Achtergrond

Twee maanden na de Canvas-crisis: wat doet de HU om een nieuwe hack te voorkomen?

Foto: Kees Rutten

Zo’n twee maanden geleden werd Instructure, het bedrijf achter Canvas, gehackt. Persoonsgegevens van studenten en medewerkers kwamen daarbij in handen van de hackers. Wat heeft de HU daarna gedaan?

‘De HU heeft na de hack meteen actie ondernomen,’ zegt ICT‑directeur Joris Goos. ‘Zo hebben we gecontroleerd of Instructure de beloofde beveiligingsmaatregelen daadwerkelijk heeft doorgevoerd. Ook hebben we de invoering van multi‑factor authentication versneld.’ (Multi‑factor authentication betekent dat je naast je wachtwoord altijd een tweede bevestiging moet geven dat jij het bent, bijvoorbeeld een code via een app, red) ‘Ook hebben we een overbodige koppeling tussen Canvas en myHU verwijderd,’ vervolgt hij.

Daarnaast benadrukt hij dat een groot deel van de verantwoordelijkheid bij de gehackte leverancier ligt. ‘Zij moeten maatregelen doorvoeren die de kans op een nieuwe, succesvolle aanval in de toekomst verkleinen.’

‘Je kunt een hack nooit helemaal voorkomen’

Volgens Goos laat de dataroof zien dat digitale aanvallen steeds vaker voorkomen. ‘Je kunt een hack of storing nooit helemaal voorkomen. Wel kun je de kans erop kleiner maken en ervoor zorgen dat je problemen snel oplost als er toch iets misgaat.’

De HU heeft naar aanleiding van de hack ook besloten om de komende jaren extra te investeren in digitale veiligheid. ‘We zijn bezig een nieuw verbeterprogramma op te zetten waarin de lessen uit deze en eerdere incidenten worden verwerkt,’ legt Goos uit. Ook bereidt de hogeschool zich voor op de nieuwe cyberbeveiligingswet, waaraan onderwijsinstellingen de komende jaren moeten voldoen.

‘In het verbeterprogramma nemen we verschillende maatregelen’, zegt Goos. ‘We gaan vaker kijken waar de grootste digitale risico’s zitten, zoals de uitval van systemen, datalekken, veiligheidsrisico’s of financiële schade. En of onze beveiliging nog goed genoeg is.’ Daarnaast gaan ze maandelijks oefenen met het reageren op een cyberaanval. ‘Dat doen we zodat we beter voorbereid zijn als er iets gebeurt. Voorheen deden we dat maar enkele keren per jaar,’ aldus Goos.

De HU gaat door die hack ook een vernieuwd archiveringsbeleid hanteren. ‘We gaan zorgvuldiger om met het bewaren van gegevens’, vertelt Goos. ‘Informatie die we niet meer nodig hebben, verwijderen we op tijd. Zo beperken we de hoeveelheid gegevens die bij een eventuele hack kan worden buitgemaakt.’

Voor het uitvoeren van alle extra maatregelen is meer capaciteit nodig, vertelt Goos. ‘We vragen soms meer van bestaande collega’s, en daarnaast investeren we de komende jaren ook in nieuwe expertfuncties.’

Blijft Canvas?

Toen bekend werd dat hackersgroep ShinyHunters de gestolen gegevens van studenten en medewerkers had teruggestuurd, was de opluchting binnen de HU groot. Tegelijkertijd klonk er kritiek op het blijven gebruiken van Canvas. Zo zei docent Integrale Veiligheidskunde Cherida Wadilie eerder tegen Trajectum: ‘Ik ben blij dat er een deal is gesloten, maar ik vraag me wel af of de HU Canvas nog moet willen gebruiken. Ik hoop dat het college van bestuur daar kritisch naar gaat kijken.’

Volgens ICT-directeur Joris Goos is de hack geen reden om afscheid te nemen van deze software. ‘Canvas is een betrouwbaar platform. Afgezien van de verstoring in mei hebben we in de afgelopen jaren relatief weinig problemen gehad.’

Of de HU in de toekomst overstapt op een ander platform, is nog niet bekend. Goos wijst erop dat de hogeschool nog een lopend contract heeft met Instructure, de leverancier van Canvas. ‘Als het contract afloopt, kijken we opnieuw welke oplossing het beste past bij de HU. Op dat moment bepalen we of Canvas de beste keuze blijft of dat een ander systeem toch beter is.’

Reageren? Graag!

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *