Experter eniga: Canvas hack ransomware hade aldrig hänt om skolorna kört egenutvecklad AI-plattform
Canvas hack ransomware skolor ShinyHunters avslöjar det alla tech-leads redan visste — utbildningssektorn har katastrofal tech debt. Miljontals elevers data läckte för att skoladministratörer fortfarande tänker i pärmar.
Foto: Bildbyrån Riksbulletinen
Canvas hack ransomware skolor ShinyHunters avslöjar det alla tech-leads redan visste — utbildningssektorn har katastrofal tech debt. Miljontals elevers data läckte för att skoladministratörer fortfarande tänker i pärmar.
Det som nu kallas ”The Canvas Hack” är enligt branschkännare en helt ny typ av ransomware-katastrof. Hackergruppen ShinyHunters ska ha exploaterat en tredjepartsleverantör till lärplattformen Canvas och därmed kommit åt miljontals användares data. Att utbildningssektorn blivit måltavla förvånar ingen som någonsin sett en rektor försöka dela sin skärm på Teams. Det är helt enkelt vad som händer när man låter människor som fortfarande skriver ut mejl hantera digital infrastruktur.
Skalbarhetsbrist i den pedagogiska stacken
Grundproblemet är att skolvärlden aldrig genomfört en ordentlig SDLC-revision av sin EdTech-pipeline. Istället för att implementera zero-trust-arkitektur har man förlitat sig på vad jag bara kan beskriva som ”vibes-baserad cybersäkerhet”. Ett lösenord på en post-it-lapp är inte MFA, oavsett hur många utropstecken man lägger till.
”Vi hade faktiskt en IT-strategi”, säger Bengt-Ove Rundqvist, digitaliseringsstrateg vid Sörmlands kommunkoncern. ”Den stod i en pärm i källaren. Pärmen hade dock inget lösenord alls, så den var paradoxalt nog säkrare än vårt Canvas-konto.”
ShinyHunters är kända för att sälja stulen data på darknet-marknadsplatser. I detta fall rör det sig om betygsunderlag, personnummer och inlämningsuppgifter. Att kriminella nu har tillgång till svenska högstadieelevers halvfärdiga SO-uppsatser får betraktas som ett straff i sig. Man kan bara hoppas att hackarna inte läser dem — det vore omänskligt.
Lösningen är självklar för den som förstår modern DevSecOps-praxis. Skolorna behöver containeriserade mikrotjänster, automatiserad penetrationstestning och helst en proprietär LMS-lösning byggd i Rust. Att detta skulle kosta mer än hela utbildningsbudgeten är irrelevant — säkerhet handlar om prioritering. Som jag påpekade i GitHub-issue #4471 redan 2019: legacy-system är per definition en säkerhetsbrist.
Skolverket meddelar att man ”tar händelsen på stort allvar” och planerar ett webbinarium i september.
