Stand van zaken datalek Canvas

Canvas is vanaf woensdag 13 mei om 15:00 uur weer beschikbaar voor studenten. Daaraan voorafgaand is een grondige risicoanalyse uitgevoerd. De omgeving is sinds gisteren gecontroleerd gebruikt door docenten en intensief gemonitord. Daarbij zijn geen bijzonderheden gevonden. Op basis van de huidige informatie zijn er geen aanwijzingen dat documenten van studenten zijn getroffen. Dit bevestigt het beeld dat er alleen toegang is geweest tot gebruikersdata als studentnummers of e-mailadressen, zoals eerder gecommuniceerd.  

Studenten zijn per email geïnformeerd over het hervatten van de toegang.

Met het hervatten van het gebruik van Canvas worden op deze pagina geen dagelijkse nieuwe updates meer geplaatst.

De Universiteit Twente start vanmiddag om 17.00 uur met een gefaseerde hervatting van Canvas. Dit besluit is vanmiddag genomen door het Centrale Crisis Team (CCT) van de UT. Het besluit houdt in dat UT-docenten weer toegang krijgen tot Canvas. Studenten van de UT hebben op dit moment nog geen toegang tot de omgeving.

Waarom kiest de UT voor een gefaseerde hervatting?

De UT heeft hierbij een zorgvuldige en proportionele belangenafweging gemaakt. Die afweging ging over veiligheid, continuïteit van onderwijs en de impact van de langdurige uitval van Canvas op studenten en medewerkers. Technische en organisatorische maatregelen zijn genomen, denk aan monitoring en beoordelingen van koppelingen met andere systemen.  

Waarom eerst docenten?

Docenten krijgen als eerste toegang, zodat zij onder meer onderwijsmaterialen uit Canvas kunnen halen en zich kunnen voorbereiden op eventuele alternatieve scenario’s, mochten zich nieuwe beveiligingsproblemen voordoen rondom Canvas. Daarnaast maakt deze beperkte groep het mogelijk om de omgeving gecontroleerd te monitoren. Daarbij wordt onder meer gekeken naar opvallend gedrag in onze systemen en signalen die binnenkomen van docenten.

Docenten van de UT ontvangen vandaag een instructie over het gebruik van Canvas. Daarnaast staat op de interne service portal van de UT ook een FAQ voor docenten.

Wanneer krijgen studenten weer toegang?

Morgen (woensdag 13 mei) wordt een besluit genomen over een mogelijke volgende fase, waarbij ook studenten weer toegang kunnen krijgen tot Canvas. Daarover volgt meer informatie zodra daar duidelijkheid over is.

Ondanks bovenstaand nieuws is het onzeker of eventuele gelekte data niet verder wordt verspreid. We vragen studenten en medewerkers daarom om alert te blijven op phishingmails. 

Lees hier de laatste update van universiteitskoepel UNL.

De Universiteit Twente heeft kennisgenomen van berichtgeving van Instructure dat zij een overeenkomst hebben gesloten met de hackersgroep inzake het beveiligingsincident bij Canvas. Deze nieuwe informatie wordt op dit moment meegenomen in de verdere beoordeling van de situatie.

De UT onderzoekt momenteel of een eerdere en gecontroleerde beschikbaarstelling van Canvas mogelijk is. Daarbij wordt gekeken naar de technische veiligheid, restrisico’s en de mogelijkheid om snel weer af te schalen als nieuwe dreigingen ontstaan. Aan het einde van de middag volgt hierover een nieuwe update.

Waarom zijn sommige universiteiten mogelijk alweer online?

Universiteiten maken hierin ieder hun eigen afweging. Dat heeft onder meer te maken met verschillen in technische infrastructuur, koppelingen met andere systemen en de manier waarop Canvas binnen instellingen wordt gebruikt.

De gesloten overeenkomst tussen Instructure en de hackersgroep verandert op dit moment niet direct het technische veiligheidsbeeld van Canvas. Daarom blijft de Universiteit Twente een zorgvuldige risicoanalyse uitvoeren voordat een besluit wordt genomen over heropening van Canvas. 
De continuering van onderwijs en tentamens blijft daarbij de hoogste prioriteit.

Canvas is sinds 8 mei uit voorzorg niet beschikbaar voor studenten en medewerkers van de Universiteit Twente. Dit besluit is genomen vanwege veiligheidsredenen. Uit afstemming met andere Nederlandse universiteiten blijkt dat de meeste instellingen dezelfde lijn volgen. Uiterlijk aan het einde van deze week neemt de UT een besluit over het mogelijk opnieuw beschikbaar stellen van Canvas vanaf maandag.

De continuering van onderwijs en tentamens heeft onze hoogste prioriteit. Docenten en studenten hebben veelal alternatieve manieren gevonden om dit te realiseren. Dit kost iedereen extra tijd en moeite. Vanzelfsprekend willen we zo snel als mogelijk terug naar de reguliere situatie. We zijn echter afhankelijk van de leverancier en de garanties daarvan.

