Överenskommelse med hackare ska ha stoppat Canvas-läckan – 33 lärosäten berörda

En global cyberattack mot lärplattformen Canvas har påverkat 33 svenska lärosäten samt Universitets- och högskolerådet och Universitetskanslersämbetet. Leverantören Instructure uppger nu att företaget nått en uppgörelse med hackergruppen Shiny Hunters, som enligt bolaget innebär att den stulna datan har återlämnats, skriver universitetslararen.se.

Attacken upptäcktes i slutet av april och Instructure gick ut offentligt med information den 2 maj. Sedan dess har Canvas periodvis varit nedstängd eller bara haft begränsad funktionalitet vid många svenska lärosäten. Uppgifter ska ha stulits från hundratals miljoner användare globalt, och angriparna hotade att sprida datan.

I Sverige är det Vetenskapsrådet via Sunet som tillhandahåller Canvas till lärosätena. Tjänsteansvarig för Canvas vid Sunet, Per Nihlén, uppger att han enbart har den information som Instructure publicerat, bland annat om vilken typ av data som kan ha läckt. Det handlar enligt uppgifterna om viss användarinformation, som namn, e-postadresser och så kallade student-id, samt meddelanden mellan studenter och mellan studenter och lärare. Exakt vilka uppgifter som rör enskilda lärosäten är dock fortfarande oklart och hanteras direkt mellan Instructure och respektive kund, enligt universitetslararen.se.

Som mellanhand betonar Sunet vikten av löpande kommunikation med lärosätena och Nihlén framhåller, enligt sajten, att tystnad från leverantörer riskerar att underminera förtroendet. Instructures egen kommunikation har också varit föremål för intern självkritik; på företagets webbplats medges att man borde ha varit tydligare. Där uppger bolaget att all data ska ha återlämnats från angriparna och att Instructure fått en garanti om detta.

Sunet gör inga egna bedömningar av uppgifter från angriparna utan utgår från Instructures beskrivningar. Samtidigt pågår en fullständig säkerhetsgranskning, och hur Instructure agerar framåt bedöms bli avgörande för förtroendet, framgår det av rapporteringen.

Även lokalt fortsätter arbetet med att utvärdera konsekvenserna. Vid Mittuniversitetet beskriver systemansvarig för Canvas, Niklas Brinkfeldt, Sunets hantering som god men menar att förtroendet för Instructure behöver återuppbyggas. Vissa funktioner i Canvas, bland annat integrationer som lärare använder, är fortfarande inte igång. Brinkfeldt lyfter särskilt risken för att internmeddelanden kan ha läckt och pekar på att det är svårt att överblicka innehållet i sådana konversationer.

Vid Karlstads universitet har it-avdelningen gjort en anmälan till Integritetsskyddsmyndigheten och bedömer händelsen som en personuppgiftsincident. It-chefen där framhåller, enligt universitetslararen.se, att eventuella läckor av internmeddelanden mellan lärare och studenter är särskilt bekymmersamma ur ett integritets- och förtroendeperspektiv.

Vad uppgörelsen mellan Instructure och Shiny Hunters konkret innehåller är inte offentligt. Osäkerheten kring angriparnas motiv och framtida agerande består därmed, samtidigt som svenska lärosäten väntar på mer detaljerad information om vilken data som faktiskt berörts och när alla Canvas-funktioner kan vara fullt återställda. Detaljerad genomgång av attacken och lärosätenas reaktioner finns enligt universitetslararen.se.