Det var i slutet av april som attacken upptäcktes. Företaget Instructure, med huvudkontor i USA, gick sedan ut offentligt med information den 2 maj. Canvas har varit mer eller mindre nerstängd de senaste dagarna även om tjänsten öppnades upp med begränsade funktioner på de flesta svenska lärosäten under måndagen. Genom lärplattformen sägs uppgifter ha stulits från 275 miljoner användare över hela världen, uppgifter som hackarna hotade att sprida.
I Sverige är det Vetenskapsrådet via Sunet som tillhandahåller Canvas till lärosätena. Per Nihlén är ansvarig för tjänsten Canvas och konstaterar att han inte vet någonting mer än det Instructure har lagt ut på sin egen hemsida. Det gäller exempelvis vilka uppgifter om lärare och forskare som kan ha läckts.
– Det kan vi fortfarande inte bekräfta, men det rör sig om viss användarinformation som till exempel namn, e-postadresser och det som Canvas och Instructure kallar för student-id. Det sistnämnda används lite olika från lärosäte till lärosäte, säger Per Nihlén.
Per Nihlén
Ansvarig för tjänsten Canvas, Vetenskapsrådet Johanna Hanno
Han lägger till att meddelanden mellan studenter och mellan studenter och lärare är läckta, men att det inte är säkert att alla lärosäten har haft den funktionen påslagen.
– Vi vet fortfarande bara vad Instructure säger kan ha läckt. De har sagt att data har exfiltrerats, som det heter på säkerhetsspråk. Men vad som har läckt från de olika lärosätena, det har jag ingen information om utan det är mellan Instructure och lärosätena, förklarar Per Nihlén.
I rollen som vidareförmedlare av tjänsten Canvas ingår en tät dialog med lärosätena och enligt kontraktet mellan Canvas och Sunet/Vetenskapsrådet är Canvas skyldigt att ha dialog direkt med kund.
– Om man inte kommunicerar får man inget förtroende. Det är bättre att säga att man inget vet, säger Per Nihlén.
Som han ser det är tystnad inget bra kommunikationsknep, något även Instructures vd Steve Daly erkänner i ett långt meddelande på hemsidan, att de borde ha varit tydligare. På Instructures hemsida står också att de har fått tillbaka all data från angriparna och att Instructure har fått en garanti på detta.
– Vi utgår från den information som kommer från Instructure och gör inga egna bedömningar utöver det, allt annat skulle bara bli spekulation. Det bästa är att utgå från det som inte kommer från hotaktören. Av säkerhetsexperter och egen erfarenhet har jag lärt mig att inte kommentera det hotaktören säger, utan det som den andra sidan säger, förklarar Per Nihlén.
”Det pågår en fullständig säkerhetsgranskning och som jag ser det kommer förtroendet för Instructure att avgöras av hur de agerar framöver.”
Han understryker att Sunet gör allt de kan för att lärosätena ska få information så snabbt som möjligt, för att minimera skadorna.
– Det pågår en fullständig säkerhetsgranskning och som jag ser det kommer förtroendet för Instructure att avgöras av hur de agerar framöver. Men det är väldigt få system som är helt säkra, det ska man vara medveten om, säger Per Nihlén.
Niklas Brinkfeldt är systemansvarig vid Mittuniversitetet och han menar att Sunets hantering har varit god. Däremot måste förtroendet för Instructure återuppbyggas. I första läget handlar det om att de ska fortsätta åtgärda de säkerhetsbrister som har kommit i ljuset.
– Vi får se hur det utvecklar sig. Förhoppningen är att uppgörelsen innebär att angreppen har upphört. Men det är ju en kriminell organisation vi har att göra med så ingenting är säkert. Nu inväntar vi mer information, säger Niklas Brinkfeldt.
Niklas Brinkfeldt
Systemansvarig för Canvas vid Mittuniversitetet
Fortfarande finns det funktioner i Canvas som inte är igång och det är bland annat det lärarna undrar över, när alla integrationer ska återaktiveras. När det kommer ske är ännu oklart. Det känsligaste som angriparna kan ha kommit åt, tror Niklas Brinkfeldt, är internmeddelanden där det är svårt att veta vad som döljer sig.
– Det finns uppgifter om att hackergruppen tidigare har fått betalt av andra organisationer, men inga belägg för att information därefter läckte ut, säger Niklas Brinkfeldt.
Mats Möller, it-chef vid Karlstads universitet berättar att de har gjort en anmälan till Integritetsskyddsmyndigheten och att de anser att det är en så kallad personuppgiftsincident. Även han konstaterar att risken är stor att internmeddelanden kan ha läckt.
– Ur ett lärar- och studentperspektiv är det naturligtvis inte bra om den sortens information skulle vara öppen för andra att se.
Mats Möller
It-chef, Karlstads universitet
I Sverige berördes, förutom de 33 lärosätena, även Universitets- och högskolerådet och Universitetskanslersämbetet av attacken mot Canvas.
Vad som ingår i uppgörelsen mellan Instructure och Shiny Hunters är inte offentliggjort.