Beoordeling van aanvullende informatie

De Universiteit Twente is op dit moment in afwachting van relevante informatie van Instructure (het moederbedrijf van Canvas) over het beveiligingsincident en het herstel van de beveiliging bij Instructure. Wij verwachten deze informatie in de loop van deze week te ontvangen.

Zodra deze informatie beschikbaar is, wordt die direct beoordeeld door onze eigen specialisten én extern getoetst door onafhankelijke experts. Daarbij wordt onder andere gekeken naar zowel de technische veiligheid als de juridische aspecten van de situatie.

Besluitvorming

Op basis van deze beoordelingen wordt besloten of en hoe Canvas weer beschikbaar gesteld kan worden. Tot die tijd moet de omgeving helaas afgesloten blijven.

Gefaseerde hervatting

Bij de hervatting van de toegang tot Canvas overwegen we nadrukkelijk een gefaseerde aanpak, waarbij eerst beperkte en gemonitorde groep gebruikers toegang krijgt, bijvoorbeeld docenten die materiaal uit Canvas nodig hebben voor het onderwijsproces. Voor elke volgende fase moet duidelijk zijn welke gebruikers toegang krijgen, onder welke voorwaarden en welke informatie zij daarbij nodig hebben.

Impact

We realiseren ons dat dit nog altijd impact heeft op onderwijs en werkzaamheden van studenten en medewerkers en doen er alles aan om zo snel mogelijk duidelijkheid te geven.
Zoals aangekondigd volgt dagelijks uiterlijk om 16.00 uur een nieuwe update, of eerder als daar aanleiding toe is.

Vanwege alle veiligheidsmaatregelen blijft Canvas in ieder geval tot en met woensdag (13 mei) niet beschikbaar voor studenten en medewerkers van de UT. Op dit moment worden verdere stappen voorbereid om de omgeving veilig weer beschikbaar te maken. Daarover informeren we je zo snel mogelijk verder.
Voor vragen blijft de LISA Servicedesk het eerste contactpunt.

Zeven Nederlandse universiteiten zijn getroffen door de hack van Canvas. Zij werken samen om meer inzicht te krijgen in de gevolgen en om te bepalen welke vervolgstappen nodig zijn. Lees meer over hun gezamenlijke aanpak op de website van koepelorganisatie Universiteiten van Nederland.

De Universiteit Twente vraagt studenten hun UT-mail (extra) goed in te gaten te houden, omdat veel opleidingen e-mail nu als primair communicatiekanaal tussen docenten en studenten hanteren.

• Mailing naar alle UT-studenten
• Mailing naar alle UT-medewerkers

De leverancier van Canvas Instructure heeft de Universiteit Twente geïnformeerd dat er een beveiligingsincident bij onderwijssoftware Canvas heeft plaatsgevonden. Het gaat om een grootschalige hack van het hackerscollectief Shinyhunters waar gegevens van studenten en docenten zijn gelekt. We hebben nog geen bevestiging van Instructure ontvangen of en om welke UT-data het zou gaan. Het gaat in ieder geval niet om persoonsgegevens als bankgegevens en ID's, de UT registreert dit soort gegevens niet in Canvas. We volgen de ontwikkelingen op de voet. 

Op de Universiteit Twente is leerplatform Canvas momenteel niet beschikbaar voor gebruikers van de Universiteit Twente. Dit is een voorzorgsmaatregel naar aanleiding van het beveiligingsincident bij Canvas-leverancier Instructure, waarover eerder is gecommuniceerd. UT-onderwijs gaat vandaag (08-05-26, zonder tegenbericht) gewoon door.

Op dit moment onderzoeken we samen met andere Nederlandse onderwijsinstellingen en externe specialisten de situatie zorgvuldig. Om de veiligheid van systemen en gegevens te waarborgen, is besloten de toegang tot Canvas uit te schakelen.

We begrijpen dat dit impact heeft op onderwijs, werk en communicatie, en dat dit vragen of zorgen kan oproepen. Er wordt op dit moment hard gewerkt aan een veilige hervatting van de dienstverlening.

De gezamenlijke verklaring van de getroffen universiteiten in Nederland over de hack van Canvas is hier te vinden.

De Universiteit Twente heeft kennisgenomen van berichtgeving over een datalek bij Instructure, de leverancier van het leerplatform Canvas. Het gaat om een beveiligingsincident waarbij wereldwijd mogelijk gegevens van gebruikers zijn buitgemaakt. Instructure heeft laten weten dat de UT ook getroffen is. We kunnen ons voorstellen dat je hier vragen over hebt. In dit bericht geven we je een update op basis van de informatie die nu bekend is.