Experter förvånade: skolplattform utan säkerhet hackad av hackare
Canvas-hacket avslöjar att utbildningssektorn fortfarande lagrar känsliga data som om det vore 2004. Ransomware-gruppen ShinyHunters lyckades med det omöjliga — att bryta sig in genom en dörr som stod vidöppen.
Foto: Bildbyrån Riksbulletinen
Canvas-hacket avslöjar att utbildningssektorn fortfarande lagrar känsliga data som om det vore 2004. Ransomware-gruppen ShinyHunters lyckades med det omöjliga — att bryta sig in genom en dörr som stod vidöppen.
Det senaste ransomware Canvas skola hackers ShinyHunters-debaclet har skakat om den globala edtech-sektorn på ett sätt som bara kan beskrivas som fullständigt förutsägbart. Instructure, företaget bakom lärplattformen Canvas, fick se miljontals elevers och lärares data läcka ut. Angriparna behövde enligt uppgift varken zero-day-exploits eller avancerad social engineering. De behövde i princip bara fråga snällt.
Analog säkerhetskultur möter distribuerad hotvektor
Problemet är som alltid att utbildningssektorn behandlar IT-infrastruktur som en budgetpost i paritet med whiteboardpennor. Istället för att implementera en skalbar Zero Trust-arkitektur med end-to-end-krypterad microservice-mesh har man valt att lita på att ingen bryr sig om skoldata. Det är som att säkra sitt hus genom att hoppas att tjuvar föredrar grannens. ShinyHunters bevisade att grannens hus redan var tömt.
”Vi hade en väldigt robust säkerhetslösning bestående av ett lösenord som byttes en gång om året, alltid till samma lösenord”, förklarade den påhittade men representativa IT-chefen Bengt-Arne Firewall vid en medelstor svensk kommun. ”Vi övervägde tvåfaktorsautentisering men ansåg att det var för komplicerat för lärarna, som ju redan har svårt med dokumentkameran.”
Det verkligt absurda är inte att hacket skedde utan att någon fortfarande förvånas. Varje cybersäkerhetsrapport sedan 2016 har flaggat utbildningssektorn som en digital katastrof. Men att allokera resurser till infosec framför smartboards har aldrig vunnit ett kommunalval. Tech debt i skolsektorn gör grekiska statsskulden till en avrundningsdifferens.
Jag har själv granskat relevanta GitHub-issues kopplade till Canvas LMS och funnit konfigurationsluckor som en förstaårsstudent i DevSecOps hade åtgärdat under en labbövning. Problemet är inte algoritmiskt utan kulturellt. Människor insisterar på att använda analoga beslutsprocesser — möten, post-it-lappar, magkänslor — för att hantera digitala hot. Det är som att besvara en DDoS-attack med ett argt brev.
Sammanfattningsvis kan hela incidenten reduceras till en enkel boolesk funktion: om budget för cybersäkerhet equals noll, returnera dataintrång. Lösningen kräver vare sig AI eller kvantdatorer utan bara att någon slutar behandla skolans IT-system som en gemensam Dropbox-mapp med lösenordet ”skola123”. Men det förutsätter förstås att beslutsfattare först uppgraderar sin egen firmware — en patch som tyvärr saknar release-datum.
