Nederlandse scholen en universiteiten onderhandelen met hackers na een datalek bij Canvas, het digitale leerplatform van Instructure. Criminelen dreigen gestolen gegevens te publiceren en eisen geld. Het incident kwam deze week aan het licht en raakt meerdere instellingen in het voortgezet en hoger onderwijs. Instellingen proberen de schade te beperken en zoeken hulp bij beveiligingsdiensten.
Onderhandelen om tijd te winnen
Besturen en CISO’s van getroffen instellingen voeren gesprekken met de hackers via gespecialiseerde tussenpersonen. Doel is tijd winnen voor forensisch onderzoek en het informeren van studenten en medewerkers. Ook willen zij publiceren van data voorkomen of uitstellen. Het blijft onduidelijk of er betaald gaat worden.
Scholen stemmen hun aanpak af met incidentrespons-teams en nationale hulpkanalen. Denk aan SURFcert, het Nationaal Cyber Security Centrum en de politie. Deze partijen adviseren over techniek, juridische stappen en communicatie. Op het moment van schrijven is er geen centrale oplossing bekend.
De dreiging vergroot de druk op IT-afdelingen. Zij moeten systemen veiligstellen, logbestanden veilig bewaren en back-ups controleren. Tegelijk moeten zij onderwijsprocessen draaiende houden. Dat vraagt strakke prioritering en duidelijke besluiten.
Canvas-koppelingen als risico
Canvas is een leeromgeving waarin lessen, toetsen en opdrachten worden gedeeld. Het platform werkt met veel koppelingen naar andere apps via API’s en plug-ins. Zulke integraties vergroten gemak, maar ook het aanvalsoppervlak. Een misbruikte app of token kan toegang geven tot meerdere systemen.
Details over de technische ingang zijn op het moment van schrijven niet openbaar. Wel is bekend dat onderwijsinstellingen vaak afhankelijk zijn van externe leveranciers. Die leveranciers verwerken soms dezelfde data op meerdere plekken. Dat maakt ketenbeveiliging extra belangrijk.
Beheerders kijken nu naar machtigingen, sleutels en webhooks in Canvas. Zij trekken ongebruikte toegang in en roteren sleutelmateriaal. Ook wordt extra logging aangezet om later precies te zien wat is gebeurd. Zo ontstaat een betrouwbaar tijdlijn van de aanval.
Gegevens van studenten kwetsbaar
Bij leerplatformen gaan het vaak om namen, e-mailadressen en cursusdeelname. Ook kunnen inleveropdrachten, cijfers en feedback zijn ingezien. Dit zijn persoonsgegevens onder de AVG, de Europese privacywet. Publicatie kan leiden tot phishing en identiteitsmisbruik.
Voor criminelen zijn onderwijsaccounts aantrekkelijk. Ze openen de deur naar andere systemen, zoals cloudopslag of bibliotheekdiensten. Met gerichte phishing kunnen wachtwoorden of tokens worden buitgemaakt. Studenten en docenten zijn niet altijd alert op zulke aanvallen.
Instellingen waarschuwen daarom voor verdachte mails en nep-inlogpagina’s. Zij adviseren tweestapsverificatie en unieke wachtwoorden. Daarnaast krijgen betrokkenen vaak een bericht met uitleg en stappenplan. Zo voldoet de school aan de informatieplicht en beperkt zij vervolgschade.
AVG en NIS2 sturen aanpak
Onder de AVG moeten ernstige datalekken binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens. Instellingen moeten ook betrokkenen informeren als er een hoog risico is. Instructure is als leverancier verwerker, terwijl de school verwerkingsverantwoordelijke blijft. Die rolverdeling bepaalt wie welke plichten heeft.
Europese NIS2-regels maken melding en zorgplichten strenger voor essentiële en belangrijke organisaties. Grote universiteiten en onderzoeksinstellingen vallen daar waarschijnlijk onder. Nederland werkt aan implementatie in nationale wetgeving. Dit betekent zwaardere eisen aan incidentrespons en ketenbeveiliging.
Bovendien geldt dataverkeer met leveranciers buiten de EU onder extra regels. Contracten moeten passende waarborgen bevatten, zoals standaardclausules. Instellingen toetsen nu of die afspraken zijn nageleefd. Zo nodig passen zij contracten en procedures aan.
De AVG verplicht organisaties om ernstige datalekken binnen 72 uur te melden bij de Autoriteit Persoonsgegevens.
Betalen blijft riskante keuze
Losgeld betalen geeft geen zekerheid dat data verdwijnt. Kopieën kunnen blijven circuleren of later toch worden gepubliceerd. Ook kan betaling nieuwe eisen uitlokken. Politie en toezichthouders raden betaling daarom af.
Daarnaast zijn er juridische risico’s. Betalingen aan gesanctioneerde partijen kunnen strafbaar zijn. Instellingen moeten dit vooraf zorgvuldig toetsen. Verzekeraars stellen bovendien steeds vaker voorwaarden aan uitkeren.
Onderhandelen wordt soms ingezet om tijd te winnen. Dat kan ruimte geven voor noodmaatregelen en communicatie. Maar het is geen structurele oplossing. Weerbaarheid en preventie blijven de kern.
Aanpak voor de korte termijn
IT-teams resetten wachtwoorden, API-sleutels en tokens in Canvas en gekoppelde apps. Zij sluiten verdachte integraties en beperken rechten tot het minimum. Ook maken zij forensische kopieën van logbestanden. Zo blijft bewijs behouden voor onderzoek en melding.
Communicatieteams richten zich op helder taalgebruik voor studenten en docenten. Zij leggen uit wat is gebeurd en wat het betekent. Ook geven zij eenvoudige stappen om accounts te beveiligen. Transparantie versterkt vertrouwen en voorkomt paniek.
Besturen organiseren dagelijks crisisoverleg met security, juridische zaken en onderwijsdirecties. Zij beslissen over meldingen, continuïteit en externe hulp. Waar nodig schakelen zij SURFcert, NCSC en gespecialiseerde incidentresponders in. Dit versnelt herstel en beperkt reputatieschade.
