worden gekopieerd. De exacte impact verschilt per instelling en wordt op het moment van schrijven onderzocht.
Niet alle onderwijsgegevens staan in Canvas. Cijfers en persoonsgegevens worden vaak ook in een studentinformatiesysteem (SIS) beheerd. Toch kan toegang tot Canvas veel context geven over studenten en docenten. Dat vergroot het risico op gerichte phishing en identiteitsfraude.
Instructure beheert het platform en levert updates en beveiligingspatches. Universiteiten draaien daarnaast eigen koppelingen en plug-ins. Die extra modules brengen gemak, maar vergroten ook het aanvalsoppervlak. Beheerders moeten daarom tokens, API-sleutels en Single Sign-On-instellingen snel herzien.
Druk om losgeld te betalen
ShinyHunters staat bekend om datadiefstal en publicatie op criminele fora. De groep zet instellingen onder druk met de dreiging data openbaar te maken of te verkopen. Universiteiten voelen de noodzaak om studenten te beschermen en onderwijsprocessen draaiend te houden. Daardoor komt betaling als noodoptie in beeld.
Betalen heeft grote nadelen en onzekerheden. Er is geen garantie dat gestolen data wordt verwijderd of niet alsnog opduikt. Een betaling kan bovendien meer afpersing uitlokken. Verzekeraars en toezichthouders kijken kritisch mee en beperkingen in polissen zijn gebruikelijk.
Juridisch geldt ook een sanctierisico als geld bij gesanctioneerde partijen terechtkomt. Dat vereist voorafgaande checks. In de praktijk betekent dit dat bestuurders, juristen en incidentteams onder hoge tijdsdruk complexe keuzes moeten maken. Transparante besluitvorming en vastlegging zijn dan essentieel.
Betalen biedt geen garantie dat gestolen gegevens worden verwijderd of niet later alsnog worden gepubliceerd.
AVG en meldplichten gelden
De Algemene verordening gegevensbescherming (AVG) verplicht tot het melden van datalekken binnen 72 uur bij de Autoriteit Persoonsgegevens. Ook betrokken studenten en medewerkers moeten tijdig en duidelijk worden geïnformeerd. Dat vraagt om feitelijke communicatie over welke data is geraakt en welke stappen men zelf kan nemen. Denk aan wachtwoordwijzigingen en extra alertheid op phishing.
Dataminimalisatie en versleuteling zijn kernbegrippen uit de AVG. Instellingen moeten aantonen welke beveiligingsmaatregelen golden, zoals multifactor-authenticatie (MFA) en logs. Ook verwerkersovereenkomsten met Instructure en andere leveranciers komen onder het vergrootglas. Bij doorgifte van gegevens buiten de EU zijn passende waarborgen, zoals standaardcontractbepalingen, vereist.
Naast de AVG brengt de NIS2-richtlijn zwaardere eisen voor cyberweerbaarheid en incidentmelding met zich mee. Voor onderwijs- en onderzoeksinstellingen betekent dit meer governance, risicobeheer en toetsing van toeleveranciers. Deze Europese digitalisering heeft gevolgen voor het hoger onderwijs en zijn ketenpartners. Besturen moeten hier proactief op sturen met beleid en budget.
Advies: niet betalen
Het Nationaal Cyber Security Centrum (NCSC) en ENISA ontraden het betalen van losgeld. Betaling vergroot het criminele verdienmodel en verkleint de prikkel om systemen structureel te verbeteren. Bovendien blijft de operationele onzekerheid bestaan zolang niet duidelijk is wat is gekopieerd. De focus moet liggen op herstel, forensisch onderzoek en preventie.
Directe stappen omvatten het intrekken van tokens en API-sleutels, het afdwingen van wachtwoordresets en het aanscherpen van MFA. Ook moeten alle integraties met Canvas worden gecontroleerd. Denk aan koppelingen met het studentinformatiesysteem, plagiatiedetectie of videoplatforms. Elk van die verbindingen kan een zijdeur vormen.
Forensische logging is cruciaal om toegangspatronen te reconstrueren. Zonder goede logs blijft de onzekerheid groot en duurt herstel langer. Instellingen doen er goed aan logbewaring te verlengen en centraal te correleren. Dat versnelt ook de wettelijke rapportage aan toezichthouders.
Mogelijke technische routes
Zonder volledige daderinformatie wijzen experts vaak drie waarschijnlijke ingangen aan. Een gecompromitteerde beheerdersaccount met ruime rechten, misbruik van een kwetsbare plug-in of lek bij een toeleverancier. In alle gevallen geldt: rechten beperken en segmenteren verkleint de schade. Principe van least privilege is hier leidend.
API-toegang tot Canvas is krachtig maar risicovol. Lange-levenstoken en service-accounts vragen om strakke sleutelrotatie. Voeg waar mogelijk IP-beperkingen en device-trust toe. En monitor op afwijkend dataverkeer, zoals massale exporten buiten kantooruren.
Single Sign-On via SAML of OIDC maakt gebruik makkelijk voor eindgebruikers. Maar foutieve claims of te brede scopes kunnen escalatie mogelijk maken. Een periodieke herkeuring van alle identiteitskoppelingen is daarom nodig. Dat geldt ook voor accounts van externe docenten en tijdelijke medewerkers.
Nederlandse aanpak en hulp
In Nederland ondersteunen SURFcert en het Digital Trust Center instellingen bij incidentrespons. Samenwerking met het Team High Tech Crime van de politie kan waardevolle inlichtingen opleveren. Ook uitwisseling van IoC’s, zoals verdachte domeinen en IP-adressen, helpt vervolgschade te beperken. Sectorbrede oefeningen maken organisaties weerbaarder.
Voor studenten en docenten zijn de praktische gevolgen direct merkbaar. Wachtwoordresets, tijdelijk minder toegang tot cursussen en meer tweestapsverificatie kunnen hinder geven. Heldere communicatie en een supportlijn verminderen onrust. Bied daarnaast kredietbewaking of identiteitsmonitoring aan wanneer gevoelige data is geraakt.
Bestuurders moeten dit incident aangrijpen om structureel te investeren. Denk aan zero trust-netwerken, betere segmentatie en geautomatiseerde sleutelrotatie. Ook leveranciersmanagement verdient aandacht, met strengere eisen aan updates en pentests. Zo wordt de afhankelijkheid van grote platforms als Canvas beheersbaar gemaakt.